Vaid kahe päevaga Pwn2Own 2024 Tokyos on teadlased ohtu seadnud hulga elektrisõidukite laadijaid, operatsioonisüsteeme ja Tesla komponente ning avastanud kümneid nullpäeva turvaauke.
Eelmisel aastal Vancouveris toimunud Pwn2Own flirtis autodega kui ründepinnaga, lisades Teslade segusse kõrvuti võistlustega, et häkkida traditsioonilisemaid servereid, ettevõtte rakendusi, brausereid ja muud sarnast. Kuid tänavune üritus läks täiega metallile ja tulemused on olnud valgustavad. Esimesel päeval ainuüksi võistlejad demonstreerisid 24 ainulaadset nullpäeva, teenides neile 722,500 XNUMX dollarit võitu. Teine päev nägin 20 uut rünnakut ja viimane, kolmas päev lubab veel üheksat.
"Sõidukid muutuvad üha keerukamaks süsteemide süsteemiks," ütleb Dustin Childs, üritust korraldava grupi Trend Micro Zero Day Initiative'i (ZDI) ohuteadlikkuse juht. "Seda valdkonda ei ole varem palju uuritud ja meie kogemuse põhjal võib välise kontrolli puudumine põhjustada palju turvaprobleeme."
Teslasse häkkimine
Eelmise aasta Pwn2Owni pealkirjade haarav sündmus oli see, kui Toulouse'is asuva Synacktivi meeskonnal õnnestus rikkuge Tesla Model 3 vähem kui kahe minutiga.
Sel aastal on Synacktiv naasnud Ubiquiti Connecti ja JuiceBox 40 Smart EV-i laadimisjaamade, ChargePoint Home Flexi (kodune elektrisõidukite laadimistööriist) ja iseenesestmõistetava Automotive Grade Linuxiga. Selle kõige märkimisväärsemad saavutused on aga olnud kolmest veast koosnev kasutusahel Tesla modemi vastu ja kahe veaga kett selle teabe- ja meelelahutussüsteemi vastu, millest igaüks teenis 100,000 XNUMX dollari suuruse rahalise auhinna.
Ürituse reeglite kohaselt on müüjatel aega 90 päeva oma turbevead kõrvaldada, enne kui neid lubatakse avalikustada. Kuid Tokyost saadetud meilis andsid Synacktivi kreekerid Dark Readingile kõrgetasemelise ülevaate sellest, millised rünnakud välja nägid:
"Rünnak saadetakse GSM-antennilt, mis jäljendab võlts-BTS-i (petturitest telekommunikatsioonioperaatorit). Esimene haavatavus annab juurjuurdepääsu Tesla modemikaardile, ”kirjutasid nad. "Teine rünnak hüppab modemist teabe- ja meelelahutussüsteemi. Ja selle protsessi turvaelementidest mööda minnes on võimalik pääseda juurde mitmele auto varustusele, nagu esituled, klaasipuhastid või avada pakiruum ja uksed.
Synacktivi tegevjuht Renaud Feil ütleb, et Teslas on kahepoolne münt. See on auto, millel on tohutu ründepind – Teslas on kõik IT. Kuid neil on ka tugev turvameeskond ja nad püüavad turvalisusele palju tähelepanu pöörata. Nii et see on tohutu sihtmärk, kuid see on raske sihtmärk.
Kaasaegsed autod ristteel
"Auto ründepind kasvab ja see muutub üha huvitavamaks, sest tootjad lisavad traadita ühendusi ja rakendusi, mis võimaldavad teil autole Interneti kaudu kaugjuurdepääsu," ütleb Feil.
Ken Tindell, Canis Automotive Labsi tehnoloogiajuht, sekundeerib punkti. "Tõeliselt huvitav on see, kuidas nii palju tavapäraste andmetöötluste taaskasutamist autodes toob autodesse kaasa kõik tavaarvutite turbeprobleemid."
"Autodel on see kahe maailma asi olnud vähemalt 20 aastat," selgitab ta. Esiteks, "teil on teabe- ja meelelahutussüsteemis tavapärane andmetöötlus (mitte hästi tehtud). Meil on see juba mõnda aega autodes olnud ja see on olnud tohutu hulga turvaaukude allikas – Bluetoothis, Wi-Fis ja nii edasi. Ja siis on teil juhtimiselektroonika ja need kaks on väga erinevad valdkonnad. Muidugi tekib probleeme, kui see infotainment siis hakkab CAN siini puudutama see räägib pidurite, esitulede ja muu sellisega.
