תוך יומיים בלבד ב-Pwn2Own 2024 בטוקיו, חוקרים התפשרו על שלל מטעני רכב חשמליים, מערכות הפעלה, רכיבי טסלה וחשפו עשרות נקודות תורפה של יום אפס לאורך הדרך.
ה-Pwn2Own של השנה שעברה בוונקובר פלירטטה עם מכוניות כמשטח התקפה, והוסיפה את טסלות לתערובת לצד תחרויות לפריצת שרתים מסורתיים יותר, יישומים ארגוניים, דפדפנים וכדומה. אבל האירוע השנה הלך על הדוושה עד הסוף, והתוצאות היו מאירות עיניים. ביום הראשון לבד, המתמודדים הפגינו 24 ימי אפס ייחודיים, והרוויחו 722,500 דולר בזכייה. יום שני ראה 20 מעללים חדשים, והיום השלישי האחרון מבטיח עוד תשעה.
"כלי רכב הופכים יותר ויותר למערכת מורכבת של מערכות", אומר דסטין צ'יילדס, ראש מחלקת מודעות לאיומים של יוזמת Zero Day של Trend Micro (ZDI), הקבוצה המארחת את האירוע. "לא היה הרבה מחקר בתחום הזה בעבר, ועל סמך הניסיון שלנו, היעדר בדיקה חיצונית אומר שיכולות להיות הרבה בעיות אבטחה."
פריצה לטסלס
האירוע שתפס את הכותרות ב-Pwn2Own בשנה שעברה היה כאשר צוות מ-Synacktiv שבסיסה בטולוז הצליח לפרוץ טסלה דגם 3 תוך פחות משתי דקות.
השנה, Synacktiv חזרה עם ניצול של תחנות הטעינה Ubiquiti Connect ו-JuiceBox 40 Smart EV, ה-ChargePoint Home Flex (כלי טעינת EV בבית), וה-Linux בדרגת רכב המוסברת את עצמה. ההישגים הבולטים שלו, עם זאת, היו שרשרת ניצול של שלושה באגים מול המודם של טסלה, ושרשרת שני באגים מול מערכת המידע והבידור שלה, שכל אחד מהם זוכה בפרס כספי של $100,000.
על פי כללי האירוע, לספקים יש 90 יום לתקן את פגמי האבטחה שלהם לפני שהם יורשו להיחשף בפומבי. אבל באימייל מטוקיו, הקרקרים של Synacktiv נתנו ל-Dark Reading סקירה ברמה גבוהה של איך נראו ההתקפות:
"המתקפה נשלחת מאנטנת GSM המחקה BTS מזויף (מפעיל טלקום נוכל). פגיעות ראשונה נותנת גישת שורש לכרטיס המודם של הטסלה", הם כתבו. "מתקפה שנייה קופצת מהמודם למערכת המידע והבידור. ובעקוף את מאפייני האבטחה בתהליך זה, אפשר לגשת לציוד רב במכונית כמו הפנסים, מגבי השמשות, או לפתוח את תא המטען והדלתות".
עם טסלס, אומר מנכ"ל סינאקטיב, רנו פייל, "זהו מטבע דו-צדדי. זו מכונית שיש לה משטח התקפה ענק - הכל זה IT בטסלה. אבל יש להם גם צוות אבטחה חזק והם מנסים להקדיש תשומת לב רבה לאבטחה. אז זה מטרה ענקית, אבל זה מטרה קשה".
מכוניות מודרניות בצומת דרכים
"משטח ההתקפה של המכונית הוא גדל, והוא נהיה יותר ויותר מעניין, כי יצרנים מוסיפים קישוריות אלחוטית, ויישומים המאפשרים לך לגשת לרכב מרחוק דרך האינטרנט", אומר Feil.
קן טינדל, קצין טכנולוגיה ראשי של Canis Automotive Labs, משני את הנקודה. "מה שבאמת מעניין הוא איך כל כך הרבה שימוש חוזר במחשוב מיינסטרים במכוניות מביא את כל בעיות האבטחה של מחשוב מיינסטרים לתוך מכוניות."
"למכוניות יש את הדבר הזה של שני העולמות במשך 20 שנה לפחות", הוא מסביר. ראשית, "יש לך מחשוב מיינסטרים (שנעשה לא טוב) במערכת המידע והבידור. זה היה לנו במכוניות במשך זמן מה, וזה היה המקור למספר עצום של פגיעויות - ב-Bluetooth, Wi-Fi וכו'. ואז יש לך את האלקטרוניקה הבקרה, והשניים הם תחומים מאוד נפרדים. כמובן, אתה מקבל בעיות כאשר המידע והבידור הזה אז מתחיל לגעת באפיק ה-CAN זה לדבר עם הבלמים, הפנסים ודברים כאלה".
זו חידה שצריכה להיות מוכרת לעוסקים בתחום ה-OT: ניהול ציוד IT לצד מכונות קריטיות לבטיחות, באופן שהשניים יוכלו לעבוד יחד מבלי להפיץ את המטרדים של הראשון לאחר. וכמובן, מחזורי החיים של המוצר הנבדלים בין IT ו-OT tech - מכוניות שנמשכות הרבה יותר מאשר, למשל, מחשבים ניידים - מה שרק עוזר להפחית עוד יותר את הפער.
