Hacker che controllano Jeep via internet: arriva la risposta ufficiale di FCA Europa

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...opa_58168.html

L'unità EMEA di FCA precisa che le auto vendute nei nostri mercati non sono affette dalla vulnerabilità nel sistema Uconnect, la quale potrebbe permettere ad utenti malintenzionati di controllare parti sensibili della vettura

Click sul link per visualizzare la notizia.

[inkpapercafe]

Facciamo un pò di chiarezza, finalmente

[Madcrix]

Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir

[Simonex84]

dove siamo finiti, aggiornamenti SW di sicurezza per le auto

Non conosco le normative automotive per le automobili, ma temo ci sia qualche buco da sistemare anche li, certi sistemi vanno isolati, non basta più difendersi da potenziali failure di sistema, adesso si deve tenere conto anche degli hacker

[benderchetioffender]

Quote:

Originariamente inviato da Madcrix

Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir

bah, mi sembrato tutte cazzate... basta fare sistemi separati e via
in ogni caso google si prende una bella responsabilità se vuole guidare lei per tutti..

[Brajang]

Quote:

Originariamente inviato da Madcrix

Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

Automatizzare si... non permettere il controllo da remoto dei veicoli.
Per la news sulla google car solo chi non l'ha neanche letta o chi è talmente Str***o da bloccare un incrocio perchè "avevo verde e passo" o "ha lo stop e passo io anche se resto fermo a bloccare tutto". Casualmente i veicoli a guida autonoma sono sempre investiti e mai investono :|, se la google car in quel momento si fosse ritrovata a messaggiare su whatssapp effettivamente è probabile che sarebbe passata come un normale umano, peccato che il messaggio probabilmente lo stava mandando chi l'ha tamponata.

Come molti hanno detto, basta separare fisicamente il sistema multimediale dal sistema di guida della vettura, anche se così facendo l'auto non uscirà mai dal parcheggio da sola per venirci a prendere.

[Ago72]

Il discorso è complesso. Un conto è la sicurezza funzionale (safety) e un altro conto è la sicurezza informatica (security). Se per la Safety esiste tutta una serie di normative e metodologia per determinare se un sistema è sicuro, altettanto non si può dire per la Security.
un sistema safe rimane tale per tutta la sua vita, fatto salvo la mutazione dello scenario in cui opera. Mentre nel caso della secuirty questo non è vero, un sistema ritenuto secure oggi, può non esserlo domani, in quanto si scopre una falla di sicurezza.
Separare i bus di comunicazione può essere una soluzione, anche se questo vuol dire rinunciare a delle funzionalità, come ad esempio all'assistenza remota.
Poi vi sono altre soluzioni, di derivazione MIL, che prevedono comunicazioni con chiavi criptate nella sola disponibilità del produttore, però questo vuol dire che la diagnostica potrebbe farla solo il produttore e non il meccanico sotto casa.
Sicuramente c'è bisogno di una normativa più efficace della ISO 27001.

[danieleg.dg]

Quote:

Originariamente inviato da Madcrix

Chi è che diceva che prima automatizzano tutto e meglio è dopo aver letto la news sulla Google car?

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir

Ma guarda che non c'entra molto: le macchine automatizzate potrebbero benissimo avere un sistema separato, indipendente da tutto e non collegato ad internet solo per la guida, e il sistema di rilevazione e trasmissione dati alle altre vetture che si collega ad internet, ma non si interfaccia minimamente a quello di guida.

[bobafetthotmail]

Quote:

Originariamente inviato da inkpapercafe

Facciamo un pò di chiarezza, finalmente

Abbeh, perchè ho bisogno della FCA per sapere che le vetture qui da noi non hanno un modem 3G integrato.

Resta scandaloso.

Quote:

In futuro per ammazzare un avversario politico basterà fargli fare un bel frontale contro un tir

Ci sono dozzine di modi per sabotare una vettura normale in modo non rilevabile.

Quote:

Come molti hanno detto, basta separare fisicamente il sistema multimediale dal sistema di guida della vettura, anche se così facendo l'auto non uscirà mai dal parcheggio da sola per venirci a prendere.

si può fare, si può fare.
Basta che metti come unici input esterni riconosciuti dal sistema di guida il testo e la voce (ed eventuali tasti interni alla macchina) analogici (il testo viene tradotto in analogico da qualche sistema a caso, la voce entra tramite uno speaker-microfono).

Se usi come ponte un segnale analogico che viene sempre processato da algoritmi, non riescono ad hackerare il sistema, perchè passa solo il testo, e solo la voce.

O gli dai un appuntamento prima di scendere.

[Italia 1]

Io avevo una Panda 30s che andava in autocombustione quando si scaldava, faceva i 110 in discesa, non aveva nè chiusura centralizzata nè vetri elettrici. Era quasi indistruttibile. Poi ho avuto una Uno 45S: chiusura centralizzata e vetri elettrici. Auto che si possono comandare da remoto ? Allora tramite qualche smartwatch + Siri è possibile "Kitt, vieni a prendermi" !

[Ago72]

Quote:

Originariamente inviato da bobafetthotmail

Abbeh, perchè ho bisogno della FCA per sapere che le vetture qui da noi non hanno un modem 3G integrato.

