image

Experts hekelen opsturen van USB-sticks door Chrysler

dinsdag 28 juli 2015, 10:05 door Redactie, 23 reacties

Vorige week maakte autofabrikant Chrysler bekend dat het 1,4 miljoen auto's wegens een beveiligingslek in de software terugroept. Het lek laat een aanvaller auto's via het internet deels besturen. Zo kunnen de remmen worden in- en uitgeschakeld en is het mogelijk om de motor uit te zetten.

Chrysler ontwikkelde een update voor het beveiligingsprobleem en biedt die nu via drie manieren aan. Consumenten kunnen de update zelf downloaden en via een USB-stick de autosoftware updaten. Hiervoor is inmiddels een uitgebreide handleiding (pdf) online verschenen. De tweede optie is het terugbrengen van de auto naar de dealer die vervolgens de update installeert. Daarnaast is er ook nog een derde mogelijkheid. Namelijk het laten opsturen van een USB-stick met de update.

En het is deze laatste optie die op kritiek van beveiligingsexperts kan rekenen. "Dit is de domste actie waar ik in lange tijd van heb gehoord", zegt Khalil Sehnaoui van Krypton Security gegenover ZDNet. Ook Tod Beardsley van beveiligingsbedrijf Rapid7 is niet gelukkig met de actie. "Zomaar een USB-stick in de computer steken zonder te weten waar die precies vandaan komt is een slecht idee", zo merkt hij op. Hij waarschuwt dat het aanleren van gebruikers dat ze een USB-stick die via de post verstuurd wordt kunnen vertrouwen een gevaarlijk gedragspatroon schept en de deur openzet voor criminelen om hier gebruik van te maken.

Chris Kennedy van anti-fraudebedrijf Trustev vindt de beslissing om USB-sticks rond te sturen "ongelooflijk onverantwoord" en "onveilig". Kennedy is vooral bang dat de USB-sticks worden onderschept. Ook op Twitter reageren gebruikers met verbazing. "Het is nu een goed moment om USB-sticks met exploits naar willekeurige Chrysler-eigenaren te sturen", zo laat een Twitteraar weten. Beardsley adviseert eigenaren van een Chrysler om naar een dealer te gaan. Aangezien er dan tenminste nog een papierspoor is dat laat zien dat er een betrouwbare partij is gezocht. Chrysler stelt in een reactie dat de maatregel is gekozen om het gemak voor klanten te vergroten.

Reacties (23)
28-07-2015, 10:09 door [Account Verwijderd] - Bijgewerkt: 28-07-2015, 10:15
[Verwijderd]
28-07-2015, 10:30 door Anoniem
Bedrijven zijn niet zo dom... het is 2015... bedrijven moeten zo dom blijven om vriendjes te blijven met de NSA en consorten.
28-07-2015, 10:32 door Anoniem
Zolang men niet weet hoe de verpakking is, kan men niet klagen over een onveilige methode.
Leuk dat iedereen weer moet vallen over iets, maar ik zou me eerder zorgen maken over hoe consumenten dit gaan verifieren, dmv md5 waarschijnlijk en ja leuk dat men hier sha256 kent, maar een consument is niet zo op de hoogte van dit soort zaken.

Plus een consumer machine is vaker geinfecteerd met malware als een centraal distributie punt waar men usb sticks naar klanten aan het versturen is.

Volgens mij is het enkel goed voor deze experts wanneer men onder het zienend oog van een dev of 2 een update maakt, die dan op een usb stick plaatsen en daarna met escorte naar de klant brengen.

Je kan ook te vroeg klagen over security dus imo, als men nog een heleboel unknowns heeft.
28-07-2015, 10:33 door Anoniem
Blijkbaar kan dus elke idioot een stick in dergelijke auto's prikken en daarmee de software 'updaten'. Ik ben toch maar wat blij met mijn softwareloze auto.
28-07-2015, 10:45 door Anoniem
Chris Kennedy van anti-fraudebedrijf Trustev vindt de beslissing om USB-sticks rond te sturen "ongelooflijk onverantwoord" en "onveilig". Kennedy is vooral bang dat de USB-sticks worden onderschept.

Partijen die in staat zijn post partijen te onderscheppen, om een USB stick te besmetten, zullen ongetwijfeld net zo goed in staat zijn om bijvoorbeeld een CD of DVD te onderscheppen, na te maken, en de nagemaakte CD/DVD vervolgens naar de klant te sturen. Om maar wat te noemen.
28-07-2015, 10:56 door Anoniem
Ik lees nergens hoe de stick wordt gebruikt. Wordt die automatisch uitgevoerd bij insteken zonder authenticatie? Dat is een groter probleem dan het opsturen van de stick.

Op verzoek toesturen van een stick is geen ernstig veiligheidsprobleem. De reacties daarop zijn overdreven.

Rondsturen van sticks kan ook zonder de medewerking van Chrysler.

Het echte probleem zit hem in de authenticatie van de stick.

Dat is dan afgezien van het algemene probleem van sticks dat de firmware wordt uitgevoerd en kan leiden tot het hacken van de computer. Om de firmware aan te passen moet je als aanvaller echter wel een behoorlijke investering doen in research en stelen van keys.
28-07-2015, 11:07 door Anoniem
Door Anoniem: Zolang men niet weet hoe de verpakking is, kan men niet klagen over een onveilige methode.

Het gaat niet over de verpakking. Het gaat er over dat een grote fabrikant de klanten gaat vertellen dat ze USB-sticks, die ze via de post hebben gekregen, in hun auto kunnen steken. Je hoeft helemaal geen post te onderscheppen. Je stuurt gewoon zelf een stapeltje sticks naar mensen waarvan je denkt dat ze een Chrysler hebben. Het logo van Chrysler op de envelop en de stick wordt gebruikt.

Alle jaren van mensen vertellen dat ze niet zo maar gekregen sticks in hun computer mogen steken, is voor niets geweest.

Leuk dat iedereen weer moet vallen over iets, maar ik zou me eerder zorgen maken over hoe consumenten dit gaan verifieren, dmv md5 waarschijnlijk en ja leuk dat men hier sha256 kent, maar een consument is niet zo op de hoogte van dit soort zaken.

Chrysler zal de benodigde informatie hiervoor niets eens verstrekken. Als ik de pdf bekijk is dat ook een staaltje amateurisme. Nergens staat iets over de URL, die men moet bezoeken. Verder levert de pdf alle benodigde schermafbeedlingen die een phisher nodig heeft om de gebruiker te misleiden.

Plus een consumer machine is vaker geinfecteerd met malware als een centraal distributie punt waar men usb sticks naar klanten aan het versturen is.

De dealer heeft meer mogelijkheden om de stick te controleren. Ze kennen hun standaard leverancier van Chrysler onderdelen. Een serienummer op de stick is te verifieren.

Volgens mij is het enkel goed voor deze experts wanneer men onder het zienend oog van een dev of 2 een update maakt, die dan op een usb stick plaatsen en daarna met escorte naar de klant brengen.

Je kan ook te vroeg klagen over security dus imo, als men nog een heleboel unknowns heeft.

Mijn ervaring is dat het nooit te vroeg is om over beveiliging te praten, denken of klagen. Als je dat ook maar 1 dag te laat doet, wordt beweerd dat het niet meer op te lossen is.

Peter
28-07-2015, 11:29 door Anoniem
Door Anoniem:
Door Anoniem: Zolang men niet weet hoe de verpakking is, kan men niet klagen over een onveilige methode.

Het gaat niet over de verpakking. Het gaat er over dat een grote fabrikant de klanten gaat vertellen dat ze USB-sticks, die ze via de post hebben gekregen, in hun auto kunnen steken. Je hoeft helemaal geen post te onderscheppen. Je stuurt gewoon zelf een stapeltje sticks naar mensen waarvan je denkt dat ze een Chrysler hebben. Het logo van Chrysler op de envelop en de stick wordt gebruikt.