איך אבטחת רכב עשויה להיראות
כדי לקבל תמונה של לאן הולכת אבטחת הסייבר של כלי רכב, אפשר להתחיל במידע ובידור - משטח ההתקפה הגדול והברור ביותר במכוניות כיום. כאן התפתחו שתי אסכולות.
"האחת היא: בוא פשוט לא נטרח, כי לעולם לא תמשיך לשקול את מחזורי המוצרים במכוניות. Apple CarPlay ו- Android Auto - זו הדרך קדימה. אז יצרן הרכב מספק מסך, ואז הטלפון שלך מספק את חומרי הבידור, " מסביר טינדל. "אני חושב שזו גישה טובה, כי ברור שהטלפון שלך הוא באחריותך, אפל שומרת אותו מעודכן, הכל תוקן, ואז המכונית שלך רק מספקת מסך."
"אסכולת המחשבה האחרת היא לתת לחברות הגדולות הללו להשתלט על פונקציות המפתח של המכוניות שלך. תן רישיון למערכת הפעלה מגוגל, ועכשיו היא המקבילה ל-Google CarPlay, אבל מחוברת ישירות למכונית", הוא אומר. כשחברה כמו גוגל אחראית, "יש מנגנון עדכון עבורו, בדיוק כמו שהוא מעדכן את טלפונים Pixel שלהם. השאלה היא, האם בעוד 10 שנים אתה עדיין הולך לקבל עדכונים למכונית שלך ברגע שגוגל משתעמם ומנסה לכבות אותה?"
אבל גם אם היצרנים יצליחו לסחוט חלק אחד של משטח ההתקפה (לא סביר) או למיקור חוץ את האחריות לפקח עליו לצדדים שלישיים (באופן לא מושלם), Pwn2Own 2024 הוכיחה שעדיין יהיו להם הרבה יותר בעיות שעדיין צריך לתת עליהן את הדעת: EV מטענים למודמים, מערכות הפעלה ועוד.
לאן התעשייה צריכה ללכת
לטינדל, מה שחשוב באמת הוא לשמור על חומת האש של המחשוב המיינסטרים מחוץ למערכות הבקרה, כך שתהיה נקודת חנק. "למרבה הצער, חלק מנקודות החנק עד כה לא היו מפותחות במיוחד, ואתה יכול לפצח אותן בסוף שרשרת של מעללים", הוא מוסיף.
"אני חושב שהם יודעים מה לעשות", אומר Feil של Synacktiv. "זה אותו תהליך שחל על שאר תעשיית ה-IT: השקיעו באבטחת סייבר, בצעו כמה ביקורות, פרצו את הדברים שלכם עד שיהיה קשה מאוד לפרוץ אותם."
להביא את היצרנים לנקודה זו, הוא מאמין, עשויה לדרוש התערבות חיצונית כלשהי. "התעשייה הצליחה לדחוף לאחור כדי להגביל את הרגולציה", אומר Feil. "הנרטיב שלהם הוא: יש לנו תקופה קשה, כי כולם מבקשים מאיתנו לעבור למכוניות חשמליות, וזה עשוי להשפיע מאוד על השורה התחתונה שלנו. אבל הם חייבים להראות שהם עושים משהו בכל הנוגע לאבטחת סייבר".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 000
- 10
- 20
- שנים 20
- 2024
- 24
- 40
- 500
- 7
- a
- יכול
- גישה
- חֶשְׁבּוֹן
- הישגים
- מוסיף
- מוסיף
- להשפיע על
- נגד
- תעשיות
- להתיר
- מותר
- לבד
- לאורך
- בַּצַד
- גם
- an
- ו
- דְמוּי אָדָם
- תפוח עץ
- יישומים
- חל
- גישה
- ARE
- AREA
- AS
- לשאול
- At
- לתקוף
- המתקפות
- תשומת לב
- ביקורת
- המכונית
- רכב
- מודעות
- בחזרה
- מבוסס
- BE
- כי
- התהוות
- היה
- לפני
- מאמין
- בֵּין
- גָדוֹל
- הגדול ביותר
- Bluetooth
- משועמם
- לְהטרִיד
- תַחתִית
- מביא
- דפדפנים
- אבל
- CAN
- מכונית
- כרטיס
- מכוניות
- מזומנים
- מנכ"ל
- שרשרת
- תשלום
- טְעִינָה
- רֹאשׁ
- מנהל טכנולוגיה ראשי
- בבירור
- מטבע
- מגיע
- חברות
- חברה
- תחרויות
- מורכב
- רכיבים
- התפשר
- מחשוב
- לְחַבֵּר
- בהתחשב
- לִשְׁלוֹט
- חידה
- יכול
- קורס
- סדק
- אבטחת סייבר
- מחזורי
