Kaip automobilių gamintojai sprendžia prijungtų transporto priemonių pažeidžiamumo valdymą

Automobilis kažkada buvo tiesiog būdas nuvažiuoti iš A į B ir nesvarbu, ar įsigijote pigų automobilį, ar prabangų modelį, jie visi turėjo vieną tikslą: keliauti.

Tačiau mūsų transporto priemonės dabar tampa išmanesnės. Galinio vaizdo kameros, GPS pagrįsti žemėlapių pagalbininkai, mobiliosios programėlės, savarankiško vairavimo funkcijos ir visada įjungtas ryšys tampa įprastas, pvz. Apple CarPlay ir Google Android Auto.

Transporto priemonių jungiamumas suteikia naują duomenų rinkimo kanalą, vertingą prekę automobilių gamintojams ir technologijų pardavėjams. Tačiau šiam kanalui reikalinga prieiga prie interneto, o tai savo ruožtu sukūrė kanalą, kuriame galima vykdyti atakas.

Tai buvo dar 2015 metais kad prieš mūsų transporto priemones nukreiptos kibernetinės atakos pirmiausia atsidūrė dėmesio centre. „IOActive“ tyrėjai sugebėjo pažeisti „Uconnect“ prijungtą automobilio sistemą, kad galėtų nuotoliniu būdu valdyti „Jeep“ ir išsiųsti jį iš kelio.

Tai buvo tik pradžia. Kita ataka, kurioje dalyvavo džipas, leido užpuolikams valdyti stabdžius; buvo nustatyti saugos trūkumai transporto priemonėse, kurios įjungti atrakinimą; pažeidžiamumų informacijos ir pramogų prietaisų skydeliai buvo atskleistos, kad būtų suteikta nuotolinė prieiga, ir buvo sukurtas išnaudojimas, galintis išjungti saugos funkcijas moderniausios transporto priemonės.

TechRepublic: PCI atitiktis slysta pirmą kartą per 6 metus, tačiau IT išlieka viršuje

Inžinieriai ir konsultantai iš IOActive nuo 2012 m. stebi su prijungtomis transporto priemonėmis susijusią grėsmę. Pagal baltą knygą dokumentuojant tyrimą (.PDF), remiantis tūkstančiais valandų darbo su transporto priemonių techninės įrangos sistemomis 2016–2017 m., šiuolaikiniai atakų vektoriai gali apima išnaudojimus, susijusius su „Bluetooth“, korinio ryšio ryšiais, „Wi-Fi“, pardavėjo sąsajomis ir išorine atmintimi, pvz., USB diskai.

„IOActive“ surinko duomenis 2016–2017 m. laikotarpiu, kad ištirtų pažeidžiamumų, susijusių su prijungtomis transporto priemonėmis, ypatumus.

Tyrėjai teigia, kad dauguma prijungtose transporto priemonėse esančių pažeidžiamumų laikomi „vidutiniu poveikiu“ ir gali gali sukelti informacijos atskleidimą ir pažeistus tinklo ryšius, pvz., „Man-in-The-Middle“ (MiTM) atakas arba pasiklausymą.

Taip pat žiūrėkite: Piratai dar kartą užgrobia džipus, jūsų stabdžiai priklauso jiems

Tačiau šios klaidos nėra pačios rimčiausios, pvz., leidžiančios nuotoliniu būdu vykdyti kodą (RCE) arba išlikti sistemoje.

Anot įmonės, tai reiškia „didelį kritinio poveikio pažeidžiamumo sumažėjimą“, palyginti su ankstesniais metais, maždaug 15 procentų.

„Pastebėjome reikšmingą transporto priemonių sistemų projektavimo augimą, kad nuo pat pradžių būtų įtraukta apsauga“, – sako IOActive. „Tai apima įsitikinimą, kad duomenis apdorojantys procesai veikia su ribotomis privilegijomis, o tai padeda sumažinti labiausiai tikėtinų atakų poveikį.

