Autot ovat vähitellen muuttuneet puhtaasta mekaniikasta yhä kehittyneemmiksi ja niiden toimintaan on lisätty elektroniikkaa, ei vain sisätiloissa tai infotainment-järjestelmässä, vaan myös joidenkin moottorin toimintojen ohjauksessa, parametrien valvomiseksi antureilla. , sekä toteuttaa kaikki ADAS-kutsut ja uusimmat ADS-mainokset. Siksi, auton hakkerointi tulee yhä tärkeämmäksi.
Uudet yhdistetyt ja autonomiset autot ovat alttiita tietyille hyökkäyksille, tästä syystä autojen hakkeroinnista tunteminen ja ajoneuvojen turvatarkastusten tekeminen voi olla mielenkiintoista käsitellä. havaita ja korjata tietoturvarikkomukset joita kyberrikolliset voivat käyttää hyväkseen.
Mitä on autojen hakkerointi?
El auton hakkerointi on kyberturvallisuuden osa, joka keskittyy ajoneuvojen elektronisten järjestelmien haavoittuvuuksien hyödyntämiseen. Kun autoista tulee entistä enemmän yhteyksiä ja autonomisia, ne ovat myös alttiimpia tämäntyyppisille hyökkäyksille, koska ne ovat pohjimmiltaan pyörillä olevia tietokonejärjestelmiä…
Hyökkääjät voivat päästä käsiksi ajoneuvon järjestelmiin erilaisten menetelmien kautta, mukaan lukien:
- Langattomat nettiyhteydet- Ajoneuvon Wi-Fi-, Bluetooth- tai mobiiliverkkojen haavoittuvuuksien hyödyntäminen tietoviihdejärjestelmän ja muiden yhdistettyjen alijärjestelmien etäkäyttöön saamiseksi.
- Diagnostiset portit- Käyttämällä fyysisesti OBD-II-diagnostiikkaporttia ajoneuvon järjestelmien käsittelyä varten.
- Bussit: kuten CAN:n tapauksessa, standardi autoissa, joka voi olla haavoittuva ja joka yhdistää ajoneuvon eri ECU:t.
- Ohjelmiston haavoittuvuudet: Ajoneuvon ohjelmistojen, mukaan lukien käyttöjärjestelmä, sovellukset ja viestintäprotokollat, bugien tai haavoittuvuuksien hyödyntäminen.
- Muu: Myös RF-pohjaisissa ajoneuvojen lukitusjärjestelmissä voi olla heikkouksia, jolloin ovet voidaan avata varkauden varalta ja jopa ajoneuvo käynnistetty.
Los hyökkäysten kohteita autojen hakkerointi on monimuotoista, ja se voi sisältää itse autojen varastamista avaamalla ja käynnistämällä niiden matkustajien vakoilun (henkilötiedot, reitit, nykyinen sijainti...) ja jopa sabotaasiin manipuloimalla ajoneuvojen ajojärjestelmiä tai ADAS-järjestelmiä, joka voi johtaa kuolemaan johtavaan onnettomuuteen.
Saadaksesi tämän, hyökkäystekniikoita Kyberrikolliset käyttävät ja samat, joita eettiset hakkerit käyttävät paikantaessaan ja yrittäessään vahvistaa järjestelmää, ovat peräisin ajoneuvomallin ohjelmisto- tai laitteistoelementtien käänteissuunnittelusta, joka on identtinen sen kanssa, johon he haluavat hyökätä haavoittuvuuksien havaitsemiseksi ja niiden hyödyntämiseksi. , raa'an pakottaa hyökkäyksiä päästäkseen palveluihin salasanalla, käänteillä, haistaa liikennettä viestinnässä, ruiskuttamalla haitallista koodia ajoneuvon järjestelmiin, muille, kuten välityshyökkäykset, jotka sieppaavat ja lähettävät uudelleen signaaleja langattomasti avatakseen tai käynnistääkseen ajoneuvo, fuzzing jne. Itseohjautuvien autojen tapauksessa ongelma voi olla vieläkin pahempi, koska ajojärjestelmän haavoittuvuus voi antaa hyökkääjälle mahdollisuuden muuttaa kohdereittiä, siirtää autoa etänä ja jopa aiheuttaa onnettomuuden.
Lisäksi ne ovat yhä tärkeämpiä lieventämistekniikoita, CAN-väylän salauksen toteuttamisesta todennusjärjestelmien vahvistamiseen, muiden tekniikoiden, kuten verkkojen ja tunkeilijoiden valvontaan, verkon palomuuritoimien ja haittaohjelmien suojausohjelmistojen toteuttamiseen tai jopa tekoälypohjaisiin järjestelmiin hyökkäysmallien havaitsemiseen ja uhkien ennustamiseen.
