في غضون يومين فقط في Pwn2Own 2024 في طوكيو، تمكن الباحثون من اختراق مجموعة من شواحن السيارات الكهربائية وأنظمة التشغيل ومكونات Tesla، واكتشفوا العشرات من ثغرات يوم الصفر على طول الطريق.
وقد تعاملت لعبة Pwn2Own العام الماضي في فانكوفر مع السيارات باعتبارها سطحًا للهجوم، مضيفة سيارات Teslas إلى المزيج جنبًا إلى جنب مع المسابقات لاختراق المزيد من الخوادم التقليدية وتطبيقات المؤسسات والمتصفحات وما شابه. لكن حدث هذا العام سار على قدم وساق، وكانت النتائج مفيدة. في اليوم الأول وحدهم، أظهر المتسابقون 24 يومًا صفريًا فريدًا، مما أكسبهم 722,500 دولار من المكاسب. اليوم الثاني شهدنا 20 مآثر جديدة، واليوم الثالث الأخير يعد بتسعة برمجيات إكسبلويت أخرى.
يقول داستن تشايلدز، رئيس قسم التوعية بالتهديدات في مبادرة Zero Day (ZDI) التابعة لشركة Trend Micro، وهي المجموعة التي تستضيف هذا الحدث: "أصبحت المركبات على نحو متزايد عبارة عن نظام معقد من الأنظمة". "لم يكن هناك الكثير من الأبحاث في هذا المجال في الماضي، واستنادا إلى تجربتنا، فإن الافتقار إلى التدقيق الخارجي يعني أنه من الممكن أن يكون هناك الكثير من القضايا الأمنية."
اختراق سيارات تسلا
الحدث الذي احتل العناوين الرئيسية في Pwn2Own العام الماضي كان عندما تمكن فريق من Synacktiv ومقره تولوز من خرق سيارة تسلا موديل 3 في أقل من دقيقتين.
هذا العام، عادت Synacktiv مع مآثر محطات شحن Ubiquiti Connect وJuiceBox 40 Smart EV، وChargePoint Home Flex (أداة شحن EV في المنزل)، وAutomotive Grade Linux التي لا تحتاج إلى شرح. ومع ذلك، كانت أبرز إنجازاتها عبارة عن سلسلة استغلال لثلاثة أخطاء ضد مودم Tesla، وسلسلة من ثغرتين ضد نظام المعلومات والترفيه الخاص بها، حيث حصل كل منهما على جائزة نقدية قدرها 100,000 دولار.
وفقًا لقواعد الحدث، أمام البائعين 90 يومًا لإصلاح عيوبهم الأمنية قبل السماح لهم بالكشف عنها علنًا. ولكن في رسالة بريد إلكتروني من طوكيو، قدم المفرقعون Synacktiv إلى Dark Reading نظرة عامة عالية المستوى حول شكل الهجمات:
"يتم إرسال الهجوم من هوائي GSM الذي يحاكي BTS (مشغل اتصالات مارق). وكتبوا أن الثغرة الأولى تمنح الوصول الجذري إلى بطاقة مودم Tesla. "ينتقل الهجوم الثاني من المودم إلى نظام المعلومات والترفيه. وتجاوز ميزات الأمان في هذه العملية، من الممكن الوصول إلى معدات متعددة في السيارة مثل المصابيح الأمامية، ومساحات الزجاج الأمامي، أو فتح صندوق السيارة والأبواب.
يقول رينو فيل، الرئيس التنفيذي لشركة Synacktiv، إنه بالنسبة لـ Teslas، "إنها عملة ذات وجهين. إنها سيارة ذات سطح هجوم ضخم - كل شيء في سيارة تيسلا هو تكنولوجيا المعلومات. لكن لديهم أيضًا فريق أمني قوي ويحاولون إيلاء الكثير من الاهتمام للأمن. لذا فهو هدف ضخم، لكنه هدف صعب”.
السيارات الحديثة على مفترق الطرق
يقول فيل: "إن سطح الهجوم للسيارة ينمو، ويزداد إثارة للاهتمام، لأن الشركات المصنعة تضيف اتصالات لاسلكية، وتطبيقات تسمح لك بالوصول إلى السيارة عن بعد عبر الإنترنت".
