DEFCON 2015 - TESLA Hack angekündigt

Tesla Model S Model S Technik
1

AUf der diesjährigen DEFCON haben zwei Hacker angekündigt zu zeigen wie man ein Model S hacken kann… Die Programankündigung spricht von 6 Exploits, von denen TESLA bislang nur 1 geschlossen hat. Sie wollen die Architektur des Model S erklären und zeigen wo TESLA gute ARbeit geleistet hat und wo eben nicht.

Hier die Programmankündigung in Englisch
[url]https://www.defcon.org/html/defcon-23/dc-23-speakers.html#Rogers[/url]
How to Hack a Tesla Model S
Marc Rogers Principle Security Researcher for CloudFlare
Kevin Mahaffey CTO of Lookout Inc

The Tesla Model S is the most connected car in the world. It might surprise you to hear that it is also one of the most secure. In this talk we will walk you through the architecture of a Tesla Model S noting things that Tesla got right as well as identifying those that they got wrong. From this talk you will get an intimate understanding of how the many interconnected systems in a Tesla model S work and most importantly how they can be hacked. You will also get a good understanding of the data that this connected car collects and what Tesla does with this telemetry. We will also be releasing a tool that will enable Tesla Model S owners to view and analyse that telemetry in real time. Finally we will also be releasing several 0day vulnerabilities that will allow you to hack a Tesla Model S yourself - both locally and remotely. Note - only one of the 6 vulnerabilities we will discuss and release has been fixed. Disclaimer: With great access comes great responsibility - In other words we are not responsible for any Tesla Model S bricked by over enthusiastic attendees of this talk :slight_smile:

Marc Rogers aka Cyberjunky has been a prominent member of the hacking scene since the 80’s. Some of his most notable achievements are co-founding the notorious British hacker group, “The Agents of a Hostile Power” and his role in creating and appearing in the award winning BBC TV series “The Real Hustle”. Marc’s professional career spans more than twenty years, including a decade managing security for the UK operator Vodafone. Marc is currently the principal security researcher for web optimization and security company “CloudFlare. As well as his work in the infosec and telecoms industries, Marc has also been a CISO in South Korea and co-founder of a disruptive Bay Area start-up. Some of Marc’s notable recent hacks include Google Glass, Apple TouchID and most recently the Tesla Model S.

Kevin is an entrepreneur and technologist with a background in mobile and web technology, security, and privacy. He is the CTO of Lookout, a company dedicated making the world a safer place as it becomes more connected, starting with smartphones and tablets. He co-founded Lookout in 2007 and is responsible for driving Lookout’s technology to protect people from current and future threats while keeping the product simple and easy to use. He started building software when he was 8 years old and it has been a love affair ever since. Kevin is a frequent speaker on security, privacy, mobile, and other topics.

2

Interessant, hoffentlich fixt Tesla die übrigen 5 Lücken vor der Veröffentlichung!

Sehr gespannt bin ich auf den Einblick in die Architektur.

Gruß Mathie

3

Wurden die Lücken denn an Tesla gemeldet? Sonst sieht es schlecht aus mit „vorher fixen“. Selbst wenn Tesla jetzt keine Kosten und Mühen scheut, um 5 Lücken zu finden und zu fixen, werden das womöglich ganz andere Lücken sein. Ausreichend viele sollte es bei einem Computersystem von der Komplexität eines Teslas wohl geben. :smiley:

Aber dass „professionelle Hacker“ sagen, dass der Tesla eines der sichersten Autos sei (hoffentlich hier auf die Computersysteme und nicht auf Alarmanlage/Diebstahl bezogen), stimmt mich sehr positiv. Ich hatte bisher das Gegenteil befürchtet! In der Autoindustrie gibt es dafür bisher wohl leider nicht so ein starkes Bewusstsein, da ja Vernetzung lange Zeit nicht vorhanden war und man daher nicht viel Wert auf IT-Sicherheit legen musste… Und dass die Tesla-Software nicht in allen Aspekten perfekt ist, liest man hier ja ab und zu. Dass die Sicherheit trotzdem nicht all zu schlecht ist, das ist gut.

4

http ://defcon.ws/

Edit: ist ein hoax (d.h. eine Falschmeldung/Parodie)

5

Easy: Mobile Access bis zum nächsten Software Update deaktivieren.

Tesla hat es nach meiner Meinung organisiert. Die Strategie ist in der Tech-Industrie bekannt.