Non capisco da dove arriva tutta questa sicumera. Ad esempio la nuova mercedes GLA ha un modem 3G integrato. Esattamente non so che dati trasmette, ma so che comunica con la centrale operativa MB

[bio.hazard]

Quote:

Originariamente inviato da Ago72

Ad esempio la nuova mercedes GLA ha un modem 3G integrato.

ce l'hanno persino alcuni modelli della Fiat, il che è tutto dire.

[Simonex84]

Quote:

Originariamente inviato da bobafetthotmail

Ci sono dozzine di modi per sabotare una vettura normale in modo non rilevabile.

però devi sporcarti le mani infilandoti sotto la macchina di nascosto, poterlo fare comodamente da casa col pc è inquietante

[bobafetthotmail]

Quote:

Non capisco da dove arriva tutta questa sicumera. Ad esempio la nuova mercedes GLA ha un modem 3G integrato. Esattamente non so che dati trasmette, ma so che comunica con la centrale operativa MB

Finchè è una VPN con delle centrali operative va bene (ne farei ameno eh).

Qui il problema è che il 3G di bordo serve per raggiungere Internet, e ho FORTI dubbi che il firewall di bordo (SE lo hanno messo) sia particolarmente decente. Già i router consumer fanno schifo e ogni 3x2 trovano buchi paurosi che permettono il controllo remoto del router da fuori.

Quote:

Originariamente inviato da Simonex84

però devi sporcarti le mani infilandoti sotto la macchina di nascosto, poterlo fare comodamente da casa col pc è inquietante

è molto ma molto ma molto più facile che trovare degli exploit nei firmware, ci metti molto meno tempo e funziona su tutte le macchine.

Molti dimenticano che il lavoro grosso di un hacker non è premere due bottoni e "hackerare" qualcosa, ma disassemblare dei binari (software/firmware compilato) per trovare vulnerabilità da sfruttare per l'hackeraggio, scansionare la rete per trovare IP di macchine vulnerabili e via discorrendo.

Ci hanno messo mesi per preparare questo show, e sono 5 anni che si interessano della sicurezza dei dispositivi elettronici nelle auto (per conto del DARPA, ricerca avanzata della difesa USA)

[Pier2204]

Quote:

Originariamente inviato da bobafetthotmail

Finchè è una VPN con delle centrali operative va bene (ne farei ameno eh).

Qui il problema è che il 3G di bordo serve per raggiungere Internet, e ho FORTI dubbi che il firewall di bordo (SE lo hanno messo) sia particolarmente decente. Già i router consumer fanno schifo e ogni 3x2 trovano buchi paurosi che permettono il controllo remoto del router da fuori.

è molto ma molto ma molto più facile che trovare degli exploit nei firmware, ci metti molto meno tempo e funziona su tutte le macchine.

Molti dimenticano che il lavoro grosso di un hacker non è premere due bottoni e "hackerare" qualcosa, ma disassemblare dei binari (software/firmware compilato) per trovare vulnerabilità da sfruttare per l'hackeraggio, scansionare la rete per trovare IP di macchine vulnerabili e via discorrendo.

Ci hanno messo mesi per preparare questo show, e sono 5 anni che si interessano della sicurezza dei dispositivi elettronici nelle auto (per conto del DARPA, ricerca avanzata della difesa USA)

Quindi non è una cosa che può fare il primo pirla..

[bobafetthotmail]

Quote:

Originariamente inviato da Pier2204

Quindi non è una cosa che può fare il primo pirla..

Quello che ho detto vale in generale per tutti gli hackeraggi.
Quello è ciò che hacker e professionisti di sicurezza capaci fanno per guadagnare il quadruplo di quanto fa una persona normale, o molto di più a seconda dei casi.

In questo caso quelli che fanno più paura sono i servizi di intelligence, o i gruppi terroristici (la differenza è limitata ma è meglio specificare entrambi), o semplicemente degli hacker al soldo di una compagnia in competizione.

Ma anche una versione per auto del virus che cripta il disco non è certo fuori discussione... "dammi X soldi o l'auto resta bloccata", eventuali sicari high-tech, eventuali furti d'auto.

Gli hacker veri lo fanno per guadagno, e di possibilità di guadagno ce ne sono a pacchi in questo caso.
Non sono ragazzini frustrati che inchiodano i PC altrui solo per dimostrare a tutti quanto sfigati. Oramai la complessità è salita di brutto. Solo i professionisti fanno malware oramai, gli altri pagano per i SDK e se li customizzano da soli, ma un ragazzino frustrato non li ha i 1000-2000 euro di cash per comprare un SDK di un malware.


Comunque se è per questo anche i criminali comuni decenti (quelli che non beccano) ci mettono mesi a preparare un colpo tra raccolta info, e pianificazione.
Quelli che vanno a culo e sperano sulla fortuna poi si schiantano.

[ComputArte]

...per ora lo hanno fatto due ricercatori con conoscenze approfondite.
Appena saranno disponibili AMPI e DETTAGLIATI tutorial altro che le auto....in casa con l IoT vivremo in acquari ....e fuori a godersi lo spettacolo le solite OTT e tanti piccoli hacker....hahaha!