Angriffsvektor Autohaus

Ja, wenn man bei einem Mercedes-Benz Partner sitzt und darauf wartet, dass den Magneten der Nockenwellenverstellung das Siffen ausgetrieben wird, kann man geradezu groteske Dinge erleben.

Eine der Grotesken ist natürlich das Preisschild an der G-Klasse. Über 100.000 Euro, und das für irgend eine V6 Variante. Wandert man weiter zum familientauglichen Vito, reibt man sich auch wieder die Augen.

blog_preisschild_vito

Kerning gibt es nicht unter 50.000 Euro Listenpreis.

Wo es mich wirklich gesetzt hat, war der WLAN Hotspot. Nein, er kostet nichts. Nein, ich bin auch nicht böse, weil die Seite mit den Anmeldeinformationen drei leere Einträge in der Navigation mit den Namen „example_1″ bis „example_3″ hat, die auf leere Seiten führen. Nein, es stört mich auch nicht, dass die Anmeldeseite per HTTP serviert wird, statt HTTPS.

Wo mir die Kinnlade heruntergefallen ist, als Schritt 2 der Anleitung war, ein fremdes Stammzertifikat zu installieren. Firefox hat auch gleich gemeckert, dass das Zertifikat nicht aktuellen Sicherheitsstandards entspricht. Bei MD5 ist das auch nicht unangebracht. Das macht es aber kaum schlimmer. Wenn ich einem Stammzertifikat vertraue, dann heißt das, dass der Inhaber des Zertifikates mir für praktisch alles ein selbstgeneriertes Zertifikat vorsetzen kann und mein Rechner das glaubt. HTTPS, SSL, SMTPS etc, alles hinfällig. Gut, es gibt solche Dinge wie Certificate Pinning, aber längst nicht jedes Programm nutzt das und bei erstmaliger Kontaktaufnahme mit einer Gegenstelle hilft es auch nicht.

Nun glaube ich nicht daran, dass mein Autohaus meine E-Mails mitlesen will oder sich dafür interessieren würde, wenn ich mir beim Warten auf die Büchse ein paar extreme Pornos reinziehe. Dass jemand das Stammzertifikat angreift ist bei MD5 durchaus möglich, aber auch das halte ich für recht unwahrscheinlich.

Was man sich aber klarmachen muss ist, dass vermutlich hunderte Leute hier völlig bereitwillig und gedankenlos ein fremdes Stammzertifikat installiert haben. Von irgendeiner ungesicherten Seite , die ihnen beim Öffnen des Browsers nach einer Verbindung mit einem völlig fremden Hotspot serviert wurde. Und die meisten finden das auch vermutlich nur deshalb nicht normal, weil es zwei Klicks auf „Weiter“ oder „Akzeptieren“ mehr sind als normal. Weil sie nicht wissen, was sie tun. Und zumindest Windows bis 8.1 in allen Variationen, die ich gesehen habe, warnt einen auch nicht in einer besonderen Form, wenn man eine fremde CA installiert. Ich habe ja selber 2 davon. Das sollte eigentlich ein Vorgang sein, der einem einen richtig dicken Warndialog vorsetzt.

Ich weiß nicht so recht, wie ich aus diesem Desaster ein Fazit ziehen soll. Aber so lange solcher Unsinn völlig normal ist und nicht zu einer ganzen Menge gestreckter Mittelfinger führt, ist jeder Versuch im Hinblick auf Internet und Sicherheit für den Normalbürger völlig belanglos. Er schießt sich mit der Schrottflinte die Eier weg uns merkt es nicht. Auf meine Nachfrage beim Empfang, ob sich schon jemals jemand über die Sache mit dem CA-Zertifikat beschwert hätte, bekam ich einen leeren Blick und ein verwundertes „Nee“.

