Ochrana elektrického a softvérovo definovaného auta

"Putin je hlava reklamy." Sláva Ukrajine."

To je to, čo nedávno čítali hacknuté nabíjačky elektrických vozidiel, okrem iného na deaktivovaných nabíjacích staniciach neďaleko Moskvy. A hoci to vyvoláva úsmev na tvárach mnohých na celom svete, zdôrazňuje bod niekoľkých výskumníkov a vývojárov, ktorí sa minulý týždeň zhromaždili escar 2022 (konferencia, ktorá sa každý rok zameriava na hlboký technický vývoj v automobilovej kybernetickej bezpečnosti): automobilové hacky sú na vzostupe. V skutočnosti per Správa Upstream AutomotiveFrekvencia kybernetických útokov sa od roku 225 do roku 2018 zvýšila o neuveriteľných 2021 %, pričom 85 % bolo vykonaných na diaľku a 54.1 % hackerov v roku 2021 boli útočníci typu „Black Hat“ (aka zlomyseľní).

Uprostred počúvania rôznych správ z reálneho sveta na tejto konferencii sa ukázalo niekoľko vecí: existujú dobré aj zlé správy založené na neustále požadovanom zameraní na túto kritickú oblasť.

Zlé správy

Vo veľmi jednoduchom zmysle je zlou správou, že technologický pokrok len zvyšuje pravdepodobnosť udalostí prvého dňa. „Elektrické vozidlá vytvárajú viac technológií, čo znamená, že existuje viac hrozieb a plôch hrozieb,“ uviedol Jay Johnson, hlavný výskumný pracovník zo Sandia National Laboratories. "Od roku 46,500 je už k dispozícii 2021 2030 nabíjačiek a do roku 600,000 dopyt na trhu naznačuje, že ich bude približne XNUMX XNUMX." Johnson ďalej vymedzil štyri primárne rozhrania záujmu a predbežnú podskupinu identifikovaných zraniteľností spolu s odporúčaniami, ale posolstvo bolo jasné: musí prebiehať „výzva do zbrane“. To je podľa neho jediný spôsob, ako sa vyhnúť takým veciam, ako sú útoky odmietnutia služby (DoS) v Moskve. „Výskumníci pokračujú v identifikácii nových zraniteľností,“ hovorí Johnson, „a skutočne potrebujeme komplexný prístup k zdieľaniu informácií o anomáliách, zraniteľnostiach a stratégiách reakcie, aby sme sa vyhli koordinovaným, rozsiahlym útokom na infraštruktúru.“

Elektromobily a s nimi spojené nabíjacie stanice nie sú jedinými novými technológiami a hrozbami. „Softvérovo definované vozidlo“ je čiastočne nová architektonická platforma (*pred 15+ rokmi pravdepodobne využívaná spoločnosťou General MotorsGM
a OnStar), proti ktorým sa niektorí výrobcovia chystajú bojovať plytvanie miliardami dolárov na neustálom prestavbe každého vozidla. Základná štruktúra zahŕňa umiestnenie veľkej časti mozgov vozidla mimo palubu, čo umožňuje opätovné použitie a flexibilitu v rámci softvéru, ale predstavuje aj nové hrozby. Podľa rovnakej správy Upstream sa 40 % útokov za posledných niekoľko rokov zameralo na servery typu back-end. „Neklamme sa,“ varuje Juan Webb, výkonný riaditeľ z Kugler Maag Cie, „v celom automobilovom reťazci je veľa miest, kde môže dôjsť k útokom, od výroby cez predajcu až po offboard servery. Všade tam, kde existuje najslabší článok, na ktorý je najlacnejšie preniknúť s najväčšími finančnými dôsledkami, tam hackeri zaútočia.“

Časť toho, o čom sa diskutovalo na escare, boli zlé správy-dobré správy (v závislosti od vášho pohľadu) predpis EHK OSN vstúpi do platnosti tento týždeň pre všetky nové typy vozidiel: výrobcovia musia preukázať robustný systém riadenia kybernetickej bezpečnosti (CSMS) a systém riadenia aktualizácie softvéru (SUMS) pre vozidlá, ktoré majú byť certifikované na predaj v Európe, Japonsku a prípadne v Kórei. „Príprava na tieto certifikácie nie je malá námaha,“ hovorí Thomas Liedtke, špecialista na kybernetickú bezpečnosť tiež z Kugler Maag Cie.

Dobrá správa

V prvom rade je najlepšou správou to, že spoločnosti počuli protestný krik a minimálne začali vštepovať potrebnú prísnosť v boji proti vyššie uvedeným nepriateľom Black Hat. „V rokoch 2020 – 2022 sme zaznamenali nárast korporácií, ktoré chcú vykonať analýzu hrozieb a hodnotenie rizík alebo TARAR
A,“ uvádza Liedtke. "V rámci týchto analýz sa odporúča zamerať sa na diaľkovo ovládané typy útokov, pretože vedú k vyšším hodnotám rizika."

A zdá sa, že všetky tieto analýzy a prísnosť majú spočiatku účinok. Podľa správy, ktorú poskytla Samantha („Sam“) Isabelle Beaumont z IOActive, iba 12 % zraniteľností zistených v ich penetračných testoch v roku 2022 bolo považovaných za „kritický vplyv“ oproti 25 % v roku 2016 a iba 1 % za „kritickú pravdepodobnosť“ oproti 7 % v roku 2016. „Vidíme, že súčasné stratégie na nápravu rizík sa začínajú vyplácať,“ hovorí Beaumont. "Priemysel sa zlepšuje v budovaní lepšie."

Znamená to, že priemysel je hotový? Rozhodne nie. „Toto všetko je nepretržitý proces zosilňovania návrhov proti vyvíjajúcim sa kybernetickým útokom,“ navrhuje Johnson.

Medzitým oslávim poslednú dobrú správu, ktorú som pozbieral: ruskí hackeri sú zaneprázdnení hackovaním ruských aktív a nie mojich sociálnych médií.