Οι αυτοκινητοβιομηχανίες θα πρέπει να σταματήσουν να αντιμετωπίζουν τους ερευνητές κυβερνοασφάλειας ως αντιπάλους και να τους θεωρούν συνεργάτες. Έτσι λέει ο David Colombo, ο έφηβος χάκερ που εκμεταλλεύτηκε ελαττώματα στο λογισμικό και απέκτησε πρόσβαση σε περίπου 25 αυτοκίνητα της Tesla. Είναι προφανές πια ότι το πρόβλημα δεν είναι μόνο στους φορτιστές ηλεκτρικών αυτοκινήτων.
Το χάκινγκ του έφερε στο προσκήνιο αδύνατα σημεία και μπορούσε να ανοίγει και να κλείνει τις πόρτες των αυτοκινήτων και να κορνάρει. Μιλώντας στο EcoMotion, το ετήσιο ισραηλινό συνέδριο καινοτομίας και κινητικότητας που πραγματοποιήθηκε αυτόν τον μήνα, παρακάλεσε τους άλλους στην αυτοκινητοβιομηχανία να θυμούνται ότι αυτό δεν είναι ένα πρόβλημα που αφορά μόνο την Tesla.
And I just made it into the prime time of Channel 12, Israel’s largest news channel, talking about cyber security and my personal background story!
— David Colombo (@david_colombo_) May 12, 2022
What a way to enjoy my first (but definitely not last) visit to Tel Aviv! pic.twitter.com/JCf0vC5ZhF
"Οι αυτοκινητοβιομηχανίες αγνοούν συνειδητά τα τρωτά σημεία ασφαλείας των οχημάτων και αυτό θέτει όλους τους χρήστες αυτοκινήτων (και τους πεζούς) σε σοβαρό κίνδυνο", δήλωσε ο Colombo, ο οποίος ίδρυσε τη δική του εταιρεία τεχνολογίας κυβερνοασφάλειας. "Το γεγονός είναι ότι εγώ, ως 19χρονος με ελεύθερο χρόνο, μπόρεσα να παραβιάσω ένα Tesla αρκετά εύκολα. Όπως και εγώ, υπάρχουν πολλοί χάκερ που μπορούν να το κάνουν αυτό".
Τα λεγόμενά του έρχονται σε αντίθεση με την επικρατούσα αντίληψη ότι η αυτοκινητοβιομηχανία έχει συμμαζέψει τις δυνάμεις της από τότε που οι ερευνητές του κυβερνοχώρου κατέλαβαν τον τηλεχειρισμό ενός Jeep Cherokee το 2015. Αυτό το exploit τράβηξε την προσοχή όχι μόνο της αυτοκινητοβιομηχανίας αλλά και του Υπουργείου Άμυνας.
Με πολλούς τρόπους, η βιομηχανία ανταποκρίθηκε. Ίδρυσε το Κέντρο Ανταλλαγής και Ανάλυσης Πληροφοριών για την Αυτοκίνηση, στο οποίο εκπρόσωποι της κυβέρνησης, της βιομηχανίας και των ακαδημαϊκών συγκεντρώνονται και μοιράζονται πληροφορίες σχετικά με γνωστούς κινδύνους. Αρκετές αυτοκινητοβιομηχανίες έχουν οργανώσει προγράμματα bug-bounty, ώστε ερευνητές όπως ο Colombo να μπορούν να μοιράζονται τις ευπάθειες που βρίσκουν.
Τι κάνει η Ευρωπαϊκή Ένωση για το χακάρισμα οχημάτων
Οι κυβερνήσεις έχουν επίσης ανταποκριθεί. Τον Ιούλιο τίθενται σε ισχύ νέοι κανονισμοί της Ευρωπαϊκής Ένωσης σχετικά με το λογισμικό των οχημάτων και τις ενημερώσεις over-the-air, οι οποίοι έχουν σχεδιαστεί για να μειώσουν τους κινδύνους που εισάγονται στα επιβατικά οχήματα.
