Hanya dalam dua hari di Pwn2Own 2024 di Tokyo, para peneliti telah mengkompromikan sejumlah pengisi daya kendaraan listrik, sistem operasi, komponen Tesla, dan menemukan lusinan kerentanan zero-day.
Pwn2Own tahun lalu di Vancouver menggunakan mobil sebagai media serangan, menambahkan Tesla ke dalam kompetisi untuk meretas server yang lebih tradisional, aplikasi perusahaan, browser, dan sejenisnya. Namun acara tahun ini berjalan dengan penuh semangat, dan hasilnya sangat mencerahkan. Pada hari pertama saja, para kontestan mendemonstrasikan 24 zero-day unik, menghasilkan kemenangan sebesar $722,500. Hari kedua melihat 20 eksploitasi baru, dan hari ketiga terakhir menjanjikan sembilan eksploitasi lagi.
โKendaraan semakin menjadi sebuah sistem yang kompleks,โ kata Dustin Childs, kepala kesadaran ancaman untuk Zero Day Initiative (ZDI) Trend Micro, kelompok yang menjadi tuan rumah acara tersebut. โBelum ada banyak penelitian mengenai hal ini di masa lalu, dan berdasarkan pengalaman kami, kurangnya pengawasan eksternal berarti mungkin ada banyak masalah keamanan.โ
Meretas Tesla
Acara yang menjadi berita utama di Pwn2Own tahun lalu adalah ketika tim dari Synacktiv yang berbasis di Toulouse berhasil melanggar Tesla Model 3 dalam waktu kurang dari dua menit.
Tahun ini, Synacktiv telah kembali dengan eksploitasi stasiun pengisian daya Ubiquiti Connect dan JuiceBox 40 Smart EV, ChargePoint Home Flex (alat pengisian daya EV di rumah), dan Automotive Grade Linux yang cukup jelas. Prestasinya yang paling menonjol adalah rantai eksploitasi tiga bug terhadap modem Tesla, dan rantai dua bug terhadap sistem infotainmentnya, yang masing-masing menghasilkan hadiah uang tunai sebesar $100,000.
Menurut aturan acara, vendor memiliki waktu 90 hari untuk memperbaiki kelemahan keamanan mereka sebelum diizinkan untuk diungkapkan kepada publik. Namun dalam email dari Tokyo, cracker Synacktiv memberikan Dark Reading gambaran tingkat tinggi tentang seperti apa serangan tersebut:
โSerangan itu dikirim dari antena GSM yang meniru BTS (operator telekomunikasi nakal) palsu. Kerentanan pertama memberikan akses root ke kartu modem Tesla,โ tulis mereka. โSerangan kedua terjadi dari modem ke sistem infotainment. Dan dengan melewati fitur keamanan pada proses ini, dimungkinkan untuk mengakses beberapa peralatan pada mobil seperti lampu depan, wiper kaca depan, atau untuk membuka bagasi dan pintu.โ
Dengan Teslas, kata CEO Synacktiv Renaud Feil, โini adalah koin dua sisi. Ini adalah mobil yang memiliki permukaan serangan yang sangat besar - semuanya ada di dalam Tesla. Namun mereka juga memiliki tim keamanan yang kuat dan mereka berusaha memberikan banyak perhatian pada keamanan. Jadi ini adalah target yang besar, namun merupakan target yang sulit.โ
Mobil Modern di Persimpangan Jalan
โSerangan pada mobil semakin meningkat, dan semakin menarik, karena produsen menambahkan konektivitas nirkabel, dan aplikasi yang memungkinkan Anda mengakses mobil dari jarak jauh melalui Internet,โ kata Feil.
Ken Tindell, chief technology officer Canis Automotive Labs, mendukung hal tersebut. โYang benar-benar menarik adalah banyaknya penggunaan kembali komputasi arus utama di mobil membawa serta semua masalah keamanan komputasi arus utama ke dalam mobil.โ
โMobil telah memiliki dua dunia ini setidaknya selama 20 tahun,โ jelasnya. Pertama, โAnda memiliki komputasi arus utama (yang tidak dilakukan dengan baik) dalam sistem infotainmen. Kami sudah lama mengalami hal ini di mobil, dan ini menjadi sumber sejumlah besar kerentanan โ pada Bluetooth, Wi-Fi, dan sebagainya. Dan kemudian Anda mendapatkan kontrol elektronik, dan keduanya adalah domain yang sangat terpisah. Tentu saja Anda mendapat masalah saat menonton infotainment itu mulai menyentuh bus CAN itu berbicara tentang rem, lampu depan, dan hal-hal seperti itu.โ
Ini adalah sebuah teka-teki yang harusnya tidak asing lagi bagi para praktisi PL: mengelola peralatan TI dan mesin-mesin yang sangat penting bagi keselamatan, sedemikian rupa sehingga keduanya dapat bekerja sama tanpa menyebarkan gangguan pada mesin-mesin tersebut. Dan, tentu saja, perbedaan siklus hidup produk antara teknologi IT dan OT โ mobil bertahan jauh lebih lama dibandingkan, katakanlah, laptop โ yang hanya membuat kesenjangan tersebut semakin berkurang.
Seperti Apa Keamanan Mobil Itu
Untuk mengetahui gambaran tentang kemana arah keamanan siber kendaraan, kita bisa mulai dari infotainment โ โโserangan terbesar dan paling nyata yang terjadi pada mobil saat ini. Di sini, ada dua aliran pemikiran yang berkembang.
โSalah satunya adalah: Jangan repot-repot, karena Anda tidak akan pernah terus-terusan mempertimbangkan siklus produk di mobil. Apple CarPlay dan Android Auto โ itulah kemajuannya. Jadi pabrikan mobil menyediakan layar, dan ponsel Anda menyediakan infotainmen,โ jelas Tindell. โSaya pikir itu pendekatan yang baik, karena ponsel Anda jelas merupakan tanggung jawab Anda, Apple selalu memperbaruinya, semuanya telah ditambal, dan kemudian mobil Anda hanya menyediakan layar.โ
โPikiran lainnya adalah membiarkan perusahaan-perusahaan besar ini mengambil kendali atas fungsi-fungsi utama mobil Anda. Lisensi sistem operasi dari Google, dan sekarang setara dengan Google CarPlay, tapi langsung disambungkan ke mobil,โ katanya. Dengan perusahaan seperti Google yang bertanggung jawab, โada mekanisme pembaruan untuk itu, sama seperti memperbarui ponsel Pixel mereka. Pertanyaannya adalah, dalam waktu 10 tahun, apakah Anda masih akan mendapatkan pembaruan untuk mobil Anda setelah Google bosan dan mencoba mematikannya?โ
Namun bahkan jika produsen berhasil menekan satu bagian dari permukaan serangan (tidak mungkin) atau mengalihkan tanggung jawab pengawasannya kepada pihak ketiga (secara tidak sempurna), Pwn2Own 2024 telah menunjukkan bahwa mereka masih memiliki lebih banyak masalah yang harus diperhitungkan: EV pengisi daya ke modem, sistem operasi, dan banyak lagi.
Kemana Industri Harus Pergi
Bagi Tindell, yang paling penting adalah menjaga agar firewall komputasi arus utama tidak terhubung dengan sistem kontrol, sehingga ada titik hambatan. โSayangnya, beberapa titik hambatan sejauh ini belum dikembangkan dengan baik, dan Anda dapat memecahkannya di akhir rangkaian eksploitasi,โ tambahnya.
โSaya pikir mereka tahu apa yang harus dilakukan,โ kata Feil dari Synacktiv. โProsesnya sama dengan yang diterapkan pada industri TI lainnya: berinvestasi dalam keamanan siber, melakukan audit, meretas barang-barang Anda hingga menjadi sangat sulit untuk diretas.โ
Ia yakin, agar produsen mencapai titik tersebut mungkin memerlukan intervensi dari luar. โIndustri telah mampu melawan pembatasan regulasi,โ kata Feil. โNarasi mereka adalah: Kami sedang mengalami masa sulit, karena semua orang meminta kami beralih ke mobil listrik, dan hal ini mungkin akan sangat mempengaruhi keuntungan kami. Namun mereka harus menunjukkan bahwa mereka melakukan sesuatu dalam hal keamanan siber.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 000
- 10
- 20
- 20 tahun
- 2024
- 24
- 40
- 500
- 7
- a
- Sanggup
- mengakses
- Akun
- prestasi
- menambahkan
- Menambahkan
- mempengaruhi
- terhadap
- Semua
- mengizinkan
- diizinkan
- sendirian
- sepanjang
- di samping
- juga
- an
- dan
- android
- Apple
- aplikasi
- berlaku
- pendekatan
- ADALAH
- DAERAH
- AS
- meminta
- At
- menyerang
- Serangan
- perhatian
- audit
- mobil
- otomotif
- kesadaran
- kembali
- berdasarkan
- BE
- karena
- menjadi
- menjadi
- sebelum
- percaya
- antara
- Besar
- Terbesar
- Bluetooth
- Bosan
- mengganggu
- Bawah
- Membawa
- browser
- tapi
- CAN
- mobil
- kartu
- mobil
- Uang tunai
- ceo
- rantai
- biaya
- pengisian
- kepala
- Chief Technology Officer
- Jelas
- Koin
- datang
- Perusahaan
- perusahaan
- Kompetisi
- kompleks
