टोक्यो में Pwn2Own 2024 में केवल दो दिनों में, शोधकर्ताओं ने इलेक्ट्रिक वाहन चार्जर्स, ऑपरेटिंग सिस्टम, टेस्ला घटकों की एक श्रृंखला से समझौता किया है, और रास्ते में दर्जनों शून्य-दिन की कमजोरियों का पता लगाया है।
पिछले साल वैंकूवर में Pwn2Own ने हमले की सतह के रूप में कारों के साथ छेड़छाड़ की, और अधिक पारंपरिक सर्वर, एंटरप्राइज़ एप्लिकेशन, ब्राउज़र और इसी तरह की चीजों को हैक करने की प्रतियोगिताओं के साथ-साथ टेस्ला को भी इसमें शामिल किया। लेकिन इस वर्ष का आयोजन पूरी तरह से धूम मचा रहा था और परिणाम ज्ञानवर्धक रहे। पहले ही दिन अकेले, प्रतियोगियों ने 24 अनूठे शून्य-दिनों का प्रदर्शन किया, जिससे उन्हें $722,500 की जीत हासिल हुई। दूसरा दिन 20 नए कारनामे देखे, और अंतिम, तीसरे दिन अभी भी नौ और कारनामे देखने को मिले।
कार्यक्रम की मेजबानी करने वाले समूह ट्रेंड माइक्रो के ज़ीरो डे इनिशिएटिव (जेडडीआई) के खतरे के बारे में जागरूकता के प्रमुख डस्टिन चिल्ड्स कहते हैं, "वाहन तेजी से जटिल प्रणाली बनते जा रहे हैं।" "अतीत में इस क्षेत्र में बहुत अधिक शोध नहीं हुआ है, और हमारे अनुभव के आधार पर, बाहरी जांच की कमी का मतलब है कि कई सुरक्षा मुद्दे हो सकते हैं।"
टेस्लास में हैकिंग
पिछले वर्ष के Pwn2Own में सुर्खियाँ बटोरने वाला कार्यक्रम तब था जब टूलूज़ स्थित सिनाक्टिव की एक टीम सफल हुई टेस्ला मॉडल 3 को दो मिनट से कम समय में तोड़ें.
इस वर्ष, सिनाक्टिव यूबिक्विटी कनेक्ट और जूसबॉक्स 40 स्मार्ट ईवी चार्जिंग स्टेशन, चार्जप्वाइंट होम फ्लेक्स (एक घरेलू ईवी चार्जिंग टूल) और स्व-व्याख्यात्मक ऑटोमोटिव ग्रेड लिनक्स के कारनामों के साथ वापस आया है। हालाँकि, इसकी सबसे उल्लेखनीय उपलब्धियाँ टेस्ला के मॉडेम के विरुद्ध तीन-बग शोषण श्रृंखला और इसके इंफोटेनमेंट सिस्टम के विरुद्ध दो-बग श्रृंखला रही हैं, जिनमें से प्रत्येक ने $100,000 नकद पुरस्कार अर्जित किया है।
इवेंट के नियमों के अनुसार, विक्रेताओं के पास सार्वजनिक रूप से प्रकट होने की अनुमति देने से पहले अपनी सुरक्षा खामियों को दूर करने के लिए 90 दिन का समय होता है। लेकिन टोक्यो से एक ईमेल में, सिनाक्टिव क्रैकर्स ने डार्क रीडिंग को हमलों के बारे में एक उच्च-स्तरीय अवलोकन दिया:
“हमला एक नकली बीटीएस (दुष्ट दूरसंचार ऑपरेटर) का अनुकरण करने वाले जीएसएम एंटीना से भेजा गया है। पहली भेद्यता टेस्ला के मॉडेम कार्ड तक रूट पहुंच प्रदान करती है,' उन्होंने लिखा। “दूसरा हमला मॉडेम से इंफोटेनमेंट सिस्टम पर कूदता है। और इस प्रक्रिया में सुरक्षा सुविधाओं को दरकिनार करते हुए, कार के कई उपकरणों जैसे हेडलाइट्स, विंडशील्ड वाइपर, या ट्रंक और दरवाजे खोलना संभव है।
टेस्लास के साथ, सिनाक्टिव के सीईओ रेनॉड फील कहते हैं, “यह दो तरफा सिक्का है। यह एक ऐसी कार है जिसकी आक्रमण सतह बहुत बड़ी है - टेस्ला में सब कुछ आईटी है। लेकिन उनके पास एक मजबूत सुरक्षा टीम भी है और वे सुरक्षा पर काफी ध्यान देने की कोशिश करते हैं. इसलिए यह एक बड़ा लक्ष्य है, लेकिन यह एक कठिन लक्ष्य है।”
एक चौराहे पर आधुनिक कारें
"कार की आक्रमण सतह बढ़ रही है, और यह अधिक से अधिक दिलचस्प होती जा रही है, क्योंकि निर्माता वायरलेस कनेक्टिविटी और एप्लिकेशन जोड़ रहे हैं जो आपको इंटरनेट पर दूर से कार तक पहुंचने की अनुमति देते हैं," फील कहते हैं।
कैनिस ऑटोमोटिव लैब्स के मुख्य प्रौद्योगिकी अधिकारी केन टिंडेल इस बात का समर्थन करते हैं। "वास्तव में दिलचस्प बात यह है कि कारों में मुख्यधारा कंप्यूटिंग का इतना अधिक उपयोग कारों में मुख्यधारा कंप्यूटिंग की सभी सुरक्षा समस्याओं को कैसे लाता है।"
वह बताते हैं, ''कारों में कम से कम 20 वर्षों से यह दो दुनिया वाली चीज़ रही है।'' सबसे पहले, “आपको इंफोटेनमेंट सिस्टम में मुख्यधारा की कंप्यूटिंग (बहुत अच्छी तरह से नहीं की गई) मिली है। हमने कुछ समय से इसे कारों में देखा है, और यह ब्लूटूथ, वाई-फाई इत्यादि में बड़ी संख्या में कमजोरियों का स्रोत रहा है। और फिर आपको नियंत्रण इलेक्ट्रॉनिक्स मिल गया है, और दोनों बहुत अलग डोमेन हैं। निःसंदेह, जब वह इन्फोटेनमेंट होता है तो आपको समस्याएँ होती हैं CAN बस को छूने लगता है यह ब्रेक, हेडलाइट्स और इस तरह की चीज़ों से बात कर रहा है।"
यह एक ऐसी पहेली है जिससे ओटी चिकित्सकों को परिचित होना चाहिए: सुरक्षा-महत्वपूर्ण मशीनरी के साथ-साथ आईटी उपकरणों का प्रबंधन करना, इस तरह से कि दोनों पहले की परेशानियों को बाद वाले तक फैलाए बिना एक साथ काम कर सकें। और, निश्चित रूप से, आईटी और ओटी तकनीक के बीच असमान उत्पाद जीवन चक्र - लैपटॉप की तुलना में कहीं अधिक समय तक चलने वाली कारें - जो केवल अंतर को कम करने का काम करती हैं।
कार सुरक्षा कैसी दिख सकती है
वाहन साइबर सुरक्षा कहां जा रही है, इसकी एक छवि के लिए, इन्फोटेनमेंट से शुरुआत की जा सकती है - जो आज कारों में सबसे बड़ी, सबसे स्पष्ट हमले की सतह है। यहाँ दो विचारधाराओं का विकास हुआ है।
“एक है: आइए परेशान न हों, क्योंकि आप कभी भी कारों में उत्पाद चक्रों पर विचार नहीं करेंगे। Apple CarPlay और Android Auto - यही आगे का रास्ता है। तो कार निर्माता एक स्क्रीन प्रदान करता है, और फिर आपका फ़ोन इंफोटेनमेंट सामग्री प्रदान करता है,'' टिंडेल बताते हैं। "मुझे लगता है कि यह एक अच्छा तरीका है, क्योंकि आपका फ़ोन स्पष्ट रूप से आपकी ज़िम्मेदारी है, ऐप्पल इसे अपडेट रखता है, यह सब ठीक हो गया है, और फिर आपकी कार सिर्फ एक स्क्रीन प्रदान कर रही है।"
“दूसरी विचारधारा यह है कि इन बड़ी कंपनियों को आपकी कारों के प्रमुख कार्यों का नियंत्रण लेने दिया जाए। Google से एक ऑपरेटिंग सिस्टम का लाइसेंस लें, और अब यह Google CarPlay के समकक्ष है, लेकिन सीधे कार में वायर्ड हो गया है,'' वे कहते हैं। Google जैसी कंपनी के प्रभारी होने के कारण, “इसके लिए एक अपडेट तंत्र है, जैसे यह अपने पिक्सेल फोन को अपडेट करता है। सवाल यह है कि, 10 वर्षों में, क्या आपको तब भी अपनी कार के लिए अपडेट मिलेगा जब Google ऊब जाएगा और उसे बंद करने का प्रयास करेगा?
लेकिन भले ही निर्माता हमले की सतह के एक हिस्से को दबाने (असंभव) का प्रबंधन करते हैं या इसकी देखरेख की जिम्मेदारी तीसरे पक्ष को सौंप देते हैं (अपूर्ण रूप से), Pwn2Own 2024 ने प्रदर्शित किया है कि उन्हें अभी भी बहुत अधिक समस्याओं का सामना करना पड़ेगा: EV चार्जर से लेकर मॉडेम, ऑपरेटिंग सिस्टम और बहुत कुछ।
जहां उद्योग को जाना है
टिंडेल के लिए, जो वास्तव में महत्वपूर्ण है वह है मुख्यधारा कंप्यूटिंग को नियंत्रण प्रणालियों से फ़ायरवॉल से दूर रखना, ताकि एक चोक पॉइंट हो। "दुर्भाग्य से, अब तक कुछ चोक पॉइंट बहुत अच्छी तरह से विकसित नहीं हुए हैं, और आप उन्हें कारनामों की श्रृंखला के अंत में तोड़ सकते हैं," वह आगे कहते हैं।
सिनाक्टिव के फील कहते हैं, "मुझे लगता है कि वे जानते हैं कि क्या करना है।" "यह वही प्रक्रिया है जो बाकी आईटी उद्योग पर लागू होती है: साइबर सुरक्षा में निवेश करें, कुछ ऑडिट करें, अपने सामान को तब तक हैक करें जब तक उसे हैक करना बहुत कठिन न हो जाए।"
उनका मानना है कि निर्माताओं को उस बिंदु तक लाने के लिए कुछ बाहरी हस्तक्षेप की आवश्यकता हो सकती है। फील कहते हैं, "उद्योग विनियमन को प्रतिबंधित करने में सक्षम है।" “उनका कथन है: हम एक कठिन समय से गुजर रहे हैं, क्योंकि हर कोई हमें इलेक्ट्रिक कारों पर स्विच करने के लिए कह रहा है, और यह हमारी आय को भारी रूप से प्रभावित कर सकता है। लेकिन उन्हें यह दिखाना होगा कि जब साइबर सुरक्षा की बात आती है तो वे कुछ कर रहे हैं।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 000
- 10
- 20
- 20 साल
- 2024
- 24
- 40
- 500
- 7
- a
- योग्य
- पहुँच
- लेखा
- उपलब्धियों
- जोड़ने
- जोड़ता है
- को प्रभावित
- के खिलाफ
- सब
- अनुमति देना
- की अनुमति दी
- अकेला
- साथ में
- साथ - साथ
- भी
- an
- और
- एंड्रॉयड
- Apple
- अनुप्रयोगों
- लागू होता है
- दृष्टिकोण
- हैं
- क्षेत्र
- AS
- पूछ
- At
- आक्रमण
- आक्रमण
- ध्यान
- आडिट
- स्वत:
- मोटर वाहन
- जागरूकता
- वापस
- आधारित
- BE
- क्योंकि
- बनने
- किया गया
- से पहले
- का मानना है कि
- के बीच
- बड़ा
- सबसे बड़ा
- ब्लूटूथ
- ऊबा हुआ
- नाक में दम करना
- तल
- लाता है
- ब्राउज़रों
- लेकिन
- कर सकते हैं
- कार
- कार्ड
- कारों
- रोकड़
- मुख्य कार्यपालक अधिकारी
- श्रृंखला
- प्रभार
- चार्ज
- प्रमुख
- मुख्य प्रौद्योगिकी अधिकारी
- स्पष्ट रूप से
- सिक्का
- आता है
- कंपनियों
- कंपनी
- प्रतियोगिताएं
- जटिल
- घटकों
- छेड़छाड़ की गई
- कंप्यूटिंग
- जुडिये
- पर विचार
- नियंत्रण
- पहेली
- सका
- कोर्स
- दरार
- साइबर सुरक्षा
- चक्र
- अंधेरा
- डार्क रीडिंग
- तारीख
- दिन
- दिन
- साबित
- विकासशील
- मुश्किल
- सीधे
- मूर्खता
- do
- कर
- डोमेन
- किया
- दरवाजे
- नीचे
- दर्जनों
- से प्रत्येक
- कमाई
- बिजली
- इलेक्ट्रिक कारों
- इलेक्ट्रिक वाहन
- इलेक्ट्रानिक्स
- ईमेल
- समाप्त
- उद्यम
- उपकरण
- बराबर
- EV
- और भी
- कार्यक्रम
- हर कोई
- सब कुछ
- अनुभव
- बताते हैं
- शोषण करना
- कारनामे
- बाहरी
- उल्लू बनाना
- परिचित
- दूर
- विशेषताएं
- अंतिम
- प्रथम
- खामियां
- के लिए
- पूर्व
- आगे
- से
- पूर्ण
- कार्यों
- अन्तर
- दे दिया
- मिल
- मिल रहा
- देता है
- जा
- अच्छा
- गूगल
- मिला
- ग्रेड
- समूह
- बढ़ रहा है
- हैक
- हैक्स
- था
- कठिन
- है
- हेवन
- होने
- he
- सिर
- भारी
- यहाँ उत्पन्न करें
- उच्च स्तर
- होम
- होस्टिंग
- कैसे
- HTTPS
- विशाल
- i
- if
- की छवि
- महत्वपूर्ण
- in
- तेजी
- उद्योग
- पहल
- दिलचस्प
- इंटरनेट
- हस्तक्षेप
- में
- निवेश करना
- मुद्दों
- IT
- आईटी उद्योग
- आईटी इस
- जेपीजी
- कूदता
- केवल
- रखना
- रखता है
- कुंजी
- जानना
- लैब्स
- रंग
- लैपटॉप
- पिछली बार
- पिछले साल
- स्थायी
- कम से कम
- कम
- चलो
- लाइसेंस
- जीवन
- पसंद
- लाइन
- लिनक्स
- ll
- लंबे समय तक
- देखिए
- देखा
- लॉट
- मशीनरी
- मुख्य धारा
- बनाना
- प्रबंधन
- कामयाब
- प्रबंध
- उत्पादक
- निर्माता
- मई..
