Beskyttelse av den elektriske og programvaredefinerte bilen

«Putin er reklamehode. Ære til Ukraina.»

Det er hva hackede elektriske kjøretøyladere leste blant annet på ladestasjoner for funksjonshemmede i nærheten av Moskva nylig. Og like mye som det bringer et smil til mange rundt om i verden, fremhever det et poeng fra flere forskere og utviklere som samlet seg i forrige uke kl. Escar 2022 (en konferanse som fokuserer på dyp, teknisk utvikling innen cybersikkerhet for biler hvert år): bilhacks er på vei oppover. Faktisk, pr Upstream Automotives rapport, har frekvensen av nettangrep økt med hele 225 % fra 2018 til 2021, med 85 % utført eksternt og 54.1 % av hackene i 2021 er «Black Hat» (også kalt ondsinnede) angripere.

Midt i å lytte til ulike, virkelige rapporter på denne konferansen, ble noen ting tydelige: det er både gode nyheter og dårlige nyheter basert på det alltid nødvendige fokuset på dette kritiske området.

Den dårlige nyheten

I sine aller enkleste termer er den dårlige nyheten at teknologiske fremskritt bare gjør sannsynligheten for Day One-hendelser mer sannsynlig. "Elektriske kjøretøy skaper mer teknologi, noe som betyr at det er flere trusler og trusseloverflater," sa Jay Johnson, en rektor fra Sandia National Laboratories. "Det er allerede 46,500 2021 ladere tilgjengelig fra og med 2030, og innen 600,000 antyder markedsetterspørselen at det vil være omtrent XNUMX XNUMX." Johnson fortsatte med å avgrense de fire primære grensesnittene av interesse og en foreløpig undergruppe av identifiserte sårbarheter sammen med anbefalinger, men meldingen var klar: det må være et pågående "oppfordring til våpen." Det, antyder han, er den eneste måten å unngå slike ting som Denial of Service (DoS)-angrepene i Moskva. "Forskere fortsetter å identifisere nye sårbarheter," sier Johnson, "og vi trenger virkelig en omfattende tilnærming til å dele informasjon om uregelmessigheter, sårbarheter og responsstrategier for å unngå koordinerte, utbredte angrep på infrastruktur."

Elbiler og tilhørende ladestasjoner er ikke de eneste nye teknologiene og truslene. Det "programvaredefinerte kjøretøyet" er en semi-ny arkitektonisk plattform (*antagelig ansatt for 15+ år siden av General MotorsGM
og OnStar) at noen produsenter er på vei for å bekjempe milliarder av dollar som kastes bort på kontinuerlig ombygging av hvert kjøretøy. Den grunnleggende strukturen innebærer å være vert for mye av kjøretøyets hjerner utenfor, noe som muliggjør gjenbruk og fleksibilitet i programvaren, men også presenterer nye trusler. Ifølge den samme oppstrømsrapporten var 40 % av angrepene de siste årene rettet mot back-end-servere. "La oss ikke lure oss selv," advarer Juan Webb, administrerende direktør fra Kugler Maag Cie, "det er mange steder i bilkjeden hvor angrep kan skje, alt fra produksjon til forhandlere til servere utenfor bord. Uansett hvor det er det svakeste leddet som er billigst å penetrere med de største økonomiske implikasjonene, det er der hackerne vil angripe.»

Der var en del av det som ble diskutert på escar de dårlige-nyheter-gode-nyhetene (avhengig av ditt perspektiv) av UNECE-forskrift trer i kraft denne uken for alle nye kjøretøytyper: produsenter må vise et robust cybersecurity Management System (CSMS) og Software Update Management System (SUMS) for kjøretøy som skal sertifiseres for salg i Europa, Japan og til slutt Korea. "Å forberede seg til disse sertifiseringene er ingen liten innsats," sier Thomas Liedtke, en cybersikkerhetsspesialist også fra Kugler Maag Cie.

De gode nyhetene

Først og fremst er den beste nyheten at selskaper har hørt ropet og minimalt har begynt å innføre den nødvendige strengheten for å bekjempe de nevnte Black Hat-fiendene. "I 2020-2022 har vi sett en økning i selskaper som ønsker å gjennomføre en trusselanalyse og risikovurdering eller TARAR
A», fastslår Liedtke. "Som en del av disse analysene har anbefalingen vært å fokusere på fjernstyrte angrepstyper siden disse fører til høyere risikoverdier."

Og all denne analysen og strengheten ser i utgangspunktet ut til å ha en effekt. I følge en rapport levert av Samantha ("Sam") Isabelle Beaumont fra IOActive, ble bare 12 % av sårbarhetene funnet i deres penetrasjonstesting i 2022 ansett som "kritisk påvirkning" mot 25 % i 2016, og bare 1 % var "kritisk sannsynlighet" versus 7 % i 2016. "Vi ser nåværende risikosaneringsstrategier som begynner å gi resultater," sier Beaumont. "Bransjen blir bedre til å bygge bedre."

Betyr det at industrien er ferdig? Absolutt ikke. "Alt dette er en kontinuerlig prosess for å herde designene mot utviklende cyberangrep," foreslår Johnson.

I mellomtiden vil jeg feire den siste gode nyheten jeg fant: de russiske hackerne er opptatt med å hacke russiske eiendeler i stedet for min sosiale medier.