Araba Hack - Arabalar Hacklenebilir mi? - Ne yapmalıyız?

Araba Hack - Arabalar Hacklenebilir mi? - Ne yapmalıyız?

Kasım 21, 2020

Araba hack

Güvenlik ve verimlilikteki büyük ilerlemelerden güç alan modern araçlar artık sadece mekanik makineler değil. ECU = Motor Kontrol Birimi adı verilen dahili bilgisayarlara kesinlikle güvenen ve bunlar tarafından kontrol edilen makinelerdir. Modern bir araç, dahili ağlar üzerinden birbirine bağlanan ve birbiriyle iletişim kuran bu ECU'lardan 20-100 kadarına sahiptir. Kontrol Alanı Ağı (CAN) en yaygın ağ türüdür. Her ECU, sensörlere ve aktüatörlere bağlıdır ve tipik olarak ABS frenleri, direksiyon açısı, yakıt seviyesi vb. Gibi tek bir araç işlevinden sorumludur. Telematik, Bluetooth, Wi-Fi ve mobil ağlar gibi dış dünya ile iletişim kuran özellikleri destekleyen ECU'lar da bu dahili araç ağlarına ve diğer ECU'lara bağlanır.



Dahil birçok kaynaktan gelen araştırmalara dayanarak  Washington Üniversitesi  ve  Kaliforniya Üniversitesi , kesin hemen her ECU, böyle kırma ve direksiyon sanki güvenlik kritik sistemler için ciddi değişikliklere yol bir düşman erişebileceğini bir kez ortaya konmuştur araç bunlara dijital erişimi destekler.


Arabalar Nasıl Hacklenir?

Fiziksel saldırılar  - Ortam yürütücüsüne USB veya CD gibi bir depolama aygıtının takılması, kötü amaçlı yazılım bulaşmış tanılama ekipmanının takılması (onarım merkezlerindeki teşhis ekipmanı genellikle İnternette bulunur).

Kısa menzilli uzaktan saldırılar  - Bluetooth ve Wi-Fi

Uzun menzilli uzaktan saldırılar  - Telematik yoluyla ve aracın yerleşik cep telefonu modemini arayarak

Bu yöntemlerden herhangi birinin, bağlantıyı kestikten sonra aracın içinde kontrolü ele geçirmesi ve aktif kalması için ECU içindeki bir güvenlik açığından yararlanması gerekir. Örneğin, bir arabanın hücresel modemine bir çağrı yapılabilir ve ECU'ya erişmek için yararlanma yükü ile kodlanmış bir ses sinyali gönderilebilir. Saldırgan, eğer çok eğimli olsaydı, aracı hızla yoldan çıkmaya zorlayarak direksiyonun kontrolünü ele geçirebilirdi. Bu bir spekülasyon değil; bu güvenlik açıkları keşfedildi. Araştırmacılar ve  beyaz şapkalı hackerlar bu tür saldırıları birçok araca gösterdi. Buna ek olarak, modern araçlar artık seyahat, konum ve kişisel bilgileri yerel araç deposunda giderek daha fazla depoluyor ve bu bilgileri telematik yoluyla üreticilere gönderiyor. Yani, hassas bilgilere bir saldırganın arabanızın ECU'ları aracılığıyla da erişme olasılığı vardır.


Arabanız Ne Kadar Savunmasız?




Arabanız Hacklenecek mi?

20 yaşından küçük bir aracınız olduğunu varsayarsak, mekanik fonksiyonları dijital olarak destekleyen ECU'lara sahip olma olasılığı yüksektir. Potansiyel saldırganlar için araçları, nedenleri ve fırsatları değerlendirebiliriz.


Mevcut Araçlar - Her ECU'nun özel donanımı ve yazılımı vardır. ECU'ların iletişim kurduğu ağlar genellikle standartlara uymaz. Bu, her aracın ECU'sunun ve ağının farklı olabileceği anlamına gelir. Bu, herhangi bir saldırganı yavaşlatır. Herhangi bir düşman, araç bileşenleriniz ve ECU'nuz için özel bir istismar yazmalıdır. Bu, zaman, çaba ve beceri gerektirir. Ancak bir saldırgan savunmasız bir araç bulduğunda, bu bileşeni paylaşan diğer araçlar da savunmasızdır. ECU'lar ve CAN, her araçta yeterince farklıdır, bu da gerekli zaman ve beceri kaynaklarını oldukça yüksek hale getirir. Ek olarak, bazı mekanik ve diğer güvenlik önlemleri çeşitli etkinlik derecelerinde mevcuttur. Örneğin, ECU'lar iletişim için kimlik doğrulama gerektirir. Sınama yanıt kimlik doğrulama protokolü olan SecurityAccess adı verilen bir şey kullanılır. Ne yazık ki, aktarma saldırıları ve tersine mühendislik, bu kimlik doğrulama yöntemini atlayarak onu işe yaramaz hale getirebilir. Şu anda, belirli araçları hedeflemek veya farklı dijital bileşenlerle birden çok araca saldırmak için yüksek düzeyde kaynak gereklidir.

