Защита на електрическия и софтуерно дефинирания автомобил

„Путин е глава. Слава на Украйна."

Това четат хакнатите зарядни устройства за електрически превозни средства, наред с други неща, на зарядни станции за инвалиди близо до Москва наскоро. И колкото и да предизвиква усмивка на лицата на мнозина по света, той подчертава точката на няколко изследователи и разработчици, които се събраха миналата седмица в ескар 2022 (конференция, която се фокусира върху дълбоки технически разработки в автомобилната киберсигурност всяка година): автомобилните хакове са във възход. Всъщност, per Доклад на Upstream Automotive, честотата на кибератаките се е увеличила с невероятните 225% от 2018 до 2021 г., като 85% са извършени дистанционно, а 54.1% от хаковете през 2021 г. са „Black Hat“ (известни още като злонамерени) нападатели.

В разгара на слушането на различни доклади от реалния свят на тази конференция станаха очевидни няколко неща: има както добри новини, така и лоши новини, базирани на винаги необходимия фокус в тази критична област.

Лошите новини

Най-просто казано, лошата новина е, че технологичният напредък само прави вероятността от събития от първия ден по-вероятна. „Електрическите превозни средства създават повече технологии, което означава, че има повече заплахи и заплахи“, заяви Джей Джонсън, главен изследовател от Sandia National Laboratories. „Вече има 46,500 2021 налични зарядни устройства към 2030 г., а до 600,000 г. пазарното търсене предполага, че ще има приблизително XNUMX XNUMX. Джонсън продължи да очертава четирите основни интерфейса, представляващи интерес и предварителна подгрупа от идентифицирани уязвимости, заедно с препоръки, но посланието беше ясно: трябва да има непрекъснат „призив за въоръжение“. Той предполага, че това е единственият начин да се избегнат такива неща като атаките на отказ на услуга (DoS) в Москва. „Изследователите продължават да идентифицират нови уязвимости“, заявява Джонсън, „и наистина се нуждаем от цялостен подход за споделяне на информация за аномалии, уязвимости и стратегии за реагиране, за да избегнем координирани, широко разпространени атаки върху инфраструктурата“.

Електрическите автомобили и свързаните с тях зарядни станции не са единствените нови технологии и заплахи. „Софтуерно дефинираното превозно средство“ е полунова архитектурна платформа (* вероятно използвана преди 15+ години от General MotorsGM
и OnStar), че някои производители се насочват да се борят с милиарди долари се пропиляват за непрекъснато преработване на всяко превозно средство. Основната структура включва хостване на голяма част от мозъка на превозното средство извън борда, което позволява повторна употреба и гъвкавост в рамките на софтуера, но също така представлява нови заплахи. Според същия доклад нагоре по веригата, 40% от атаките през последните няколко години са насочени към бек-енд сървъри. „Нека не се самозалъгваме“, предупреждава Хуан Уеб, управляващ директор от Kugler Maag Cie, „има много места в автомобилната верига, където могат да се случат атаки, вариращи от производство до дилърство до извънбордови сървъри. Където и да съществува най-слабото звено, което е най-евтино за проникване с най-големи финансови последици, това е мястото, където хакерите ще атакуват."

Там част от това, което се обсъждаше на escar, беше лошите новини-добрите новини (в зависимост от вашата гледна точка) на Регламент на ИКЕ на ООН влиза в сила тази седмица за всички нови типове превозни средства: производителите трябва да покажат стабилна система за управление на киберсигурността (CSMS) и система за управление на актуализации на софтуер (SUMS), за да бъдат превозни средства сертифицирани за продажба в Европа, Япония и евентуално Корея. „Подготовката за тези сертификати не е малко усилие“, казва Томас Лидтке, специалист по киберсигурност също от Kugler Maag Cie.

Добрата новина

На първо място, най-добрата новина е, че компаниите са чули сплотения вик и са започнали минимално да внушават необходимата строгост за борба с гореспоменатите врагове на Black Hat. „През 2020-2022 г. наблюдаваме увеличение на корпорациите, които искат да извършат анализ на заплахите и оценка на риска или TARAR
А“, заявява Лидтке. „Като част от тези анализи, препоръката е да се съсредоточи върху дистанционно контролирани видове атаки, тъй като те водят до по-високи стойности на риска.

И целият този анализ и строгост първоначално изглежда имат ефект. Според доклад, предоставен от Саманта („Сам“) Изабел Бомонт от IOActive, само 12% от уязвимостите, открити в техните тестове за проникване през 2022 г., се считат за „критично въздействие“ срещу 25% през 2016 г., а само 1% са „критична вероятност“ спрямо 7% през 2016 г. „Виждаме как сегашните стратегии за отстраняване на риска започват да се отплащат“, казва Бомонт. "Индустрията става все по-добра в изграждането на по-добро."

Това означава ли, че индустрията е свършена? Със сигурност не. „Всичко това е непрекъснат процес на втвърдяване на дизайна срещу развиващите се кибератаки“, предполага Джонсън.

Междувременно ще отпразнувам последната добра новина, която събрах: руските хакери са заети с хакването на руски активи, а не с емисиите ми в социалните мрежи.