Diskuse k článku

Tajemství automobilek v ohrožení: v Kanadě unikly plány jejich továren

Bezpečnostní expert objevil na nezabezpečeném serveru 157 GB citlivých dat. Byly mezi nimi i plány výrobních závodů Fordu, Tesly nebo Volkswagenu.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J60a67n 75D16l78o55u75h77ý 7424819210429

Co si mame jako predatavit pod pojmem o nicem “nezabezpeceny server”. Kazdy server je minimalne zanezpecen vzdy heslem. Bez toho to ani nejde “zprovoznit”. Cili pan expert musel prekonat nejakou “minimalni” prekazku!

0/0
8.8.2018 16:17

P59e77t82r 78B39a89u23e74r 9940765957969

Například Volkswagen neakceptuje servery jako obdoby našeho Ulož.to nebo Úschovny. Lidem ve VW to prostě nejde otevřít. Určitě k tomu mají nějaký důvod. Do KVS se člověk přihlašuje přes pravidelně měněné heslo a přes RSA Security Token. A to je jen vrchol ledovce celého zabezpečení. Navíc ten, kdo data nahrává musí data uvolnit pro konkrétní uživatele. A dalších X různých opatření, aby se každý nemohl vše stáhnout. Když na Ulož.to dám do vyhledávače cokoli, můžu najít a stáhnout cokoli, pokud to uploader nezahesluje. A my nevíme, v jakém stavu data byla. Rozdíly jsou tedy více než patrné.

0/0
8.8.2018 16:52

J17a54n 11D61l19o88u43h23ý 7134319660679

Pise se tam o zalohovani. To jaksi na servery typu uloz.to nikdo automatizovane nedela. Daleko lepe si dokazu predstavit, ze zalohy probihaly automatizovane na nejake uloziste typu nfs omezene na rozsah ip adres ci neco podobneho... i tak ale utocnik musi mit pristup do casti infrastruktury ci na konkretni server, ktery se ma zalohovat. Cili i zde se nejedna o “nezabezpecene reseni”. Clanek vyznica dosti bulvarne a k realite to ma daleko!

0/0
8.8.2018 18:47

P89e93t23r 80B17a86u56e39r 9240855307259

Firmy, jako Volkswagen, dělají u svých dodavatelů audity, na jaké úrovni je zabzpečení a správa dat, která dodavatel v rámci zakázky zpracovává. Například Volkswagen má pro koncern svůj systém KVS a ten by měli všichni dodavatelé používat. Jenže stát se uživatelem je zdlouhavý administrativní proces a ten Volkswagen neumí usnadnit ani svým dodavatelům. Nicméně má i varianty, jako eRoom. Pokud se ten dodavatel takto provinní, může ho to stát nemalé peníze, protože takové věci jsou ošetřeny už ve smlouvě o dílo.

+1/0
8.8.2018 9:19

P16e19t65r 54B29a78u19e83r 9710775977349

Doplním, že útok na auta je v tomto případě pouhé sci-fi. Ta firma, pokud mám dobré informace, v podstatě připravuje výrobní techologie. Ale takové firmy se těžko dostanou k samotnému software nějakého vozidla. Jsou dvě úplně odlišná odvětví. Možná na to měl být separátní článek. Tohle je zavádějící.

+2/0
8.8.2018 9:22

M54a24r67t53i47n 96S38e38d21o24n88a 2445766426669

VW je celý procesně náročný, to samé Škoda-auto. Obecně hrozba pokuty je jen hrozba, její uplatnění je věc jednání.

Jak víme z minulého roku, pokud se dodavatel rozhodne pokutu neakceptovat a má silné páky na ohrožení výroby, protistrana je jak schopna sankce neuplatnit (i když má rozhodnutí soudu, že dodavatel výrobu nemá ohrožovat).

