Sådan laver hackere din Tesla, GM og Chrysler mindre sårbare over for angreb

I marts, en Tesla Model 3 blev hacket.

Duoen, der er ansvarlig for at afdække sårbarheden, fik adgang til bilens webbrowser, eksekveret kode på sin firmware og viste en meddelelse på infotainmentsystemet, før de tog afsted med Model 3 og $375, 000.

Hackerne tog ikke fjernkontrol over bilen eller skabte kaos på dens dørlåse eller bremser, mens en uskyldig chauffør sad inde. Faktisk, de var ikke i stand til at bryde ind i andre systemer i det elektriske køretøj, og kontanterne, de indsamlede, kom i form af en check fra Tesla.

Det hele var en del af en tre-dages cybersikkerhedskonkurrence kaldet Pwn2Own, en begivenhed, hvor Tesla betaler topkroner til enhver, der er mesterlig nok til at finde hidtil ukendte fejl. At rette eventuelle svagheder hjælper elbilfirmaet med at beskytte de mennesker, der kører dets køretøjer, håber det.

Efterhånden som et stigende antal biler bliver højteknologiske computere på hjul, eksperter siger, at køretøjer - ligesom alt andet, der forbinder til internettet - i sagens natur er hackbare. Det betyder, at enhver smart bil teoretisk kunne blive brudt ind i og kontrolleret på et eller andet niveau af kyndige hackere, kriminelle eller værre.

Mens der eksisterer urealiserede trusler, bilproducenters bestræbelser på at beskytte bilister rækker ud over at ansætte erfarne interne sikkerhedsteams.

For virksomheder som Tesla, det betyder, at man deltager i biler i strenge tredjepartstestkonkurrencer eller implementerer andre såkaldte "bug bounty-programmer" for at tilskynde sikkerhedsforskere til aktivt at lokalisere og rapportere eventuelle hot spots på virksomhedens hardware.

Til pålydende værdi, at tilskynde udenforstående til at søge efter fejl kan virke kontraintuitivt. Imidlertid, flytningen giver ikke kun dygtige hackere en chance for at spænde musklerne, men det hjælper også virksomheder som Tesla, GM og andre styrker bilsikkerheden.

"Vi tror på, at for at designe og bygge iboende sikre systemer, producenter skal arbejde tæt sammen med sikkerhedsforskningssamfundet for at drage fordel af deres kollektive ekspertise, " sagde Tesla i en erklæring til U.S. TODAY.

Tesla brugte en softwareopdatering til at rette op på sårbarheden fundet af den "hvide hat, "eller etisk, hackere, hvilket er en fordel, da chauffører ikke behøver at besøge et værksted eller betale gebyrer for at få en bils software opdateret.

Bug bounty-programmer

Teslas tilgang til at lukke adgangshuller begyndte med sit bug bounty-program i 2014, imidlertid, det er ikke den eneste bilproducent, der inviterer hackere til at teste systemer.

Fiat Chrysler har haft et bug bounty-program på plads siden 2016, og det betaler hackere op til $1, 500 hver gang de opdager en hidtil ukendt sårbarhed. GM lancerede officielt sit bug bounty-program i 2018 efter at have etableret det, det kalder Security Vulnerability Disclosure Program i 2016.

Mere end 500 forskere har deltaget i GM's program for at identificere og løse mere end 700 sårbarheder.

Ford annoncerede i januar, at de udvælger topforskere til at deltage i fremtidige særlige hacking-projekter.

For at forhindre hackere, bilproducenter og deres leverandører tager flere tilgange til at beskytte biler fra alle sider, ifølge Asaf Ashkenazi, Chief Strategy Officer hos Verimatrix, et sikkerheds- og analysesoftwarefirma.

Han sagde, at biler i dag er i begyndelsen af ​​det, han kaldte en trestrenget tilgang til smart bilsikkerhed.

"De filtrerer de åbenlyse angreb udefra ved at forsøge at skabe firewalls mellem undersystemer, " sagde han. "Hvis man bliver kompromitteret, hackeren kan ikke flytte til andre systemer."

Denne tilgang blev vist under Tesla-hacket, da det Palo Alto-baserede firma formåede at begrænse skaden på kun browseren, mens alle andre køretøjsfunktioner blev beskyttet.

