Elektrikli ve Yazılım Tanımlı Otomobilin Korunması

“Putin reklam kafasıdır. Ukrayna'ya şan."

Son zamanlarda Moskova yakınlarındaki engelli şarj istasyonlarında diğer şeylerin yanı sıra saldırıya uğramış elektrikli araç şarj cihazlarının okuduğu şey buydu. Ve dünyanın dört bir yanından birçok kişinin yüzünü güldürdüğü kadar, geçen hafta bir araya gelen birkaç araştırmacı ve geliştirici tarafından yapılan bir noktayı da vurguluyor. eskar 2022 (her yıl otomotiv siber güvenliğindeki derin, teknik gelişmelere odaklanan bir konferans): otomotiv hack'leri artıyor. Aslında, başına Upstream Automotive'in raporu, siber saldırıların sıklığı 225'den 2018'e %2021'i uzaktan gerçekleştirilen ve 85 saldırılarının %54.1'i "Black Hat" (diğer adıyla kötü niyetli) saldırganlar olmak üzere %2021 gibi büyük bir artış gösterdi.

Bu konferansta çeşitli gerçek dünya raporlarını dinlemenin ortasında, birkaç şey belirginleşti: Bu kritik alanda her zaman gerekli olan odaklanmaya dayanan hem iyi hem de kötü haberler var.

Kötü Haber

En basit ifadeyle, kötü haber şu ki, teknolojik gelişmeler yalnızca Birinci Gün olaylarının olasılığını daha da artırıyor. Sandia Ulusal Laboratuvarlarından Baş Araştırmacı Jay Johnson, "Elektrikli araçlar daha fazla teknoloji yaratıyor, bu da daha fazla tehdit ve tehdit yüzeyi olduğu anlamına geliyor" dedi. 46,500 itibariyle halihazırda 2021 şarj cihazı mevcut ve 2030 yılına kadar piyasa talebi yaklaşık 600,000 şarj cihazı olacağını gösteriyor.” Johnson, dört ana ilgi alanını ve belirlenen güvenlik açıklarının bir ön alt kümesini önerilerle birlikte tanımlamaya devam etti, ancak mesaj açıktı: Devam eden bir “silah çağrısı” olması gerekiyor. Moskova'daki Hizmet Reddi (DoS) saldırıları gibi şeylerden kaçınmanın tek yolunun bu olduğunu öne sürüyor. Johnson, "Araştırmacılar yeni güvenlik açıkları belirlemeye devam ediyor ve altyapıya yönelik koordineli, yaygın saldırıları önlemek için anormallikler, güvenlik açıkları ve müdahale stratejileri hakkında bilgi paylaşımına yönelik kapsamlı bir yaklaşıma gerçekten ihtiyacımız var" diyor.

Elektrikli arabalar ve ilgili şarj istasyonları, tek yeni teknolojiler ve tehditler değil. "Yazılım tanımlı araç", yarı yeni bir mimari platformdur (*tartışmalı olarak 15+ yıl önce General Motors tarafından kullanılmıştır).GM
ve OnStar) bazı üreticilerin milyarlarca dolar boşa gidiyor her aracı sürekli olarak yeniden geliştirme konusunda. Temel yapı, aracın beyinlerinin çoğunu, yazılım içinde yeniden kullanıma ve esnekliğe izin veren, ancak aynı zamanda yeni tehditler sunan, gemi dışında barındırmayı içerir. Aynı Upstream raporuna göre, son birkaç yıldaki saldırıların %40'ı arka uç sunucuları hedef aldı. Kugler Maag Cie'nin Genel Müdürü Juan Webb, "Kendimizi kandırmayalım" diye uyarıyor, "otomotiv zincirinde imalattan bayilere ve gemi dışı sunuculara kadar saldırıların meydana gelebileceği birçok yer var. En zayıf halka nerede olursa olsun, en büyük finansal sonuçlarla nüfuz etmenin en ucuz olduğu yer, bilgisayar korsanlarının saldıracağı yer orası.”

Orada, escar'da tartışılanların bir kısmı, (bakış açınıza bağlı olarak) kötü-haber-iyi-haberlerdi. UNECE yönetmeliği tüm yeni araç türleri için bu hafta yürürlüğe girecek: üreticilerin Avrupa, Japonya ve nihayetinde Kore'de satış sertifikası alacak araçlar için sağlam bir Siber Güvenlik Yönetim Sistemi (CSMS) ve Yazılım Güncelleme Yönetim Sistemi (SUMS) göstermeleri gerekiyor. Yine Kugler Maag Cie'den bir siber güvenlik uzmanı olan Thomas Liedtke, "Bu sertifikalara hazırlanmak küçük bir çaba değil" diyor.

Güzel haberler

Her şeyden önce, en iyi haber, şirketlerin toplanma çığlığını duyması ve yukarıda bahsedilen Black Hat düşmanlarıyla mücadele etmek için gerekli titizliği asgari düzeyde aşılamaya başlamasıdır. “2020-2022'de Tehdit Analizi ve Risk Değerlendirmesi veya TAR yapmak isteyen kurumlarda artış gördük.AR
A,” diyor Liedtke. "Bu analizlerin bir parçası olarak, tavsiye edilen, daha yüksek risk değerlerine yol açan uzaktan kontrol edilen saldırı türlerine odaklanmak olmuştur."

Ve tüm bu analiz ve titizlik başlangıçta bir etkiye sahip gibi görünüyor. IOActive'den Samantha ("Sam") Isabelle Beaumont tarafından sağlanan bir rapora göre, 12 penetrasyon testlerinde bulunan güvenlik açıklarının yalnızca %2022'si "Kritik Etki" olarak kabul edildi ve 25'da %2016'e karşılık yalnızca %1'i "Kritik Olasılık" olarak kabul edildi. 7'da %2016. Beaumont, “Mevcut risk iyileştirme stratejilerinin meyvelerini vermeye başladığını görüyoruz” diyor. “Sektör daha iyisini inşa etme konusunda daha iyi hale geliyor.”

Bu, endüstrinin bittiği anlamına mı geliyor? Kesinlikle değil. Johnson, "Bütün bunlar, tasarımları gelişen siber saldırılara karşı sertleştirmenin sürekli bir sürecidir" diyor.

Bu arada, topladığım son iyi haberi kutlayacağım: Rus bilgisayar korsanları sosyal medya akışım yerine Rus varlıklarını hacklemekle meşgul.