Forum: Offtopic AVR: Hack a Bike ;-)

Ein Fahrrad für mehrere Monate zu entführen, um es dann auf
Leistungserschleichung mit fatalen Folgen (unbekannter Abstellort)
umzurüsten, hat für mich nichts mehr mit "Hacken" zu tun, sondern mit
strafrechtlich relevanter Sabotage. Außerdem handwerklich miserabel
ausgeführt (gestörte Displayanzeige). Einen Zwinkersmiley finde ich an
dieser Stelle sehr fehl am Platz!

1. Der Thread existiert bereits, siehe Offtopic!
2. "gestörte Displayanzeige", meinst Du damit den Datenmüll oberhalb
vom Hack A Bike Schriftzug? Das ist der Backdoor-Code, den der
"Hacker" eingebaut hat, siehe Text dazu...

Brauchten von November bis Januar, um herauszufinden, das der 6Polige
Steckverbinder der ISP-Connector ist. Ich darf mal laut lachen? LOL

Ich komm' ja nun schon mal auf die eine oder andere blöde Idee ;-))
aber sowas habe ich noch nicht gesehen. Wer macht denn so einen Sch...?
Müssen am Ende auch noch selber treten...

Von November bis Januar, bah,hihi, köstlich amüsiert!

Das weiß ich schon, daß das der Backdoor-Code ist! Aber das ist ja wohl
die miserabelste Art, ihn unterzubringen! Selbst wenn das Flash bis auf
das letzte Byte schon aufgebraucht gewesen sein sollte, hätte ich dann
doch den Ehrgeiz gehabt, z.B. die Displayanzeige mit einer einfachen
Kompression abzulegen, so daß die Anzeige nicht verhunzt wird. Oder
wenigstens bei der Übertragung an den Displaycontroller eine Abfrage
reinzubringen, um statt der Codebytes nullen zu senden.

Überhaupt die ganze Vorgehensweise erinnert an spielende Kinder, nicht
an Hacker! Erstmal haben wollen, dann liegen lassen. Kein Mensch kannte
sich offenbar mit Mikrocontrollern aus. Dann diese Vermutungen, dort
sollten "GPS oder andere Funktechniken" drinstecken. Wie dumm muß man
sein? Wissen die, wie alt die Dinger sind? Und dann diese
Konvertiererei, anstatt im Assembler zu manipulieren. Nein, ich finde
das Ganze nicht nur moralisch, sondern auch technisch abstoßend.

Jaja, ich wollte das ja auch gar nicht gutreden :-)
Daß die ewig gebraucht haben, um den ISP zu erkennen, hat mich auch
schon verwundert, aber als ich das Bild mit dem Löt..ähm..eisen (das
Teil, was man nicht am heissen Ende anfassen sollte) gesehen habe,
musste ich auch mal ganz kräftig lachen. Das wiederholte sich dann bei
den Lotnasen an diesem weissen Wannenstecker...

Köstlich...

 :-)

Hmm...mir kommt das auch eher nach "Spielenden Kinden" vor.
Was glaubt ihr wie lange der code war?? Weil die schreiben, dass
mehrere "Hacker" einige wochen daran saßen um den Code zu
analysieren.
Ok, dass die Lockbits nicht gesetzt wurden is auch ziehmlich dumm !
(wer weiss , wer den originalcode geschrieben hat!)
Und dann schreiben sie noch, dass sie durch zufall herausfanden, dass
man um den Bootvorgang fortzusetzen den IR-Empfänger anleuchten muss.
Also mal im Klartext: das ist Pfusch !!!

Hat mal jemand gegooglet, ob es zu diesem Bericht eine Stellungnahme von
"CallaBike" gibt? Wäre ja nicht uninteressant...
AxelR.

http://morgenpost.berlin1.de/content/2004/12/21/titel/724091.html

Wirklich so unwahrscheinlich?
Ich denke eher nicht, aber da man ja auf die "Sicherheitslücke"
hingewiesen hat, wird bald eh schluss damit sein ;-)

Hmm, eine Google Suche mit "Call a bike" (Gänsefüsschen nicht
vergessen) liefert für den amüsierten Leser einiges für die
Frühstückspause.

http://www.google.de/search?hl=de&q=%22hack+a+bike%22&meta=

Gruß
AxelR.

Habe mir mal erlaubt, dort meinen Senf dazuzzugeben:

http://www.thinknerd.org/?q=node/view/980#comment

AxelR.