Fjernopdateringer

Det næste niveau af beskyttelse fra bilproducenter er evnen til at opgradere og løse problemer via æteren, sagde Ashkenazi.

Ældre bilfirmaer har haltet bagefter Teslas evne til at sende disse smartphone-lignende opdateringer til sine kunder. Det Palo Alto-baserede firma bruger funktionen til at opdatere alt fra semi-autonome køretilstande til frække påskeæg eller skjulte perler.

Når du reagerer på fejl, virksomheden har rettet problemer gennem softwareopdateringer inden for et par dage efter opdagelse af sårbarheder.

Sammen med Tesla, nogle af Ford og General Motors 2020-modeller vil tillade over-the-air opdateringer, der kan opgradere et køretøj med nye funktioner og fjernafhjælpe problematisk software. GM's 2020 Cadillac CT5 kommer med et nyt "digitalt nervesystem", der gør opdateringerne mulige.

I maj, GM meddelte, at de fleste af dets globale modeller vil være i stand til trådløse softwareopgraderinger i 2023.

Konstant overvågning

Det tredje niveau af forbrugerbeskyttelse af køretøjer involverer, at AI registrerer, at en bil opfører sig anderledes. Det giver bilproducenter en bedre chance for at identificere angreb tidligt, sagde Ashkenazi.

Tredjepartssoftwarevirksomheder som Argus Cyber ​​Security træder til med at hjælpe bilvirksomheder med at udvikle og indbygge disse typer fjerndiagnosefunktioner under produktionsprocessen.

"Selv hvis du har realtidsbeskyttelse inde i køretøjet, du skal stadig vide, at en af ​​dine biler bliver målrettet, " sagde Monique Lance, marketingdirektør hos Argus Cyber ​​Security.

Det er her overvågningsteknologi træder ind, giver bilvirksomheder mulighed for at udføre krydsdataanalyse og identificere mistænkelig adfærd, som ellers kunne gå glip af.

"Du har brug for evnen til at have synlighed over hele din flåde, fordi der kan være andre berørte køretøjer, " sagde Lance. "Det er altafgørende, at du ved, hvad der sker i netværket. Det er meget billigere for bilproducenter at være i stand til at forhindre angreb end at reagere på dem, når de først er sket, så servicen er afgørende."

Værste tilfælde

Lance sagde uden en lagdelt tilgang til sikkerhed, katastrofer venter.

Et eksempel på, hvordan dette kunne se ud, skete i 2015, da datasikkerhedsforskere med succes tog fjernstyring af en Jeep Cherokee. Fiat Chrysler reagerede ved at tilbagekalde 1,4 millioner biler og lastbiler og sende UBS-sticks med software-patches til ejerne.

Samme år, en anden hacker afslørede, at han placerede en lille elektronisk boks på en bil for at stjæle information fra GM's OnStar-system, så han kunne åbne døre og starte køretøjet. GM sagde, at hacket var isoleret til en bil, og det har siden lukket smuthullerne.

Et hacking af køretøjer i hele flåden, der resulterer i død og ødelæggelse, har endnu ikke fundet sted, men som Teslas administrerende direktør Elon Musk sagde i 2017, det er "en af ​​de største risici for autonome køretøjer." Han tilføjede, at et flådeomspændende hack af Tesla er "dybest set umuligt."

Partnerskaber

Bilproducenter samarbejder for at forhindre, at disse typer scenarier opstår.

Etableret i 2015, industriens informationsdelings- og analysegruppe kaldet Auto ISAC er dedikeret til forskning og skabelse af bedste praksis for cybersikkerhed. Mitsubishi Electric, PACCAR, Volvo Group North America og American Trucking Associations tilsluttede sig pagten i 2018.

Den non-profit siger, at 98% af køretøjerne på vejene i USA er repræsenteret af medlemsvirksomheder. En samarbejdstilgang er et skridt i den rigtige retning, Ashkenazi, cybersikkerhedseksperten, sagde.

"Men det at danne grupper og skabe retningslinjer fungerer måske ikke nødvendigvis i alle situationer, til alle biler. At komme dertil er meget vanskeligt og vil tage lang tid."

(c)2019 USA i dag
Distribueret af Tribune Content Agency, LLC.