V samo dveh dneh na Pwn2Own 2024 v Tokiu so raziskovalci ogrozili množico polnilnikov za električna vozila, operacijskih sistemov, Teslinih komponent in med tem odkrili na desetine ranljivosti ničelnega dne.
Lanskoletni Pwn2Own v Vancouvru se je spogledoval z avtomobili kot površino za napad in dodal Tesle v mešanico poleg tekmovanj za vdiranje v bolj tradicionalne strežnike, poslovne aplikacije, brskalnike in podobno. Toda letošnji dogodek je šel na polno in rezultati so bili razsvetljujoči. Prvi dan samo so tekmovalci pokazali 24 edinstvenih ničelnih dni, kar jim je prineslo 722,500 $ dobitkov. Drugi dan videli 20 novih podvigov, zadnji, tretji dan pa obljublja še devet novih.
»Vozila vedno bolj postajajo kompleksen sistem sistemov,« pravi Dustin Childs, vodja ozaveščanja o grožnjah pri Trend Micro's Zero Day Initiative (ZDI), skupini, ki gosti dogodek. "V preteklosti na tem področju ni bilo veliko raziskav in glede na naše izkušnje to pomanjkanje zunanjega nadzora pomeni, da bi lahko prišlo do številnih varnostnih težav."
Vdiranje v Tesle
Dogodek, ki je pritegnil naslovnice na lanskem Pwn2Own, je bil, ko je ekipi iz Synacktiv iz Toulousa uspelo zlomiti Tesla Model 3 v manj kot dveh minutah.
Letos se je Synacktiv vrnil z izkoriščanjem polnilnih postaj Ubiquiti Connect in JuiceBox 40 Smart EV, ChargePoint Home Flex (orodje za polnjenje električnih vozil na domu) in samoumevnega Automotive Grade Linux. Njegovi najpomembnejši dosežki pa so bili veriga izkoriščanja treh hroščev proti Teslovemu modemu in veriga dveh hroščev proti njegovemu informacijsko-razvedrilnemu sistemu, pri čemer sta si vsaka prislužila 100,000 $ denarne nagrade.
V skladu s pravili dogodka imajo prodajalci 90 dni časa, da odpravijo svoje varnostne pomanjkljivosti, preden se dovoli njihovo javno razkritje. Toda v e-poštnem sporočilu iz Tokia so krekerji Synacktiv dali Dark Readingu pregled na visoki ravni o tem, kako so izgledali napadi:
»Napad je poslan z antene GSM, ki posnema lažnega BTS (prevarantskega telekomunikacijskega operaterja). Prva ranljivost omogoča korenski dostop do modemske kartice Tesle,” so zapisali. »Drugi napad preskoči z modema na infotainment sistem. Če zaobidemo varnostne funkcije v tem procesu, je mogoče dostopati do več naprav v avtomobilu, kot so žarometi, brisalci vetrobranskega stekla, ali odpreti prtljažnik in vrata.”
Renaud Feil, izvršni direktor Synacktiv, pravi, da je Tesla »dvostranski kovanec. To je avto, ki ima ogromno napadalno površino – v Tesli je vse IT. Imajo pa tudi močno varnostno ekipo in skušajo varnosti posvečati veliko pozornosti. Torej je to velika tarča, a težka tarča.«
Sodobni avtomobili na razpotju
»Napadna površina avtomobila narašča in postaja vse bolj zanimiv, saj proizvajalci dodajajo brezžične povezave in aplikacije, ki vam omogočajo dostop do avtomobila na daljavo prek interneta,« pravi Feil.
Ken Tindell, glavni tehnološki direktor Canis Automotive Labs, podpira bistvo. "Resnično zanimivo je, kako tolikšna ponovna uporaba običajnega računalništva v avtomobilih prinaša vse varnostne težave običajnega računalništva v avtomobilih."
"Avtomobili imajo to stvar dveh svetov že vsaj 20 let," pojasnjuje. Prvič, »v infotainment sistemu imate mainstream računalništvo (ne zelo dobro). To imamo v avtomobilih že nekaj časa in je bil vir ogromnega števila ranljivosti – v Bluetoothu, Wi-Fiju itd. In potem imate krmilno elektroniko, to dvoje pa sta zelo ločeni domeni. Seveda imate težave s tem infotainmentom se začne dotikati vodila CAN to se pogovarja z zavorami, žarometi in podobnimi stvarmi.«
To je uganka, ki bi jo strokovnjaki OT morali poznati: upravljanje opreme IT skupaj z varnostno kritičnimi stroji na tak način, da lahko delujeta skupaj, ne da bi se težave prvega razširile na drugega. In seveda različni življenjski cikli izdelkov med IT in OT tehnologijo – avtomobili zdržijo veliko dlje kot na primer prenosni računalniki – zaradi česar je vrzel še manjša.