- साधन
- तंत्र
- धातु
- सूक्ष्म
- हो सकता है
- मिश्रण
- आदर्श
- अधिक
- अधिकांश
- बहुत
- विभिन्न
- चाहिए
- कथा
- कभी नहीँ
- नया
- नौ
- प्रसिद्ध
- अभी
- संख्या
- स्पष्ट
- of
- बंद
- अफ़सर
- on
- एक बार
- ONE
- केवल
- खुला
- परिचालन
- ऑपरेटिंग सिस्टम
- ऑपरेटिंग सिस्टम
- ऑपरेटर
- or
- अन्य
- हमारी
- बाहर
- आउटसोर्स
- के ऊपर
- देखरेख
- सिंहावलोकन
- भाग
- पार्टियों
- अतीत
- वेतन
- फ़ोन
- फोन
- पिक्सेल
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- संभव
- पुरस्कार
- समस्याओं
- प्रक्रिया
- एस्ट्रो मॉल
- का वादा किया
- प्रदान करता है
- प्रदान कर
- सार्वजनिक रूप से
- धक्का
- पीछे धकेलना
- Pwn2स्वयं
- प्रश्न
- RE
- पढ़ना
- वास्तव में
- विनियमन
- दूर से
- की आवश्यकता होती है
- अनुसंधान
- शोधकर्ताओं
- जिम्मेदारी
- बाकी
- रोकना
- परिणाम
- पुनः प्रयोग
- जड़
- नियम
- s
- वही
- देखा
- कहना
- कहते हैं
- स्कूल के साथ
- स्कूल
- स्क्रीन
- संवीक्षा
- दूसरा
- सेकंड
- सुरक्षा
- भेजा
- अलग
- सर्वर
- कार्य करता है
- चाहिए
- दिखाना
- बंद
- स्मार्ट
- So
- अब तक
- कुछ
- कुछ
- स्रोत
- प्रसार
- निचोड़
- प्रारंभ
- स्टेशनों
- फिर भी
- मजबूत
- ऐसा
- सतह
- स्विच
- प्रणाली
- सिस्टम
- लेना
- में बात कर
- लक्ष्य
- टीम
- तकनीक
- टेक्नोलॉजी
- दूरसंचार
- टेस्ला
- Teslas
- से
- कि
- RSI
- स्रोत
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- बात
- सोचना
- तीसरा
- तीसरे पक्ष
- इसका
- इस वर्ष
- हालांकि?
- विचार
- धमकी
- पहर
- सेवा मेरे
- आज
- एक साथ
- टोक्यो
- साधन
- स्पर्श
- कड़ा
- परंपरागत
- प्रवृत्ति
- कोशिश
- दो
- के अंतर्गत
- दुर्भाग्य से
- अद्वितीय
- संभावना नहीं
- जब तक
- अपडेट
- अपडेट
- us
- वैंकोवर
- बेहद
- Ve
- वाहन
- वाहन
- विक्रेताओं
- बहुत
- कमजोरियों
- भेद्यता
- था
- मार्ग..
- we
- कुंआ
- चला गया
- क्या
- एचएमबी क्या है?
- कब
- कौन कौन से
- जब
- वाई फाई
- जीत
- वायरलेस
- साथ में
- बिना
- काम
- एक साथ काम करो
- दुनिया की
- लिखा था
- वर्ष
- साल
- अभी तक
- आप
- आपका
- जेफिरनेट
- शून्य
- शून्य दिवस
- शून्य-दिवस भेद्यता