Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes

[Harald Brombach (digi.no)]

Sikkerhetsmyndigheter advarer mot ny angrepsmetode.

Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes

[Superprofessor X]

"Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes"

 

Da er det jo noen her som ikke har gjort jobben sin og må få sparken...

de sårbare systemene der skulle aldri blitt godkjent for bruk på norske veier.

Samme som autopilot på biler vi må teste det ut under kontrollerte forhold i hvert fall 20 år får man kan bruke de på veien.

 

Veien er ikke et laboratorium man kan bruke til å utvikle nye produkter.

[Frobe]

Har man tilgang på bilen kan man lett sabotere bilens bremserør med en tang, eller kutte kritiske ledninger.

 

De forskjellige grenene i CAN-bussen går overalt i bilen, og man kan derfor koble seg på den mange andre plasser enn i OBD-porten. Bussene er to tvinnede ledere der alle moduler parallellkobles.

 

Sårbarheten eksponeres kun for uvedkommende hvis noen designer eller monterer moduler på CAN-bussen som kan kommuniserer trådløst med omverdenen.

[digimator]

Dersom noen må fysisk inn i bilen for å installera saker eller endra på bilen, så er ikkje dette meire "sårbarhet" enn at ein kan fila over bremseslangar eller gjøra anna sabotasje på bilen. Er bremseslangane sikra mot sabotasje?

 

Noe anna er det dersom ein kan ta kontroll over systemene via nettet. Ein må jo forutsetta at nettilgangen er sikra, og då blir det lite igjen av katastrofevarselet.

[digimator]

"Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes"

 

Da er det jo noen her som ikke har gjort jobben sin og må få sparken...

Skal dei få sparken frå den jobben dei hadde når dette blei godkjent (som dei sikkjert ikkje er i lenger), eller i den jobben dei har idag. Eventuelt, dersom dei har blitt pensjonistar, korleis skal du gjennomføra sparkinga?

[O.A.G.]

Enda en grunn til ikke å ODB plugg fra forsikringsselskap for å ha "smart forsikring" (rabatt for "myk" kjøring).

 

Sitat: "Knyttet til CAN Bus er også diagnoseporten OBD-II, som i mange biler sitter litt skjult i nærheten av rattet. I teorien kan alt som kobles til denne, kommunisere med enhver enhet knyttet til CAN Bus. Det er derfor Miller tidligere i år advarte bileiere mot å koble enheter til denne, inkludert enheter som forsikringsselskaper tilbyr. "

 

"Smart forsikring" = Smart hacking?

[tommyb]

Jeg har likt å mene at driftskritiske systemer i en bil må være adskilt fra systemer brukeren kan koble seg på, slik som multimediasystemer. Ressurssegregering, for å forhindre f.eks. at kjørecomputeren blir overbelastet ved flooding/DOS. I en sånn modell bør det kun være et strengere sikret API mellom, primært for uthenting av informasjon. Men den modellen som er tegnet opp her er for åpen. Den virker ikke engang mulig å sikre... Det var idioti å koble denne løsningen opp mot trådløse nettverk, jeg tror ikke de forsto hva de gjorde.

[GOAXT8WU]

"Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes"

 

Da er det jo noen her som ikke har gjort jobben sin og må få sparken...

de sårbare systemene der skulle aldri blitt godkjent for bruk på norske veier.

Samme som autopilot på biler vi må teste det ut under kontrollerte forhold i hvert fall 20 år får man kan bruke de på veien.

 

Veien er ikke et laboratorium man kan bruke til å utvikle nye produkter.

 

Hva med ledelsen som valgte løsningen for å spare penger. Eller er alt utviklernes feil. Er alle feil i DNB utviklerfeil eller systemfeil?

[Per Magus]

Ein må jo forutsetta at nettilgangen er sikra, og då blir det lite igjen av katastrofevarselet.

 

Det er svært naiv tankegang, når man ser på alt som går galt på Internett. Vips går ned, DNB hackes, Passordvelv hackes og så videre. Du må nok i stedet forutsett at alt kan være usikkert.

[ATWindsor]

Litt enig med andre her, joda, greit å ha sikkerhet, men dette virker i de fleste tilfeller å være rimelig teoretisk, "du kan deaktivere abs og airbag om du har fysisk tilgang til bilen", joa, det kan du , men du kan lett gjøre det, og verre ting uten å bruke porten også, om du har tilgang til bilen.

 

AtW

[_Nils_]

Litt enig med andre her, joda, greit å ha sikkerhet, men dette virker i de fleste tilfeller å være rimelig teoretisk, "du kan deaktivere abs og airbag om du har fysisk tilgang til bilen", joa, det kan du , men du kan lett gjøre det, og verre ting uten å bruke porten også, om du har tilgang til bilen.

 

AtW

 

Enig - blir som å klage på at man kan slette tabeller i SQL-serveren når admin-kontoen er pålogget...

[jawil]

For en tullete artikkel. Alle vet jo at dersom en har tilgang til CAN-bussen i en bil så er det game over. Så artikkelen sier jo ingenting nytt. Det en kobler til CAN-bussen må en stole på. Så koble altså ikke inn idiotiske dingser fra forsikringsselskaper osv.

[Harald Brombach (digi.no)]

For en tullete artikkel. Alle vet jo at dersom en har tilgang til CAN-bussen i en bil så er det game over. Så artikkelen sier jo ingenting nytt. Det en kobler til CAN-bussen må en stole på. Så koble altså ikke inn idiotiske dingser fra forsikringsselskaper osv.

 

Mener du at rapporten til sikkerhetsforskerne og advarselen fra ICS-CERT også er tullete? De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

[nomore]

De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

[Per Magus]

 

For en tullete artikkel. Alle vet jo at dersom en har tilgang til CAN-bussen i en bil så er det game over. Så artikkelen sier jo ingenting nytt. Det en kobler til CAN-bussen må en stole på. Så koble altså ikke inn idiotiske dingser fra forsikringsselskaper osv.

 

Mener du at rapporten til sikkerhetsforskerne og advarselen fra ICS-CERT også er tullete? De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

Det hadde vært mye bedre, for ikke å si informativt om jawil kunne vise til dokumentasjon på at alle visste dette. Det kunne også være morsomt å få hvite hvilke dingser han stoler på.

[digimator]

 

Ein må jo forutsetta at nettilgangen er sikra, og då blir det lite igjen av katastrofevarselet.

 

Det er svært naiv tankegang, når man ser på alt som går galt på Internett. Vips går ned, DNB hackes, Passordvelv hackes og så videre. Du må nok i stedet forutsett at alt kan være usikkert.

Men dersom ein påstår at noe er usikkert, så må ein faktisk påvisa at det er usikkert, eller så er det bare ein påstand utan substans.

 

Dersom forskarane påstår at tilgang via nettet kan ta kontroll over bilen, så må dei visa til meire enn ein teoretisk mulighet. Då må dei påvisa at tilgangen via nettet er usikker på ein måte som tillet uautorisert tilgang.

 

Alle kan påstå at noe er usikkert. Det betyr ikkje at det er usikkert.

[Harald Brombach (digi.no)]

 

De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

1087443.jpg

 

Er det ikke ganske vanskelig å fysisk kutte kablene til en bil i fart? Dersom en kritisk enhet mangler i nettverket i det bilen skal startes opp, vil jeg tro at det blinkes litt med varsellampene.

[nomore]

I fart er det nok vanskelig, men langt fra umulig(politiet bruker bla noe som heter spikermatter som og har hatt en god effekt stykkevis og oppdelt som "spiker").

 

Poenget mitt er litt todelt. For det første, har man fysisk tilgang til noe så må man ta høyde for at om noen vil så kan de gjøre skade på det. Enten fysisk eller elektronisk. Samme gjelder datamaskiner. Har du fysisk tilgang til en datamaskin så kan du få tilgang til innholdet(satt på spissen).

 

For det andre, hva er egentlig risikoen her? Selv om ei spikermatte ville ha stoppet bilen min ganske effektivt så har eg ingen grunn til å forvente at det skjer i nær(eller fjern) fremtid. Så selv om CAN-bus i bilen min gir tilgang til både bremsesystemene, rattutslag, airbag m.m. så har eg pr nå ikke for vane å risikere at noen faktisk har tenkt å utnytte denne muligheten til noe. Men risikoen dersom noen vil, er der.

 

Det er altså ikke noe nytt i at fysisk tilgang til noe gir en mulighet for å gjøre skade.

[Odd Solberg]

Tror ikke Tesla er sårbar denne gangen, de er en av få (eneste?) bilmerker som bruker to separate CAN-bus med en Linux gateway imellom. Det eneste du får muligheten til å gjøre i fra bilens CAN-bus port er å spørre pent om at bilen skal gjøre ting som den bare utfører hvis nødvendige kriterier er oppfylt.

Sier selvsagt ikke at Tesla er usårbare, bare at akkurat dette angrepet mener jeg de ikke er sårbare for. Så kanskje overskriften hadde passet bedre om den sa «alle nyere biler, unntatt Tesla» =).

[quantum]

Dersom noen må fysisk inn i bilen for å installera saker eller endra på bilen, så er ikkje dette meire "sårbarhet" enn at ein kan fila over bremseslangar eller gjøra anna sabotasje på bilen. Er bremseslangane sikra mot sabotasje?

 

Noe anna er det dersom ein kan ta kontroll over systemene via nettet. Ein må jo forutsetta at nettilgangen er sikra, og då blir det lite igjen av katastrofevarselet.

 

Kutter du bremserør lyser det nok en varsellampe allerede før du begynner å kjøre. Muligens også hvis en enhet settes i bus-off-mode?