- komponen
- Dikompromikan
- komputasi
- Terhubung
- mengingat
- kontrol
- teka-teki
- bisa
- Kelas
- retak
- Keamanan cyber
- siklus
- gelap
- Bacaan gelap
- Tanggal
- hari
- Hari
- menunjukkan
- berkembang
- sulit
- langsung
- berbeda
- do
- melakukan
- domain
- dilakukan
- pintu
- turun
- puluhan
- setiap
- Produktif
- Listrik
- mobil listrik
- kendaraan listrik
- Elektronik
- akhir
- Enterprise
- peralatan
- Setara
- EV
- Bahkan
- Acara
- semua orang
- segala sesuatu
- pengalaman
- Menjelaskan
- Mengeksploitasi
- eksploitasi
- luar
- gadungan
- akrab
- jauh
- Fitur
- terakhir
- Pertama
- kekurangan
- Untuk
- Bekas
- Depan
- dari
- penuh
- fungsi
- celah
- memberikan
- mendapatkan
- mendapatkan
- memberikan
- akan
- baik
- mendapat
- kelas
- Kelompok
- Pertumbuhan
- terjangan
- hacks
- memiliki
- Sulit
- Memiliki
- surga
- memiliki
- he
- kepala
- berat
- di sini
- tingkat tinggi
- Beranda
- tuan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- besar
- i
- if
- gambar
- penting
- in
- makin
- industri
- Prakarsa
- menarik
- Internet
- intervensi
- ke
- Menginvestasikan
- masalah
- IT
- Industri IT
- NYA
- jpg
- melompat
- hanya
- Menjaga
- terus
- kunci
- Tahu
- Labs
- Kekurangan
- laptop
- Terakhir
- Tahun lalu
- abadi
- paling sedikit
- kurang
- membiarkan
- Lisensi
- Hidup
- 'like'
- baris
- linux
- ll
- lagi
- melihat
- tampak
- Lot
- mesin-mesin
- Arus utama
- membuat
- mengelola
- berhasil
- pelaksana
- Pabrikan
- Produsen
- Mungkin..
- cara
- mekanisme
- logam
- mikro
- mungkin
- mencampur
- model
- lebih
- paling
- banyak
- beberapa
- harus
- NARASI
- tak pernah
- New
- sembilan
- penting
- sekarang
- jumlah
- Jelas
- of
- lepas
- Petugas
- on
- sekali
- ONE
- hanya
- Buka
- operasi
- sistem operasi
- sistem operasi
- operator
- or
- Lainnya
- kami
- di luar
- outsourcing
- lebih
- mengawasi
- ikhtisar
- bagian
- pihak
- lalu
- Membayar
- telepon
- ponsel
- pixel
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- mungkin
- hadiah
- masalah
- proses
- Produk
- menjanjikan
- menyediakan
- menyediakan
- di depan umum
- Dorong
- menekan
- Pwn2Own
- pertanyaan
- RE
- Bacaan
- benar-benar
- Regulasi
- sedikit
- membutuhkan
- penelitian
- peneliti
- tanggung jawab
- ISTIRAHAT
- membatasi
- Hasil
- menggunakan kembali
- akar
- aturan
- s
- sama
- melihat
- mengatakan
- mengatakan
- Sekolah
- Sekolah
- Layar
- pengawasan
- Kedua
- detik
- keamanan
- mengirim
- terpisah
- Server
- melayani
- harus
- Menunjukkan
- menutup
- pintar
- So
- sejauh ini
- beberapa
- sesuatu
- sumber
- menyebarkan
- Meremas
- awal
- Stasiun
- Masih
- kuat
- seperti itu
- Permukaan
- Beralih
- sistem
- sistem
- Mengambil
- pembicaraan
- target
- tim
- tech
- Teknologi
- telekomunikasi
- Tesla
- Teslas
- dari
- bahwa
- Grafik
- Sumber
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- hal
- berpikir
- Ketiga
- Pihak ketiga
- ini
- tahun ini
- meskipun?
- pikir
- ancaman
- waktu
- untuk
- hari ini
- bersama
- Tokyo
- alat
- menyentuh
- sulit
- tradisional
- kecenderungan
- mencoba
- dua
- bawah
- sayangnya
- unik
- mungkin
- sampai
- Memperbarui
- Pembaruan
- us
- vancouver
- sangat
- Ve
- kendaraan
- Kendaraan
- vendor
- sangat
- Kerentanan
- kerentanan
- adalah
- Cara..
- we
- BAIK
- pergi
- Apa
- Apa itu
- ketika
- yang
- sementara
- Wi-fi
- kemenangan
- nirkabel
- dengan
- tanpa
- Kerja
- bekerja sama
- dunia
- menulis
- tahun
- tahun
- namun
- Kamu
- Anda
- zephyrnet.dll
- nol
- Nol Day
- kerentanan zero-day