Prijungti automobiliai kaip įsilaužėlių taikinys

Prijungti automobiliai kaip įsilaužėlių taikinys

Kibernetinio saugumo sprendimų automobilių pramonei tiekėja „VicOne“ sausio pabaigoje Tokijuje „Automotive World“ surengė pirmąjį etiško įsilaužimo renginį „Pwn2Own Automotive 2024“. Tikslas buvo ištirti ir įveikti kibernetinio saugumo iššūkius automobilių pramonėje. Renginys puikiai pavyko. Tiksliau, 17 baltųjų skrybėlių įsilaužėlių komandų arba asmenų iš devynių šalių, įskaitant Vokietiją, iš viso ėmėsi daugiau nei 50 skirtingų įsilaužimo metodų keturiose kategorijose: „Tesla“, „In-Vehicle Infotainment (IVI)“, „EV Chargers“ ir „Operating System“. Dalyviai varžėsi dėl 1 323 750 USD grynųjų ir prizų. Nerimą keliantis rezultatas: iš viso per tris renginio dienas hakatono dalyviai aptiko 49 anksčiau nežinomas saugumo spragas (nulinės dienos pažeidžiamumus). Norėdami laimėti atitinkamą bandymą įsilaužti, dalyviai turėjo sugebėti išnaudoti naujai atrastas spragas atakuoti tikslines sistemas ir įrenginius bei vykdyti savavališkas instrukcijas.

Tačiau renginys buvo ne tik apie prestižą ir konkurenciją tarp geriausių baltųjų skrybėlių įsilaužėlių scenoje, bet ir apie bendradarbiavimą automobilių pramonėje bei su išorės IT kibernetinio saugumo ekspertais, kad visa pramonė būtų saugesnė. Elektromobilių gamintojas Tesla, pagrindinis renginio rėmėjas, pristatė ir išbandė savo gaminius, įskaitant modemą, informacijos ir pramogų sistemą ir Y modelio transporto priemonę. Dalyvaujantys programišiai atvyko iš tokių šalių kaip Vietnamas, JAV ir Japonija, taip pat iš Didžiosios Britanijos, Vengrijos, Olandijos, Prancūzijos bei Vokietijos ir savo atakas vykdė iš dalies nuotoliniu būdu, o iš dalies vietoje. Pavyzdžiui, iš Vokietijos dalyvavo Tortuga komanda (nuotolinis) ir fuzzware.io komanda, kurios įsilaužimus atliko vietoje.

Etiški įsilaužėliai iš fuzzware.io turi „Sony SEC-3100“ įkrovimo valdiklį, sėkmingai pritaikytą elektromobilių įkroviklių kategorijai. Su šešiais bandymais įsilaužti jie buvo tarp aktyviausių hakatono dalyvių. „Team Tortuga“ taip pat patikrino „ChargePoint Home Flex“ įkrovimo stotelę elektromobilių įkroviklių kategorijoje, ar nėra galimų saugumo spragų. Iš viso 177 500 JAV dolerių laimėjusi Vokietijos komanda fuzzware.io užėmė labai gerą antrąją vietą ir ją nugalėjo tik laimėjusi komanda Synacktiv iš Prancūzijos, kurios bendras laimėjimas siekia 450 000 JAV dolerių, kuri, be bendros pergalės, dabar taip pat turi „Pwn meistro“ titulą. Daugiašalis renginys padėjo sujungti ir sujungti automobilių pramonę su kibernetinio saugumo pramone ir pabrėžti galimas grėsmes.