Ladekarten sind unsicher - wie man auf fremde Rechnung lädt

[gekfsns]

Eine Beschreibung...
Auch unter
https://github.com/openfastchargingalli ... -final.pdf
zu finden

Aus dem Dokument kopiert

It is definitely more secure than RFID, because you couldn’t that easily copy or simulate MAC address
while a RFID card is very easy to copy.

Seh ich auch so. Für die Manipulation der MAC Adresse brauch ich momentan noch spezielle Hard- und Software.
Für die NFC Karten scheinbar nur 1€/Stück für die frei programmierbaren NFC Karten aus China, ein stinknormales Handy und die kostenlose App aus dem Appstore - d.h. das bekommt jetzt schon jeder Dödel hin.
Langfristig macht es natürlich auch bei CCS Sinn, die vorhandenen Sicherheitsfeatures zu nutzen die in der Norm schon drinnen stehen. Der ganze Ablauf mit den Zertifikaten und Verschlüsselung ist schon alles definiert (kann das Dokument leider nicht mehr finden ).
Wäre interessant wieviel davon schon in den jetzigen EVs implementiert ist, wenn nicht sollte das bestimmt durch ein Steuergeräte-SoftwareUpdate zu machen sein, oder ?

[Tho]

Mit MAC Addresse steckt in der Netzwerkkarte, hier wahrscheinlich das POE Interface.
Eine MAC Addresse zur Authentifizierung zu nutzen ist für mich genauso schwach wie eine RFID ID.
Absolut nicht manipulutationssicher, nur eine Frage der Zeit.

[150kW]

Ja, es ist (wahrscheinlich) nicht manipulationssicher, aber die Hürde liegt eben höher und das Risiko der Entdeckung ist ebenfalls höher. Das lässt denn Sinn der Fälschung noch weiter schwinden.

[gonium]

Kurze Vorwarnung: Am 27.12. werde ich im Rahmen des 34. Chaos Communication Congress alle meine Erkenntnisse veröffentlichen. Bislang zeigen sich Ladenetzbetreiber und Wallbox-Hersteller recht unkooperativ, vielleicht hilft der Vortrag ja, den einen oder anderen Akteur zu überzeugen.

Besitzern von KEBA P30-Ladestationen kann ich derzeit nur raten, die aktuelle Firmware einzuspielen. Weitere Informationen möchte ich derzeit nicht publizieren - aber mit dem Vortrag wird dann klar, warum eine aktuelle Firmware sinnvoll ist.

Schönen Gruß,
-Mathias

[enabler]

Kurze Vorwarnung: Am 27.12. werde ich im Rahmen des 34. Chaos Communication Congress alle meine Erkenntnisse veröffentlichen.

Freue mich auf das Video

[Thomas.Keba]

Kurze Vorwarnung: Am 27.12. werde ich im Rahmen des 34. Chaos Communication Congress alle meine Erkenntnisse veröffentlichen. Bislang zeigen sich Ladenetzbetreiber und Wallbox-Hersteller recht unkooperativ, vielleicht hilft der Vortrag ja, den einen oder anderen Akteur zu überzeugen.

Besitzern von KEBA P30-Ladestationen kann ich derzeit nur raten, die aktuelle Firmware einzuspielen. Weitere Informationen möchte ich derzeit nicht publizieren - aber mit dem Vortrag wird dann klar, warum eine aktuelle Firmware sinnvoll ist.

Schönen Gruß,
-Mathias

Danke Matthias für deine Hinweise. Wir sind immer dankbar für Inputs und dürfen uns auch nochmal deinem vorigen Post anschließen. Wie bereits von dir erwähnt, empfehlen wir unseren Kunden, immer die aktuellste Software zu laden und zu installieren. Wir arbeiten permanent an der Sicherheit und Performance unserer Produkte und stellen die neuesten Software-Releases laufend auf unserer Website unter https://www.keba.com/de/emobility/servi ... /downloads zur Verfügung.

Lg. Thomas

[gonium]

Danke Matthias für deine Hinweise. Wir sind immer dankbar für Inputs und dürfen uns auch nochmal deinem vorigen Post anschließen. Wie bereits von dir erwähnt, empfehlen wir unseren Kunden, immer die aktuellste Software zu laden und zu installieren. Wir arbeiten permanent an der Sicherheit und Performance unserer Produkte und stellen die neuesten Software-Releases laufend auf unserer Website unter https://www.keba.com/de/emobility/servi ... /downloads zur Verfügung.

Ich lasse das mal so stehen - die von mir untersuchte Firmware ist Version 1.5, die Webseite zeigt keine aktuellere Version. Am Telefon hab ich die Aussage bekommen, das Version 1.6 das Problem behebt. Auch die angekündigte Vorab-Version der 1.6 hab ich nie erhalten, ich kann also leider nicht sagen, ob das Problem weiter besteht oder die Lücke geschlossen wurde.

Schönen Gruß,
-Mathias

[gonium]

Freue mich auf das Video

Der Fahrplan ist raus - ich darf am Tag 1 in Saal 1 direkt nach Charles Stross reden:

https://events.ccc.de/congress/2017/Fah ... /9092.html

Wer den Congress nicht kennt: Es gibt von (fast) allen Vorträgen Videoaufzeichnungen und auch einen Live-Stream. Beide sind unter https://media.ccc.de zu finden.

[stili]

Vielleicht ist das ja auch der Anfang vom Ende der besch**** Ladekartensysteme. Mir ist es bis heute nicht klar, warum man nicht einfach mit millionenfach erprobten Bank- oder Kreditkarten zahlen kann.

Das wäre auch meine favorisierte Variante. Mit girogo kann man Kleinbeträge unter 25 Euro ohne PIN bezahlen. Das Guthaben kann man an (fast) jedem Geldautomaten auf die Karte buchen. Es gibt zertifizierte Lesegeräte und ein gescheites Schwachstellenmanagement. UND: Man braucht nicht bei tausend Anbietern eine Ladekarte zu beantragen.

Macht natürlich Roaming-Modelle und Businessfoo kaputt. Wäre aber einfach zu benutzen und (relativ) sicher.

MasterCard Pay pass mit dabei und die Android Nutzer mit NFC können überall kontaktlos Zahlen ( bei GiroGo und Android kenne ich keine Bank , welche dies anbietet )
Auch Visa Pay Wave geht TOP

Gesendet von meinem SM-G955F mit Tapatalk

[gonium]

Weil ich hier gerade an meinem Vortrag für den 34C3 sitze und Spaß mit der Videokamera hab: