Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onderzoekers hacken laadpalen voor elektrische auto's

woensdag 27 december 2017, 10:35 door Redactie, 16 reacties

Onderzoekers van de Duitse Chaos Computer Club (CCC) zijn erin geslaagd om laadpalen voor elektrische auto's te hacken, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Het probleem bevindt zich in de laadpassen waar verschillende aanbieders gebruik van maken.

De providers bieden rijders van elektrische auto's een laadpas waarmee voor het opladen kan worden betaald. Deze laadpassen bevatten een nummer dat de laadpal gebruikt om de klant te identificeren. Het nummer is echter openbaar en kan zo vaak als mogelijk worden gekopieerd. Daardoor is het eenvoudig om een laadpas te klonen en zo op kosten van een ander op te laden.

"De aanbieders hebben geen basale beveiligingsmaatregelen geïmplementeerd", zegt onderzoeker Mathias Dalheimer die vandaag tijdens de CCC-conferentie in Leipzig de details zal openbaren. Volgens Dalheimer is de situatie te vergelijken met het betalen via een kopie van een pinpas. De aanbieders van de laadpalen die deze laadpassen uitgeven zijn al enkele maanden geleden gewaarschuwd, maar hebben geweigerd het probleem te verhelpen, aldus de CCC.

De laadpalen zelf zijn ook kwetsbaar voor aanvallen. De meeste laadpalen maken het mogelijk om via een usb-stick de configuratie aan te passen of firmware-updates te installeren. Aangezien het updatemechanisme onveilig is, kan er willekeurige code op de laadpaal worden geïnstalleerd. Vervolgens kan een aanvaller via deze code het opladen van de auto voor iedereen gratis maken of de kaartnummers van klanten verzamelen en vervolgens op hun kosten auto's opladen. Niet alleen is het lastig voor klanten om misbruik te bewijzen, doordat de afrekening later plaatsvindt kan het ook weken duren voordat het misbruik zichtbaar is.

123456 en password nog altijd meestgebruikte wachtwoorden
Nep-Microsoftmedewerkers vergrendelen browser
Reacties (16)
27-12-2017, 10:55 door Anoniem
Het lijkt wel een klassiek voorbeeld uit de geschiedenis. Wel een apparaat ontwikkelen om iets voor elkaar te krijgen, maar denken aan security (zoals IoT-apparaten en nu bij laadpalen), dat wordt dit even door de ontwerpers vergeten.
Leert men het dan nooit?
27-12-2017, 11:18 door Anoniem
"De laadpalen zelf zijn ook kwetsbaar voor aanvallen."
zou de aanvaller dan ook in staat zijn om voltage aanpassen of de polariteit omdraaien?
27-12-2017, 11:34 door Anoniem
Het wordt steeds moeilijker om je eigen uitgave te controleren en bij te houden. Zeer slechte en gevaarlijke ontwikkeling.
27-12-2017, 12:24 door [Account Verwijderd] - Bijgewerkt: 27-12-2017, 12:26
redactioneel artikel...Deze laadpassen bevatten een nummer dat de laadpal gebruikt om de klant te identificeren. Het nummer is echter openbaar en kan zo vaak als mogelijk worden gekopieerd....

en:

http://www.ccc.de/en/updates/2017/e-motor...Charging network providers that issue these cards have refused to fix the security problems, despite being given several months pre-warning....


Na dertig jaar elektronisch betalen mag je toch verwachten dat er zoveel expertise is op het gebied van veiligheid dat dergelijk oeverloos gekluns niet keer voorkomt. En dan lees je toch... ...dat zulke absurde fouten niet slechts nog steeds voorkomen maar dat de verantwoordelijken ook nog te laks zijn om - na erop te zijn geattendeerd -maatregelen te treffen i.p.v. voor zak zout te blijven zitten.
Het is om totaal sprakeloos van te worden! Feitelijk zouden hier straffen op moeten komen te staan.
27-12-2017, 12:29 door Briolet - Bijgewerkt: 27-12-2017, 12:30
Door Anoniem:zou de aanvaller dan ook in staat zijn om … de polariteit omdraaien?

Maar wat schiet je er mee op?