Αυτά έχουν οδηγήσει σε μια στροφή γύρω από την ασφάλεια στον κυβερνοχώρο των αυτοκινήτων, από το να τη θεωρούμε ως κάτι που συμβαίνει πάνω σε ένα όχημα στο να σκεφτόμαστε την ασφάλεια στον κυβερνοχώρο καθ' όλη τη διάρκεια ζωής ενός οχήματος, σύμφωνα με τον Roy Fridman, διευθύνοντα σύμβουλο της C2A Security, μιας νεοσύστατης εταιρείας κυβερνοασφάλειας με έδρα την Ιερουσαλήμ.
"Ο νέος κανονισμός σημαίνει στην πραγματικότητα 'απαιτούμε να έχετε ένα σύστημα διαχείρισης του κύκλου ζωής του κυβερνοχώρου στο όχημά σας' και προέρχεται από την κατανόηση ότι ο κυβερνοχώρος είναι ένα ζωντανό πράγμα και ότι ανακαλύπτονται συνεχώς νέες αδυναμίες", δήλωσε.
Παρόλα αυτά, πολλοί πιστεύουν ότι ο κλάδος μπορεί να κάνει περισσότερα για να αποτρέψει τις απειλές στον κυβερνοχώρο. Και δεν είναι μόνο οι ερευνητές τρίτων ή οι νεοσύστατες επιχειρήσεις που βλέπουν αδυναμίες.
Οι αυτοκινητοβιομηχανίες πώς αντιδρούν σε σχέση με την κυβερνοασφάλεια
"Η αυτοκινητοβιομηχανία υστερεί σε σχέση με άλλες βιομηχανίες", δήλωσε ο Shaya Feedman, ερευνητής αδυναμιών κυβερνοασφάλειας στην Faurecia Security Technologies.
"Αν βρω μια ευπάθεια ασφαλείας στο λογισμικό μιας τεχνολογικής εταιρείας, όχι μόνο με ενθαρρύνουν να τους την αποκαλύψω, αλλά με ανταμείβουν ακόμη και για αυτό και σπεύδουν να διορθώσουν το κενό. Η αυτοκινητοβιομηχανία δεν έχει συνηθίσει να εργάζεται σε καθεστώς συνεργασίας. Ο υπόλοιπος κόσμος είναι πολύ πιο συνεργατικός".
Η Faurecia ξεκίνησε τη μονάδα κυβερνοασφάλειας με 60 υπαλλήλους το 2019 και ο Feedman δήλωσε ότι η ομάδα έχει εντοπίσει χιλιάδες ευπάθειες σε σχεδόν κάθε μοντέλο οχήματος μέχρι σήμερα. Αυτές οι πύλες θα μπορούσαν να επιτρέψουν στους χάκερ να διεισδύσουν σε κρίσιμα συστήματα ασφαλείας, όπως τα συστήματα πέδησης, τα συστήματα κινητήρα και ο έλεγχος του τιμονιού.
Την ώρα που οι πωλήσεις ηλεκτρικών οχημάτων αυξάνονται, προειδοποιεί ότι υπάρχουν νέες επιπλοκές. "Υπάρχει ένας σαφής και άμεσος κίνδυνος που η αυτοκινητοβιομηχανία αγνοεί συνειδητά", δήλωσε ο Feedman. "Στα ηλεκτρικά οχήματα, μπορούν να παραβιάσουν την μπαταρία και να την μετατρέψουν σε βόμβα". Με τη βιασύνη προς την ηλεκτροκίνηση, καθώς οι κυβερνήσεις και οι βιομηχανίες επιδιώκουν την απαλλαγή από τον άνθρακα, η απειλή στον κυβερνοχώρο επεκτείνεται πέρα από την αυτοκινητοβιομηχανία.
"Πρέπει να δούμε τη μεγάλη εικόνα και να καταλάβουμε ότι δεν πρόκειται μόνο για τα οχήματα, αλλά για την κινητικότητα γενικότερα", δήλωσε ο Colombo. "Αυτοκίνητα, αεροπλάνα και πλοία. ... Οι ερευνητές ασφαλείας γνωρίζουν το πρόβλημα, αλλά το ευρύ κοινό δεν του δίνει σημασία".
Με πληροφορίες από Automotive News