Esimerkkejä todellisista hyökkäyksistä
Los todellisia hyökkäyksiä ajoneuvoja vastaan Ne tarjoavat meille arvokkaan opetuksen olemassa olevista haavoittuvuuksista ja käytetyistä tekniikoista sekä varoittavat meitä mahdollisista ongelmista tulevaisuudessa. Jotkut tunnetuimmista tapauksista ovat:
- Jeep Cherokee Hack: Vuonna 2015 turvallisuustutkijat osoittivat, kuinka he pystyivät etäohjaamaan Jeep Cherokeen sen infotainment-järjestelmän kautta ottamalla jarrut, ohjauksen ja moottorin hallintaansa. Tämä tapaus nosti esiin ajoneuvojen Internetiin yhdistettyjen järjestelmien haavoittuvuuden.
- Tesla Hack: Vaikka Tesla on ottanut käyttöön vahvoja turvatoimia, on raportoitu tapauksia, joissa hakkerit ovat onnistuneet avaamaan ajoneuvojen lukituksen ja pääsemään niiden järjestelmiin. Tämä korostaa, että on tärkeää pitää turvajärjestelmät ajan tasalla ja etsiä uusia haavoittuvuuksia.
- Muu: Uutisia on ollut myös hyökkäyksistä muihin tunnettuihin malleihin ja merkkeihin, kuten BMW, Mercedes-Benz ja Audi, jotka ovat myös joutuneet välityshyökkäyksiin, tietovarkauksiin jne.
Ja jos laskemme mahdolliset takaovet joita jotkut valmistajat voisivat ottaa käyttöön yksiköissään, silloin asiat muuttuvat vieläkin hämärämmiksi...
Oikeudelliset näkökohdat
Kasvava huoli yhdistettyjen ajoneuvojen turvallisuudesta on johtanut uusia määräyksiä ja standardeja:
- UNECE R155- Yhdistyneiden kansakuntien asetus kyberturvallisuusvaatimuksista kytketyille ajoneuvoille.
- ISO/SAE 21434: on kansainvälinen standardi, joka määrittelee kyberturvallisuuden hallintaprosessin ajoneuvon kehityksen elinkaarelle.
Tämä ei kuitenkaan ole ainoa tulevaisuuden kannalta huolestuttava oikeudellinen näkökohta, sillä tekniikan kehittyessä on vielä ratkaisemattomia haasteita. Ja on välttämätöntä, että aivan kuten ne käyvät läpi turvallisuustestejä, kuten Euro NCAP, on myös olemassa kyberturvallisuuden testaus ennen kuin malli tulee myyntiin.
Mahdollisuus, että itsetoimiseen ajoneuvoon hakkeroidaan ja aiheuttaa kohtalokkaat seuraukset, on oikeudelliselta kannalta erittäin monimutkainen skenaario. Se on tutkimaton maasto haastaa olemassa olevat oikeudelliset puitteet, suunniteltu enimmäkseen ihmisen aiheuttamia onnettomuuksia varten. Toisin sanoen on olemassa lakeja, joiden mukaan ihmisiä voidaan syyttää murhasta, taposta, kansanterveyteen kohdistuvista hyökkäyksistä jne. Mutta mitä näissä tapauksissa tapahtuu? kuka on vastuussa? Onko se ajoneuvon valmistaja, jos havaitaan, että se oli tietoinen tietoturvahaavoittuvuudesta eikä korjannut sitä? Voidaanko myös sääntelyviranomaiset haastaa oikeuteen, jos ne eivät ole laatineet riittäviä turvallisuusmääräyksiä? Entä jos vastuussa olevaa verkkohyökkääjää ei voida tunnistaa?
CAN-väylän vaarapotentiaali
El CAN-väylä on suunniteltu autokomponenttien väliseen kommunikaatioon, jossa nopeus ja luotettavuus asetettiin etusijalle turvallisuuden edelle. Tämä tarkoittaa, että siitä puuttuu vankat todennus-, salaus- tai kulunvalvontamekanismit. Toisaalta monenlaisia ajoneuvokomponentteja on kytketty, mikä tarkoittaa, että yhden ECU:n (Electronic Control Unit) vaarantava hyökkääjä voi päästä käsiksi koko järjestelmään. Ja tähän meidän pitäisi myös lisätä aitauksen tai segmentoinnin puute järjestelmien välillä, jotka tämä väylä yhdistää, mikä mahdollistaa hyökkäyksen leviämisen.
Jos hyökkääjä haluaa hyödyntää CAN-väylää, hän voi antaa vääriä viestejä manipuloidakseen ajoneuvon toimintoja moottorin ohjauksesta jarrujärjestelmiin jne. Kuten kuvasta näkyy, CAN-väylä yhdistää useita elektronisia osajärjestelmiä, jotka liittyvät moottoriin, ohjaukseen, jarruihin, valoihin, ADAS-järjestelmiin, turvatyynyyn jne., jotka kaikki ovat kriittisiä.
Työkalut autojen hakkerointiin
Lopuksi, jos haluat alkaa tutkia autojen hakkerointia ja kokeilla sitä itse, sinun pitäisi tietää, että niitä on joitain erittäin mielenkiintoisia työkaluja markkinoilla:
