Заштита на електричниот и софтверски дефиниран автомобил

„Путин е ад*** глава. Слава на Украина“.

Тоа го читаат, меѓу другото, хакираните полначи за електрични возила на станиците за полнење со посебни потреби во близина на Москва неодамна. И колку што им носи насмевка на лицата на многумина ширум светот, ја истакнува точката на неколку истражувачи и програмери кои се собраа минатата недела на ескар 2022 година (конференција која се фокусира на длабоки, технички случувања во автомобилската сајбер безбедност секоја година): хакерите во автомобилите се во пораст. Всушност, на Извештај на Upstream Automotive, зачестеноста на сајбер нападите се зголеми за неверојатни 225% од 2018 до 2021 година, при што 85% беа спроведени од далечина, а 54.1% од хакерите во 2021 година беа напаѓачи „Black Hat“ (познато како малициозни).

Среде слушањето на различни извештаи од реалниот свет на оваа конференција, неколку работи станаа очигледни: има и добри и лоши вести врз основа на секогаш бараниот фокус во оваа критична област.

Лошата вест

Во многу наједноставни термини, лошата вест е дека технолошкиот напредок само ја зголемува веројатноста за настани од првиот ден. „Електричните возила создаваат повеќе технологија, што значи дека има повеќе закани и површини за закана“, изјави Џеј Џонсон, главен истражувач од Sandia National Laboratories. „Веќе има достапни 46,500 полначи од 2021 година, а до 2030 година побарувачката на пазарот сугерира дека ќе има приближно 600,000“. Џонсон продолжи да ги разграничува четирите основни интерфејси од интерес и прелиминарната подгрупа на идентификувани слабости заедно со препораките, но пораката беше јасна: треба да има тековен „повик за оружје“. Тоа, сугерира тој, е единствениот начин да се избегнат такви работи како што се нападите на Denial of Service (DoS) во Москва. „Истражувачите продолжуваат да идентификуваат нови пропусти“, вели Џонсон, „и навистина ни треба сеопфатен пристап за споделување информации за аномалии, ранливости и стратегии за одговор за да избегнеме координирани, широко распространети напади врз инфраструктурата“.

Електричните автомобили и нивните поврзани станици за полнење не се единствените нови технологии и закани. „Возилото дефинирано со софтвер“ е полунова архитектонска платформа (* веројатно користена пред 15+ години од Џенерал МоторсGM
и OnStar) дека некои производители се насочени да се борат против милијарди долари се фрлаат залудно за постојано реконструирање на секое возило. Основната структура вклучува хостирање на голем дел од мозокот на возилото надвор од бродот, што овозможува повторна употреба и флексибилност во рамките на софтверот, но исто така претставува нови закани. Според истиот извештај Upstream, 40% од нападите во последните неколку години биле насочени кон серверите на задната страна. „Да не се залажуваме“, предупредува Хуан Веб, управен директор од Kugler Maag Cie, „има многу места низ автомобилскиот синџир каде што може да се случат напади, почнувајќи од производство до застапништва до сервери надвор од бродот. Секаде каде што постои најслабата алка, тоа е најевтино да се пробие со најголеми финансиски импликации, таму ќе нападнат хакерите“.

Во него, дел од она што беше дискутирано на Ескар беа лошите вести-добри вести (во зависност од вашата перспектива) на Регулатива на UNECE стапува на сила оваа недела за сите нови типови возила: производителите мора да покажат робустен систем за управување со сајбер безбедност (CSMS) и систем за управување со ажурирање на софтверот (SUMS) за возилата да бидат сертифицирани за продажба во Европа, Јапонија и на крајот во Кореја. „Подготовката за овие сертификати не е мал напор“, вели Томас Лидке, специјалист за сајбер безбедност, исто така од Kugler Maag Cie.

Добрата вест

Прво и основно, најдобрата вест е дека компаниите го слушнаа релито крик и минимално почнаа да ја всадуваат потребната строгост за борба против гореспоменатите непријатели на Црна шапка. „Во 2020-2022 година, видовме зголемување на корпорациите кои сакаат да спроведат анализа на закани и проценка на ризик или TARAR
А“, наведува Лидке. „Како дел од тие анализи, препораката беше да се фокусираме на далечински контролирани типови напади бидејќи тие водат до повисоки вредности на ризик“.

И сета оваа анализа и строгост првично се чини дека имаат ефект. Според извештајот обезбеден од Саманта („Сем“) Изабел Бомонт од IOActive, само 12% од пропустите пронајдени во нивното тестирање за пенетрација во 2022 година се сметаа за „Критично влијание“ наспроти 25% во 2016 година, а само 1% беа „Критична веројатност“ наспроти 7% во 2016 година. „Гледаме дека сегашните стратегии за санација на ризикот почнуваат да се исплатат“, вели Бомонт. „Индустријата станува подобра во градењето подобро“.

Дали тоа значи дека индустријата е завршена? Сигурно не. „Сето ова е континуиран процес на зацврстување на дизајните против еволуирачките сајбер напади“, сугерира Џонсон.

Во меѓувреме, ќе ја прославам последната добра вест што ја собрав: руските хакери се зафатени со хакирање на руските средства, а не со мојот извор на социјалните мрежи.