Suche
Mein Konto
Yhdistetyt autot hakkereiden kohteena
Tokiossa järjestetyssä hakkerointikilpailussa löydettiin 49 tietoturva-aukkoa yhdistetyissä ajoneuvoissa.
Yhdistetyt autot hakkereiden kohteena
Autoteollisuudelle kyberturvallisuusratkaisuja tarjoava VicOne isännöi ensimmäisen eettisen hakkerointitapahtumansa "Pwn2Own Automotive 2024" Tokion Automotive World -tapahtumassa tammikuun lopussa. Tavoitteena oli tutkia ja voittaa autoteollisuuden kyberturvallisuuden haasteita. Tapahtuma oli suuri menestys. Tarkemmin sanottuna 17 white hat hakkeriryhmää tai henkilöä yhdeksästä maasta, mukaan lukien Saksasta, otti yhteensä yli 50 erilaista hakkerointitapaa neljässä kategoriassa: "Tesla", "In-Vehicle Infotainment (IVI)", "EV Chargers" ja "Operating System". Kilpailijat kilpailivat yhteensä 1 323 750 dollarista käteisellä ja palkinnoilla. Huolestuttava tulos: Hackathonin osallistujat löysivät tapahtuman kolmen päivän aikana yhteensä 49 aiemmin tuntematonta tietoturva-aukkoa (nollapäivän haavoittuvuuksia). Voittaakseen hakkerointiyrityksensä osallistujien oli kyettävä hyödyntämään äskettäin löydettyjä haavoittuvuuksia hyökätäkseen kohdejärjestelmiin ja -laitteisiin ja suorittaakseen mielivaltaisia ohjeita.
Tapahtumassa ei kuitenkaan ollut kyse vain arvostuksesta ja kilpailusta alan parhaiden valkohattuhakkereiden välillä, vaan myös yhteistyöstä autoteollisuuden sisällä ja ulkopuolisten IT-kyberturvallisuusasiantuntijoiden kanssa koko alan turvallisuuden parantamiseksi. Tapahtuman pääsponsorina toimiva sähköautovalmistaja Tesla toi saataville ja testattiin omia tuotteitaan, mukaan lukien modeemin, infotainment-järjestelmän ja Model Y -ajoneuvon. Osallistuneet hakkerit saapuivat muun muassa Vietnamista, Yhdysvalloista ja Japanista, mutta myös Iso-Britanniasta, Unkarista, Hollannista, Ranskasta ja Saksasta ja tekivät hyökkäyksensä osittain etänä ja osittain paikan päällä. Saksasta osallistuivat esimerkiksi Tortuga-tiimi (etä) ja fuzzware.io-tiimi, jotka suorittivat hakkerointinsa paikan päällä.
Fuzzware.io:n eettisillä hakkereilla on "Sony SEC-3100" -latausohjain onnistuneesti kohdistettu sähköajoneuvojen laturikategoriaan. Kuudella hakkerointiyrityksellä he olivat hackathonin vilkkaimpien osallistujien joukossa. Team Tortuga tarkasti myös sähköajoneuvojen laturikategorian ChargePoint Home Flex -latausaseman mahdollisten tietoturva-aukkojen varalta. Saksalainen joukkue fuzzware.io sijoittui 177 500 Yhdysvaltain dollarin yhteisvoitolla erittäin hyvälle toiselle sijalle ja voitti sen vain voittajajoukkue Synacktiv Ranskasta 450 000 dollarin yhteisvoitolla, joka kantaa nyt myös "Master of Pwn" -titteliä kokonaisvoiton lisäksi. Monikansallisen tapahtuman tarkoituksena oli yhdistää ja verkottaa autoteollisuus kyberturvallisuusteollisuuteen ja tuoda esiin mahdollisia uhkia.