Вот как хакеры делают ваши Tesla, GM и Chrysler менее уязвимыми для атак

В марте Тесла Модель 3 была взломана.

Дуэт, ответственный за выявление уязвимости, получил доступ к веб-браузеру автомобиля, выполнил код на его прошивке и отобразил сообщение в информационно-развлекательной системе, прежде чем покончить с моделью 3 и 375 000.

Хакеры дистанционно не контролировали машину и не наносили ущерба дверным замкам или тормозам, пока внутри сидел невинный водитель. Фактически, они не смогли взломать какие-либо другие системы электромобиля, и деньги, которые они собрали, поступили в виде чека от Tesla.

Все это было частью трехдневного конкурса кибербезопасности под названием Pwn2Own, в котором Тесла платит самый высокий доллар любому, кто достаточно искусен, чтобы найти ранее неизвестные ошибки. Он надеется, что исправление любой слабости поможет компании, производящей электромобили, защитить людей, которые управляют ее транспортными средствами.

По мере того как все больше автомобилей становятся высокотехнологичными компьютерами на колесах, эксперты утверждают, что транспортные средства, как и все остальное, что подключается к Интернету, по сути являются взломанными. Это означает, что любой умный автомобиль теоретически может быть взломан и управляем на некотором уровне сообразительными хакерами, преступниками или еще хуже.

Хотя существуют нереализованные угрозы, усилия автопроизводителей по защите автомобилистов выходят за рамки найма опытных сотрудников службы внутренней безопасности.

Для таких компаний, как Tesla, это означает участие автомобилей в жестких сторонних соревнованиях по тестированию или реализацию других так называемых «программ по защите от ошибок», чтобы поощрять исследователей в области безопасности активно обнаруживать и сообщать о любых горячих точках на оборудовании компании.

На первый взгляд поощрение посторонних лиц к поиску недостатков может показаться нелогичным. Тем не менее, это не только дает опытным хакерам возможность напрячь свои силы, но и помогает таким компаниям, как Tesla, GM и другим, укрепить безопасность автомобилей.

«Мы считаем, что для проектирования и создания систем безопасности, по своей сути, производители должны тесно сотрудничать с сообществом исследователей в области безопасности, чтобы извлечь выгоду из их коллективного опыта», — сказал Тесла в своем заявлении для СЕГОДНЯ США.

Тесла использовал обновление программного обеспечения, чтобы исправить уязвимость, обнаруженную «белой шляпой» или этическими хакерами, что является преимуществом, поскольку водителям не нужно посещать ремонтную мастерскую или платить за обновления программного обеспечения автомобиля.

Читайте так же

В феврале Tesla Model 3 стала бестселлером EV в Бе... Еще один или два месяца должны занять первое место в году Модель Tesla 3 с самого начала массовых поставок в Европу стала самой продаваемой моделью э...
Посмотрите, почему Tesla Model 3 имеет преимуществ... Давайте станем гиков! Tesla Model 3 имеет явные преимущества перед некоторыми из своих электрических конкурентов. Возьмите Chevy Bolt или BMW i3, нап...
Walmart утверждает, что солнечные панели Tesla выз... Walmart подает в суд на Tesla, утверждая, что солнечные батареи компании вызвали пожары примерно в семи магазинах розничного гиганта. Эта новость появ...

Баг баунти программы

Подход Tesla к закрытию дыр в доступе начался с его программы поиска ошибок в 2014 году, однако, это не единственный автопроизводитель, который приглашает хакеров для тестирования систем.

В Fiat Chrysler с 2016 года действует программа вознаграждения за ошибки, и каждый раз, когда они обнаруживают неизвестную ранее уязвимость, она получает до 1500 хакеров. GM официально развернул свою программу по выплате вознаграждений за ошибки в 2018 году после создания в 2016 году так называемой Программы раскрытия уязвимостей безопасности.

более 500 исследователей приняли участие в программе GM по выявлению и устранению более 700 уязвимостей.

В январе Ford объявил, что он выбирает лучших исследователей для участия в будущих специальных проектах хакеров.

По словам Асафа Ашкенази, директора по стратегии Verimatrix, компании, занимающейся разработкой программного обеспечения для обеспечения безопасности и аналитики, чтобы помешать хакерам, автопроизводители и их поставщики используют различные подходы для защиты автомобилей со всех сторон.

Он сказал, что сегодня автомобили находятся на начальных этапах так называемого трехэтапного подхода к интеллектуальной безопасности автомобилей.

«Они отфильтровывают очевидные атаки извне, пытаясь создать межсетевые экраны между подсистемами», — сказал он. «Если кто-то скомпрометирован, хакер не сможет перейти на другие системы».

Этот подход был продемонстрирован во время взлома Tesla, поскольку компании, базирующейся в Пало-Альто, удалось сдержать повреждение только браузера, защищая все другие функции автомобиля.

По словам Ашкенази, следующим уровнем защиты от автопроизводителей является возможность обновлять и исправлять проблемы с помощью радиоволн.

Устаревшие автомобильные компании отстали от способности Tesla отправлять эти обновления в стиле смартфонов своим клиентам. Компания из Пало-Альто использует эту функцию для обновления всего: от полуавтономных режимов вождения до нахальных пасхальных яиц или скрытых драгоценных камней.

Отвечая на ошибки, компания исправила проблемы с помощью обновлений программного обеспечения в течение нескольких дней после обнаружения уязвимостей.

Наряду с Tesla, некоторые модели Ford и General Motor 2020 года будут поддерживать беспроводные обновления, которые могут модернизировать автомобиль с помощью новых функций и удаленно исправлять проблемное программное обеспечение. GM Cadillac CT5 2020 года будет поставляться с новой «цифровой нервной системой», которая делает возможными обновления.

В мае GM объявила, что к 2023 году большинство ее глобальных моделей смогут обновляться по беспроводной сети.

Третий уровень защиты транспортных средств потребителя предполагает, что ИИ обнаруживает, что автомобиль ведет себя по-другому. По словам Ашкенази, это дает автопроизводителям больше шансов выявлять атаки на ранних этапах.

Сторонние разработчики программного обеспечения, такие как Argus Cyber ​​Security, помогают автомобильным компаниям разрабатывать и внедрять возможности удаленной диагностики в процессе производства.

Читайте так же

Tesla Model Y впечатление от поездки... Мы совершаем пассажирскую поездку на новом внедорожнике Tesla Model Y в районе штаб-квартиры SpaceX в Лос-Анджелесе. Элон Маск игриво заявил в четвер...
Tesla регистрирует в три раза больше нарушений OSH... Данные собраны с 2014 по 2018 год На заводе Tesla во Фремонте, штат Калифорния, работает больше работников, чем на любом другом американском заводе п...
Модель 3 Tesla за $ 35 000 наконец доступна для за... - Tesla теперь будет продавать автомобили только онлайн Тесла делает важные объявления прямо сейчас. некоторые хорошие, некоторые плохие. Начнем с х...

«Даже если у вас есть защита в режиме реального времени внутри автомобиля, вам все равно нужно знать, что одна из ваших машин находится под угрозой», — говорит Моник Ланс, директор по маркетингу Argus Cyber ​​Security.

Вот где вступает в действие технология мониторинга, позволяющая автомобильным компаниям выполнять перекрестный анализ данных и выявлять подозрительное поведение, которое в противном случае могло бы быть пропущено.

«Вам нужна способность видеть весь ваш автопарк, потому что там могут быть другие затронутые транспортные средства», сказал Ланс. «Крайне важно, чтобы вы знали, что происходит в сети. Автопроизводителям гораздо дешевле иметь возможность предотвращать атаки, чем реагировать на них, когда они произошли, так что обслуживание жизненно важно».

Худший вариант

Ланс сказал, что без многоуровневого подхода к безопасности катастрофы ждут.

Один из примеров того, как это может выглядеть, произошел в 2015 году, когда исследователи в области безопасности данных успешно взяли на себя управление Jeep Cherokee. Fiat Chrysler отозвал 1,4 миллиона легковых и грузовых автомобилей и разослал владельцам UBS-флешки с программными заплатками.

В том же году другой хакер сообщил, что установил на автомобиль небольшую электронную коробку для кражи информации из системы GM OnStar, чтобы он мог открыть двери и завести автомобиль. GM сказал, что взлом был изолирован на одной машине и с тех пор закрыл лазейки.

Взлом транспортных средств по всему автопарку, который приводит к гибели и гибели людей, еще не произошел, но, как сказал генеральный директор Tesla Элон Маск в 2017 году, это «один из самых больших рисков для автономных транспортных средств». Он добавил, что взлом Теслы во всем флоте "в принципе невозможен".

Автопроизводители сотрудничают, чтобы предотвратить подобные сценарии.

Созданная в 2015 году, отраслевая группа по обмену информацией и анализу под названием Auto ISAC занимается исследованиями и созданием передового опыта в области кибербезопасности. Mitsubishi Electric, PACCAR, Volvo Group North America и Американские ассоциации грузоперевозок присоединились к пакту в 2018 году.

Некоммерческая организация говорит, что 98% автомобилей на дорогах в США представлены компаниями-членами. Совместный подход — это шаг в правильном направлении, сказал Ашкенази, эксперт по кибербезопасности.

«Но формирование групп и создание руководящих принципов не обязательно работают во всех ситуациях, на всех автомобилях. Добраться до этого момента очень сложно и займет много времени».

Читайте так же

Tesla Supercharger V3: все, что вам нужно знать... Тесла делает положительные шаги, когда дело доходит до объявлений и прозрачности. Не так давно казалось, что Тесла сделает объявление, и у нас все ещ...
Генеральный директор VW Diess хочет долю Tesla, по... «Умер бы сразу, если бы мог» БЕРЛИН. Генеральный директор Volkswagen Герберт Дисс заинтересован в приобретении доли в немецком деловом издании Tesla ...
Tesla Model Y впечатление от поездки... Мы совершаем пассажирскую поездку на новом внедорожнике Tesla Model Y в районе штаб-квартиры SpaceX в Лос-Анджелесе. Элон Маск игриво заявил в четвер...

Author: dakus