Захист електричного та програмно-визначеного автомобіля

«Путін — голова. Слава Україні».

Ось що нещодавно, серед іншого, читали зламані зарядні пристрої для електромобілів на підмосковних зарядних станціях для інвалідів. І незважаючи на те, що він викликає посмішку на обличчях багатьох людей по всьому світу, він підкреслює те, що було висловлено кількома дослідниками та розробниками, які зібралися минулого тижня в Ескар 2022 (конференція, яка зосереджується на глибоких технічних розробках у сфері автомобільної кібербезпеки щороку): автомобільні хаки стають на підйомі. Насправді, пер Звіт Upstream Automotive, частота кібератак зросла на колосальні 225% з 2018 по 2021 рік, причому 85% здійснювалося дистанційно, а 54.1% зломів 2021 року були зловмисниками «Black Hat» (він же зловмисними).

Під час прослуховування різноманітних реальних доповідей на цій конференції стало очевидним кілька речей: є як хороші новини, так і погані новини, які базуються на постійно необхідному фокусуванні в цій критичній області.

Погані новини

Простіше кажучи, погана новина полягає в тому, що технологічний прогрес лише збільшує ймовірність подій першого дня. «Електричні транспортні засоби створюють більше технологій, а це означає, що існує більше загроз і поверхонь загроз», – заявив Джей Джонсон, головний дослідник із Національних лабораторій Сандія. «Станом на 46,500 рік вже доступно 2021 2030 зарядних пристроїв, а до 600,000 року ринковий попит припускає, що їх буде приблизно XNUMX XNUMX». Далі Джонсон окреслив чотири основних інтерфейси, що представляють інтерес, і попередню підмножину виявлених вразливостей разом із рекомендаціями, але послання було зрозумілим: має бути постійний «заклик до зброї». Він припускає, що це єдиний спосіб уникнути таких речей, як атаки відмови в обслуговуванні (DoS) у Москві. «Дослідники продовжують виявляти нові вразливі місця, — стверджує Джонсон, — і нам дійсно потрібен комплексний підхід до обміну інформацією про аномалії, вразливості та стратегії реагування, щоб уникнути скоординованих, широко поширених атак на інфраструктуру».

Електромобілі та пов’язані з ними зарядні станції – не єдині нові технології та загрози. «Програмно-визначений транспортний засіб» — це напівнова архітектурна платформа (*, можливо, використовувалася понад 15 років тому General MotorsGM
та OnStar), що деякі виробники збираються боротися з цим витрачаються мільярди доларів на постійний ремонт кожного транспортного засобу. Основна структура передбачає розміщення значної частини мозку автомобіля поза бортом, що дозволяє повторно використовувати та гнучко використовувати програмне забезпечення, але також створює нові загрози. Згідно з тим же звітом Upstream, 40% атак за останні кілька років були спрямовані на внутрішні сервери. «Давайте не обманювати себе, — попереджає Хуан Вебб, керуючий директор Kugler Maag Cie, — у всьому автомобільному ланцюжку є багато місць, де можуть відбуватися атаки, починаючи від виробництва і закінчуючи дилерськими центрами та позабортними серверами. Там, де існує найслабша ланка, проникнення якої найдешевше з найбільшими фінансовими наслідками, саме там хакери атакуватимуть».

Частина того, що обговорювалося на escar, була погана новина-хороша новина (залежно від вашої точки зору) Регламент ЄЕК ООН набуде чинності цього тижня для всіх нових типів транспортних засобів: виробники повинні продемонструвати надійну систему керування кібербезпекою (CSMS) та систему керування оновленням програмного забезпечення (SUMS) для автомобілів, які будуть сертифіковані для продажу в Європі, Японії та, зрештою, Кореї. «Підготовка до цих сертифікацій – невелика робота», – каже Томас Лідтке, спеціаліст із кібербезпеки також із Kugler Maag Cie.

Добрі новини

Перш за все, найкраща новина полягає в тому, що компанії почули клич згуртування і почали мінімально прищеплювати необхідну суворість для боротьби з вищезгаданими ворогами Black Hat. «У 2020-2022 роках ми спостерігали збільшення кількості корпорацій, які бажають провести аналіз загроз та оцінку ризиків або TARAR
А», – зазначає Лідтке. «У рамках цього аналізу рекомендація полягала в тому, щоб зосередитися на дистанційно керованих типах атак, оскільки вони призводять до більш високих значень ризику».

І весь цей аналіз і суворість спочатку, здається, дають ефект. Згідно зі звітом, наданим Самантою («Сем») Ізабель Бомонт з IOActive, лише 12% уразливостей, виявлених під час їхнього тестування на проникнення 2022 року, були визнані «критичним впливом» проти 25% у 2016 році, і лише 1% був «критичною ймовірністю» проти 7% у 2016 році. «Ми бачимо, що нинішні стратегії усунення ризиків починають приносити свої плоди», – стверджує Бомонт. «Галузь стає кращою в будівництві».

Чи означає це, що галузь закінчена? Звичайно, ні. «Усе це є безперервним процесом зміцнення дизайну проти еволюціонуючих кібератак», — припускає Джонсон.

Тим часом я відсвяткую останню хорошу новину, яку я почерпнув: російські хакери зайняті зломом російських активів, а не моєї стрічки соціальних мереж.