0/0
8.8.2018 11:29

P17e30t66r 82B30a33u85e54r 9100325887929

Řeknu to asi takhle: kdo chce na tom trhu zůstat dlouho a chce, aby nebyl na VW-Blacklistu, tak si kvůli sankci za špatnou správu dat nedovolí stáhnout ze stavby nějaké svařovací nebo lakovací linky programátory PLC a robotů. Poněvadž by tím zpomalil projekt, pravděpodbně by zpozdil nějaký milník a to by dalo zákazníkovi možnost uvalit další sankce. Jinými slovy, odplata se prostě nevyplatí. Navíc ten trh firem, co pro VW (a jiné automobilové koncerny) takové projekty dělají, není zase tak obrovksý, aby se to rychle nerozkřiklo, kdo si něco takového dovolil. Negativní reklama by na sebe nenechala dlouho čekat. Žádný mamažer nebo ředitel by tak daleko nezašel, pokud není blázen a nebo nezkušený.

0/0
8.8.2018 11:56

J34i21n82d95ř21i95c88h 36Š92k28o13p90e26k 4575911130915

Není objektivní důvod, aby hlavní systémy auta (řízení, brzdy, plyn atd.) byly jakýmkoli způsobem ovládatelné přes internet. Zbytečně, nebezpečné, zdroj potenciálních problémů

+6/−1
8.8.2018 7:34

M30i31r77o86s22l11a62v 14K94u76c10e67r69a 4667300587141

Je vidět, že to nechápete. Ony nejsou ovladany pres internet. Jsou ovládány řidicí jednotkou (jednou z mnoha) a pokud je auto všeobecně připojeno na internet, tak je šance se k té ridici jednotce dostat (laikům nepochopitelým způsobem).

+1/−1
8.8.2018 8:44

J14i26n38d28ř76i48c86h 15Š73k87o27p74e66k 4725411810625

pokud jsou připojeny k jednotce, kterou lze přes internet ovládat, tak víceméně je možné tyto systémy označit jako ovládané přes internet.

Nikde není psáno, že auto musí být tak konstrukčně špatně navrženo, jak píšete.

Není přeci problém udělat 2 jednotky, jedna řešící řízení, brzdy plyn bez možnosti komunikace s internetem, druhou s připojením na internet řešící navigaci a je to

+4/0
8.8.2018 8:52

T79o11m21á15š 21T20a29t90í26č28e87k 5670332610818

Galvanicky oddělené. ;-)

0/0
8.8.2018 9:59

J42i21n52d74ř74i72c52h 82Š89k80o48p22e45k 4395381140675

není lepší je oddělit fyzicky tak, že nebudou datově propojeny ? Tzn. pokud někdo nabourá tuprvní, na net připojenou, tak se z té první nedostane do té druhé jednotky ?

0/0
8.8.2018 10:35

P85a16v86e29l 47S98o91b16o18t37k60a 5300974

Oddělené systémy se používají od pradávna.

Viz např. jaderná elektrárna a řízení reaktoru.

0/0
8.8.2018 9:03

J47a50r36o44m41í54r 29K66r17á88l 4370289304339

No a pokud se hacker dostane k ovládaci jednotce, pak dokáže auto ovládat.

0/0
8.8.2018 17:21

J72o96s82e60f 87P23o30m81a26j74b62í94k 2220602687659

Firmware update neni duvod? Ikdyz samozrejme nemusi nutne behat zrovna po IP.

0/0
8.8.2018 9:04

P45a90v61e90l 43S97o84b10o96t82k83a 5110774

Aktualizace firmware při jízdě ve velké riziko.

Od toho jsou servisy.

+2/0
8.8.2018 9:08

J26i58n10d26ř74i29c18h 34Š75k72o16p77e64k 4335611810465

ne. Ten lze udělat v servisu. Na to není třeba propojovat systém s internetem, když nedokáží vývojáři udělat bezpečný a funkční systém

+2/0
8.8.2018 9:09

T42o68m96á50š 53M45a65t39ě88j 9745218813622

ani "air gap" bohužel není řešení.

někdy jsou cesty přístupu už opravdu na úrovni magie.

0/0
8.8.2018 9:55

P14e39t28r 13M98i25c61h77a46l40č59á40k 2687280551232

Hackeři mohou útočit i na auta..

.

Za slovo mohou si můžu doplnit cokoliv. Co tak napsat větu po pravdě:

Hackeři útočí i na auta. Nebo to není pravda a vy spekulujete?