@AxelR

Also irgendwie kann ich da deine Meinung nicht gerade nachvollziehen.
Soweit ich weiß handelt es sich hier um Leute de zuvor mit einem ATMEL
µC bzw. mit dem erstellen von Elektronik nichts zu tun hatten.
Wenn man diesen Umstand bedenkt, ist es eine gute Leistung, daß man das
ganze trotzdem so hinbekommt, daß es dann gut läuft.
Ich meine du als Profi-Elektrobastler (scheinst du ja zu sein, wenn du
deinen Mund soweit aufmachst) hättest natürlich gleich den Durchblick
gehabt, aber wenn man bedenkt, daß andere Leute es nichtmal schaffen
ihren Videorecoder zu programmieren, selbst wenn sie diesen schon 8
Jahre besitzen, war das doch eine gute Arbeit für Leute, welche sonnst
mit µC's oder Elektrobasteln nichts am Hut haben.

Wenn ich einen TV aufschraube, habe ich in der Regeln nach wenigen
Minuten einen guten Überblick über den allgemeinen Zustand des
Gerätes.
Wenn ich allerdings die Motorhaube meines Autos öffne gucke ich da rein
wie ein Schwein ins Uhrwerk... dann bringe ich das Auto lieber in eine
KFZ Werkstatt und lasse andere daran tüfteln. Dafür bringt der KFZ
Techniker eine Woche später seinen TV zu mir, damit ich ihn wieder
repariere.

Jeder hat nunmal seinen Bereich wo man viel Ahnung hat, dafür mangelt
es dann eben an Wissen in anderen Bereichen. Oder könntest du mal so
auf die schnelle eine Modellflugzeug zusammenbauen? Wenn du das noch
nie gemacht hast wirst du richtig dran zu knappern haben, wohingegen
ein Modellflieger, welcher sein Hobby schon seit Jahren ausübt so ein
Teil in wenigen Arbeitsstuden flugtauglich hinbekommt.

Das was einen Hacker ausmacht ist nicht, daß er in allen Bereichen der
Elektronik 100% bescheid weiß, sondern die kreativität und das logische
Denkvermögen sich den gestellten Aufgaben zu stellen und sich  im
Notfall eben Wissen anzueignen, welches man voher nicht hatte.
Das Gild übrings für sehr viele "betätigungsbereiche" der
Elektronik...

Ja nee iss ja gut. Aber dann such' ich mir doch einen aus meiner
Hackercommunity, der sich - verdammt noch mal - damit auskennt und
probiere nicht auf Teufel komm raus selbst was zu machen. Das ist
reines Profilierungsgehabe, weiter nichts. Die anderen könnten ja den
Respekt ernten... Da sitz' ich lieber und fummel selber?

-----------
Oder könntest du mal so
auf die schnelle eine Modellflugzeug zusammenbauen? Wenn du das noch
nie gemacht hast wirst du richtig dran zu knappern haben,
-----------
Nöö, kann ich nicht! Ehrlich nicht. Da frage ich dann Dirk oder dich.

-----------
Wenn ich allerdings die Motorhaube meines Autos öffne gucke ich da
rein
wie ein Schwein ins Uhrwerk... dann bringe ich das Auto lieber in eine
KFZ Werkstatt und lasse andere daran tüfteln. Dafür bringt der KFZ
Techniker eine Woche später seinen TV zu mir, damit ich ihn wieder
repariere.
-----------
Naja genau, was ich sage. Ich habe meinem KFZ-Meister sein Netzwerk
gemacht, er macht mir altes Auto immerwieder heile (fahre keinen Opel
mehr)

-----------
und sich  im
Notfall eben Wissen anzueignen, welches man voher nicht hatte.
-----------
muss ich doch aber nicht ALLEINE in meiner Kammer machen! Kann ich doch
im Forum fragen...


Gut, hätten sich die Hacker jemanden gesucht, der das mit ihnen
zusammen gemacht hätte, wäre das nicht soo ein spektakulärer Artikel
geworden, auch klar...

Frohe Weihnachten
Axel Rühl

@AxelR:

>Gut, hätten sich die Hacker jemanden gesucht, der das mit ihnen
>zusammen gemacht hätte, wäre das nicht soo ein spektakulärer Artikel
>geworden, auch klar...
Ja hätten die das getan, dann wäre es wohl zu einfach gewesen :-)
Aber soweit ich den Sinn im "Hacking" verstehe, geht es ja eben darum
schwierige Aufgaben zu lösen. Und das was für die jeweiligen Hacker
schwierig war ist vielleicht für andere einfach, aber darum geht es ja
nicht.
Wenn sich die Hacker jemanden gesucht hätten, der ihnen das macht, dann
wäre es ja keine Herausforderung für sie gewesen.
Das spektakuläre an der ganzen Aktion war ja übrings nicht, daß die
Hacker es nach 6 Monaten geschaft haben herauszufinden wie man das Teil
programmiert, sondern das sie bewiesen haben, daß das System dieser
Fahrräder wohl doch nicht so sicher ist, wie die Bahn es immer
behauptet hat. Und in diesem Sinne war es doch eine gelungene Aktion,
das Ziel wurde erreicht, die Hacker konnten ihren Horizont erweitern
und die Bahn weiß jetzt, was man bei der nächsten Wartung besser machen
sollte - eigendlich sollten jetzt alle zufrieden sein :-)

>Frohe Weihnachten
>Axel Rühl
Ja ebenfalls :)

ja gut, soweit ack, aber die ganze Aufmache war doch sehr teathralisch
(schreibt man doch so?).
Frohes Fest an alle
AxelR.