Und als ich damit fertig war den Kopf wild in der auf den Tisch gestützten Hand zu schütteln und aufblickte, sah ich noch das:

blog_kinderhandel_in_russland

Geschichte wiederholt sich nicht. Aber langsam bekomme ich ein wenig Angst, wenn ich an die Zukunft denke…

2 thoughts on “Angriffsvektor Autohaus

  1. Also wenn ich Dich richtig verstehe, dann bemäkelst Du den Hotspot beim Händler Deines Vertrauens (also jenseits von IT vermutlich). Zugegeben – das Installieren einer Root-CA von irgend einem Hans Wurst ist schon recht starker Tobak.

    Ich hab in der Firma ja auch eine eigene CA, aber dann schreit mein Android dann bei jeder Gelegenheit „Ihr Netzwerk wird moglicherweise überwacht“ und ich kann das nicht abstellen.

    Ganz pragmatisch würde ich dazu dieses bemerken wollen. Wer ernsthaft Wert auf die Art der Verschlüsselung und die verwendeten Zertifikate legt („grünes Vorhängeschloss“), der wird auch kapieren, wenn er ein Rootzertifikat installiert. Alle anderen (die Mehrheit) unterscheiden wohl bis heute nicht mal zwischen http und https.

    Und nebenbei: In Vietnam wachsen offene WLANs wie andernorts Schimmelpilze und mein tapferes Nexus-Tablet hat gleich zur Begrüßung in irgend einem offenen Netz den Update von Android 5.0 auf 5.1 herunter geladen, ohne dass ich das überhaupt mitbekommen hatte – also nicht bis zum nötigen Reboot. Na hoffentlich hat Google das mit den Prüfsummen wenigstens ordentlich implementiert…

  2. Naja, Autohändler, Werkstätten und Vertrauen sind Worte, die mir kaum ohne Negation zusammen über die Zunge kommen. Vor allem mit VW Händlern habe ich Geschichten erlebt, da rollen sich einem die Zehennägel auf – vor allem, weil ich genug dafür für einen ganzen Abend habe. Insofern würde ich von geringstem Misstrauen sprechen.

    Die Root CA war glaube ich CAcert, also nicht ganz Hans Wurst. Aber selbst wenn es so etwas wie die Telekom Root CA 2 gewesen wäre, auf die man bspw. bei Hochschulen für das DFN Roaming trifft, wäre das schlimm genug gewesen. So lange ich nicht prüfen kann, und genau das wird ohne Internet nochmal schwieriger, was das für eine CA sein soll, schiebe ich doch nicht irgendeine CA in den Stammzertifikatsspeicher, deren Zertifikat ich vom Anmeldeportal irgend einer Klitsche habe.

    Grundsätzlich gebe ich Dir darin recht, dass die Mehrheit nicht einmal den Unterschied zwischen http und https kennt. Aber ich sehe da noch einen graduellen Unterschied dazwischen. Vor allem weil eine fremde CA einem solche Dinge erlaubt wie das Umbiegen eines hosts-Eintrages, ohne dass man bei der Phishingseite eine Zertifikatswarnung bekäme oder etwas an der URL sehen könnte.
    Jemand der Wert auf die Art der Verschlüsselung legt wird sicher wissen, was eine RootCA ist. Aber ich glaube es gibt durchaus einen Teil Leute, der beides nicht tut aber hellhörig werden würde, wenn man ihnen einen Zertifikatsfehler um die Ohren haut.

    Und ich weiß nicht wie es bei Android gemacht ist, aber ich hoffe doch mal stark, dass Updates für das Betriebssystem eine ordentliche, signierte Prüfsumme haben. Dann sollte es auch egal sein, dass man „Honest Achmed’s Free Backyard Wi-Fi“ genutzt hat.
    Es ist aber interessant, dass man bei Android eine „fremde“ CA nicht normal beheimaten kann. Würde mich persönlich stören, ist aber insofern nicht schlecht, als dass das für 99% der Nutzer „das Richtige“ ist und auch die Praxis unterbindet, verschlüsselte Verbindungen über Firewalls zu leiten, die technisch gesehen einen Man in the middle Angriff ausführen, um den Inhalt prüfen zu können. Vor allem in den USA machen das viele Firmen gerne für ihre internen Netzwerke.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>