0/0
8.8.2018 7:09

J78i73ř33í 28N60o49v24á13k 2370722230441

A pochopil jste význam slova SPEKULACE?

0/0
8.8.2018 8:15

J86í84ř53í 95N52o22v67o75t58n60ý 2342465304679

Takze jsem vyhral ve sportce, ale nevsadil jsem ji. Presne takovy je clanek.

0/0
8.8.2018 7:09

J94i37ř46í 19A83l26t19m26a20n 6103872636128

Já jsem v klidu! Moje brzdy ovládá pouze moje pravá noha!;-D

+2/0
8.8.2018 6:41

A63n25t24o75n35í12n 26S90v60o85b63o87d55a 3594793639272

Vy nemáte ABS, ESP a další asistenty?

+1/0
8.8.2018 7:31

J48a86r97o91m53í85r 65K27r87á95l 4350699744539

Je rozdíl mít pomocníka při práci, anebo přenechat rozhodování elektronice.

+1/0
8.8.2018 7:43

A17n87t20o14n59í43n 84S97v44o13b76o44d51a 3824303379662

ESP umí občas blbě šáhnout do řízení vozu

0/0
8.8.2018 9:45

P38a62v92e61l 11Z64a20j19í38č58e57k 8474150906300

v lete to mam povypinane :) a esp mam vyrazeno celorocne

0/0
8.8.2018 7:52

M85i42r55o98s45l55a29v 29K41u50c52e93r25a 4197440827961

To je celkem k placi.

+1/0
8.8.2018 8:45

J59i39r95i 17R80u91s16n33o98k 4935312847373

K placi je, pokud ty systemy potrebujete. Ani jeden system se mi za ty roky, co jezdim, nikdy nezapnul, aby mi musel pomoc.

0/−1
8.8.2018 9:39

P60e38t22r 55B57a18u36e30r 9910205197429

V jakém autě máte vypnuté ABS? Já že bych se něco přiučil..

0/0
8.8.2018 9:39

M60a20r57e69k 94G10a93j74d59a 4863754936222

Trabant?

+1/0
8.8.2018 9:00

R14o50b48e75r46t 61M97á43s13l88o 1231811687607

Chybí link na ten server.

+8/−1
8.8.2018 2:00

J36a55n 75K67o28m86r74s29k80a 8572622148932

A teď si představme, že podobní amatéři dávají Evropě do aut systém eCall, který nelze vypnout, který nijak nesignalizuje stav a u kterého nejsme schopni identifikovat kam všude jdou data. A to v době kdy existuje GDPR a mělo by se dbát na maximální ochranu osobních dat.

Teď jsem četl, že Američani - Pentagon - zakázali používat GPS pro geolokaci, když vojáci sportují aby se nedali data vyhodnotit kde a kdy se tam pohybují. A my to tu máme. A o data se nejspíš starají amatéři.

+4/−1
8.8.2018 0:19

L36a20d76a 72N62o27v42a53k 4662863547

vaše data na naše ostny...

0/0
8.8.2018 1:01

O55n58d20ř98e56j 30V43a86l35e48n67t28a 5838291579172

Zakázali GPS, protože vojáci používali sportovní aplikace, kde veřejně sdíleli kde běhají a to i na misích. Takže se daly vyčíst hlidky, trasy apod.

+3/0
8.8.2018 6:05

P47a83v69e90l 23T41r67u70k33s36a 3263607642353

Co ma GDPR spolecneho s eCallem? Navic eCall se aktivuje az pri nehode, jinak nikam nic neodesila. Paranoia?

0/−2
8.8.2018 8:35

M17a68r67i31a22n 68K75r74a71l 6594242744787

V navrhu hardware pro e-call je pocitano s moznosti vyrazneho rozsireni funkci.

0/0
8.8.2018 9:09

P54a68v90e91l 53T14r19u94k68s95a 3953417232903

To spis motate vic veci dohromady. EU planuje zavest povinnost, aby auta mely jeste cernou skrinku. Ale to je neco uplne jineho.

0/0
8.8.2018 9:57

Najdete na iDNES.cz