Alle jaren van mensen vertellen dat ze niet zo maar gekregen sticks in hun computer mogen steken, is voor niets geweest.

Leuk dat iedereen weer moet vallen over iets, maar ik zou me eerder zorgen maken over hoe consumenten dit gaan verifieren, dmv md5 waarschijnlijk en ja leuk dat men hier sha256 kent, maar een consument is niet zo op de hoogte van dit soort zaken.

Chrysler zal de benodigde informatie hiervoor niets eens verstrekken. Als ik de pdf bekijk is dat ook een staaltje amateurisme. Nergens staat iets over de URL, die men moet bezoeken. Verder levert de pdf alle benodigde schermafbeedlingen die een phisher nodig heeft om de gebruiker te misleiden.

Plus een consumer machine is vaker geinfecteerd met malware als een centraal distributie punt waar men usb sticks naar klanten aan het versturen is.

De dealer heeft meer mogelijkheden om de stick te controleren. Ze kennen hun standaard leverancier van Chrysler onderdelen. Een serienummer op de stick is te verifieren.

Volgens mij is het enkel goed voor deze experts wanneer men onder het zienend oog van een dev of 2 een update maakt, die dan op een usb stick plaatsen en daarna met escorte naar de klant brengen.

Je kan ook te vroeg klagen over security dus imo, als men nog een heleboel unknowns heeft.

Mijn ervaring is dat het nooit te vroeg is om over beveiliging te praten, denken of klagen. Als je dat ook maar 1 dag te laat doet, wordt beweerd dat het niet meer op te lossen is.

Peter

Geen nieuwe standaarden of procedures uitbrengen om de veiligheid te garanderen, maar ze hebben wel kritiek.
Dus vertel mij eens:
Hoe zou dit volgens jou moeten gaan?

Ik zie altijd een hoop kabaal over dit soort zaken, maar nooit een oplossing.
Authenticatie applicatie die de stick verifieert, of een question and answer methode, etc.
28-07-2015, 11:40 door Anoniem
Waarom het bestand niet zelf laten downen vanaf Chrysler zelf incl. een instructie hoe de software update in de auto aan te brengen? In principe beschikt Chrysler, en diens dealers, over de gegevens van de 1e eigenaren dus zouden ze een inlogcode kunnen sturen. Dat is veel goedkoper en veiliger dan usbsticks versturen waar van alles op kan staan.
28-07-2015, 12:31 door Anoniem
Software in auto's... updates... usb sticks... internet...
Zucht.

Het gaat heel gevaarlijk worden op de weg.
28-07-2015, 13:03 door Anoniem
Door Anoniem:Geen nieuwe standaarden of procedures uitbrengen om de veiligheid te garanderen, maar ze hebben wel kritiek.
Dus vertel mij eens:
Hoe zou dit volgens jou moeten gaan?

Ik zie altijd een hoop kabaal over dit soort zaken, maar nooit een oplossing.
Authenticatie applicatie die de stick verifieert, of een question and answer methode, etc.

Voor de correcte wijze (OTA met verificatie) is het te laat. De enige oplossing die je dan nog kunt hanteren, is wat ze altijd al doen als er problemen met autos zijn: terugroepen naar de dealer en daar, door iemand met verstand van zaken, de update uit laten voeren. Dat is veel beter beheersbaar.

Laten we vervolgens hopen (maar ik verwacht niets) dat de nieuwe versie OTA heeft.

Bij voorkeur zelfs niet eens via GSM, maar als ik hem thuis voor het huis parkeer en hij zich aanmeldt op mijn WLAN. En de reboot graag als de motor uitstaat.

Peter
28-07-2015, 13:25 door [Account Verwijderd]
Sorry maar het is nog veel erger dan jullie denken!

Als je een VIN nummer hebt, en die kun je meestal vinden achter de voorruit.
Dan kun je zelf een stick maken en dus oneindig kopieën maken.

Dat geeft dus de oneindige mogelijkheid om veranderingen in de data aan te brengen.
Baddies hebben tijd en geld.
Auto computer besturing is niet moeilijk te begrijpen. Kijk maar op een aantal opvoer websites.

Met de veranderde stick kun je dus in de toekomst de update weer ongedaan maken en/of ander ¨leuke¨ dingen doen.

Ze zijn naakt, ze hebben de zeep laten vallen en bukken om de zeep op te rapen.
Ze beseffen niet in welk gezelschap ze zijn.
28-07-2015, 13:34 door Anoniem
Wel bijzonder dat je de software (lees: firmware) gewoon kunt downloaden van die website. Het is een kleine moeite om die te vergelijken met de voorlaatste versie, zodat je dus reverse engineering kunt toepassen en dus zo aan het licht kunt brengen waar het probleem precies zat en hoe dit dan vervolgens is opgelost.

Het zal me dan ook niks verbazen dat er slechts een 'cover-up' wordt toegepast. Bijvoorbeeld het dichtzetten van een bepaalde service of poort. De achterliggende kwetsbaarheid wordt vervolgens niks mee gedaan.

Eerlijk is eerlijk, die achterliggende kwetsbaarheid (het kunnen bedienen van een auto over de canbus) zit vrijwel in elke moderne auto. Als je bij de ECU kunt, kun je in feite de controle van de auto overnemen, dat is nu eenmaal inherent aan het systeem. Normaliter kun je niet zomaar bij de ECU (OBD2 kun je niet alles mee), en de ECU's zijn over het algemeen helemaal dichtgesealed.

Maar als je inderdaad door middel van een USB stick zo weer een nieuwe malafide firmware kunt inladen dan zijn de poppen aan het dansen. Hoe makkelijk wordt het dan bijvoorbeeld om gewoon een auto te stelen? Het raam/deur krijg je vaak zo open (zoals de wegenwacht dat doet), vervolgens steek je een USB stick in die je laat starten met elke sleutel (ook zonder transponder) en je rijdt zonder inbraakschade zo weg.

Ik denk dat pas het begin is.
28-07-2015, 14:03 door Briolet
Door Anoniem: Waarom het bestand niet zelf laten downen vanaf Chrysler zelf incl. een instructie hoe de software update in de auto aan te brengen?
Als anoniem het bovenstaande artikel gelezen had, wist je dat je dat ook kunt doen. Sterker: dat is zelfs de genoemde 1e methode.

Door Anoniem: Ik lees nergens hoe de stick wordt gebruikt. Wordt die automatisch uitgevoerd bij insteken zonder authenticatie?

Anoniem heeft weer leesproblemen. In het artikel staat toch duidelijk een link naar de instructie. De enige authenticatie is dat je spanning op de circuits moet kunnen zetten. Met de contactsleutel is dat het makkelijkst.
28-07-2015, 14:31 door Anoniem
Ik zie het probleem niet zo, je moet ook kijken naar kosten van de oplossing en gemak voor de gebruiker.

Het zou best zo kunnen zijn dat er in het update mechanisme van de auto zeer goede beveiligings mechanismen zitten zodat alleen die stick met de update, of de software van Chrysler op een iegen stick worden geaccepteerd. Dus roepen dat het onveilig is zonder de details te kennen is wel een beetje erg voorbarig.
28-07-2015, 15:12 door Anoniem
Anoniem heeft weer leesproblemen. In het artikel staat toch duidelijk een link naar de instructie. De enige authenticatie is dat je spanning op de circuits moet kunnen zetten. Met de contactsleutel is dat het makkelijkst.

Je gaat wel erg kort door de bocht. De PDF verteld veel het maken van een USB key, maar niets over de digitale authenticatie en de procedure in de auto. Daar houd de PDF op.
28-07-2015, 15:38 door Anoniem
Door Anoniem:
Door Anoniem:Geen nieuwe standaarden of procedures uitbrengen om de veiligheid te garanderen, maar ze hebben wel kritiek.
Dus vertel mij eens:
Hoe zou dit volgens jou moeten gaan?