Zu zeigen, daß das nicht so sicher ist? Dazu muß man nicht Dutzende
Fahrräder umflashen. Der Sinn der Aktion ist doch wohl eher, die Räder
illegal nutzen zu können.

Und übrigens ist OpenBSD auch nicht so sicher wie immer behauptet. Ich
muß nur für ein halbes Jahr den Server aus dem Rechenzentrum klauen,
meine fehlenden Kenntnisse in Rechnerhardware nacharbeiten, um
Root-Zugriff auf die Platte zu kriegen, muß eine Backdoor einzubauen,
den Server wieder hinstellen und schon kann ich das Ding fernsteuern.
Ey boah ey, muß ich einen Artikel drüber schreiben! (-;

Von mir aus dürfen die übrigens den Rest ihres Lebens über einem Rad
meditieren und nützliche Dinge lernen, aber das mögen sie bitte mit
ihrem eigenen Rad tun ...

Frohes Fest gehabt zu haben!

@Philipp Sªsse:
>Zu zeigen, daß das nicht so sicher ist? Dazu muß man nicht Dutzende
>Fahrräder umflashen. Der Sinn der Aktion ist doch wohl eher, die
Räder
>illegal nutzen zu können.

Nun wenn es nur darum geinge, hätte sie den Code komplett gelöscht,
einen komplett neuen geschrieben, bei dem man auf knopfdruck ohne
probleme das Schloß öffnen kann.
Wenn die Hacker bösartige Absichten gehabt hätten, dann könnten sie
jetzt einen Fahrraddiscounter in Polen aufmachen ;-)

Ne mal im ernst, ich glaube nicht, daß die illegale Benutzung im
Vordergrund stand, dann wären die Hacker echt besser dran gewesen, daß
ganze Geheim zu halten.
Der Bahn ist hier ein wirklich Minimaler Schaden entstanden, wurde aber
im Endeffekt darauf hingewiesen, was ohne große Probleme bei der
nächsten Wartung unbedingt geändert werden sollte. In einem halben Jahr
sind die Fahrräder wieder sicher, ahben orginalsoftware drauf und lassen
sich auf diese weise nicht mehr hacken. Also sehe ich es sogar so, daß
die Bahn von der ganzen Aktion ungemein profitieren konnte.

Wie gesagt, das ganze hätten auch andere Hacker machen können, welche
eine ganz andere Vorstellung von "hacking" haben und dauerhaft damit
kostenlos fahren wollen oder wirklich im großen Stil Fahrräder klauen
wollen.

Gerade beim CCC und bei den nach den Reglen des CCC's arbeitenden
Hacker ist es bekannt, daß sie einen minimalen Schaden anrichten, aber
die Vorschläge zur Verbesserung der Sicherheit kostenlos sind und
meinstens sogar viel Wertvoller als der Verlust je sein könnte.
Es gibt Firmen, welche für solche Sicherheitsvorschriften enorme Summen
an Geld kassieren, da sind 3 bis 4 Hacker die mal kostenlos mit einem
Fahrrad durch die Gegend fahren wohl nicht gerade gewichtig.

Ich erinnere mich da an den "Nase-Hack" des CCC's. Die Hacker hätten
enormen Schaden anrichten können, immerhin hatten sie vollen Zugriff auf
zwei Server, welche ganze Startprogramme für Raumfähren beinhalteten.
Sie haben es dabei belassen für den Admin eine Datei auf den Server zu
erstellen, bei welcher es einige Vorschläge zur Verbesserung der
Sicherheit zu entnehmen gab. Ach ja und der Anruf beim auswertigen
Amt...

Über irgendwelche Idioten, welche wie blöde Viren in umlauf bringen,
damit völlig außenstehende schaden zufügen oder typen, welche die
Benutzerdaten von Providern und Bankkunden ausspionieren und dann
verkaufen oder andere Dinge damit anstellen habe ich eine ganz andere
Meinung. Aber die Arbeit des CCC's und der Hacker, welche sich an die
Regeln des CCC's halten finde ich akzeptabel, wenn nicht sogar wichtig
für die allgemeine Sicherheit im Computer- und Technikbereich.