Povezani avtomobili kot tarča hekerjev

Povezani avtomobili kot tarča hekerjev

VicOne, ponudnik rešitev kibernetske varnosti za avtomobilsko industrijo, je konec januarja gostil svoj prvi etični hekerski dogodek »Pwn2Own Automotive 2024« v Automotive World v Tokiu. Cilj je bil raziskati in premagati izzive kibernetske varnosti v avtomobilski industriji. Prireditev je odlično uspela. Natančneje, 17 belih hekerjev ali posameznikov iz devetih držav, vključno z Nemčijo, se je lotilo skupno več kot 50 različnih hekerskih pristopov v štirih kategorijah: "Tesla", "In-Vehicle Infotainment (IVI)", "EV Chargers" in "Operating System". Tekmovalci so se potegovali za skupno 1.323.750 $ v denarju in nagradah. Zaskrbljujoč rezultat: udeleženci hackathona so v treh dneh dogodka odkrili skupno 49 doslej neznanih varnostnih vrzeli (ranljivosti ničelnega dne). Za zmago pri posameznem poskusu vdora so morali biti udeleženci sposobni izkoristiti novo odkrite ranljivosti za napad na ciljne sisteme in naprave ter izvajanje poljubnih navodil.

Vendar dogodek ni bil namenjen samo prestižu in tekmovanju med najboljšimi belimi hekerji na sceni, temveč tudi sodelovanju znotraj avtomobilske industrije in z zunanjimi IT strokovnjaki za kibernetsko varnost, da bi bila celotna industrija bolj varna. Proizvajalec električnih vozil Tesla, glavni pokrovitelj dogodka, je dal na voljo in testirane lastne izdelke, vključno z modemom, infotainment sistemom in vozilom Model Y. Sodelujoči hekerji so prihajali iz držav, kot so Vietnam, ZDA in Japonska, pa tudi iz Velike Britanije, Madžarske, Nizozemske, Francije in Nemčije, svoje napade pa so izvajali deloma na daljavo in deloma na kraju samem. Iz Nemčije sta na primer sodelovali ekipa Tortuga (na daljavo) in ekipa fuzzware.io, ki sta svoja vdora izvajala na kraju samem.

Etični hekerji iz fuzzware.io so krmilnik za polnjenje »Sony SEC-3100« uspešno usmerili v kategorijo polnilnikov za električna vozila. S šestimi poskusi vdora so bili med najbolj obremenjenimi udeleženci hackathona. Ekipa Tortuga je preverila tudi polnilno postajo ChargePoint Home Flex v kategoriji polnilnikov za električna vozila glede možnih varnostnih ranljivosti. S skupnim dobitkom 177.500 ameriških dolarjev je nemška ekipa fuzzware.io zasedla zelo dobro drugo mesto, premagala pa jo je le zmagovalna ekipa Synacktiv iz Francije s skupnim dobitkom 450.000 ameriških dolarjev, ki zdaj poleg skupne zmage nosi tudi naziv “Master of Pwn”. Večnacionalni dogodek je služil povezovanju in omreženju avtomobilske industrije z industrijo kibernetske varnosti ter poudarjanju potencialnih groženj.