Προστασία του ηλεκτρικού και του αυτοκινήτου που καθορίζεται από λογισμικό

«Ο Πούτιν είναι επικεφαλής. Δόξα στην Ουκρανία».

Αυτό διαβάζουν, μεταξύ άλλων, οι χακαρισμένοι φορτιστές ηλεκτρικών οχημάτων σε σταθμούς φόρτισης με ειδικές ανάγκες κοντά στη Μόσχα. Και όσο κι αν φέρνει ένα χαμόγελο στα πρόσωπα πολλών σε όλο τον κόσμο, υπογραμμίζει ένα σημείο που αναφέρθηκαν από αρκετούς ερευνητές και προγραμματιστές που συγκεντρώθηκαν την περασμένη εβδομάδα στο Escar 2022 (ένα συνέδριο που εστιάζει σε βαθιές, τεχνικές εξελίξεις στον κυβερνοχώρο της αυτοκινητοβιομηχανίας κάθε χρόνο): οι εισβολές αυτοκινήτων αυξάνονται. Μάλιστα, ανά Έκθεση Upstream Automotive, η συχνότητα των επιθέσεων στον κυβερνοχώρο έχει αυξηθεί κατά 225% από το 2018 έως το 2021, με το 85% να διεξάγεται εξ αποστάσεως και το 54.1% από τις εισβολές του 2021 να είναι «Black Hat» (γνωστοί και ως κακόβουλοι).

Εν μέσω της ακρόασης διαφόρων, πραγματικών αναφορών σε αυτό το συνέδριο, μερικά πράγματα έγιναν εμφανή: υπάρχουν και καλά νέα και κακά νέα με βάση την πάντα απαιτούμενη εστίαση σε αυτόν τον κρίσιμο τομέα.

Τα άσχημα νέα

Με τους απλούστερους όρους, τα κακά νέα είναι ότι οι τεχνολογικές εξελίξεις απλώς κάνουν πιο πιθανή την πιθανότητα γεγονότων της πρώτης ημέρας. «Τα ηλεκτρικά οχήματα δημιουργούν περισσότερη τεχνολογία, πράγμα που σημαίνει ότι υπάρχουν περισσότερες απειλές και επιφάνειες απειλών», δήλωσε ο Jay Johnson, επικεφαλής έρευνας από τα Εθνικά Εργαστήρια Sandia. «Υπάρχουν ήδη 46,500 διαθέσιμοι φορτιστές από το 2021 και μέχρι το 2030 η ζήτηση της αγοράς υποδηλώνει ότι θα είναι περίπου 600,000». Ο Τζόνσον συνέχισε να οριοθετεί τις τέσσερις κύριες διεπαφές ενδιαφέροντος και ένα προκαταρκτικό υποσύνολο εντοπισμένων τρωτών σημείων μαζί με συστάσεις, αλλά το μήνυμα ήταν σαφές: πρέπει να υπάρχει μια συνεχής «έκκληση στα όπλα». Αυτός, προτείνει, είναι ο μόνος τρόπος για να αποφευχθούν πράγματα όπως οι επιθέσεις Denial of Service (DoS) στη Μόσχα. «Οι ερευνητές συνεχίζουν να εντοπίζουν νέα τρωτά σημεία», δηλώνει ο Τζόνσον, «και χρειαζόμαστε πραγματικά μια ολοκληρωμένη προσέγγιση ανταλλαγής πληροφοριών σχετικά με ανωμαλίες, ευπάθειες και στρατηγικές απόκρισης για να αποφύγουμε συντονισμένες, εκτεταμένες επιθέσεις στην υποδομή».