See on mõistatus, mis peaks OT praktikutele tuttav olema: IT-seadmete haldamine koos ohutuskriitiliste masinatega nii, et need kaks saaksid koos töötada, ilma et see levitaks esimeste ebameeldivusi teistele. Ja loomulikult IT- ja OT-tehnoloogia erinevad toote elutsüklid – autod, mis kestavad palju kauem kui näiteks sülearvutid –, mis muudab lõhe veelgi väiksemaks.
Milline võib välja näha auto turvalisus
Sõidukite küberturvalisuse suundumuse pildi saamiseks võiks alustada teabe- ja meelelahutussüsteemist – tänapäeva autode suurimast ja ilmseimast ründepinnast. Siin on arenenud kaks mõttekoolkonda.
„Üks on: ärgem lihtsalt tülitage, sest te ei saa kunagi autode tootetsüklit silmas pidades sammu pidada. Apple CarPlay ja Android Auto – see on tee edasi. Nii et autotootja pakub ekraani ja seejärel pakub teie telefon teabe- ja meelelahutust,” selgitab Tindell. "Ma arvan, et see on hea lähenemine, sest teie telefon on selgelt teie vastutus, Apple hoiab seda ajakohasena, see kõik on paigatud ja teie auto pakub lihtsalt ekraani."
"Teine koolkond on lasta neil suurtel ettevõtetel teie autode põhifunktsioone kontrollida. Litsentsige operatsioonisüsteem Google'ilt ja nüüd on see Google CarPlay ekvivalent, kuid see on otse autosse ühendatud, " ütleb ta. Kuna vastutab selline ettevõte nagu Google, on selle jaoks olemas värskendusmehhanism, nagu see värskendab nende Pixeli telefone. Küsimus on selles, kas saate 10 aasta pärast ikka oma autole värskendusi, kui Google'il hakkab igav ja ta proovib selle välja lülitada?
Kuid isegi kui tootjatel õnnestub üks osa ründepinnast pigistada (ebatõenäoline) või tellida selle järelevalve vastutus kolmandatelt osapooltelt (ebatäiuslikult), on Pwn2Own 2024 näidanud, et neil on veel palju probleeme, millega tuleb arvestada: EV laadijad modemitele, operatsioonisüsteemidele ja muule.
Kuhu tööstus peab minema
Tindelli jaoks on tõesti oluline hoida peavoolu andmetöötluse tulemüür juhtimissüsteemidest eemal, et tekiks tõkestuspunkt. "Kahjuks ei ole mõned tõmbluspunktid siiani olnud väga hästi välja töötatud ja võite need ära lõhkuda rünnakute ahela lõpus," lisab ta.
"Ma arvan, et nad teavad, mida teha," ütleb Synacktiv's Feil. "See on sama protsess, mis kehtib ka ülejäänud IT-tööstuse kohta: investeerige küberturvalisusesse, tehke auditeid, häkkige oma asju, kuni häkkimine muutub väga raskeks."
Ta usub, et tootjate selleni jõudmine võib vajada välist sekkumist. "Tööstus on suutnud reguleerimist piirata, " ütleb Feil. "Nende narratiiv on järgmine: meil on raske aeg, sest kõik paluvad meil elektriautodele üle minna ja see võib meie tulemust tugevalt mõjutada. Kuid nad peavad näitama, et nad teevad midagi küberturvalisuse osas.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :on
- :on
- :mitte
- : kus
- $ UP
- 000
- 10
- 20
- 20 aastat
- 2024
- 24
- 40
- 500
- 7
- a
- Võimalik
- juurdepääs
- konto
- saavutusi
- lisades
- Lisab
- mõjutada
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- lubatud
- üksi
- mööda
- kõrval
- Ka
- an
- ja
- android
- õun
- rakendused
- kehtib
- lähenemine
- OLEME
- PIIRKOND
- AS
- küsib
- At
- rünnak
- Reageerib
- tähelepanu
- auditid
- auto
- auto
- teadlikkus
- tagasi
- põhineb
- BE
- sest
- saada
- olnud
- enne
- usub,
- vahel
- Suur
- suurim
- Bluetooth
- Igav
- vaeva
- põhi
- Toob
- brauserid
- kuid
- CAN
- auto
- kaart
- autod
- Raha
- tegevjuht
- kett
- tasu
- laadimise
- juht
