Araştırmacılar, Tokyo’daki Pwn2Own 2024’te yalnızca iki gün içinde çok sayıda elektrikli araç şarj cihazını, işletim sistemini, Tesla bileşenini tehlikeye attı ve bu süreçte düzinelerce sıfır gün güvenlik açığını ortaya çıkardı.
Geçen yıl Vancouver’da düzenlenen Pwn2Own, saldırı yüzeyi olarak arabalarla flört etti ve daha geleneksel sunucuları, kurumsal uygulamaları, tarayıcıları ve benzerlerini hacklemeye yönelik yarışmaların yanı sıra Tesla’yı da karışıma ekledi. Ancak bu yılki etkinlik tamamen metale dönüştü ve sonuçlar aydınlatıcı oldu. İlk günde Yalnızca yarışmacılar 24 benzersiz sıfır gün sergileyerek onlara 722.500 $ kazanç elde etti. İkinci gün 20 yeni istismar gördü ve son, üçüncü gün dokuz tane daha vaat ediyor.
Etkinliğe ev sahipliği yapan Trend Micro’nun Sıfır Gün Girişimi (ZDI) tehdit farkındalığı başkanı Dustin Childs, “Araçlar giderek daha karmaşık bir sistem sistemi haline geliyor” diyor. “Geçmişte bu alanla ilgili çok fazla araştırma yapılmamıştı ve deneyimlerimize göre, dış inceleme eksikliği çok sayıda güvenlik sorununun olabileceği anlamına geliyor.”
Tesla’ları Hacklemek
Geçen yılın Pwn2Own etkinliğinde manşetlere çıkan etkinlik, Toulouse merkezli Synacktiv’den bir ekibin şunları başardığı zamandı: Tesla Model 3’ü iki dakikadan kısa sürede ihlal edin.
Bu yıl Synacktiv, Ubiquiti Connect ve JuiceBox 40 Smart EV şarj istasyonları, ChargePoint Home Flex (evde EV şarj aracı) ve açıklamalı Automotive Grade Linux’un özellikleriyle geri döndü. Ancak en dikkate değer başarıları, Tesla’nın modemine yönelik üç hatadan yararlanma zinciri ve bilgi-eğlence sistemine yönelik iki hata zinciri oldu ve her biri 100.000 dolar nakit ödül kazandı.
Etkinliğin kurallarına göre satıcıların, kamuya açıklanmasına izin verilmeden önce güvenlik kusurlarını düzeltmek için 90 günü var. Ancak Tokyo’dan gelen bir e-postada Synacktiv korsanları, Dark Reading’e saldırıların neye benzediğine dair üst düzey bir genel bakış sundu:
“Saldırı, sahte bir BTS’i (sahte telekom operatörü) taklit eden bir GSM anteninden gönderiliyor. İlk güvenlik açığı, Tesla’nın modem kartına root erişimi sağlıyor” diye yazdılar. “İkinci bir saldırı modemden bilgi-eğlence sistemine atlıyor. Ve bu süreçteki güvenlik özelliklerini atlayarak, arabadaki farlar, ön cam silecekleri gibi birden fazla donanıma erişmek veya bagajı ve kapıları açmak mümkün.”
Synacktiv CEO’su Renaud Feil, Tesla’nın “iki yüzlü bir para olduğunu” söylüyor. Büyük bir saldırı yüzeyine sahip bir araba; Tesla’da her şey BT’den oluşuyor. Ama aynı zamanda güçlü bir güvenlik ekibine sahipler ve çok fazla para ödemeye çalışıyorlar. güvenliğe dikkat. Yani bu büyük bir hedef ama zor bir hedef.”
Modern Arabalar Bir Yol Ayrımında
Feil, “Aracın saldırı yüzeyi büyüyor ve giderek daha ilginç hale geliyor, çünkü üreticiler kablosuz bağlantılar ve araca İnternet üzerinden uzaktan erişmenizi sağlayan uygulamalar ekliyorlar” diyor.
Canis Automotive Labs’ın baş teknoloji sorumlusu Ken Tindell bu noktanın arkasında duruyor. “Gerçekten ilginç olan şey, ana akım bilişimin otomobillerde bu kadar çok yeniden kullanılmasının, ana akım bilişimin tüm güvenlik sorunlarını otomobillerde de beraberinde getirmesidir.”