Artikel vom 28. April: forbes.com/sites/thomasbrews … o-hackers/

Im neuen Artikel wir nichts über dem „Auftrag“ von Tesla Motors gesagt: forbes.com/sites/thomasbrews … ng-defcon/

Die geschichte kann für Tesla extrem positive Nebenwirkungen haben, wenn alles schnell mit OTA Updates erledigt wird. Die Recall-Arbeiten in der Autoindustrie werden normalerweise nur nach 1-2 Jahren auf 100% der erkaufte Flotte durchgeführt.

6

@MichaMeier

Bevor man solche Links verbreitet, sollte man recherchieren:

[url]http://www.heise.de/security/meldung/l-f-Die-Def-Con-ist-abgesagt-Nicht-2750172.html[/url]

Die von dir verlinkte Seite ist ein hoax! Wäre super, wenn Du den link löschen könntest!

Gruß Mathie

7

Hier die ersten Ergebnisse (leider in Englisch) [url]http://www.latimes.com/business/la-fi-hy-tesla-hack-20150806-story.html[/url]

  • Die ‚Hacker‘ waren in der Lage das Entertainment zu hacken (aber nur nachdem die physischen Zugriff auf den Wagen hatten)
  • sie konnten das Fahrzeug zum Halten bringen
  • sie loben die Security Architektur von Tesla

Overall ganz positiv!

8

HAHA der Berg kreißte und gebar ein Maus…
Da wurde Tesla mal wieder als Klick Magnet benutzt. :imp:

9

Das die Sicherheitsarchitektur im Tesla insgesamt gut ist, war schon in der Ankündigung im Programm der Def Con erwähnt.

Ich sehe da keinerlei Anzeichen für Clickbaiting. Tesla ist das Auto mit dem höchsten Vernetzungsgrad am Markt, deshalb ist es natürlich ein interessantes Ziel für Hacks.

Die Hacker haben Tesla lange genug vor der Veröffentlichung über die Lücken informiert, die Ankündigung im Konferenzprogramm war nicht reißerisch sondern faktenorientiert. In meinen Augen waren da vorbildliche „white hats“ am Werk!

Ich bin jedenfalls froh, dass die Lücken entdeckt und gefixt wurden!

Gruß Mathie

10

+1
… und das unser Auto dermaßen Sicher ist, gerade weil das eine latente Angst bei Interessenten ist.

11

Na, das ist etwa wie sagen „ich konnte den Linux Server hacken nachdem ich mal Zugriff auf die Konsole hatte“ :sunglasses: Das klingt wirklich nicht so schlecht für das MS.

12

Das wäre der Fall gewesen, wenn die Überschrift gelautet hätte:

Die 10 Sicherheitslücken bei Tesla!
Die siebte lässt mich jetzt noch erschauern…

:mrgreen:

Nach diesem Bericht bin ich mal echt beruhigt - da hätte ich viel Schlimmeres erwartet.

Ciao,
Gerhard

13

Ein ehemaliger Studienkollege, der in der IT-Security (bei Intel Security) arbeitet, ist gerade vor Ort in Las Vegas an der DefCon und berichtet mir vom Life Hack… Mal schauen!

14

Hier noch mehr Infos, direkt von den Hackern:

blog.lookout.com/blog/2015/08/0 … -research/

15

Heute auch auf golem: golem.de/news/auto-hacking-g … 15641.html

16

Tesla gehackt, aber Sicherheitslücke seit Donnerstag geschlossen:
rp-online.de/leben/auto/news … -1.5295117
Von „Stoppen in voller Fahrt“ wie im Artikel zuvor steht da allerdings nicht, sondern nur, dass es bei langsamer Fahrt gelungen sei, die Handbremse auszulösen.

17

Angeblich ist eine der Lücken per SW-Update am Do. geschlossen worden. Hat jemand die Tage ein Update bekommen oder kriegt man es gar nicht mit?

18

Ja, im 6.2-Thread.

19

Das läuft hier gerade in 5 Threads parallel :frowning:
5.21 ist diese Woche massiv verteilt worden, schau mal im Auto vorbei da müsste die gelbe Uhr stehen oder mal aufs T drücken, um deine Version zu sehen :wink:

20

Danke, schaue nachher gleich mal nach. Nicht das mir einer den Ampel-Start vermaselt :slight_smile: