Araştırmacılar, Tokyo'daki Pwn2Own 2024'te yalnızca iki gün içinde çok sayıda elektrikli araç şarj cihazını, işletim sistemini, Tesla bileşenini tehlikeye attı ve bu süreçte düzinelerce sıfır gün güvenlik açığını ortaya çıkardı.
Geçen yıl Vancouver'da düzenlenen Pwn2Own, saldırı yüzeyi olarak arabalarla flört etti ve daha geleneksel sunucuları, kurumsal uygulamaları, tarayıcıları ve benzerlerini hacklemeye yönelik yarışmaların yanı sıra Tesla'yı da karışıma ekledi. Ancak bu yılki etkinlik tamamen metale dönüştü ve sonuçlar aydınlatıcı oldu. İlk günde Yalnızca yarışmacılar 24 benzersiz sıfır gün sergileyerek onlara 722,500 $ kazanç elde etti. İkinci gün 20 yeni istismar gördü ve son, üçüncü gün dokuz tane daha vaat ediyor.
Etkinliğe ev sahipliği yapan Trend Micro'nun Zero Day Initiative (ZDI) grubunun tehdit farkındalığı başkanı Dustin Childs, "Araçlar giderek daha karmaşık bir sistem sistemi haline geliyor" diyor. "Geçmişte bu alanla ilgili çok fazla araştırma yapılmamıştı ve deneyimlerimize göre, dış inceleme eksikliği çok sayıda güvenlik sorununun olabileceği anlamına geliyor."
Tesla'ları Hacklemek
Geçen yılın Pwn2Own etkinliğinde manşetlere çıkan etkinlik, Toulouse merkezli Synacktiv'den bir ekibin şunları başardığı zamandı: Tesla Model 3'ü iki dakikadan kısa sürede ihlal edin.
Bu yıl Synacktiv, Ubiquiti Connect ve JuiceBox 40 Smart EV şarj istasyonları, ChargePoint Home Flex (evde EV şarj aracı) ve açıklamalı Automotive Grade Linux'un özellikleriyle geri döndü. Ancak en dikkate değer başarıları, Tesla'nın modemine yönelik üç hatadan yararlanma zinciri ve bilgi-eğlence sistemine yönelik iki hata zinciri oldu ve her biri 100,000 dolar nakit ödül kazandı.
Etkinliğin kurallarına göre satıcıların, kamuya açıklanmasına izin verilmeden önce güvenlik kusurlarını düzeltmek için 90 günü var. Ancak Tokyo'dan gelen bir e-postada Synacktiv korsanları, Dark Reading'e saldırıların neye benzediğine dair üst düzey bir genel bakış sundu:
“Saldırı, sahte bir BTS'i (haydut telekom operatörü) taklit eden bir GSM anteninden gönderiliyor. İlk güvenlik açığı Tesla'nın modem kartına root erişimi sağlıyor" diye yazdılar. “İkinci bir saldırı modemden bilgi-eğlence sistemine sıçradı. Ve bu süreçteki güvenlik özelliklerini atlayarak, arabadaki farlar, ön cam silecekleri gibi birden fazla donanıma erişmek veya bagajı ve kapıları açmak mümkün.”
Synacktiv CEO'su Renaud Feil, Tesla'nın iki taraflı bir para olduğunu söylüyor. Çok büyük bir saldırı yüzeyine sahip bir araba; Tesla'da her şey BT'den oluşuyor. Ama aynı zamanda güçlü bir güvenlik ekibine sahipler ve güvenliğe çok dikkat etmeye çalışıyorlar. Yani bu çok büyük bir hedef ama zor bir hedef.”
Modern Arabalar Bir Yol Ayrımında
Feil, "Arabanın saldırı yüzeyi büyüyor ve giderek daha ilginç hale geliyor, çünkü üreticiler kablosuz bağlantılar ve araca internet üzerinden uzaktan erişmenizi sağlayan uygulamalar ekliyor" diyor.
Canis Automotive Labs'ın baş teknoloji sorumlusu Ken Tindell bu noktanın arkasında duruyor. "Gerçekten ilginç olan şey, ana akım bilişimin otomobillerde bu kadar çok yeniden kullanılmasının, ana akım bilişimin tüm güvenlik sorunlarını otomobillerde de beraberinde getirmesidir."
"Arabalar bu iki dünya olayını en az 20 yıldır yaşıyor" diye açıklıyor. Birincisi, “bilgi-eğlence sisteminde ana akım bilgi işlem (pek iyi yapılmamış) var. Bunu bir süredir arabalarda yaşıyoruz ve Bluetooth, Wi-Fi vb. alanlarda çok sayıda güvenlik açığının kaynağı bu. Ve sonra kontrol elektroniğiniz var ve ikisi çok ayrı alanlar. Tabii ki, bilgi-eğlence sistemi o zaman sorun yaşarsınız. CAN veriyoluna dokunmaya başlar bu frenler, farlar ve bunun gibi şeylerle ilgili."
Bu, OT uygulayıcılarının aşina olması gereken bir bilmecedir: Güvenlik açısından kritik makinelerin yanı sıra BT ekipmanlarını da, ilkinin sıkıntılarını ikincisine yaymadan ikisinin birlikte çalışabileceği şekilde yönetmek. Ve elbette, BT ve OT teknolojisi arasındaki farklı ürün yaşam döngüleri (arabalar, örneğin dizüstü bilgisayarlardan çok daha uzun ömürlüdür), bu da yalnızca aradaki farkı daha da az hale getirmeye hizmet eder.
Araç Güvenliği Nasıl Görünebilir?
Araç siber güvenliğinin nereye gittiğini anlamak için günümüzün otomobillerindeki en büyük ve en bariz saldırı yüzeyi olan bilgi-eğlence sisteminden başlanabilir. Burada gelişen iki düşünce ekolü vardır.
“Birincisi: Rahatsız etmeyelim çünkü arabalardaki ürün döngülerini asla dikkate alamayacaksınız. Apple CarPlay ve Android Auto — ilerlemenin yolu budur. Yani araba üreticisi bir ekran sağlıyor ve ardından telefonunuz bilgi-eğlence malzemelerini sağlıyor," diye açıklıyor Tindell. "Bunun iyi bir yaklaşım olduğunu düşünüyorum, çünkü telefonunuz açıkça sizin sorumluluğunuzdadır, Apple telefonunuzu güncel tutuyor, her şey yamalı ve arabanız sadece bir ekran sağlıyor."
"Diğer düşünce tarzı da bu büyük şirketlerin arabalarınızın temel işlevlerini kontrol altına almasına izin vermektir. Google'dan bir işletim sistemi lisanslayın ve artık Google CarPlay'in eşdeğeri haline geldi, ancak doğrudan araca bağlandı" diyor. Google gibi bir şirketin başındayken, “tıpkı Pixel telefonlarını güncellediği gibi bunun da bir güncelleme mekanizması var. Soru şu ki, 10 yıl sonra Google sıkılıp onu kapatmaya çalıştığında arabanız için güncellemeler almaya devam edecek misiniz?
Ancak üreticiler saldırı yüzeyinin bir bölümünü daraltmayı başarsalar (olası değil) veya bunu denetleme sorumluluğunu üçüncü taraflara devretmeyi başarsalar bile (kusurlu bir şekilde), Pwn2Own 2024 hala hesaba katılması gereken çok daha fazla sorunla karşılaşacaklarını gösterdi: EV modemlere, işletim sistemlerine ve daha fazlasına şarj cihazları.
Endüstrinin Gitmesi Gereken Yer
Tindell'e göre asıl önemli olan, ana bilgisayarların güvenlik duvarıyla kontrol sistemlerinden uzakta tutulması, böylece bir tıkanıklık oluşmasıdır. "Maalesef bazı darboğazlar şu ana kadar pek iyi gelişmedi ve onları bir açıktan yararlanma zincirinin sonunda çözebilirsiniz" diye ekliyor.
Synacktiv'den Feil, "Sanırım ne yapacaklarını biliyorlar" diyor. "BT sektörünün geri kalanı için de geçerli olan süreç aynı: Siber güvenliğe yatırım yapın, bazı denetimler yapın, hacklenmesi çok zor hale gelene kadar eşyalarınızı hackleyin."
Üreticileri bu noktaya getirmenin dışarıdan müdahale gerektirebileceğine inanıyor. Feil, "Sektör düzenlemeleri kısıtlamak için geri adım atmayı başardı" diyor. "Anlattıkları şu: Zor bir dönemden geçiyoruz çünkü herkes bizden elektrikli arabalara geçmemizi istiyor ve bu, kârlılığımızı büyük ölçüde etkileyebilir. Ancak konu siber güvenlik olduğunda bir şeyler yaptıklarını göstermeleri gerekiyor.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/ics-ot-security/pwn2own-2024-teslas-hacked-dozens-new-zero-days-evs
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 000
- 10
- 20
- 20 yıl
- 2024
- 24
- 40
- 500
- 7
- a
- Yapabilmek
- erişim
- Hesap
- başarılar
- ekleme
- Ekler
- etkiler
- karşı
- Türkiye
- izin vermek
- izin
- tek başına
- boyunca
- yanında
- Ayrıca
- an
- ve
- android
- Apple
- uygulamaları
- geçerlidir
- yaklaşım
- ARE
- ALAN
- AS
- soran
- At
- saldırı
- saldırılar
- Dikkat
- denetimler
- Oto
- otomotiv
- farkındalık
- Arka
- merkezli
- BE
- Çünkü
- olma
- olmuştur
- önce
- inanıyor
- arasında
- Büyük
- Biggest
- Bluetooth
- Sıkılmış
- zahmet
- Alt
- Getiriyor
- tarayıcılar
- fakat
- CAN
- araba
- kart
- arabalar
- Nakit
- ceo
- zincir
- ücret
- doldurma
- baş
- Baş Teknoloji Sorumlusu
- Açıkça
- Sikke
- geliyor
- Şirketler
- şirket
- Yarışmalar
- karmaşık
- bileşenler
- Uzlaşılmış
- bilgisayar
- Sosyal medya
- düşünen
- kontrol
- bilmece
- olabilir
- Kurs
- çatlak
- Siber güvenlik
- döngüleri
- karanlık
- karanlık okuma
- Tarih
- gün
- Günler
- gösterdi
- gelişen
- zor
- direkt olarak
- çılgınlık
- do
- yapıyor
- etki
- yapılmış
- kapılar
- aşağı
- onlarca
- her
- Kazanma
- Elektrik
- elektrikli arabalar
- elektrikli araç
- Elektronik
- E-posta
- son
- kuruluş
- ekipman
- Eşdeğer
- EV
- Hatta
- Etkinlikler
- herkes
- her şey
- deneyim
- açıklar
- sömürmek
- patlatır
- dış
- sahte
- tanıdık
- uzak
- Özellikler
- son
- Ad
- kusurları
- İçin
- Eski
- ileri
- itibaren
- tam
- fonksiyonlar
- boşluk
- verdi
- almak
- alma
- verir
- gidiş
- Tercih Etmenizin
- var
- sınıf
- grup
- Büyüyen
- kesmek
- kesmek
- vardı
- Zor
- Var
- sığınak
- sahip olan
- he
- baş
- ağır şekilde
- okuyun
- üst düzey
- Ana Sayfa
- hosting
- Ne kadar
- HTTPS
- Kocaman
- i
- if
- görüntü
- önemli
- in
- giderek
- sanayi
- Girişim
- ilginç
- Internet
- müdahale
- içine
- Yatırım yapmak
- sorunlar
- IT
- bilgi Teknolojileri endüstrisi
- ONUN
- jpg
- atlar
- sadece
- tutmak
- tutar
- anahtar
- Bilmek
- Labs
- Eksiklik
- dizüstü bilgisayarlar
- Soyad
- Geçen yıl
- kalıcı
- en az
- az
- izin
- Lisans
- hayat
- sevmek
- çizgi
- linux
- ll
- uzun
- Bakın
- baktı
- Çok
- makinalar
- ana akım
- yapmak
- yönetmek
- yönetilen
- yönetme
- Üretici firma
- Üreticiler
- Mayıs..
- anlamına geliyor
- mekanizma
- metal
- mikro
- olabilir
- karıştırmak
- model
- Daha
- çoğu
- çok
- çoklu
- şart
- ANLATI
- asla
- yeni
- dokuz
- dikkate değer
- şimdi
- numara
- Açık
- of
- kapalı
- Subay
- on
- bir Zamanlar
- ONE
- bir tek
- açık
- işletme
- işletim sistemi
- işletim sistemleri
- Şebeke
- or
- Diğer
- bizim
- dışında
- outsource
- tekrar
- nezaret
- genel bakış
- Bölüm
- partiler
- geçmiş
- telefon
- telefonlar
- piksel
- Platon
- Plato Veri Zekası
- PlatoVeri
- Nokta
- mümkün
- ödül
- sorunlar
- süreç
- PLATFORM
- vaat
- sağlar
- sağlama
- alenen
- Itmek
- Geri itmek
- Pwn2Own
- soru
- RE
- Okuma
- Gerçekten mi
- Değişiklik Yapıldı
- uzaktan
- gerektirir
- araştırma
- Araştırmacılar
- sorumluluk
- DİNLENME
- kısıtlamak
- Sonuçlar
- yeniden
- kök
- kurallar
- s
- aynı
- testere
- söylemek
- diyor
- Okul
- Okullar
- Ekran
- inceleme
- İkinci
- saniye
- güvenlik
- gönderdi
- ayrı
- Sunucular
- vermektedir
- meli
- şov
- kapamak
- akıllı
- So
- şu ana kadar
- biraz
- bir şey
- Kaynak
- Yayma
- Sıkmak
- başlama
- İstasyonlar
- Yine
- güçlü
- böyle
- yüzey
- anahtar
- sistem
- Sistemler
- Bizi daha iyi tanımak için
- konuşma
- Hedef
- takım
- teknoloji
- Teknoloji
- telekom
- Tesla
- teslas
- göre
- o
- The
- Kaynak
- ve bazı Asya
- Onları
- sonra
- Orada.
- Bunlar
- onlar
- şey
- düşünmek
- Üçüncü
- üçüncü şahıslar
- Re-Tweet
- Bu yıl
- gerçi?
- düşünce
- tehdit
- zaman
- için
- bugün
- birlikte
- Tokyo
- araç
- dokunma
- sert
- geleneksel
- eğilim
- denemek
- iki
- altında
- ne yazık ki
- benzersiz
- olası
- kadar
- Güncelleme
- Güncellemeler
- us
- vancouver
- çok
- Ve
- araç
- Araçlar
- satıcıları
- çok
- güvenlik açıkları
- güvenlik açığı
- oldu
- Yol..
- we
- İYİ
- Kimler
- Ne
- Nedir
- ne zaman
- hangi
- süre
- Wi-fi
- kazanç
- kablosuz
- ile
- olmadan
- İş
- birlikte çalışmak
- Dünyanın en
- yazdı
- yıl
- yıl
- henüz
- Sen
- zefirnet
- sıfır
- Zero Day
- sıfır gün güvenlik açıkları