Gå til innhold

Tesla hastet ut nødfiks etter avsløring av nulldagssårbarheter

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Superprofessor X

Superprofessor X

Skrevet
Skrevet

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

Lenke til kommentar
Salvesen.

Salvesen.

Skrevet
Skrevet

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

 

En trenger ikke slå av, en bare ikke oppgraderer. På samme måte som du ikke oppgraderer mobilen om du ikke ønsker det.

Lenke til kommentar
_dundun_

_dundun_

Skrevet
Skrevet

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

 

Vet de det?

  • Liker 1
Lenke til kommentar
Ola Thoresen

Ola Thoresen

Skrevet
Skrevet

Hvis de var avhengig av at bilen var koblet mot et trådløst nett, så kunne de vel ikke hacke biler 20 km unna? Eventuelt: hvis de kunne hacke biler over trådløst nett 20 km unna, hvorfor lå begrensningen på 20 km?

 

Feilen var i browseren, som ga dem mulighet til å kjøre en lokal exploit. Når de fikk kjørt denne exploiten kunne de kontrollere (deler av) CAN-bussen remote. "20 km" er nok bare en detalj fra den opprinnelige beksrivelsen der det tilfeldigvis var den avstanden de satt på. Så lenge de hadde kontakt med bilen over internett kunne sannsynligvis avstanden vært hva som helst.

 

For å utnytte buggen måtte de kontrollere et wifi-aksesspunkt som bilen kobla seg til, og på ett eller annet vis utnytte et "man in the middle" angrep på web-surfing. Så for å skaffe seg den initielle kontrollen over bilen var de avhengige av å sette opp et aksesspunkt som bilen kobla seg til, og videre at noen i bilen så brukte browseren til å surfe på internett MENS de var kobla til dette aksesspunktet.

 

Når dette initielle hacket var gjort, SÅ kunne de kontrollere bilen, også etter at den forlot det "infiserte" aksesspunktet. Mao fikk de trolig installert en bakdør som de så kunne utnytte remote.

 

Nøyaktige detaljer for hva slags sikkerhetshull det var i browseren er ikke offentlig kjent.

  • Liker 3
Lenke til kommentar
Serpentbane

Serpentbane

Skrevet
Skrevet

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

 

Jaha, hvordan mener du de kan gjøre det? Du kan da spørre deg, hva innebærer størst risiko, å slå av mekanismen som er der for å fikse potensielle sårbarheter i frykt for at denne mekanismen i seg selv kan utnyttes, eller å ha denne påslått slik at du ikke kjører rundt i en bil med kjente sårbarheter som aldri fikses.

 

Har du slått av Windows update på din datamaskin av samme grunn? I så fall har jeg en utfordring til deg. Finn en liste over sårbarheter som utnytter windows update. Finn så en liste over sårbarheter som har blitt eliminert av windows update. Sammenlign.

Lenke til kommentar
BippeStankelbein

BippeStankelbein

Skrevet
Skrevet

1*Har du slått av Windows update på din datamaskin av samme grunn? I så fall har jeg en utfordring til deg. Finn en liste over sårbarheter som utnytter windows update. 2*Finn så en liste over sårbarheter som har blitt eliminert av windows update. 3*Sammenlign.

 

1* kjører aldri windows update, har aldri blitt utsatt for noe som helst som minner om utnyttelse av sikkerhetshull

2* Den lista er skremmende lang, og derfor et fantastisk vitnesbyrd på hvor utrygt windows er. For ikke å snakke om overvåkningen MS selv gjør av win 10 brukere. Står svart på hvitt i deres egen EULA....

3* greitt. Windows: tilnærmet 1 milliard. LFS (Linux-From-Scratch): ikke ett jævla hull whatsoever.

