[elektro] OFF - Tesla teszt

[jhidvegi]

roppant érdekes, szerteágazó, amit írtál, nekem laikusnak legalábbis így néz ki.
Bíztató, hogy megoldható a dolog, és csak hanyagságról van szó.

Végülis fel lehet fogni ezeket a támadásokat jóindulatúnak, jelzésnek, hogy jó 
lesz odafigyelni a továbbiakban.

Különben van mód arra, hogy teljesen kikapcsolják a rádiót, netet, amíg nincs a 
hiba kijavítva?

hjozsi

SZIGETI Szabolcs wrote:
> Hali!
>
> Itt nyilván az történt, hogy a fejlesztési folyamat nem tartalmaz It
> biztonságra való tervezési lépéseket, vagy ezeket nem jól hajtják
> végre.Nem volt kockázat és sérülékenység elemzés egy új feature
> fejlesztésekor, pláne nem rendszer szinten.
> Itt valami olyasmi történt, hogy a rádió is ül a CAN buszon, ugye
> sebesség függő hangerő, különböző paraméterek kijelzsée a kijelzőjén,
> ésatöbbi. A rádiót, ami netes kapcsolattal rendelkezik, megtörték, és
> innen azt küldtek a CAN-ra, amit akartak.
> Nagy probléma, hogy a biztonság kapcsán a legtöbb fejlesztőnem még
> mindig csak a titkosság jut eszébe, könnyen lehet itt azt gondolta és
> akkor mi van, ha a behatoló olvas a CAB-busztól. Semmi hasznosat nem
> tud ellopni.Fel sem merült benne, hogy más is tehet.
> Pedig a biztonságnak a titkosság kívül még két másik komponense van, a
> sérthetetlenség és a rendelkezésre állás.Tehát nem tudjuk
> jogosulatlanul megváltoztatni az információt és nem tudjuk
> elérhetetlenné tenni a jogosultak számára. Ha ez a hármas ( CIA -
> Confidentiality, Integrity, Availability) megvalósul, akkor
> beszélhetünk biztonságról.
> Nem tudom mit csináltak, vagy mit nem, de nyilván amikor valaki
> kitalálta, hogy legyen a hifi net kapcsolatos, akkor elemezni kellett
> volna, hogy milyen sérülékenységek lehetnek, ezek milyen kockázatot
> jelentenek a védett rendszerre (autó) és mit kell tenni, hogy ezt a
> kockázatot csökkentsük. Feltételezem, hogy ezek nem történtek meg.
> Fel kellett volna, hogy merüljön, hogy mi van, ha valaki megtámadja a
> rádiót és elkezd üzeneteket küldeni a CAn buszon. Aztán
> elgondolkodni, hogy a rádiónak valóban célszerű-e ha bármit üzenhet,
> vagy korlátozni kéne ezeket. ha igen, akkor valahogy meg kelett volna
> oldani, hogy a rádióból csak a szükséges és engedélyezett üzenetek
> mehessenek ki. Stb.
> Van több "secure engineering" módszertan meg keretrendszer. való igaz,
> használatuk macerás néha, erőforrást igényel, sokszor sem a
> fejlesztők sem a megrendelők nem értik, hogy minek. ("hozzánk úgysem
> törnek be" módszertan), aztán a végén csak kiderül, hogy jó lett
> volna már ez elején figyelembe venni ezeket.
>
> Szabolcs