كين تيندل، كبير مسؤولي التكنولوجيا في Canis Automotive Labs، يؤيد هذه النقطة. "الأمر المثير للاهتمام حقًا هو كيف أن إعادة استخدام الحوسبة السائدة في السيارات تجلب جميع المشكلات الأمنية للحوسبة السائدة إلى السيارات."
ويوضح قائلاً: "لقد كانت السيارات تتمتع بهذا العالمين لمدة 20 عامًا على الأقل". أولاً، "لديك حوسبة سائدة (ليست جيدة جداً) في نظام المعلومات والترفيه. لقد كان لدينا هذا في السيارات لفترة من الوقت، وكان مصدرًا لعدد كبير من نقاط الضعف - في تقنية Bluetooth، وWi-Fi، وما إلى ذلك. ثم لديك إلكترونيات التحكم، وكلاهما مجالان منفصلان تمامًا. بالطبع، ستواجه مشكلات عند استخدام نظام المعلومات والترفيه في ذلك الوقت يبدأ في لمس حافلة CAN هذا يتحدث إلى الفرامل والمصابيح الأمامية وأشياء من هذا القبيل.
إنها معضلة ينبغي أن تكون مألوفة لممارسي التكنولوجيا التشغيلية: إدارة معدات تكنولوجيا المعلومات جنبًا إلى جنب مع الآلات ذات الأهمية الحيوية للسلامة، بحيث يمكن للاثنين العمل معًا دون نشر إزعاجات الأول إلى الأخير. وبطبيعة الحال، فإن دورات حياة المنتج المتباينة بين تكنولوجيا المعلومات وتقنية التكنولوجيا التشغيلية - السيارات التي تدوم لفترة أطول بكثير من أجهزة الكمبيوتر المحمولة، على سبيل المثال - والتي لا تؤدي إلا إلى جعل الفجوة أقل اتساعًا.
كيف قد يبدو أمن السيارة
للحصول على صورة توضح أين يتجه الأمن السيبراني للمركبات، يمكن للمرء أن يبدأ بالمعلومات والترفيه - وهو أكبر سطح للهجوم وأكثره وضوحًا في السيارات اليوم. هنا، كانت هناك مدرستان فكريتان تتطوران.
"الأول هو: دعونا لا ننزعج، لأنك لن تستمر أبدًا في النظر في دورات المنتج في السيارات. Apple CarPlay وAndroid Auto - هذا هو الطريق إلى الأمام. يوضح تيندل أن الشركة المصنعة للسيارة توفر شاشة، ومن ثم يوفر هاتفك عناصر المعلومات والترفيه. "أعتقد أن هذا نهج جيد، لأنه من الواضح أن هاتفك هو مسؤوليتك، وتحافظ شركة Apple على تحديثه، ويتم تصحيحه بالكامل، ثم توفر سيارتك مجرد شاشة."
"المدرسة الفكرية الأخرى هي السماح لهذه الشركات الكبرى بالسيطرة على الوظائف الرئيسية لسياراتك. "قم بترخيص نظام تشغيل من Google، وهو الآن يعادل Google CarPlay، ولكنه متصل مباشرة بالسيارة". مع وجود شركة مثل Google المسؤولة، “توجد آلية تحديث لها، تمامًا كما تقوم بتحديث هواتف Pixel الخاصة بها. والسؤال هو، بعد 10 سنوات، هل ستستمر في الحصول على تحديثات لسيارتك عندما تشعر جوجل بالملل وتحاول إغلاقها؟
ولكن حتى لو تمكن المصنعون من الضغط على جزء واحد من سطح الهجوم (وهو أمر غير محتمل) أو الاستعانة بمصادر خارجية لمسؤولية الإشراف عليه لأطراف ثالثة (بشكل غير كامل)، فقد أثبت Pwn2Own 2024 أنهم سيظلون يواجهون المزيد من المشكلات التي يتعين عليهم أخذها في الاعتبار: أجهزة شحن لأجهزة المودم وأنظمة التشغيل والمزيد.