- Chief Technology Officer
- selgelt
- Münt
- tuleb
- Ettevõtted
- ettevõte
- Võistlused
- keeruline
- komponendid
- Kompromissitud
- arvutustehnika
- Võta meiega ühendust
- arvestades
- kontrollida
- nõgusus
- võiks
- Kursus
- pragu
- Küberturvalisus
- tsüklit
- tume
- Tume lugemine
- kuupäev
- päev
- Päeva
- Näidatud
- arenev
- raske
- otse
- erinevad
- do
- teeme
- Domeenid
- tehtud
- uksed
- alla
- kümneid
- iga
- Teenimine
- Starter
- Elektriautode
- elektriauto
- Elektroonika
- lõpp
- ettevõte
- seadmed
- Samaväärne
- EV
- Isegi
- sündmus
- igaüks
- kõik
- kogemus
- Selgitab
- Ekspluateeri
- ärakasutamine
- väline
- võlts
- tuttav
- kaugele
- FUNKTSIOONID
- lõplik
- esimene
- vigu
- eest
- endine
- edasi
- Alates
- täis
- funktsioonid
- lõhe
- andis
- saama
- saamine
- annab
- läheb
- hea
- sain
- klass
- Grupp
- Kasvavad
- näksima
- hacks
- olnud
- Raske
- Olema
- haven
- võttes
- he
- juhataja
- tugevalt
- siin
- kõrgetasemeline
- Avaleht
- Hosting
- Kuidas
- HTTPS
- tohutu
- i
- if
- pilt
- oluline
- in
- üha rohkem
- tööstus
- algatus
- huvitav
- Internet
- sekkumine
- sisse
- Investeeri
- küsimustes
- IT
- IT-tööstus
- ITS
- jpg
- hüppab
- lihtsalt
- hoidma
- hoiab
- Võti
- Teadma
- Labs
- puudus
- sülearvutid
- viimane
- Eelmisel aastal
- kestev
- kõige vähem
- vähem
- laskma
- litsents
- elu
- nagu
- joon
- Linux
- ll
- enam
- Vaata
- Vaatasin
- Partii
- masinad
- mainstream
- tegema
- juhtima
- juhitud
- juhtiv
- Tootja
- Tootjad
- mai..
- vahendid
- mehhanism
- metall
- micro
- võib
- segu
- mudel
- rohkem
- kõige
- palju
- mitmekordne
- peab
- NARRATIIVNE
- mitte kunagi
- Uus
- üheksa
- märkimisväärne
- nüüd
- number
- Ilmne
- of
- maha
- Ohvitser
- on
- kunagi
- ONE
- ainult
- avatud
- tegutsevad
- operatsioonisüsteemi
- operatsioonisüsteemid
- operaator
- or
- Muu
- meie
- väljaspool
- tellida
- üle
- järelevaataja
- ülevaade
- osa
- isikutele
- minevik
- Maksma
- telefon
- telefonid
- piksel
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- võimalik
- preemia
- probleeme
- protsess
- Toode
- Lubadused
- annab
- pakkudes
- avalikult
- Lükkama
- lükka tagasi
- Pwn2Own
- küsimus
- RE
- Lugemine
- tõesti
- Määrus
- kaugelt
- nõudma
- teadustöö
- Teadlased
- vastutus
- REST
- piirata
- Tulemused
- taaskasutada
- juur
- eeskirjade
- s
- sama
- nägin
- ütlema
- ütleb
- Kool
- Koolid
- Ekraan
- kontrolli
- Teine
- sekundit
- turvalisus
- Saadetud
- eri
- Serverid
- teenib
- peaks
- näitama
- kinni
- nutikas
- So
- nii kaugel
- mõned
- midagi
- allikas
- Spreading
- Pigistama
- algus
- Jaamad
- Veel
- tugev
- selline
- Pind
- Lüliti
- süsteem
- süsteemid
- Võtma
- rääkimine
- sihtmärk
- meeskond
- tech
- Tehnoloogia
- telekommunikatsiooni
- Teslal
- Teslas
- kui
- et
- .
- Allikas
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- asi
- mõtlema
- Kolmas
- kolmandad isikud
- see
- Sel aastal
- kuigi?
- arvasin
- oht
- aeg
- et
- täna
- kokku
- Tokyo
- tööriist
- puudutama
- raske
- traditsiooniline
- Trend
- püüdma
- kaks
- all
- kahjuks
- ainulaadne
- Ebatõenäoline
- kuni
- Värskendused
- Uudised
- us
- Vancouver
- suuresti
- Ve
- sõiduk
- Sõidukid
- müüjad
- väga
- Haavatavused
- haavatavus
- oli
- Tee..
- we
- Hästi
- läks
- M
- Mis on
- millal
- mis
- kuigi
- Wifi
- võidud
- traadita
- koos
- ilma
- Töö
- koos töötama
- maailma
- kirjutas
- aasta
- aastat
- veel
- sa
- Sinu
- sephyrnet
- null
- Null päev
- nullpäeva haavatavused