Mevcut  Sebep - Arabaları hacklemek için kaynak yatırmak için çok fazla neden yok. Suçlular ve bilgisayar korsanları için çok az gerçek mali teşvik var. Sadece garip uç durum sebep sağlar. Uç vakalara örnek olarak, siyasi bir muhalifin izini sürmek isteyen bir ulus devlet veya birisine gizlice suikast düzenlemek isteyen kaynaklara sahip bir "örgüt" verilebilir. Araçlarda siber saldırganlar aracılığıyla suikastların  gerçekleştiğine dair söylentiler var,  ancak henüz hiçbir şey kanıtlanmadı.

Mevcut Fırsat  - Eski araçlarda sadece basit ECU'lar bulunur veya hiç yoktur. Yalnızca modern araçlar, dijital olarak kontrol edilebilen özellikleri destekler.

Bu nedenle, bir ulus devlet gibi iyi kaynaklara sahip bir rakibi kızdırmadığınız sürece, bugün arabanızın hacklenme şansı minimumdur!


Gelecekteki Araç Siber Tehditleri

Sürücüsüz Araba

Araçlar, tamamen kendileri tarafından kontrol edildikleri ve kendi kendine sürülebilecekleri noktaya kadar bilgisayarlı teknolojiye giderek daha fazla bağımlı hale gelecekler. Kendi kendine sürüş teknolojisi zaten burada ve bir zamanlar sadece mekanik olan arabamız mobil bir yapay zeka olacak. Teknoloji arttıkça, güvenimiz artıyor ve sağlam güvenlik ihtiyacı en önemli hale geliyor. Karmaşıklık, güvenliğin düşmanıdır. Bilgisayarlı karmaşıklıktaki gelişmeler, sıfırdan araçlara siber güvenlik sağlamaya yönelik sağlam bir süreçle eşleştirilmelidir. Akıllı Park Yardımı, radar seyir kontrolü, Şeritte Kalma Yardımı ve Çarpışma Öncesi Sistem gibi teknolojiler bugün elektrikli camlar gibi standart özellikler haline gelecek. Mobil ağlar üzerinden yeni otomotiv uygulamalarını indirebileceğiniz araçlar için uygulama mağazaları zaten burada. Araçtan araca (V2V) ve araçtan altyapıya (V2X) iletişim sistemleri geliştirilmekte ve 5G'nin kendi kendine giden araçlarla kullanılması planlanmaktadır. Tüm bu yeni teknoloji, aracınızın olası saldırı yüzeyini artırır.


Gelecekteki Anlamlar  - Araç tasarlarken güvenlik ciddiye alınmaz ve sıfırdan inşa edilmezse, standardizasyon, bunun nasıl yapılacağına dair artan bilgi ve kamusal istismar kitleri ve araştırmalar nedeniyle araçlara girmek giderek daha kolay hale gelecektir.

Gelecek Motifleri  - Artan güven ve artan işlevsellik ile araçlara daha fazla özellik eklenecek. Araç içindeki faydalı gizli bilgiler, ödeme, konum ve kişisel veriler gibi standart olacaktır. Telefonunuzda veya dizüstü bilgisayarınızda sahip olduğunuz bilgi türü de muhtemelen mevcut ve aracınızda bir hedef olacaktır. Kaynaklara sahip düşmanlar, teröristler, kolluk kuvvetleri ve ulus devletler, siber savaş ve gerçek savaş için otomotiv araçlarına karşı saldırılar geliştirecek. Asgari kaynaklara sahip gruplar, mali kazanç için saldırılar geliştirecektir.

Gelecek Fırsatı  - Tüm araçlar, hedefleri her yerde bulunan gelişmiş otomasyon teknolojisine sahip olacak.

Dolayısıyla, gelecekteki araçlara ciddi bir güvenlik yerleştirilmedikçe, potansiyel olarak ciddi sonuçları olan bir hacker festivali bekleyebiliriz!


Arabanızı Güvenceye Almak İçin Ne Yapabilirsiniz?

Araç ve bileşen üreticileri siber güvenlik konusunda yenidir ve mevcut işlerinin çekirdeği olmaktan uzaktır. Siber güvenlik yeteneklerini geliştirmeleri gerekiyor, ancak bunun bir ticari nedeni olmadıkça bunu yapmayacaklar. Fiziksel güvenlik ve güvenlik, anlaşılabilen ve müşterilere satılabilen özellikler ve faydalardır. Siber güvenlik daha az somut ve henüz tüketicinin zihninde değil.


Tüketiciler olarak, araçlarımıza daha ileri teknoloji entegre etmek istiyorsak, bu teknoloji için de güvenlik talep etmemiz gerekiyor. Yerleşik güvenlik özelliklerini sorgulamaya başlamalıyız ve ardından bunu talep etmeliyiz, böylece sektör ve hükümetler talebe cevap verebilir. Araç ve bileşen üreticileri, tüketiciler tarafından zorlanana veya pazarlanıp satılabilen bir "özellik" haline gelene kadar siber güvenliği ciddiye almayacaklar. Güvenlik paraya mal olur ve ihtiyaç zorunlu olmadıkça yatırım yapılmaz. Araç siber güvenliği için üreticilerin uyacağı standartlar ve yasalar geliştirilmelidir. Güvenliği ciddiye aldıklarını gösteremeyen üreticilerden satın almayı reddetmeliyiz. Aksi takdirde, güvenliğimizi, mahremiyetimizi ve güvenliğimizi etkileyen bu siber fiziksel saldırılara karşı savunmasız araçlar sürmeye son vereceğiz.

Hiç yorum yok:

Blogger tarafından desteklenmektedir.