حيث يجب أن تذهب الصناعة
بالنسبة لتيندل، ما يهم حقًا هو إبقاء الحوسبة السائدة معزولة عن أنظمة التحكم، بحيث تكون هناك نقطة اختناق. ويضيف: "لسوء الحظ، لم يتم تطوير بعض نقاط الاختناق حتى الآن بشكل جيد، ويمكنك التغلب عليها في نهاية سلسلة من عمليات الاستغلال".
يقول فيل من شركة Synacktiv: "أعتقد أنهم يعرفون ما يجب عليهم فعله". "إنها نفس العملية التي تنطبق على بقية صناعة تكنولوجيا المعلومات: الاستثمار في الأمن السيبراني، وإجراء بعض عمليات التدقيق، واختراق الأشياء الخاصة بك حتى يصبح من الصعب للغاية اختراقها."
ويعتقد أن وصول الشركات المصنعة إلى هذه النقطة قد يتطلب بعض التدخل الخارجي. يقول فيل: "لقد تمكنت الصناعة من التراجع لتقييد التنظيم". "روايتهم هي: إننا نمر بوقت عصيب، لأن الجميع يطلب منا التحول إلى السيارات الكهربائية، وقد يؤثر ذلك على أرباحنا بشكل كبير. ولكن يجب عليهم أن يظهروا أنهم يفعلون شيئًا ما عندما يتعلق الأمر بالأمن السيبراني.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 000
- 10
- 20
- 20 سنة
- 2024
- 24
- 40
- 500
- 7
- a
- ماهرون
- الوصول
- حسابي
- الإنجازات
- مضيفا
- يضيف
- تؤثر
- ضد
- الكل
- السماح
- سمح
- وحده
- على طول
- جنبا إلى جنب
- أيضا
- an
- و
- الروبوت
- تفاح
- التطبيقات
- ينطبق
- نهج
- هي
- المنطقة
- AS
- يسأل
- At
- مهاجمة
- الهجمات
- اهتمام
- التدقيق
- السيارات
- السيارات
- وعي
- الى الخلف
- على أساس
- BE
- لان
- أن تصبح
- كان
- قبل
- يعتقد
- ما بين
- كبير
- أكبر
- بلوتوث
- بالملل
- يزعج
- الملابس السفلية
- يجلب
- المتصفحات
- لكن
- CAN
- سيارة
- فيزا وماستركارد
- cars
- النقد
- الرئيس التنفيذي
- سلسلة
- تهمة
- شحن
- رئيس
- الرئيس التنفيذي للتكنولوجيا
- بوضوح
- عملة
- يأتي
- الشركات
- حول الشركة
- المسابقات
- مجمع
- مكونات
- تسوية
- الحوسبة
- التواصل
- النظر
- مراقبة
- لغز
- استطاع
- الدورة
- صدع
- الأمن السيبراني
- دورات
- غامق
- قراءة مظلمة
- التاريخ
- يوم
- أيام
- تظاهر
- تطوير
- صعبة
- مباشرة
- حماقة
- do
- فعل
- المجالات
- فعل
- الأبواب
- إلى أسفل
- عشرات
- كل
- الأرباح
- كهربائي
- السيارات الكهربائية
- السيارة الكهربائية
- الإلكترونيات
- البريد الإلكتروني
- النهاية
- مشروع
- معدات
- معادل
- EV
- حتى
- الحدث/الفعالية
- كل شخص
- كل شىء
- الخبره في مجال الغطس
- ويوضح
- استغلال
- مآثر
- خارجي
- زائف
- مألوف
- بعيدا
- المميزات
- نهائي
- الاسم الأول
- العيوب
- في حالة
- سابق
- إلى الأمام
- تبدأ من
- بالإضافة إلى
- وظائف
- فجوة
- أعطى
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- يعطي
- الذهاب
- خير
- شراء مراجعات جوجل
- حصلت
- درجة
- تجمع
- متزايد
- الإختراق
- الخارقة
- كان
- الثابت
- يملك
- ملاذ
- وجود
- he
- رئيس
- بشكل كبير
- هنا
- رفيع المستوى
- الصفحة الرئيسية
- استضافة
- كيفية
- HTTPS
- ضخم
- i
- if
- صورة
- أهمية
- in
- على نحو متزايد
- العالمية
- مبادرة
- وكتابة مواضيع مثيرة للاهتمام
- Internet
- تدخل
- إلى
- استثمر
- مسائل
- IT
- صناعة تكنولوجيا المعلومات
- انها
- JPG
- يقفز
- م
- احتفظ
- يحتفظ
- القفل
- علم
- مختبرات
- نقص
- أجهزة الكمبيوتر المحمولة
- اسم العائلة
- العام الماضي
- دائم
- الأقل
- أقل
- اسمحوا
- حقوق الملكية الفكرية
- الحياة
- مثل
- خط
- لينكس
- ll
- يعد
- بحث
- بدا
- الكثير
- آلية
- التيار
- جعل
- إدارة
- تمكن
- إدارة
- الشركة المصنعة
- الشركات المصنعة
- مايو..
