Logo von heise online

Suche
Jürgen Schmidt 206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

Anzeige
  1. Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Ein Land in Mittelamerika ist in aller Munde, auch in Hal Fabers. Doch während die einen daran arbeiten, ihn ins rechte Licht zu rücken und die anderen verkrampft das Haar in der Suppe suchen, erinnert er daran, dass die EU die Münder schließen will.

  2. Was war. Was wird. Von freien Piraten und anderen Fallstricken.

    Moskstraumen, Mahlstrom

    Deutschland im Herbst, bleierne Zeit. Aber anders als in den 70er Jahren, wohl aber genauso deprimierend, meint Hal Faber. Sinnlos, sich gegen den Mahlstrom der Zeit zu wehren? Ach was! Wo bleibt denn da das Positive?

  3. 20 Jahre heise online: Nichts ist nur Geschichte, nichts ist nur Zukunft

    On, Einschalten, Start

    Vor 20 Jahren startete der Newsticker von heise online unspektakulär mit 4 Nachrichten. Ein erster Rück- und Ausblick: eine Art Erinnerungserinnerung und ein Beginn der Zukunft.

  4. MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip

    MagSpoof imitiert Kreditkarten

    Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden.

  1. 90 Jahre Ducati

    Klassiker

    Gestartet ist Ducati 1926 als Elektrikfirma. Ihr erstes Krad entstand im Zeichen des Nachkriegs-Beförderungsnotstands. Heute ist Ducati mit einer breiten Motorradpalette erfolgreich. Ihren Kultstatus hat sie einfallsreicher Technik und den unzähligen Siegen der rot lackierten Bikes im Rennsport zu verdanken

  2. Zu Land, zu Wasser und in der Luft

    Schlafen in van Goghs Zimmer, auf einer Jacht dahinschippern oder bei Privatpiloten einsteigen – die Sharing Economy eröffnet spannende Möglichkeiten, seine freien Tage zu verbringen.

  3. Ducati Modelle 2016

    Zweirad

    Ducati hat auf der EICMA nicht weniger als elf neue Modelle präsentiert. Auch wenn es eigentlich bereits bekannte Bikes mit neuen Motoren oder neuen Komponenten sind, ist trotzdem sehenswert, was die Italiener da alles für ihre Marktoffensive auf die Räder gestellt haben

  1. l+f: Atomraketen-Steuerung nutzt Floppy Disks

    lost+found: Was von der Woche übrig blieb

    Die US-amerikanische Atomstreitmacht setzt immer noch auf Technik aus den 70ern.

  2. VDSL-Turbo Vectoring: Der Telekom-Chef teilt aus

    Deutsche Telekom

    Tim Höttges nimmt auf der Hauptversammlung der Telekom kein Blatt vor den Mund: Die Konkurrenz soll nicht rumjammern, sondern selbst in den Glasfaserausbau investieren. Die Reaktion ließ nicht lange auf sich warten.

  3. Photoshop bekommt inhaltsbasiertes Beschnittwerkzeug

    Photoshop bekommt inhaltssensitives Beschnittwerkzeug

    Das so genannte Inhaltsbasierte Füllen beherrscht Photoshop bereits seit Version CS5. Künftig soll sich der Algorithmus auch beim Freistellungswerkzeug anwenden lassen, um etwa leere Ecken bei gedrehten Bildern automatisch zu füllen.

  4. Nach Angriffen auf Banken: SWIFT will Sicherheit verstärken

    Nach Angriffen auf Banken: SWIFT will Sicherheit verstärken

    Der Zahlungsdienstleister will nach dem spektakulären Millionenraub bei der Zentralbank von Bangladesch die Sicherheit verbessern. Unterdessen stellt Symantec eine Verbindung zwischen dem Raub und dem Sony-Hack her.

Anzeige