The stations usually offer a three-phase current connector,

Hij poolt zichzelf al 100x per seconde om.
27-12-2017, 13:36 door Anoniem
Door Anoniem: Het lijkt wel een klassiek voorbeeld uit de geschiedenis. Wel een apparaat ontwikkelen om iets voor elkaar te krijgen, maar denken aan security (zoals IoT-apparaten en nu bij laadpalen), dat wordt dit even door de ontwerpers vergeten.
Leert men het dan nooit?

Ik betwijfel of het vergeten is.

Ik denk dat men de business les _veel_ beter geleerd heeft : sell first, fix later . De first mover in een nieuwe markt wint enorm, en de tweede laat staan derde hebben een enorme achterstand . "Maar wij zijn veiliger, geloof ons" is echt geen selling point.
27-12-2017, 19:42 door Anoniem
He, die laadpalen van Keba... maken die lui ook niet van de kastsystemen voor internetbestellingen, waar je je pakje uit kunt halen en retouren in kunt stoppen?
27-12-2017, 22:05 door Anoniem
Door Briolet:
Door Anoniem:zou de aanvaller dan ook in staat zijn om … de polariteit omdraaien?

Maar wat schiet je er mee op?

The stations usually offer a three-phase current connector,

Hij poolt zichzelf al 100x per seconde om.
Zijn laadpalen op een 100Hz net aangesloetn? Nooit geweten. Is wel handig. Dan kan je toe met kleinere en lichtere transformatoren.
27-12-2017, 22:16 door Anoniem
Door Anoniem:
Door Anoniem: Het lijkt wel een klassiek voorbeeld uit de geschiedenis. Wel een apparaat ontwikkelen om iets voor elkaar te krijgen, maar denken aan security (zoals IoT-apparaten en nu bij laadpalen), dat wordt dit even door de ontwerpers vergeten.
Leert men het dan nooit?

Ik betwijfel of het vergeten is.

Ik denk dat men de business les _veel_ beter geleerd heeft : sell first, fix later . De first mover in een nieuwe markt wint enorm, en de tweede laat staan derde hebben een enorme achterstand . "Maar wij zijn veiliger, geloof ons" is echt geen selling point.

Het veilig gebruik van RFID is zeker niet vergeten. De markt is te nieuw. Je wil dat mensen van verschillende leveranciers en landen ook gebruik kunnen laden. En dan moet je met alle partijen een akkoord hebben over welke RFID standaard en waar wat wordt geschreven op de kaarten. (iets waar bijvoorbeeld een Translink geen last van heeft, onze OV-chipkaarten werken ook niet in Duitsland en dat vind niemand een probleem) Hopelijk lukt het met dit akkoord om dat voor elkaar te krijgen.
28-12-2017, 08:57 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem:zou de aanvaller dan ook in staat zijn om … de polariteit omdraaien?

Maar wat schiet je er mee op?

The stations usually offer a three-phase current connector,

Hij poolt zichzelf al 100x per seconde om.
Zijn laadpalen op een 100Hz net aangesloetn? Nooit geweten. Is wel handig. Dan kan je toe met kleinere en lichtere transformatoren.

400V, 3 fasen, L1 = 0 graden, L2 = 120 graden, L3 240 graden maakt 3x 50 Hz is 150 Hz ... ;)
28-12-2017, 09:03 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem:zou de aanvaller dan ook in staat zijn om … de polariteit omdraaien?

Maar wat schiet je er mee op?

The stations usually offer a three-phase current connector,

Hij poolt zichzelf al 100x per seconde om.
Zijn laadpalen op een 100Hz net aangesloetn? Nooit geweten. Is wel handig. Dan kan je toe met kleinere en lichtere transformatoren.

Ja, een 50Hz sinus verandert 100x per seconde van polariteit....
28-12-2017, 11:20 door Anoniem
Door Anoniem:
Je wil dat mensen van verschillende leveranciers en landen ook gebruik kunnen laden. En dan moet je met alle partijen een akkoord hebben over welke RFID standaard en waar wat wordt geschreven op de kaarten. (iets waar bijvoorbeeld een Translink geen last van heeft, onze OV-chipkaarten werken ook niet in Duitsland en dat vind niemand een probleem) Hopelijk lukt het met dit akkoord om dat voor elkaar te krijgen.