Kai kalbama apie pažeidžiamumų išnaudojimo tikimybę, mokslininkų grupė teigia daugiausiai pažeidžiamumu gali „išnaudoti tik pažangūs užpuolikai arba gali prireikti kito kompromiso išnaudojamas“.

Dažniausiai ataskaitoje aprašyti atakų vektoriai buvo vietiniai ir tinklo pagrindu.

Vietinėms atakoms reikia kredencialų ar kitokio įsitvirtinimo sistemoje, o tinklo vektoriai yra platesni ir gali apimti įsibrovimą per trečiųjų šalių sistemas ar programinę įrangą.

CNET: Trumpas laikosi „puolamųjų kibernetinių operacijų“ kaip atgrasymo prieš JAV konkurentus

Komanda taip pat pastebėjo, kad daugėja serijinių atakų, kurios gali apimti transporto priemonės programinės įrangos modifikavimą, informacijos, kuria keičiasi komponentai, pasiklausymą ir piktnaudžiavimą derinimo sistemomis.

Tačiau norint pasinaudoti šiuo atakos vektoriumi, reikalinga fizinė prieiga prie įrenginio.

„Didelis vietinių ir serijinių atakų padidėjimas gali būti siejamas su bandymų metodų pasikeitimu“, - pažymi mokslininkai. „Kadangi saugumas tampa vis svarbesnis susirūpinimas, vis daugiau įmonių teikia dokumentus ir derina prieigą, kad padėtų nustatyti jų sistemų pažeidžiamumą. Automobilių pramonė taip pat labiau domisi žemesnio lygio saugos funkcijomis, pvz., saugia įkrova, o tai atsispindi srityse, kurias mes baigiame išbandyti.

Dažniausios spragos, apie kurias pranešė IOActive, buvo kodavimo logikos klaidos, kurios apeina programos logiką, o ne išnaudoja techninius duomenų tvarkymo trūkumus. Be to, dažnai pasitaikydavo atminties sugadinimo saugos trūkumų, privilegijų eskalavimo klaidų ir informacijos nutekėjimo.

Ataskaitoje taip pat buvo nagrinėjama, kaip automobilių gamintojai sprendžia saugumo trūkumus. Pavyzdžiui, žemo lygio pataisymai gali apimti pataisas arba konfigūracijos pakeitimus; kadangi dėl kritinių pažeidžiamumų gali tekti atlikti visišką sistemos remontą.

„IOActive“ nustatė, kad daugumą pažeidžiamumų buvo lengva ištaisyti, tačiau tai yra „žemai kabantis vaisius“. klaidas galima ištaisyti greitais pakeitimais, pastangos, reikalingos naujiems pažeidžiamumams pašalinti pakilo.

IOActive teigia, kad automobilių pramonė turi daugiau dėmesio skirti geriausios pramonės praktikos pavyzdžiams, nes tai gali išspręsti daugelį problemų, su kuriomis susiduria kibernetinio saugumo srityje. Vadovaudamiesi gairėmis, kurias paskelbė tokios grupės kaip OWASP arba Auto-ISAC, pardavėjai gali išmokti išvengti saugumo problemų, tokių kaip autentifikavimo ir filtravimo problemos, kuriomis gali pasinaudoti užpuolikai.

Automobilių gamintojai tobulina savo kibernetinio saugumo praktiką, tačiau visų pirma reikia pasivyti vidines sistemas. Kadangi grėsmės veikėjai nuolat kuria naujus įrankius, išnaudojimus ir taktikas, asmenys, atsakingi už tai, kaip keliaujame, turi sušvelninti tokias grėsmes mūsų saugumui ir privatumui panaikinant pažeidžiamumą, gerinant pataisų valdymo procesus ir stebint pramonės atstovus. Gairės.

Ankstesnė ir susijusi informacija

• Po duomenų pažeidimo MVĮ patiria iki 2,5 mln
• Atskleistas Apple MacOS Mojave nulinės dienos privatumo apėjimo pažeidžiamumas
• „VW-Audi“ saugumas: keli informacinės pramogų sistemos trūkumai gali suteikti užpuolikams nuotolinę prieigą