“Arabalar bu iki dünya olayını en az 20 yıldır yaşıyor” diye açıklıyor. Birincisi, “bilgi-eğlence sisteminde genel bilgi işlem (pek iyi yapılmayan) var. Bunu bir süredir arabalarda yaşıyoruz ve bu çok sayıda güvenlik açığının kaynağı oldu – Bluetooth, Wi-Fi, ve benzeri. Ve sonra kontrol elektroniğiniz var ve ikisi çok ayrı alanlar. Tabii ki, bilgi-eğlence sistemi o zaman sorun yaşarsınız. CAN veriyoluna dokunmaya başlar bu frenler, farlar ve bunun gibi şeylerle ilgili.”
Bu, OT uygulayıcılarının aşina olması gereken bir bilmecedir: Güvenlik açısından kritik makinelerin yanı sıra BT ekipmanlarını da, ilkinin sıkıntılarını ikincisine yaymadan ikisinin birlikte çalışabileceği şekilde yönetmek. Ve elbette, BT ve OT teknolojisi arasındaki farklı ürün yaşam döngüleri (arabalar, örneğin dizüstü bilgisayarlardan çok daha uzun ömürlüdür), bu da yalnızca aradaki farkı daha da az hale getirmeye hizmet eder.
Araç Güvenliği Nasıl Görünebilir?
Araç siber güvenliğinin nereye gittiğini anlamak için günümüzün otomobillerindeki en büyük ve en bariz saldırı yüzeyi olan bilgi-eğlence sisteminden başlanabilir. Burada gelişen iki düşünce ekolü vardır.
“Biri şu: Rahatsız etmeyelim, çünkü otomobillerdeki ürün döngülerini asla dikkate alamayacaksınız. Apple CarPlay ve Android Auto, ileriye giden yol bu. Yani otomobil üreticisi bir ekran sağlıyor ve ardından telefonunuz bilgi-eğlence sistemini sağlıyor. şeyler,” diye açıklıyor Tindell. “Bunun iyi bir yaklaşım olduğunu düşünüyorum, çünkü telefonunuz açıkça sizin sorumluluğunuzdadır, Apple telefonunuzu güncel tutuyor, her şey yamalı ve arabanız sadece bir ekran sağlıyor.”
“Diğer düşünce tarzı da, bu büyük şirketlerin arabalarınızın temel işlevlerini kontrol altına almasına izin vermektir. Google’dan bir işletim sistemi lisanslayın ve artık bu Google CarPlay eşdeğeridir, ancak doğrudan araca bağlanır” diyor. Google gibi bir şirketin başında, “tıpkı Pixel telefonlarını güncellediği gibi bunun da bir güncelleme mekanizması var. Soru şu ki, 10 yıl sonra Google sıkılıp denemeye başladığında arabanız için güncellemeler almaya devam edecek misiniz?” kapatmak için mi?”
Ancak üreticiler saldırı yüzeyinin bir bölümünü daraltmayı başarsalar (olası değil) veya bunu denetleme sorumluluğunu üçüncü taraflara devretmeyi başarsalar bile (kusurlu bir şekilde), Pwn2Own 2024 hala hesaba katılması gereken çok daha fazla sorunla karşılaşacaklarını gösterdi: EV modemlere, işletim sistemlerine ve daha fazlasına şarj cihazları.
Endüstrinin Gitmesi Gereken Yer
Tindell’e göre asıl önemli olan, ana bilgisayarların güvenlik duvarıyla kontrol sistemlerinden uzakta tutulması, böylece bir tıkanıklık oluşmasıdır. “Maalesef bazı tıkanıklıklar şu ana kadar pek iyi gelişmedi ve onları bir istismar zincirinin sonunda çözebilirsiniz” diye ekliyor.
Synacktiv’den Feil, “Sanırım ne yapacaklarını biliyorlar” diyor. “BT sektörünün geri kalanı için de geçerli olan süreç aynı: Siber güvenliğe yatırım yapın, bazı denetimler yapın, hacklenmesi çok zorlaşana kadar eşyalarınızı hackleyin.”
Üreticileri bu noktaya getirmenin dışarıdan müdahale gerektirebileceğine inanıyor. Feil, “Sektör düzenlemeleri kısıtlamak için geri adım atmayı başardı” diyor. “Onların anlatımı şu: Zor bir dönemden geçiyoruz, çünkü herkes bizden elektrikli arabalara geçmemizi istiyor ve bu, kârlılığımızı büyük ölçüde etkileyebilir. Ancak konu siber güvenlik olduğunda bir şeyler yaptıklarını göstermeleri gerekiyor.”