Je hoeft niet te schrijven op kaarten maar wat je nodig hebt is een authenticatie token wat niet zo gemakkelijk te kopieren is.
Dus niet een simpele MiFare kaart en daar dan het kaartserienummer van gebruiken, want hoewel dat op zich bij normale
kaarten wel uniek is en niet te veranderen, zijn er uiteraard inmiddels kaarten waar je zelf een serienummer op kunt zetten.

Er bestaan echter ook wel kaarten/tokens die met een challenge-response systeem werken waarmee je dus niet een
simpel nummertje hebt om te copieren, maar waarbij de kaart uniek is door een gegeven wat je er als het goed is niet
vanaf kunt copieren en waarbij de reader iedere keer een andere challenge stuurt en met het response wel kan valideren
dat het die kaart is, maar niet kan afleiden wat de response zal zijn op een verschillende challenge.
Uiteraard betekent dat wel dat je de extra complexiteit hebt dat de gegevens over de kaarten (zeg maar de public key)
bekend moet zijn op de plaats en op het moment waar de kaart wordt aangeboden, dus roaming blijft lastig.
28-12-2017, 13:40 door Vandy
Elektrisch rijden wordt zo ineens wel heeeel erg aantrekkelijk!
28-12-2017, 14:17 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem:zou de aanvaller dan ook in staat zijn om … de polariteit omdraaien?

Maar wat schiet je er mee op?

The stations usually offer a three-phase current connector,

Hij poolt zichzelf al 100x per seconde om.
Zijn laadpalen op een 100Hz net aangesloetn? Nooit geweten. Is wel handig. Dan kan je toe met kleinere en lichtere transformatoren.
O, wat dom van mij! Natuurlijk wordt de spanning bij een 50Hz-signaal 100x omgepoold. Briolet, het spijt me dat ik dacht dat je het verkeerd had.
29-12-2017, 13:45 door Anoniem
Lijkt me ook een gevalletje datalek als er willekeurige code geïnstalleerd kan worden op de laadpalen. Omdat de kaarten op naam staan is hier dan ook sprake van verwerking van persoonsgegevens door malware. Wat was de boete ook al weer? vergeet de hack, ga voor de privacy impact. Dan kun je er onder druk van een boete werk van laten maken...

My two cents...
31-12-2017, 00:05 door Anoniem
Door Anoniem:
Door Anoniem:
Je wil dat mensen van verschillende leveranciers en landen ook gebruik kunnen laden. En dan moet je met alle partijen een akkoord hebben over welke RFID standaard en waar wat wordt geschreven op de kaarten. (iets waar bijvoorbeeld een Translink geen last van heeft, onze OV-chipkaarten werken ook niet in Duitsland en dat vind niemand een probleem) Hopelijk lukt het met dit akkoord om dat voor elkaar te krijgen.

Je hoeft niet te schrijven op kaarten maar wat je nodig hebt is een authenticatie token wat niet zo gemakkelijk te kopieren is.
Dus niet een simpele MiFare kaart en daar dan het kaartserienummer van gebruiken, want hoewel dat op zich bij normale
kaarten wel uniek is en niet te veranderen, zijn er uiteraard inmiddels kaarten waar je zelf een serienummer op kunt zetten.

Er bestaan echter ook wel kaarten/tokens die met een challenge-response systeem werken waarmee je dus niet een
simpel nummertje hebt om te copieren, maar waarbij de kaart uniek is door een gegeven wat je er als het goed is niet
vanaf kunt copieren en waarbij de reader iedere keer een andere challenge stuurt en met het response wel kan valideren
dat het die kaart is, maar niet kan afleiden wat de response zal zijn op een verschillende challenge.
Uiteraard betekent dat wel dat je de extra complexiteit hebt dat de gegevens over de kaarten (zeg maar de public key)
bekend moet zijn op de plaats en op het moment waar de kaart wordt aangeboden, dus roaming blijft lastig.

maar daar heb je niks aan als de firmware via de palen zelf ook aan te passen is en je nog steeds gratis kan laden al is het dan niet op iemand anders zijn rekening.
Dus ze zouden beide moeten aanpakken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

17 reacties
Aantal stemmen: 1111
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

42 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter