Электрлік және бағдарламалық құралмен анықталған автокөлікті қорғау

«Путин - жарнамалық жетекші. Украинаға даңқ».

Жақында Мәскеу маңындағы мүгедектер зарядтау станцияларында бұзылған электр көліктерінің зарядтағыштары осылай оқыды. Бұл дүние жүзіндегі көптеген адамдардың жүзіне күлкі сыйлағанымен, ол өткен аптада жиналған бірнеше зерттеушілер мен әзірлеушілер айтқан ойды ерекше көрсетеді. эскар 2022 (жыл сайын автомобиль киберқауіпсіздігіндегі терең, техникалық әзірлемелерге назар аударатын конференция): автокөліктерді бұзу көбейіп келеді. Шын мәнінде, пер Upstream Automotive есебі, кибершабуылдардың жиілігі 225 жылдан 2018 жылға дейін 2021%-ға өсті, оның 85%-ы қашықтан жүргізілді және 54.1 жылғы бұзулардың 2021%-ы «Қара қалпақ» (зиянды) шабуылдаушылар болды.

Осы конференцияда әртүрлі, нақты дүниелік баяндамаларды тыңдау кезінде бірнеше нәрсе анық болды: осы маңызды салада үнемі қажет болатын назарға негізделген жақсы жаңалықтар да, жаман жаңалықтар да бар.

Жаман жаңалықтар

Ең қарапайым тілмен айтқанда, жаман жаңалық - технологиялық жетістіктер тек бірінші күн оқиғаларының ықтималдығын арттырады. Джей Джонсон, Sandia Ұлттық зертханасының негізгі зерттеушісі: «Электрлік көліктер көбірек технология жасауда, бұл қауіптер мен қауіптердің көбірек екенін білдіреді. «46,500 жылға қарай қазірдің өзінде 2021 2030 зарядтағыш бар, ал 600,000 жылға қарай нарықтағы сұраныс шамамен XNUMX XNUMX болады деп болжайды». Джонсон ұсынымдармен бірге қызығушылықтың төрт негізгі интерфейсін және анықталған осалдықтардың алдын ала жиынын белгілеуді жалғастырды, бірақ хабарлама анық болды: тұрақты «жаруға шақыру» болуы керек. Бұл Мәскеудегі Қызмет көрсетуден бас тарту (DoS) шабуылдарынан аулақ болудың жалғыз жолы деп болжайды. «Зерттеушілер жаңа осалдықтарды анықтауды жалғастыруда», - дейді Джонсон, «бізге инфрақұрылымға келісілген, кең таралған шабуылдарды болдырмау үшін аномалиялар, осалдықтар және әрекет ету стратегиялары туралы ақпаратпен бөлісудің кешенді тәсілі қажет».

Электр машиналары және олармен байланысты зарядтау станциялары жалғыз жаңа технологиялар мен қауіптер емес. «Бағдарламалық құралмен анықталған көлік» - бұл жартылай жаңа архитектуралық платформа (* General Motors 15+ жыл бұрын жұмыс істеген.GM
және OnStar) кейбір өндірушілермен күресуге бағытталған миллиардтаған доллар ысырап болды әрбір көлікті үнемі қайта әзірлеу. Негізгі құрылым көлік құралының миының көп бөлігін борттан тыс орналастыруды қамтиды, бұл бағдарламалық жасақтама ішінде қайта пайдалануға және икемділікке мүмкіндік береді, сонымен қатар жаңа қауіптерді ұсынады. Сол Upstream есебіне сәйкес, соңғы бірнеше жылдағы шабуылдардың 40%-ы серверлерге бағытталған. Kugler Maag Cie компаниясының басқарушы директоры Хуан Уэбб: «Өзімізді алдамайық», - деп ескертеді, «автомобиль тізбегінде өндірістен бастап дилерлерге дейін, борттық серверлерге дейін шабуылдар орын алуы мүмкін көптеген орындар бар. Ең әлсіз сілтеме қай жерде болса да, ең арзаны ең үлкен қаржылық салдары бар, хакерлер сол жерде шабуыл жасайды ».

Бұл жерде эскарда талқыланған нәрселердің бір бөлігі жаман-жақсы-жаңалық (сіздің көзқарасыңызға байланысты) болды. БҰҰ ЕЭК ережесі Осы аптада барлық жаңа көлік түрлері үшін күшіне енеді: өндірушілер Еуропада, Жапонияда және сайып келгенде, Кореяда сатуға сертификатталуы үшін сенімді киберқауіпсіздікті басқару жүйесін (CSMS) және бағдарламалық құралды жаңартуды басқару жүйесін (SUMS) көрсетуі керек. Kugler Maag Cie компаниясының киберқауіпсіздік жөніндегі маманы Томас Лиедтке: «Бұл сертификаттарға дайындалу аз күш-жігер емес», - дейді.

Жақсы жаңалықтар

Ең алдымен, ең жақсы жаңалық - компаниялар митингілерді естіп, жоғарыда аталған Black Hat жауларымен күресу үшін қажетті қатаңдықты аздап енгізе бастады. «2020-2022 жылдары біз қауіптерді талдау және тәуекелді бағалау немесе TAR жүргізгісі келетін корпорациялардың көбеюін байқадық.AR
А», - дейді Лиедтке. «Осы талдаулардың бөлігі ретінде қашықтан басқарылатын шабуыл түрлеріне назар аудару ұсынылды, өйткені олар тәуекелдің жоғары мәндеріне әкеледі».

Осы талдаулар мен қатаңдықтардың бәрі бастапқыда әсер етіп жатқан сияқты. IOActive компаниясының Саманта («Сэм») Изабель Бомонт берген есебіне сәйкес, 12 жылғы ену тестісінде табылған осалдықтардың тек 2022%-ы 25 жылғы 2016%-ға қарсы «Критикалық әсер» деп саналды және тек 1%-ы ғана «Критикалық ықтималдық» болды. 7 жылы 2016%. «Біз қазіргі тәуекелдерді қалпына келтіру стратегияларының өз нәтижесін бере бастағанын көріп отырмыз», - дейді Бомонт. «Өнеркәсіп жақсырақ құрылысты жақсартады».

Бұл сала бітті дегенді білдіре ме? Әрине жоқ. «Мұның барлығы дамып келе жатқан кибершабуылдарға қарсы дизайнды шыңдаудың үздіксіз процесі», - дейді Джонсон.

Осы арада мен жинаған соңғы жақсы жаңалықты атап өтейін: ресейлік хакерлер менің әлеуметтік желідегі арнамды емес, ресейлік активтерді бұзумен айналысады.