Ik zie altijd een hoop kabaal over dit soort zaken, maar nooit een oplossing.
Authenticatie applicatie die de stick verifieert, of een question and answer methode, etc.

Voor de correcte wijze (OTA met verificatie) is het te laat. De enige oplossing die je dan nog kunt hanteren, is wat ze altijd al doen als er problemen met autos zijn: terugroepen naar de dealer en daar, door iemand met verstand van zaken, de update uit laten voeren. Dat is veel beter beheersbaar.

Laten we vervolgens hopen (maar ik verwacht niets) dat de nieuwe versie OTA heeft.

Bij voorkeur zelfs niet eens via GSM, maar als ik hem thuis voor het huis parkeer en hij zich aanmeldt op mijn WLAN. En de reboot graag als de motor uitstaat.

Peter

En malware voor router firmwares dan?
En laten we eerlijk wezen, OTA is ook niet altijd veilig:
http://www.tcert.org/news/2013/07/sim-cards-attacks-using-over-the-air-updates/

Punt is:
Er is altijd wel iets.
Je kiest een methode en zorgt dan dat je deze van beveiliging voorziet imo.

Stel dat men dit OTA deed, dan was er vast wel iemand die klaagde over dat het onveilig was omdat hij op dat moment zijn auto nodig had om naar bv een dokter te rijden.
28-07-2015, 16:34 door Anoniem
Door Anoniem: Blijkbaar kan dus elke idioot een stick in dergelijke auto's prikken en daarmee de software 'updaten'. Ik ben toch maar wat blij met mijn softwareloze auto.
Die bewering klopt zeer waarschijnlijk niet, tenzij je in een oude oldtimer rijdt.
28-07-2015, 17:31 door Anoniem
Hoe kopen dit soort mensen hun USB-sticks?
Maken ze die zelf in een (zelf gemaakte) privéfabriek die voorzien is van (zelf gemaakte) privémachines en bevoorraad wordt met (zelf verworven) privégrondstoffen?

Random gevonden apparatuur gebruiken is natuurlijk niet het slimste wat je kan doen en kan zelfs erg gevaarlijk zijn (als je OS sterk verouderd is à la XP of als je in de speciale situatie beland dat die dingen gemaakt zijn door de NSA), maar als je weet dat er een bepaalde stick wordt afgeleverd dan lijkt het gevaar me wel te overzien (zeker aangezien ik me niet voor kan stellen dat die update niet ondertekend is).
28-07-2015, 18:11 door Anoniem
Als je de handleiding volgt, dan blijkt de installer door Akamai Technologies Inc gesigneerd te zijn. Voor mij is dit een rode vlag - waarom zou ik een stukje Chrystler/Skoda/...... installeren als de software (licentie) van een ander bedrijf af komt?


Verder kan ik niet nagaan of deze update origineel en compleet gedownload is (Checksum)?

Toch maar de auto naar de garage brengen - in de hoop dat zij wel "originele" USB sticks gebruiken :S
28-07-2015, 19:25 door Eric-Jan H te D
Ik begrijp uit de kritiek dat de auto dus ongesigneerde niet versleutelde software in de vitale delen van de motronica accepteert. Op zijn minst grappig.
28-07-2015, 21:56 door Anoniem
Ik heb hier nog een Lada 1200S staan. Ding rijdt nog prima. Nooit problemen met de computer gehad, geen onveilige issues. Maar er staat ook Kaspersky op. Die houdt een hoop rotzooi tegen.
29-07-2015, 09:09 door Anoniem
USB sticks in de auto??? Prima, zolang er muziek op staat.

Kan iemand uitleggen waarom een auto überhaupt updates nodig zou hebben?
Ik bedoel: remmen, gasgeven, richting aangeven, aan en uitzetten, deuren op slot, etc. etc. dat is allemaal perfect mechanisch te regelen. 100% controle voor de bestuurder.

Wie heeft straks de controle? Hackers? De overheid? Geheime diensten?
Gelukkig heb ik een oldtimer. LOL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.