- כהה
- קריאה אפלה
- תַאֲרִיך
- יְוֹם
- ימים
- מופגן
- מתפתח
- קשה
- ישירות
- שונה
- do
- עושה
- תחומים
- עשה
- דלתות
- מטה
- עשרות
- כל אחד
- רווחים
- חשמלי
- מכוניות חשמליות
- רכב חשמלי
- מכשירי חשמל
- אמייל
- סוף
- מִפְעָל
- ציוד
- שווה
- EV
- אֲפִילוּ
- אירוע
- כולם
- הכל
- ניסיון
- מסביר
- לנצל
- מעללים
- חיצוני
- מְזוּיָף
- מוכר
- רחוק
- תכונות
- סופי
- ראשון
- פגמים
- בעד
- לשעבר
- קדימה
- החל מ-
- מלא
- פונקציות
- פער
- נתן
- לקבל
- מקבל
- נותן
- הולך
- טוב
- קבל
- ציון
- קְבוּצָה
- גדל
- לפרוץ
- פריצות
- היה
- קשה
- יש
- מִקְלָט
- יש
- he
- ראש
- בִּכְבֵדוּת
- כאן
- ברמה גבוהה
- עמוד הבית
- אירוח
- איך
- HTTPS
- עצום
- i
- if
- תמונה
- חשוב
- in
- יותר ויותר
- תעשייה
- יוזמה
- מעניין
- אינטרנט
- התערבות
- אל תוך
- להשקיע
- בעיות
- IT
- תעשיית ה- IT
- שֶׁלָה
- jpg
- קפיצות
- רק
- שמור
- שומר
- מפתח
- לדעת
- מעבדות
- חוסר
- מחשבים ניידים
- אחרון
- שנה שעברה
- נמשך
- הכי פחות
- פחות
- לתת
- רישיון
- החיים
- כמו
- קו
- לינוקס
- ll
- עוד
- נראה
- נראה
- מגרש
- מכונות
- זרם מרכזי
- לעשות
- לנהל
- הצליח
- ניהול
- יַצרָן
- התעשיינים
- מאי..
- אומר
- מנגנון
- מתכת
- מיקרו
- יכול
- לערבב
- מודל
- יותר
- רוב
- הרבה
- מספר
- צריך
- נרטיב
- לעולם לא
- חדש
- תֵשַׁע
- יַקִיר
- עַכשָׁיו
- מספר
- ברור
- of
- כבוי
- קָצִין
- on
- פעם
- ONE
- רק
- לפתוח
- פועל
- מערכת הפעלה
- מערכות הפעלה
- מפעיל
- or
- אחר
- שלנו
- בחוץ
- למיקור חוץ
- יותר
- הַשׁגָחָה
- סקירה
- חלק
- צדדים
- עבר
- תשלום
- טלפון
- טלפונים
- פיקסל
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- אפשרי
- הפרס
- בעיות
- תהליך
- המוצר
- מבטיח
- מספק
- מתן
- בפומבי
- דחוף
- לדחוף לאחור
- Pwn2Own
- שאלה
- RE
- קריאה
- בֶּאֱמֶת
- תקנה
- מרחוק
- לדרוש
- מחקר
- חוקרים
- אחריות
- REST
- לְהַגבִּיל
- תוצאות
- שימוש חוזר
- שורש
- כללי
- s
- אותו
- ראה
- לומר
- אומר
- בית ספר
- בתי ספר
- מסך
- בדיקה
- שְׁנִיָה
- שניות
- אבטחה
- נשלח
- נפרד
- שרתים
- משמש
- צריך
- לְהַצִיג
- לסגור
- חכם
- So
- עד כה
- כמה
- משהו
- מָקוֹר
- הפצת
- לסחוט
- התחלה
- תחנות
- עוד
- חזק
- כזה
- משטח
- מתג
- מערכת
- מערכות
- לקחת
- מדבר
- יעד
- נבחרת
- טק
- טכנולוגיה
- טלקום
- טסלה
- טסלה
- מֵאֲשֶׁר
- זֶה
- השמיים
- המקור
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- הֵם
- דבר
- לחשוב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- השנה
- אם כי?
- מחשבה
- איום
- זמן
- ל
- היום
- יַחַד
- טוקיו
- כלי
- לגעת
- קשה
- מסורתי
- מְגַמָה
- לנסות
- שתיים
- תחת
- לצערי
- ייחודי
- לא סביר
- עד
- עדכון
- עדכונים
- us
- ונקובר
- בְּמִדָה נִכֶּרֶת
- Ve
- רכב
- כלי רכב
- ספקים
- מאוד
- פגיעויות
- פגיעות
- היה
- דֶרֶך..
- we
- טוֹב
- הלכתי
- מה
- מה
- מתי
- אשר
- בזמן
- חיבור אינטרנט אלחוטי
- זכיות
- אלחוטי
- עם
- לְלֹא
- תיק עבודות
- לעבוד יחד
- של העולם
- כתב
- שנה
- שנים
- עוד
- אתה
- זפירנט
- אפס
- יום אפס
- פגיעות של יום אפס