Logo von heise online

Suche
206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

  1. 31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt.

  2. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  3. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  1. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  2. Keine Sicherheit, nirgends

    Jede neue Branche, die ins Internet der Dinge einsteigt, macht offenbar immer wieder die gleichen Anfängerfehler.

  3. Lieber kostenlos als schnell

    Während viele Online-Händler nach einem Weg suchen, ihren Versand zu beschleunigen, wäre den Kunden ein dauerhaft kostenloser Versand lieber.

  1. BeagleCore: Mini-Mikrocontroller-Board fürs Internet der Dinge bei Kickstarter

    BeagleCore: Mini-Mikrocontroller-Board fürs Internet der Dinge bei Kickstarter

    Der BeagleBone Black ist nie so ein richtiger Renner geworden, trotz technischer Vorzüge und seines günstigen Preises. Eine Miniaturausgabe soll dem Mikrocontroller-Board jetzt aber den Einsatz in vernetzten Geräten erschließen.

  2. Kraftkur für Einsteiger

    Die EU-weite Anpassung des Führerscheins brachte wenigstens bei der Einteilung des Motorrad-Stufenführerscheins eine erfreuliche Überraschung. Einsteiger dürfen nun mit 48 PS loslegen. Eine Kollektion passenden Motorräder finden Sie hier

  3. Ruhe vor dem Sturm

    Nach zehn Jahren Produktionsdauer gilt eine Baureihe als überfällig. Beim Lamborghini Gallardo ist die späte Ablösung verschmerzbar, mit gut 14.000 gebauten Exemplaren in zehn Jahren war er der erfolgreichste Lamborghini. Sein Nachfolger heißt Huracán

  4. Krach im Garten

    Ertaubt aber glücklich wankt von hinnen, wer die Gartenparty von Goodwood erleben durfte. So viel Rennatmosphäre zum Anfassen, so eine Menge historischer Autos und lebender Motorsportlegenden in so kurzer Zeit auf so engem Raum gibt es wohl nur hier

Anzeige