Acura’dan Toyota’ya bir dizi otomobil üreticisi, araçlarında bilgisayar korsanlarının kişisel olarak tanımlanabilir bilgilere (PII) erişmesine, araç sahiplerini araçlarından kilitlemesine ve hatta aracın motorunu çalıştırma ve durdurma gibi işlevleri devralmasına olanak tanıyan güvenlik açıklarıyla boğuşuyor.

Çabaları Web uygulama güvenliği uzmanı Sam Curry’nin araştırmalarında detaylandırılan yedi güvenlik araştırmacısından oluşan bir ekibe göre. Blogotomobil üreticilerinin dahili uygulamalarındaki ve sistemlerindeki güvenlik açıkları, bir konsept kanıtı hackinde, yalnızca arabanın ön camından görülebilen VIN’i (araç kimlik numarası) kullanarak komutlar göndermelerine izin verdi.

Sonuç olarak ekip, BMW, Ferrari, Ford, Volvo gibi otomobil üreticilerinin ve Avrupa, Asya ve Amerika Birleşik Devletleri’ndeki diğer birçok otomobil üreticisinin ciddi güvenlik sorunlarını ortaya çıkardı. Ayrıca, GPS tabanlı araç takip çözümleri geliştiren Spireon dahil olmak üzere tedarikçiler ve telematik şirketlerinde sorunlar buldu.

Bir BMW Group sözcüsü, Dark Reading’e BT ve veri güvenliğinin şirket için “en yüksek önceliğe” sahip olduğunu ve olası güvenlik açıkları veya güvenlik tehditleri için sistem ortamını sürekli olarak izlediğini söyledi.

Sözcü, raporda bahsedilen güvenlik açığının Kasım ayının başından beri bilindiğini ve BMW’nin “güvenlik standardı işletim prosedürlerine”, örneğin bug-bounty programına göre işlendiğini ekliyor.

Sözcü, “Ele alınan ilgili güvenlik açığı sorunları 24 saat içinde kapatıldı ve herhangi bir veri sızıntısı belirtisi yok” dedi. “Araçla ilgili hiçbir BT sistemi etkilenmedi veya tehlikeye atılmadı. Hiçbir BMW Group müşterisi veya çalışan hesabı tehlikeye atılmadı.”

Bu, yalnızca gün ışığına çıkan en son güvenlik sorunudur. Mart ayında, endüstriyel sistem güvenlik firması Dragos’un telemetrisi, birkaç otomotiv üreticisi sistemiyle iletişim kuran Emotet komuta ve kontrol sunucularını tespit etti. Kötü amaçlı yazılım, genellikle fidye yazılımını düşürmek için ilk bulaşma vektörü olarak kullanılır.

Aralık ayında, sürücülerin araçlarını uzaktan çalıştırmasına veya kilidini açmasına izin verecek şekilde uyarlanmış en az üç mobil uygulamanın, kimliği doğrulanmamış kötü niyetli türlerin aynı şeyi uzaktan yapmasına izin verebilecek güvenlik açıklarına sahip olduğu bulundu.

Otomobil Üreticileri Büyüyen Tehdidin Farkına Varmakta Yavaş

Gartner otomotiv, güvenlik açıklarının bir süredir sektörde bir sorun olmasına rağmen (Charlie Miller ve Chris Valasek’in Black Hat ABD’de ayrıntılı olarak açıklanan 2015 tarihli kötü şöhretli Jeep hack’ine kadar gidiyor), otomobil üreticilerinin gelişmelerin potansiyel ciddiyetini anlamakta yavaş kaldığını söylüyor. endüstri analisti Pedro Pacheco.

Otomobil üreticilerinin yazılım geliştiricileri olmaya geçiş sürecinde, güvenlik dahil olmak üzere bu geliştirme döngüsünün tüm noktalarını ele almakta zorlandıklarını açıklıyor.

“Çok basit bir fikir, yazılımda iyi değilseniz, muhtemelen o yazılımı güvenli hale getirmede de pek iyi olmayacaksınız” diyor. “Bu garanti.”

Onun bakış açısına göre, otomobil üreticileri de iş güvenlik açıklarını hemen ele almaya ve yama yapmaya geldiğinde çok kayıtsız.

“Otomobil üreticileri buna proaktif bir yoldan daha reaktif bir şekilde bakıyor, temelde etkilenen az sayıda müşteriyi ele alacağımızı ve sorunu çözeceğimizi ve ardından her şeyin normale döneceğini söylüyor” diyor. “Birçok otomobil üreticisinin düşünme şekli bu.”

Otomobil üreticileri, müşterileri uygulama mağazalarına bağlayan ve onları akıllı telefonlarına ve diğer bağlı cihazlara bağlayan daha karmaşık ekosistemler geliştirdikçe, riskler artıyor.

“Siber güvenliğin giderek daha acil bir konu haline gelmesinin nedeni bu” diyor. “Araç sürüşü ne kadar çok devralırsa, elbette bunun müşteriye ve otomobil üreticisine karşı kullanılma olasılığı o kadar artar. Henüz olmadı, ancak gelecekte çok iyi olabilir.”

Netenrich’in baş tehdit avcısı John Bambenek, başka bir sorunun da teknoloji geliştikçe, otomobil üreticilerinin teknoloji gerçekten incelenmeden önce bunu araçlarına uygulamaları olduğunu ekliyor.

“Web uygulamalarının bu iletişim yolundan farklı kendi güvenlik kaygıları var” diye açıklıyor. “İletişim yığınının tamamına sahip olmak zorunda değilim. Sadece yumuşak bir nokta bulmam gerekiyor ve araştırmacılar onları bulmaya devam ediyor. Gerçek şu ki, bunların hepsi kusurlu koli bandı ve emniyet teliyle bir araya getirilmiş – her zaman öyleydi.”

İnternete ne kadar çok şey konursa, suçlulara o kadar çok fırsat verildiğine dikkat çekiyor.

“Bu durumda, siber suçlular hakkında daha az endişeleniyorum ve takipçiler ve benzerleri için daha çok endişeleniyorum” diyor. “Bu, takip edilmesi zor ve kovuşturulması daha zor olabilecek yeni bir dijital taciz türünün kapılarını açıyor. Bence asıl risk burada.”

Yönetmelikler Yoluyla Otomotiv Güvenliğini Zorunlu Hale Getirmek

Ancak yardım yolda. Pacheco, Temmuz ayında yürürlüğe giren ve Japonya ve Güney Kore’de yürürlüğe girecek olan otomotiv siber güvenliği standartlarını zorunlu kılmaya odaklanan 155 sayılı BM Yönetmeliğinin kabulüne işaret ediyor — sonuçta bu yönetmeliği toplam 60 ülke uygulayacak.

“Bu, otomotiv endüstrisinde siber güvenlik için yeni bir şafak, çünkü bu noktadan sonra araçta siber güvenlik yasal bir zorunluluk haline geliyor” diyor. “Birçok otomobil üreticisinin bu yönetmeliğe uygun olarak yeni siber güvenlik yönetim sistemleri oluşturmak için şimdiden önemli miktarda para ve zaman harcamasının nedeni budur.”

Yönetmelik kapsamında, her üç yılda bir otomobil üreticisinin belirli bir araçtan siber güvenlik yönetim sisteminin, yönetmeliğe uygun olup olmadığının değerlendirilmesi için yetkililer tarafından denetlenmesi gerekeceğini açıklıyor.

“Artık siber güvenlikte geçmişe göre çok daha fazla şeyin olduğunu görmeye başlayacağız, çünkü 2022’ye kadar her şey biraz daha gelişigüzeldi” diyor.

Otomobil üreticilerine güvenliklerini her üç yılda bir gözden geçirmek için beklememelerini, bunun yerine güvenlik yazılımlarını adım adım güncellemelerini ve iyileştirmelerini tavsiye ediyor.

Pacheco, “Siber güvenlik yönetim sistemlerinin performansı açısından çıtayı yükseltmeye devam etmeleri gerekiyor” diyor. “Bu, donanım ve yazılım açısından en iyi siber güvenlik teknolojisini araca eklemek ve gelişmiş bir araç güvenlik operasyon merkezi çalıştırmak anlamına geliyor.”

Otomobil Üreticileri Yaklaşımlarını Değiştirmeli

Pacheco, konu siber güvenlik olduğunda endüstrinin bir devrilme noktasına ulaştığını ancak otomotiv güvenliğini iyileştirmenin kültürel bir değişim gerektireceğini açıklıyor.

“Sonuçta, her zaman bir zihniyetle başlar, yani belirli bir tehdidiniz olduğunda, bunun önce bir tehdit olarak algılanması gerekir” diyor. “Yaparak başlamaları gereken şey bu.”

Bu, beyaz şapkalı bilgisayar korsanları arasında bu araçta bulabilecekleri güvenlik açıklarını aramak için bir yarışma yürütmek kadar basit eylemleri içerebilir.

“Her şeyden önce, otomobil üreticileri sorunları ele almaya çok açık olmalı. [these] güvenlik açıkları ve siber güvenlik sorunları,” diyor Pacheco. “Ne yazık ki, birçok otomobil üreticisinin bu sorunları gizleme kültürü var.”

Sektörün, otomobil üreticilerinin sorunların olmasını beklemek için manevra marjlarının giderek azaldığı bir noktaya yaklaştığı konusunda uyarıyor.

“Siber güvenliği geliştirmeye yönelik önemli adımlar atmazlarsa, bu onlara gelecekte çok zarar verecek” diyor.



siber-1