- يعني
- آلية
- معدن
- الصغير
- ربما
- مزيج
- نموذج
- الأكثر من ذلك
- أكثر
- كثيرا
- متعدد
- يجب
- سردية
- أبدا
- جديد
- تسعة
- جدير بالذكر
- الآن
- عدد
- واضح
- of
- خصم
- امين شرطة منزل فؤاد
- on
- مرة
- ONE
- فقط
- جاكيت
- تعمل
- نظام التشغيل
- أنظمة التشغيل
- عامل
- or
- أخرى
- لنا
- في الخارج
- الاستعانة بمصادر خارجية
- على مدى
- الإشراف
- نظرة عامة
- جزء
- الأحزاب
- الماضي
- للهواتف
- الهواتف
- بكسل
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- ممكن
- جائزة
- مشاكل
- عملية المعالجة
- المنتج
- وعود
- ويوفر
- توفير
- علانية
- دفع
- إدفع إلى الخلف
- Pwn2Own
- سؤال
- RE
- نادي القراءة
- في الحقيقة
- اللائحة
- بعد
- تطلب
- بحث
- الباحثين
- مسؤولية
- REST
- بتقييد
- النتائج
- إعادة استخدام
- جذر
- القواعد
- s
- نفسه
- رأى
- قول
- يقول
- المدرسة
- المدارس
- شاشة
- فحص دقيق
- الثاني
- ثواني
- أمن
- أرسلت
- مستقل
- خوادم
- يخدم
- ينبغي
- إظهار
- غلق
- سمارت
- So
- حتى الآن
- بعض
- شيء
- مصدر
- الانتشار
- ضغط
- بداية
- محطات
- لا يزال
- قوي
- هذه
- المساحة
- مفاتيح
- نظام
- أنظمة
- أخذ
- الحديث
- الهدف
- فريق
- التكنولوجيا
- تكنولوجيا
- الاتصالات
- تسلا
- Teslas
- من
- أن
- •
- المصدر
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- شيء
- اعتقد
- الثالث
- طرف ثالث
- هذا العام
- على الرغم من؟
- فكر
- التهديد
- الوقت
- إلى
- اليوم
- سويا
- طوكيو
- أداة
- تواصل
- صارم
- تقليدي
- اكثر شيوعا
- محاولة
- اثنان
- مع
- لسوء الحظ
- فريد من نوعه
- من غير المحتمل
- حتى
- تحديث
- آخر التحديثات
- us
- فانكوفر
- إلى حد كبير
- Ve
- المثالية
- السيارات
- الباعة
- جدا
- نقاط الضعف
- الضعف
- وكان
- طريق..
- we
- حسن
- ذهب
- ابحث عن
- ما هي تفاصيل
- متى
- التي
- في حين
- واي فاي
- المكاسب
- لاسلكي
- مع
- بدون
- للعمل
- العمل معا
- العالم
- كتب
- عام
- سنوات
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- صفر
- يوم الصفر
- نقاط الضعف في اليوم صفر