Lenke til kommentar
NgZ

NgZ

Skrevet
Skrevet

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

 

Hvor har du det fra at de kan ta over auto-oppdtaeringsmekanismen? Den sjekker nok at oppdateringen er signert med Teslas private key før den installerer noe som helst, og det hadde vært en LITT større nyhet hvis det var kjent at den var kommet på avveie.
  • Liker 2
Lenke til kommentar
hekomo

hekomo

Skrevet
Skrevet

 

"Samme dag, altså mandag, sendte Tesla Motors ut en sikkerhetsfiks, som er sendt ut som en automatisk oppdatering «over the air»."

 

Jeg stoler ikke helt på slike oppdateringer, er det mulig å slå av den funksjonen?

 

Nå vet jo hackerne at de kan ta over auto-oppdaterings mekanismen og installere sin egen oppdatering som gjør det mulig å fjernstyre bilen, eventuelt også installere et program som simulerer det ekte systemet og "Later som om" den har blitt oppdatert neste gang det kommer en ny sikkerhetsoppdatering oppdatering

 

Hvor har du det fra at de kan ta over auto-oppdtaeringsmekanismen? Den sjekker nok at oppdateringen er signert med Teslas private key før den installerer noe som helst, og det hadde vært en LITT større nyhet hvis det var kjent at den var kommet på avveie.

 

Det vil vel være en teoretisk mulighet for at en eller annen skal kunne gjøre noe slikt en eller annen gang. Men man kan snakke teroretisk om veldig mye, og bli så redd at man bare murer seg inne.

Lenke til kommentar
EremittPåTur

EremittPåTur

Skrevet
Skrevet

Problemet her er vel tingenes Internett.... Man trenger ikke en bil som er online for å kunne kjøre den. Dette er elendig ingeniør-håndverk som åpner opp for slike muligheter. har ikke noe med Tesla å gjøre men det har med trenden om at alt skal være online 24/8. Når det advares mot fenomenet så argumenteres det med at sikkerheten er mer en god nok og bla bla bla. Skjer det noe så var det "bare" en glipp og "det er fikset nå". Dette blir aldri godt nok, og vi trenger det heller ikke for å komme oss videre i utviklingen.

 

IOT er ikke bare ett blindspor, men det er feil vei i helt feil retning og vil skape større problemer enn nytte.

 

Eremitten advarer herved den gemene hop. koble dere av eller bli undertrykt

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Sikkerhetskritisk metallvare burde ikke være samme system som brukernært underholdnings- og informasjonssystem. Det burde ikke engang være knyttet sammen gjennom API dersom APIet er toveis og tar imot kommandoer (eller kan floodes) fra informasjonssystemet. Dette er et ganske åpenbart angrepspunkt, og kan ikke sikres teoretisk godt nok. 

 

At markedet ønsker slik integrering er en utfordring, men den viktigste utfordringen er at bilprodusenter ikke vil innrømme at deres gamle løsninger ikke burde lappes på og oppdateres med mer underholdning når systemet i utgangspunktet ikke var designet for det. 

Lenke til kommentar
Serpentbane

Serpentbane

Skrevet
Skrevet

 

1*Har du slått av Windows update på din datamaskin av samme grunn? I så fall har jeg en utfordring til deg. Finn en liste over sårbarheter som utnytter windows update. 2*Finn så en liste over sårbarheter som har blitt eliminert av windows update. 3*Sammenlign.

 

1* kjører aldri windows update, har aldri blitt utsatt for noe som helst som minner om utnyttelse av sikkerhetshull

2* Den lista er skremmende lang, og derfor et fantastisk vitnesbyrd på hvor utrygt windows er. For ikke å snakke om overvåkningen MS selv gjør av win 10 brukere. Står svart på hvitt i deres egen EULA....

3* greitt. Windows: tilnærmet 1 milliard. LFS (Linux-From-Scratch): ikke ett jævla hull whatsoever.

1. Dette er noe av det dummeste du kan gjøre, og at du ikke merker noe betyr ikke at du ikke er berørt.

2. Den lista er lang, men at det er et vitnesbyrd på at Windows er utrygt er bare tull. Windows, og spesielt Windows 10 er blant de sikreste OSene du kan installere om man ikke regner inn faktoren for nedslagsfelt. Altså, hvor interessant det er å "angripe". Når det gjelder overvåkningen av brukere er dette torpedert mange ganger og det står ikke noe slikt i EULAen. Altså, en internettmyte. Gjør hjemmeleksa di skikkelig.