Kako bi lahko izgledala varnost avtomobila
Za podobo, kam gre kibernetska varnost vozil, bi lahko začeli pri infotainmentu – največji in najbolj očitni površini za napade v današnjih avtomobilih. Tu sta se razvili dve šoli mišljenja.
»Ena je: ne trudimo se, ker nikoli ne boste sledili ciklom izdelkov v avtomobilih. Apple CarPlay in Android Auto — to je pot naprej. Proizvajalec avtomobila torej zagotovi zaslon, nato pa vaš telefon zagotovi infotainment,« pojasnjuje Tindell. "Mislim, da je to dober pristop, saj je vaš telefon očitno vaša odgovornost, Apple ga posodablja, vse je popravljeno, vaš avto pa samo zagotavlja zaslon."
»Druga miselna šola je, da tem velikim podjetjem dovolite, da prevzamejo nadzor nad ključnimi funkcijami vaših avtomobilov. Licencirajte operacijski sistem pri Googlu in zdaj je ekvivalent Google CarPlay, vendar neposredno povezan z avtomobilom,« pravi. S podjetjem, kot je Google, ki ga vodi, »obstaja mehanizem za posodabljanje, tako kot posodablja njihove telefone Pixel. Vprašanje je, ali boste čez 10 let še vedno prejemali posodobitve za svoj avto, ko bo Googlu postalo dolgčas in ga bo poskušal zapreti?«
Toda tudi če proizvajalcem uspe iztisniti en del napadalne površine (malo verjetno) ali prenesti odgovornost za nadzor na tretje osebe (nepopolno), je Pwn2Own 2024 pokazal, da bodo še vedno imeli veliko več težav, ki jih morajo še pojasniti: EV polnilci za modeme, operacijske sisteme in drugo.
Kam mora iti industrija
Tindellu je zares pomembno ohraniti glavno računalništvo ločeno od nadzornih sistemov, tako da obstaja zaporna točka. »Na žalost nekatere točke zadušitve doslej niso bile zelo dobro razvite in jih lahko zlomite na koncu niza podvigov,« dodaja.
"Mislim, da vedo, kaj storiti," pravi Feil iz Synacktiv. "To je isti postopek, ki velja za preostalo industrijo IT: vlagajte v kibernetsko varnost, naredite nekaj revizij, vdirajte v svoje stvari, dokler ne postane zelo težko vdreti."
Da bi proizvajalce pripeljali do te točke, je po njegovem mnenju morda potrebno nekaj zunanjega posredovanja. "Industrija se je lahko odvrnila od omejitve predpisov," pravi Feil. »Njihova pripoved je: Preživljamo težke čase, saj nas vsi prosijo, da preidemo na električne avtomobile, in to lahko močno vpliva na naš rezultat. Vendar morajo pokazati, da nekaj delajo, ko gre za kibernetsko varnost.«
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :ima
- : je
- :ne
- :kje
- $GOR
- 000
- 10
- 20
- 20 let
- 2024
- 24
- 40
- 500
- 7
- a
- Sposobna
- dostop
- Račun
- dosežkov
- dodajanje
- Dodaja
- vplivajo
- proti
- vsi
- omogočajo
- dovoljene
- sam
- skupaj
- skupaj
- Prav tako
- an
- in
- Android
- Apple
- aplikacije
- velja
- pristop
- SE
- OBMOČJE
- AS
- sprašuje
- At
- napad
- Napadi
- pozornosti
- revizije
- avto
- avtomobilska
- zavest
- nazaj
- temeljijo
- BE
- ker
- postajajo
- bilo
- pred
- meni
- med
- Big
- največji
- bluetooth
- Dolgčas
- moti
- Bottom
- Prinaša
- brskalniki
- vendar
- CAN
- voziček
- kartice
- avtomobili
- Denar
- ceo
- verige
- naboj
- polnjenje
- šef
- Vodja tehnološke
- jasno
- Coin
- prihaja
- Podjetja
- podjetje
- Tekmovanja
- kompleksna
- deli
- Ogroženo
- računalništvo
- Connect
- upoštevamo
- nadzor
- uganka
- bi
- Tečaj
- tresk
- Cybersecurity
- ciklov
- Temnomodra
- Temno branje
- Datum
- dan
- Dnevi
- Dokazano
- razvoju
- težko
- neposredno
- različno
- do
- tem
- domen
- opravljeno
- vrata
- navzdol
- desetine
- vsak
- Zaslužek
- električni
- električni avtomobili
- Električno vozilo
- Elektronika
- E-naslov
- konec
- Podjetje
- oprema
- Enakovredna
- EV
- Tudi
- Event
- vsi
- vse
- izkušnje
- Pojasni
- Izkoristite
- izkorišča
- zunanja
- ponaredek
- seznanjeni
- daleč
- Lastnosti
- končna
- prva
- napake
- za
- Nekdanji
- Naprej
- iz
- polno
- funkcije
- vrzel
- dal
- dobili
- pridobivanje
- daje
- dogaja
- dobro
- prisodil
- razred
- skupina
- Pridelovanje
- kramp
- žaga
- imel
- Trdi
- Imajo
- pristanišče
- ob
- he
- Glava
- močno
- tukaj
- na visoki ravni
- Domov
- gostovanje
- Kako
- HTTPS
- velika
- i
- if
- slika
- Pomembno
- in
- vedno
- Industrija
- pobuda
- Zanimivo
- Internet
- intervencije
- v
- Invest
- Vprašanja
- IT
- IT industrija
- ITS
- jpg
- Skoki
- samo
- Imejte
- ohranja
- Ključne
- Vedite
- Labs
- Pomanjkanje
- prenosniki
- Zadnja
- Lansko leto
- trajno
- vsaj
- manj
- Naj
- Licenca
- življenje
- kot
- vrstica
- linux
- ll
- več
- Poglej
- Pogledal
- Sklop
- stroji
- Mainstream
- Znamka
- upravljanje
- upravlja
- upravljanje
- Proizvajalec
- Proizvajalci
- Maj ..
- pomeni
- Mehanizem
- kovinski
- mikro
- morda
- mix
- Model
- več
- Najbolj
- veliko
- več
- morajo
- NARRATIVNO
- nikoli
- Novo
- devet
- opazen
- zdaj
- Številka
- Očitna
- of
- off
- Častnik
- on
- enkrat
- ONE
- samo
- odprite
- deluje
- operacijski sistem
- Operacijski sistemi
- operater
- or
- Ostalo
- naši
- zunaj
- oddajati
- več
- nadzor
- pregled
- del
- Stranke
- preteklosti
- Plačajte
- telefon
- telefoni
- pixel
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- mogoče
- Nagrada
- Težave
- Postopek
- Izdelek
- Obljublja
- zagotavlja
- zagotavljanje
- javno
- Push
- porini nazaj
- Pwn2Own
- vprašanje
- RE
- reading
- res
- Uredba
- daljavo
- zahteva
- Raziskave
- raziskovalci
- Odgovornost
- REST
- omejiti
- Rezultati
- ponovna
- koren
- pravila
- s
- Enako
- Videl
- pravijo,
- pravi
- <span style="color: #f7f7f7;">Šola</span>
- Šole
- Zaslon
- pregled
- drugi
- sekund
- varnost
- poslan
- ločena
- Strežniki
- služi
- shouldnt
- Prikaži
- Zapri
- pametna
- So
- doslej
- nekaj
- Nekaj
- vir
- širjenje
- Stisnite
- Začetek
- Postaje
- Še vedno
- močna
- taka
- Površina
- Preklop
- sistem
- sistemi
- Bodite
- pogovor
- ciljna
- skupina
- tech
- Tehnologija
- telecom
- Tesla
- Teslas
- kot
- da
- O
- Vir
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- stvar
- mislim
- tretja
- tretje osebe
- ta
- letos
- čeprav?
- mislil
- Grožnja
- čas
- do
- danes
- skupaj
- tokio
- orodje
- na dotik
- težko
- tradicionalna
- Trend
- poskusite
- dva
- pod
- na žalost
- edinstven
- malo verjetno
- dokler
- Nadgradnja
- posodobitve
- us
- Vancouver
- zelo dobro
- Ve
- vozilo
- Vozila
- prodajalci
- zelo
- Ranljivosti
- ranljivost
- je
- način..
- we
- Dobro
- šla
- Kaj
- Kaj je
- kdaj
- ki
- medtem
- Wi-fi
- dobitki
- brezžična
- z
- brez
- delo
- delati skupaj
- svetu
- Napisal
- leto
- let
- še
- Vi
- Vaša rutina za
- zefirnet
- nič
- Zero dan
- zero-day ranljivosti