Elektrinio ir programinės įrangos sukurto automobilio apsauga

„Putinas yra ad*** galva. Šlovė Ukrainai“.

Štai ką neseniai, be kita ko, skaitė nulaužti elektromobilių įkrovikliai neįgaliųjų įkrovimo stotelėse netoli Maskvos. Ir nors tai sukelia šypseną daugelio žmonių veiduose visame pasaulyje, jis pabrėžia keleto mokslininkų ir kūrėjų, susirinkusių praėjusią savaitę Escar 2022 (konferencija, kurioje kasmet daugiausia dėmesio skiriama giliems techniniams automobilių kibernetinio saugumo patobulinimams): automobilių įsilaužimų daugėja. Tiesą sakant, per „Upstream Automotive“ ataskaita, kibernetinių atakų dažnis nuo 225 m. iki 2018 m. išaugo 2021 %, 85 % įvykdytų nuotoliniu būdu, o 54.1 % 2021 m. įsilaužimų buvo „Juodosios kepurės“ (dar žinomi kaip kenkėjiški) užpuolikai.

Šioje konferencijoje klausantis įvairių, realaus pasaulio pranešimų, paaiškėjo keli dalykai: yra ir gerų, ir blogų naujienų, pagrįstų nuolatiniu dėmesiu šioje kritinėje srityje.

Blogos naujienos

Paprasčiausiai tariant, bloga žinia yra ta, kad dėl technologijų pažangos pirmosios dienos įvykių tikimybė tik didėja. „Elektrinės transporto priemonės kuria daugiau technologijų, o tai reiškia, kad yra daugiau grėsmių ir grėsmių paviršių“, – teigė Jay'us Johnsonas, pagrindinis „Sandia National Laboratories“ tyrimas. „46,500 m. jau yra 2021 2030 įkroviklių, o 600,000 m. rinkos paklausa rodo, kad jų bus maždaug XNUMX XNUMX. Johnsonas toliau apibūdino keturias pagrindines dominančias sąsajas ir preliminarų nustatytų pažeidžiamumų poaibį kartu su rekomendacijomis, tačiau žinia buvo aiški: turi būti nuolatinis „šaukimas į ginklą“. Jis teigia, kad tai yra vienintelis būdas išvengti tokių dalykų kaip paslaugų atsisakymo (DoS) atakos Maskvoje. „Mokslininkai ir toliau nustato naujus pažeidžiamumus, – teigia Johnsonas, – ir mums tikrai reikia visapusiško požiūrio į dalijimąsi informacija apie anomalijas, pažeidžiamumą ir reagavimo strategijas, kad išvengtume koordinuotų, plačiai paplitusių atakų prieš infrastruktūrą.

Elektromobiliai ir su jais susijusios įkrovimo stotelės nėra vienintelės naujos technologijos ir grėsmės. „Programinės įrangos apibrėžta transporto priemonė“ yra pusiau nauja architektūrinė platforma (*prieš 15 ir daugiau metų ją naudojo „General Motors“GM
ir OnStar), kad kai kurie gamintojai ketina kovoti su iššvaistomi milijardai dolerių nuolat atnaujinant kiekvieną transporto priemonę. Pagrindinė struktūra apima didžiosios dalies transporto priemonės smegenų prieglobą, o tai leidžia pakartotinai naudoti programinę įrangą ir lankstumą, tačiau taip pat kelia naujų grėsmių. Remiantis ta pačia Upstream ataskaita, 40 % atakų per pastaruosius kelerius metus buvo nukreiptos į galinius serverius. „Neapgaukime savęs“, – įspėja Juanas Webbas, „Kugler Maag Cie“ generalinis direktorius, – visoje automobilių grandinėje yra daug vietų, kur gali įvykti atakos – nuo ​​gamybos iki platintojų iki išorinių serverių. Ten, kur yra silpniausia grandis, į kurią prasiskverbti pigiausia, turinti didžiausių finansinių pasekmių, ten įsilaužėliai puls.

Dalis to, kas buvo aptarta per escar, buvo blogos naujienos, geros naujienos (priklausomai nuo jūsų perspektyvos). UNECE reglamentas Šią savaitę įsigalioja visų naujų tipų transporto priemonėms: gamintojai turi parodyti patikimą kibernetinio saugumo valdymo sistemą (CSMS) ir programinės įrangos atnaujinimo valdymo sistemą (SUMS), kad transporto priemonės būtų sertifikuotos parduoti Europoje, Japonijoje ir galiausiai Korėjoje. „Pasiruošimas šiems sertifikatams gauti yra nemenkas pastangas“, – teigia Thomas Liedtke, kibernetinio saugumo specialistas, taip pat iš Kugler Maag Cie.

Geros naujienos

Visų pirma, geriausia žinia ta, kad įmonės išgirdo mitingo šauksmą ir minimaliai pradėjo diegti reikiamą griežtumą, kad galėtų kovoti su jau minėtais Black Hat priešais. „2020–2022 metais padaugėjo korporacijų, norinčių atlikti grėsmių analizę ir rizikos vertinimą arba TAR.AR
A“, – teigia Liedtke. „Atliekant šias analizes, buvo rekomenduojama sutelkti dėmesį į nuotoliniu būdu valdomus atakų tipus, nes jie padidina rizikos vertes.

Ir iš pradžių atrodo, kad visa ši analizė ir griežtumas turi įtakos. Remiantis Samantha („Sam“) Isabelle Beaumont iš IOActive pateikta ataskaita, tik 12 % pažeidžiamumų, aptiktų atliekant 2022 m. skverbties testą, buvo laikomi "kritiniu poveikiu", palyginti su 25 % 2016 m., ir tik 1 % buvo "kritinė tikimybė" 7 proc. 2016 m. „Matome, kad dabartinės rizikos ištaisymo strategijos pradeda pasiteisinti“, – teigia Beaumont. „Pramonė vis geriau kuria geriau.

Ar tai reiškia, kad pramonė baigta? Tikrai ne. „Visa tai yra nuolatinis projektų tvirtinimo nuo besivystančių kibernetinių atakų procesas“, – teigia Johnsonas.

Tuo tarpu švęsiu paskutinę gerą žinią, kurią gavau: Rusijos įsilaužėliai yra užsiėmę įsilaužimu į Rusijos turtą, o ne į mano socialinės žiniasklaidos kanalą.