Ochrona samochodu elektrycznego i zdefiniowanego programowo

„Putin jest głupcem. Chwała Ukrainie."

Tak niedawno czytały zhakowane ładowarki pojazdów elektrycznych między innymi na niepełnosprawnych stacjach ładowania pod Moskwą. I choć wywołuje uśmiech na twarzach wielu ludzi na całym świecie, podkreśla uwagę kilku badaczy i programistów, którzy zebrali się w zeszłym tygodniu na eskar 2022 (konferencja, która każdego roku koncentruje się na głębokich, technicznych postępach w cyberbezpieczeństwie motoryzacyjnym): liczba hakerów samochodowych rośnie. W rzeczywistości per Raport Upstream Automotive, częstotliwość cyberataków wzrosła aż o 225% od 2018 do 2021 r., przy czym 85% przeprowadzono zdalnie, a 54.1% włamań w 2021 r. to ataki typu „Black Hat” (zwane też złośliwymi).

W trakcie słuchania różnych, rzeczywistych raportów na tej konferencji, kilka rzeczy stało się oczywistych: są zarówno dobre, jak i złe wieści, oparte na nieodzownym skupieniu się na tym krytycznym obszarze.

Bad News

Mówiąc najprościej, złą wiadomością jest to, że postęp technologiczny tylko zwiększa prawdopodobieństwo wydarzeń pierwszego dnia. „Pojazdy elektryczne tworzą więcej technologii, co oznacza, że ​​jest więcej zagrożeń i powierzchni zagrożeń” — powiedział Jay Johnson, główny badacz z Sandia National Laboratories. „Do 46,500 r. dostępnych jest już 2021 2030 ładowarek, a do 600,000 r. popyt rynkowy sugeruje, że będzie ich około XNUMX XNUMX”. Następnie Johnson nakreślił cztery główne interesujące nas interfejsy oraz wstępny podzbiór zidentyfikowanych luk w zabezpieczeniach wraz z zaleceniami, ale przesłanie było jasne: konieczne jest ciągłe „wezwanie do broni”. Sugeruje, że to jedyny sposób na uniknięcie takich rzeczy, jak ataki Denial of Service (DoS) w Moskwie. „Naukowcy nadal identyfikują nowe luki w zabezpieczeniach”, stwierdza Johnson, „i naprawdę potrzebujemy kompleksowego podejścia do udostępniania informacji o anomaliach, lukach i strategiach reagowania, aby uniknąć skoordynowanych, powszechnych ataków na infrastrukturę”.

Samochody elektryczne i związane z nimi stacje ładowania to nie jedyne nowe technologie i zagrożenia. „Pojazd definiowany programowo” to pół-nowa platforma architektoniczna (*prawdopodobnie stosowana 15+ lat temu przez General MotorsGM
i OnStar), że niektórzy producenci zmierzają do walki z marnowane miliardy dolarów na ciągłym przebudowie każdego pojazdu. Podstawowa struktura obejmuje hostowanie wielu mózgów pojazdu poza platformą, co pozwala na ponowne wykorzystanie i elastyczność oprogramowania, ale także przedstawia nowe zagrożenia. Zgodnie z tym samym raportem Upstream, 40% ataków w ciągu ostatnich kilku lat było skierowanych na serwery zaplecza. „Nie oszukujmy się”, ostrzega Juan Webb, dyrektor zarządzający firmy Kugler Maag Cie, „w całym łańcuchu motoryzacyjnym jest wiele miejsc, w których mogą wystąpić ataki, począwszy od produkcji, przez dealerów, po serwery zewnętrzne. Hakerzy zaatakują wszędzie tam, gdzie istnieje najsłabsze ogniwo, które jest najtańsze do penetracji i ma największe konsekwencje finansowe.

Częścią tego, o czym dyskutowano na escar, były złe-dobre-wiadomości (w zależności od punktu widzenia) Regulamin EKG ONZ wejdzie w życie w tym tygodniu dla wszystkich nowych typów pojazdów: producenci muszą przedstawić solidny system zarządzania cyberbezpieczeństwem (CSMS) i system zarządzania aktualizacjami oprogramowania (SUMS) dla pojazdów, które mają być certyfikowane do sprzedaży w Europie, Japonii i ostatecznie w Korei. „Przygotowanie do tych certyfikatów to niemały wysiłek”, mówi Thomas Liedtke, specjalista ds. cyberbezpieczeństwa, również z Kugler Maag Cie.

Dobre wieści

Przede wszystkim najlepszą wiadomością jest to, że firmy usłyszały okrzyk rajdowy i minimalnie zaczęły wpajać niezbędny rygor, aby walczyć z wyżej wymienionymi wrogami Black Hat. „W latach 2020-2022 obserwujemy wzrost liczby korporacji chcących przeprowadzić Analizę Zagrożeń i Ocenę Ryzyka lub TARAR
A”, stwierdza Liedtke. „W ramach tych analiz zalecono skupienie się na zdalnie sterowanych typach ataków, ponieważ prowadzą one do wyższych wartości ryzyka”.

I cała ta analiza i rygor początkowo wydają się mieć wpływ. Według raportu Samanthy („Sam”) Isabelle Beaumont z IOActive tylko 12% luk wykrytych w ich testach penetracyjnych w 2022 r. uznano za „Krytyczny wpływ” w porównaniu z 25% w 2016 r., a tylko 1% za „Krytyczne prawdopodobieństwo” w porównaniu z 7% w 2016 r. „Obserwujemy, jak obecne strategie przeciwdziałania ryzyku zaczynają się opłacać”, stwierdza Beaumont. „Branża coraz lepiej buduje”.

Czy to oznacza, że ​​branża jest skończona? Zdecydowanie nie. „Wszystko to jest ciągłym procesem wzmacniania projektów przed ewoluującymi cyberatakami” — sugeruje Johnson.

W międzyczasie będę świętować ostatnią dobrą wiadomość, jaką zdobyłem: rosyjscy hakerzy są zajęci hakowaniem rosyjskich aktywów, a nie mojego kanału w mediach społecznościowych.