3. At du tror Linux what ever ikke har hull får så være, men Security through obscurity er et begrep du kan lese deg opp på. Igjen, nedslagsfelt. Det er totalt uinteressant å pirke i kode når man ikke har noe utbytte av det. Hacking/cracking, kall det hva du vil, har i det store og hele et økonomisk bakteppe i dag, om man ser bort i fra overvåkning og spionasje. Foruten ransomware.

 

Men for all del, du må gjerne sitte i din egen lille verden og lese konspirasjonsteorier og tro hva du vil.

Lenke til kommentar
TeiteVetle

TeiteVetle

Skrevet
Skrevet

 

 

1*Har du slått av Windows update på din datamaskin av samme grunn? I så fall har jeg en utfordring til deg. Finn en liste over sårbarheter som utnytter windows update. 2*Finn så en liste over sårbarheter som har blitt eliminert av windows update. 3*Sammenlign.

 

1* kjører aldri windows update, har aldri blitt utsatt for noe som helst som minner om utnyttelse av sikkerhetshull

2* Den lista er skremmende lang, og derfor et fantastisk vitnesbyrd på hvor utrygt windows er. For ikke å snakke om overvåkningen MS selv gjør av win 10 brukere. Står svart på hvitt i deres egen EULA....

3* greitt. Windows: tilnærmet 1 milliard. LFS (Linux-From-Scratch): ikke ett jævla hull whatsoever.

1. Dette er noe av det dummeste du kan gjøre, og at du ikke merker noe betyr ikke at du ikke er berørt.

2. Den lista er lang, men at det er et vitnesbyrd på at Windows er utrygt er bare tull. Windows, og spesielt Windows 10 er blant de sikreste OSene du kan installere om man ikke regner inn faktoren for nedslagsfelt. Altså, hvor interessant det er å "angripe". Når det gjelder overvåkningen av brukere er dette torpedert mange ganger og det står ikke noe slikt i EULAen. Altså, en internettmyte. Gjør hjemmeleksa di skikkelig.

3. At du tror Linux what ever ikke har hull får så være, men Security through obscurity er et begrep du kan lese deg opp på. Igjen, nedslagsfelt. Det er totalt uinteressant å pirke i kode når man ikke har noe utbytte av det. Hacking/cracking, kall det hva du vil, har i det store og hele et økonomisk bakteppe i dag, om man ser bort i fra overvåkning og spionasje. Foruten ransomware.

 

Men for all del, du må gjerne sitte i din egen lille verden og lese konspirasjonsteorier og tro hva du vil.

1. Du mener noe av det dummeste jeg kan gjøre er å ikke kjøre windows update når jeg klart og tydelig bekjentgjør at mitt operativsystem er linux?

2. Jeg gjøre hjemmeleksa mi skikkelig? Se deg i speilet og prøv på nytt med punkt 1 selv, din slark.

3. Her tømmer du deg bare for masse stavelser som ikke betyr noe som helst i praksis. Saken er at jeg ikke blir angrepet på LFS. Det blir de som kjører windows. Hva, hvordan, hvorfor har selvsagt ei forklaring men det er helt uinteressant støy for meg som sluttbruker. Det som betyr noe for meg er at jeg ikke blir angrepet. Hvordan, hvorfor kan du ta på bakrommet med utviklerne, som sluttbruker driter jeg i det. Derfor er windows dårlig og linux bra, for meg.

Lenke til kommentar
Serpentbane

Serpentbane

Skrevet
Skrevet (endret)

 

 

 

1*Har du slått av Windows update på din datamaskin av samme grunn? I så fall har jeg en utfordring til deg. Finn en liste over sårbarheter som utnytter windows update. 2*Finn så en liste over sårbarheter som har blitt eliminert av windows update. 3*Sammenlign.

