Абарона электрычнага і праграмнага забеспячэння аўтамабіля

«Пуцін - рэклама. Слава Ўкраіне».

Вось што нядаўна чыталі ўзламаныя зарадныя прылады для электрамабіляў на адключаных падмаскоўных зарадных станцыях. І як бы гэта ні выклікала ўсмешку на тварах многіх людзей ва ўсім свеце, яно падкрэслівае думку некалькіх даследчыкаў і распрацоўшчыкаў, якія сабраліся на мінулым тыдні ў Эскар 2022 (канферэнцыя, якая штогод засяроджваецца на глыбокіх тэхнічных распрацоўках у аўтамабільнай кібербяспецы): аўтамабільныя хакі растуць. Фактычна пер Справаздача Upstream Automotive, частата кібератак павялічылася на каласальныя 225 % з 2018 па 2021 год, прычым 85 % праводзіліся дыстанцыйна, а 54.1 % узломаў у 2021 году былі зламыснікамі «Чорнага капелюша» (яны ж шкоднасныя).

Падчас праслухоўвання розных дакладаў з рэальнага свету на гэтай канферэнцыі стала відавочна некалькі рэчаў: ёсць як добрыя, так і дрэнныя навіны, заснаваныя на тым, што ў гэтай найважнейшай вобласці пастаянна патрабуецца ўвага.

Дрэнныя навіны

Прасцей кажучы, дрэнная навіна заключаецца ў тым, што тэхналагічны прагрэс толькі павялічвае верагоднасць падзей першага дня. «Электрычныя транспартныя сродкі ствараюць усё больш тэхналогій, што азначае, што з'яўляецца больш пагроз і паверхняў пагрозы», - заявіў Джэй Джонсан, кіраўнік даследаванняў Нацыянальнай лабараторыі Сандыя. «Па стане на 46,500 год ужо даступна 2021 2030 зарадных прылад, а да 600,000 года рынкавы попыт мяркуе, што іх будзе каля XNUMX XNUMX». Далей Джонсан акрэсліў чатыры асноўныя інтэрфейсы, якія ўяўляюць цікавасць, і папярэднюю падгрупу выяўленых уразлівасцей разам з рэкамендацыямі, але паведамленне было ясным: неабходна працягваць «заклік да зброі». Гэта, мяркуе ён, адзіны спосаб пазбегнуць такіх рэчаў, як атакі адмовы ў абслугоўванні (DoS) у Маскве. «Даследчыкі працягваюць выяўляць новыя ўразлівасці, - заяўляе Джонсан, - і нам сапраўды патрэбны комплексны падыход да абмену інфармацыяй аб анамаліях, уразлівасцях і стратэгіях рэагавання, каб пазбегнуць скаардынаваных, шырока распаўсюджаных нападаў на інфраструктуру».

Электрамабілі і звязаныя з імі зарадныя станцыі - не адзіныя новыя тэхналогіі і пагрозы. «Праграмна вызначаны транспартны сродак» - гэта напалову новая архітэктурная платформа (*магчыма, выкарыстоўвалася General Motors больш за 15 гадоў тамуGM
і OnStar), што некаторыя вытворцы збіраюцца змагацца з мільярды даляраў марнуюцца на пастаяннай рэканструкцыі кожнага аўтамабіля. Базавая структура прадугледжвае размяшчэнне большай часткі мазгоў аўтамабіля па-за бортам, што дазваляе шматразовае выкарыстанне і гнуткасць праграмнага забеспячэння, але таксама стварае новыя пагрозы. Згодна з той жа справаздачай Upstream, 40% нападаў за апошнія некалькі гадоў былі накіраваны на серверы сервераў. «Не будзем падманваць сябе, - папярэджвае Хуан Уэб, кіраўнік дырэктар кампаніі Kugler Maag Cie, - у аўтамабільнай сетцы шмат месцаў, дзе могуць адбыцца атакі, пачынаючы ад вытворчасці і заканчваючы дылерскімі цэнтрамі і заканчваючы пазабортавымі серверамі. Усюды, дзе існуе самае слабое звяно, якое танней за ўсё пранікнуць з найбольшымі фінансавымі наступствамі, менавіта там хакеры будуць атакаваць».

Там частка таго, што абмяркоўвалася на escar, была дрэннай-добрай-навіной (у залежнасці ад вашага пункту гледжання) Рэгламент ЕЭК ААН уступае ў сілу на гэтым тыдні для ўсіх новых тыпаў транспартных сродкаў: вытворцы павінны паказаць надзейную сістэму кіравання кібербяспекай (CSMS) і сістэму кіравання абнаўленнямі праграмнага забеспячэння (SUMS) для аўтамабіляў, якія будуць сертыфікаваны для продажу ў Еўропе, Японіі і, у канчатковым выніку, у Карэі. "Падрыхтоўка да гэтых сертыфікатаў - гэта немалая праца", - сцвярджае Томас Лідтке, спецыяліст па кібербяспецы таксама з Kugler Maag Cie.

Добрыя навіны

Перш за ўсё, лепшай навіной з'яўляецца тое, што кампаніі пачулі крык аб'яднання і мінімальна пачалі прывіваць неабходную строгасць для барацьбы з вышэйзгаданымі ворагамі Black Hat. «У 2020-2022 гадах мы назіралі рост карпарацый, якія жадаюць правесці аналіз пагроз і ацэнку рызыкі або TAR.AR
А», — канстатуе Лідтке. «У рамках гэтых аналізаў рэкамендавана засяродзіцца на дыстанцыйна кіраваных тыпах нападаў, паколькі яны прыводзяць да больш высокіх значэнняў рызыкі».

І ўвесь гэты аналіз і строгасць першапачаткова, здаецца, дае эфект. Згодна са справаздачай Саманты ("Сэм") Ізабэль Бомонт з IOActive, толькі 12% уразлівасцяў, выяўленых у іх тэставанні на пранікненне ў 2022 годзе, былі прызнаныя "Крытычным уздзеяннем" у параўнанні з 25% у 2016 годзе, і толькі 1% ​​былі "Крытычна верагоднай" у параўнанні з 7% у 2016 годзе. «Мы бачым, што цяперашнія стратэгіі ліквідацыі рызык пачынаюць акупляцца», — сцвярджае Бомонт. «Прамысловасць паляпшаецца ў будаўніцтве».

Ці азначае гэта, што галіна скончана? Вядома, не. «Усё гэта з'яўляецца бесперапынным працэсам умацавання канструкцый супраць новых кібератак», - мяркуе Джонсан.

Тым часам я буду адзначаць апошнюю добрую навіну, якую я атрымаў: расейскія хакеры занятыя ўзломам расейскіх актываў, а не маёй стужкі ў сацыяльных сетках.