• Nissan LEAF mit offener Fernsteuerung

    Wenn ich ehrlich bin, dann war einer der Hauptgründe, dieses Blog zu starten, dass ich Stück für Stück erklären möchte, was ein API Gateway* ist und wozu man es brauchen könnte.

    Dank Nissan wird mir die erste Hinleitung heute auf dem Silbertablet geliefert.

    Connected Drive, Apps für Autos usw. sind ja der neueste, heiße Sch*** im Moment und so gibt es natürlich auch und gerade beim Elekto-KFZ von Nissan, dem LEAF, eine kleine App, um zum Beispiel aus der Ferne schon mal die Heizung anzumachen (da es hier gerade schneit kann ich den Nutzen verstehen. Mein Wagen kann das auch, sogar theoretisch mit Sicherheitslücke - da es aber ein Direktimport ist, geht dessen mobile Datenverbindung hier in Europa nicht).

    Dumm ist nur, dass die Autohersteller jetzt noch schnell lernen müssen, dass man, wenn man APIs rausgibt, diese auch gesichert sein sollten. Beim Nissan LEAF nämlich kann man die entsprechenden Aufrufe einfach an deren Server schicken - das einzige, was man wissen (oder raten) muss, ist die Fahrgestellnummer (VIN). Schon kann man die Klimaanlage an- und ausschalten oder auch einfach mal auslesen, welche Fahrten so in letzter Zeit mit dem Wagen unternommen wurden.

    Das ist mehr als peinlich und da gehört eine ordentliche Sicherheitsschicht obendrauf (als allererstes eine Form der Authentifizierung und Authorisierung aber dann sicherlich auch Rate Limiting und ähnliches, um das einfache Durchtesten zu erschweren). Das ist dann genau das, was ein API Gateway tun würde. Sich zwischen den Client und die API zu setzen und da moderne Standards einzusetzen.

    Wenn man dann noch liest, was zum Beispiel ein aktueller BMW (und das ist sicherlich nur ein Beispiel unter vielen) so an Daten und Funktionen zur Verfügung stellt, dann wird einem ein bisschen schlecht…

    Zum Abschluss noch ein Video, wie man einmal um die ganze Welt herum (Australien -> UK) Autos fernsteuern kann.

  • Safe Harbor und die Folgen

    Das Ende von Safe Harbor ging ja recht prominent durch die Presse. Kurzfassung: eine Generalklausel wie “alle Datenspeicherung in den USA ist aus europäischer Sicht in Ordnung” ist damit Geschichte und wie diese Herausforderungen in Zukunft noch gelöst wird, bleibt ein spannendes Minenfeld für amerikanische Firmen. Meine Conclusio des aktuellen Status ist, dass es momentan viele Pressemitteilungen gibt in der Art “oh, wir nehmen nun Google AWS Irland / Frankfurt und damit ist alles gut”, welche so aber einfach nur PR-Schlangenöl darstellen, solange die amerikanischen Muttergesellschaften auf die Daten noch Zugriff haben.

    Nun bin ich (Gott sei Dank) kein Anwalt, aber Max Schrems hat dies nicht nur alles ins Rollen gebracht, sondern wird nicht müde, tagtäglich für unsere Rechte zu kämpfen und aufzuklären.

    Neben einem guten Beitrag in Logbuch Netzpolitik 155 und der zugehörigen Website unter http://europe-v-facebook.org findet sich einmal mehr ein hervorragender Talk (auch gehalten von Max) in den Aufzeichnungen des 32C3: https://media.ccc.de/v/32c3-7513-safe_harbor#video

  • StartSSL mit neuer Website

    Nachdem die StartSSL-Website jahrelang zwar funktional komplett aber vom Design und der Bedienung her etwas altbacken daherkam, gab es nun zu Weihnachten einen großen Relaunch.

    Ich nutze aktuell noch immer StartSSL für alle meine Zertifikate (Webserver, Mailserver, S/MIME, Code Signing, …) und habe dort auch eine Class2-Zertifizierung (man hat also meine Identität geprüft), aber ich vermute mal, dass man den starken Gegenwind von Let’s Encrypt nun dort spüren kann.

    Auf jeden Fall konnte ich einige meiner Skripte (welche mir meine privaten Keys erstellen und CSRs generieren) insofern vereinfachen, dass StartSSL nun nicht mehr nur einfach ein Zertifikat zurückliefert, sondern eine ZIP-Datei, welche für verschiedene Server (Apache, Nginx, IIS, “other”) gleich die ganze Zertifikatskette mit Intermediary und CA enthält (das baute ich mir bisher immer per Skript aus den drei Dateien selbst zusammen).

    Apropos Let’s Encrypt - auch hier ein Video vom 32C3.

  • Der einzig wahre Jahresrückblick

    Wir werden ja jedes Jahr mit Jahresrückblicken mit mehr oder weniger Tiefgang überschwemmt, aber einer ist immer wieder das Highlight für mich im Dezember. Man setze (zumindest etwas) den Aluhut auf und schaut sich den Fnord-Jahresrüblick im Rahmen des 32C3 an.

  • Und täglich grüßt das Murmeltier: schwere Sicherheitslücke in Flash

    Das wird wahrscheinlich ein Dauerbrenner in diesem Blog, sollte ich mich dazu druchringen, wirklich dieses grausame Flash hier jedesmal zu erwähnen, wenn es einmal mehr eine gefährliche Sicherheitslücke hat. An sich ist Flash ja selbst schon eine Sicherheitslücke und Gott sei Dank wird es ja immer unbedeutender.

    Also hier das aktuelle Murmeltier: Adobe Security Bulletin APSB16-01

    via http://stadt-bremerhaven.de/schwere-sicherheitsluecke-adobe-patcht-flash/

  • 32C3 eröffnet

    Einer wenn nicht der wichtigste(n) Kongresse rund um das Thema Sicherheit ist soeben mit der Keynote eröffnet worden.

    Mittlerweile wegen des starken Wachstums wieder in Hamburg beheimatet findet Ihr dort aktuelle Vorträge von jenen Hackern, welche wirklich wissen, wie die moderne Welt tickt.
    Neben der Möglichkeit vor Ort im direkten Gespräch und der ganzen einmaligen Atmosphäre gibt es alle Sessions auch direkt live unter https://streaming.media.ccc.de/32c3/. Und fast noch besser: unter https://media.ccc.de/b/congress/2015 gibt es alle Vorträge zum immer wieder anschauen.

    Persönlich folge ich sehr gerne den Vorträgen am heimischen Rechner (bzw. bei der Familie für die ganzen Feierlichkeiten) und werde hier im Blog den einen oder anderen direkt mal aufnehmen, wenn ich ihn besonders empfehlenswert finde.

  • HTTP 451 verabschiedet

    Der neue HTTP status code 451 für den Status Unavailable For Legal Reasons ist nun offiziell verabschiedet worden.

    Er ergänzt HTTP 403 Forbidden und gibt Nutzern und auch insbesondere Crawlern die Möglichkeit zu erkennen, welche Seiten durch staatliche Eingriffe (“echte Rechtsverstöße” und Zensur) vom Netz genommen werden mussten.

    Und außerdem ist es der Startschuss für eben jenes Blog, welches Ihr gerade lest. Hier sammle ich ab sofort News rund um die Themen Sicherheit und Zensur aus dem Netz zusammen.

subscribe via RSS