1* kjører aldri windows update, har aldri blitt utsatt for noe som helst som minner om utnyttelse av sikkerhetshull

2* Den lista er skremmende lang, og derfor et fantastisk vitnesbyrd på hvor utrygt windows er. For ikke å snakke om overvåkningen MS selv gjør av win 10 brukere. Står svart på hvitt i deres egen EULA....

3* greitt. Windows: tilnærmet 1 milliard. LFS (Linux-From-Scratch): ikke ett jævla hull whatsoever.

1. Dette er noe av det dummeste du kan gjøre, og at du ikke merker noe betyr ikke at du ikke er berørt.

2. Den lista er lang, men at det er et vitnesbyrd på at Windows er utrygt er bare tull. Windows, og spesielt Windows 10 er blant de sikreste OSene du kan installere om man ikke regner inn faktoren for nedslagsfelt. Altså, hvor interessant det er å "angripe". Når det gjelder overvåkningen av brukere er dette torpedert mange ganger og det står ikke noe slikt i EULAen. Altså, en internettmyte. Gjør hjemmeleksa di skikkelig.

3. At du tror Linux what ever ikke har hull får så være, men Security through obscurity er et begrep du kan lese deg opp på. Igjen, nedslagsfelt. Det er totalt uinteressant å pirke i kode når man ikke har noe utbytte av det. Hacking/cracking, kall det hva du vil, har i det store og hele et økonomisk bakteppe i dag, om man ser bort i fra overvåkning og spionasje. Foruten ransomware.

Men for all del, du må gjerne sitte i din egen lille verden og lese konspirasjonsteorier og tro hva du vil.

1. Du mener noe av det dummeste jeg kan gjøre er å ikke kjøre windows update når jeg klart og tydelig bekjentgjør at mitt operativsystem er linux?

2. Jeg gjøre hjemmeleksa mi skikkelig? Se deg i speilet og prøv på nytt med punkt 1 selv, din slark.

3. Her tømmer du deg bare for masse stavelser som ikke betyr noe som helst i praksis. Saken er at jeg ikke blir angrepet på LFS. Det blir de som kjører windows. Hva, hvordan, hvorfor har selvsagt ei forklaring men det er helt uinteressant støy for meg som sluttbruker. Det som betyr noe for meg er at jeg ikke blir angrepet. Hvordan, hvorfor kan du ta på bakrommet med utviklerne, som sluttbruker driter jeg i det. Derfor er windows dårlig og linux bra, for meg.

Det du skriver her er bare for å åle deg unna en teit kommentar. Du kommenterer under en diskusjon om windows og windows update at du ikke kjører windows update. Jeg har flere installasjoner som ikke er Windows selv, det betyr ikke at jeg ikke har maskiner som kjører windows også. Om du ikke eier en windowsmaskin er dette overflødig informasjon som ikke behøvde publisering.

 

Ja, du gjøre leksa di skikkelig. Det du tydeligvis har gjort så langt er å ta inn feilaktig og/eller missvisende informasjon på internett uten å ha forståelse for hva som faktisk foregår.

 

Det jeg skriver gjelder like fullt. Du skrev ikke et jævla hull what so ever, hvilket er totalt forskjellig fra at OS har så forsvinnende liten markedsandel at ingen gidder lete etter dem. At du har en opplevd trygghet har jeg aldri bestridt. Macbrukere tenkte også slik en gang i tiden.

Endret av Serpentbane
Lenke til kommentar
TeiteVetle

TeiteVetle

Skrevet
Skrevet

bla bla bla

 

Om du mener grunnen er at ingen gidder å finne dem så er det helt greit for meg, jeg blir fortsatt ikke angrepet og det er igrunn det som er målet.

Hva, hvordan, hvorfor er bare din mental masturbasjon, det er uinteressant for sluttbruket.

Min påstand om at OSet mitt ikke har sikkerhetshull er sann helt til du eller noen andre kan bevise noe annet, dere må gjerne prøve. Kilden er åpen.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...