Τα ηλεκτρικά αυτοκίνητα και οι σχετικοί σταθμοί φόρτισης δεν είναι οι μόνες νέες τεχνολογίες και απειλές. Το «όχημα καθορισμένο από λογισμικό» είναι μια ημι-νέα αρχιτεκτονική πλατφόρμα (*που χρησιμοποιήθηκε αναμφισβήτητα πριν από 15+ χρόνια από την General MotorsGM
και OnStar) ότι ορισμένοι κατασκευαστές κατευθύνονται να καταπολεμήσουν δισεκατομμύρια δολάρια που σπαταλούνται για τη συνεχή ανακατασκευή κάθε οχήματος. Η βασική δομή περιλαμβάνει τη φιλοξενία μεγάλου μέρους του εγκεφάλου του οχήματος εκτός του σκάφους, κάτι που επιτρέπει την επαναχρησιμοποίηση και την ευελιξία εντός του λογισμικού, αλλά επίσης παρουσιάζει νέες απειλές. Σύμφωνα με την ίδια αναφορά Upstream, το 40% των επιθέσεων τα τελευταία χρόνια στόχευαν back-end διακομιστές. «Ας μην κοροϊδεύουμε τους εαυτούς μας», προειδοποιεί ο Juan Webb, Διευθύνων Σύμβουλος της Kugler Maag Cie, «υπάρχουν πολλά μέρη σε όλη την αλυσίδα αυτοκινήτων όπου μπορεί να συμβούν επιθέσεις, από την κατασκευή έως τις αντιπροσωπείες έως τους διακομιστές εκτός πλοίου. Όπου υπάρχει ο πιο αδύναμος κρίκος, αυτός είναι ο φθηνότερος για διείσδυση με τις μεγαλύτερες οικονομικές επιπτώσεις, εκεί θα επιτεθούν οι χάκερ».

Εκεί, μέρος αυτού που συζητήθηκε στο escar ήταν τα κακά νέα-καλά νέα (ανάλογα με την άποψή σας) του Κανονισμός UNECE θα τεθεί σε ισχύ αυτή την εβδομάδα για όλους τους νέους τύπους οχημάτων: οι κατασκευαστές πρέπει να επιδείξουν ένα ισχυρό Σύστημα Διαχείρισης Κυβερνοασφάλειας (CSMS) και Σύστημα Διαχείρισης Ενημερώσεων Λογισμικού (SUMS) για οχήματα που θα πιστοποιηθούν προς πώληση στην Ευρώπη, την Ιαπωνία και τελικά την Κορέα. «Η προετοιμασία για αυτές τις πιστοποιήσεις δεν είναι μικρή προσπάθεια», δηλώνει ο Thomas Liedtke, ειδικός στον τομέα της κυβερνοασφάλειας επίσης από το Kugler Maag Cie.

Τα καλά νέα

Πρώτα και κύρια, τα καλύτερα νέα είναι ότι οι εταιρείες άκουσαν την κραυγή ράλι και άρχισαν ελάχιστα να ενσταλάξουν την απαραίτητη αυστηρότητα για την καταπολέμηση των προαναφερθέντων εχθρών του Black Hat. «Το 2020-2022, έχουμε δει μια αύξηση στις εταιρείες που θέλουν να πραγματοποιήσουν ανάλυση απειλών και εκτίμηση κινδύνου ή TARAR
Α», δηλώνει ο Liedtke. «Στο πλαίσιο αυτών των αναλύσεων, η σύσταση ήταν να επικεντρωθούμε σε τηλεκατευθυνόμενους τύπους επιθέσεων, καθώς αυτοί οδηγούν σε υψηλότερες τιμές κινδύνου».

Και όλη αυτή η ανάλυση και η αυστηρότητα αρχικά φαίνεται να έχουν αποτέλεσμα. Σύμφωνα με μια αναφορά που παρείχε η Samantha ("Sam") Isabelle Beaumont του IOActive, μόνο το 12% των τρωτών σημείων που βρέθηκαν στις δοκιμές διείσδυσής τους το 2022 θεωρήθηκαν "Κρίσιμος αντίκτυπος" έναντι 25% το 2016 και μόνο το 1% ήταν "Κρίσιμη πιθανότητα" έναντι 7% το 2016. «Βλέπουμε ότι οι τρέχουσες στρατηγικές αποκατάστασης κινδύνου αρχίζουν να αποδίδουν», δηλώνει ο Beaumont. «Η βιομηχανία βελτιώνεται στο να χτίζει καλύτερα».

Αυτό σημαίνει ότι ο κλάδος έχει τελειώσει; Σίγουρα όχι. «Όλα αυτά είναι μια συνεχής διαδικασία σκλήρυνσης των σχεδίων ενάντια στις εξελισσόμενες κυβερνοεπιθέσεις», προτείνει ο Johnson.

Εν τω μεταξύ, θα γιορτάσω τα τελευταία καλά νέα που άντλησα: οι Ρώσοι χάκερ είναι απασχολημένοι με το hacking ρωσικών περιουσιακών στοιχείων και όχι τη ροή μου στα μέσα κοινωνικής δικτύωσης.