הפורצים לג’יפ צ’ירוקי ולטסלה-S חשפו כיצד עשו זאת ומלמדים איך להגן על האינטנרט של הדברים

בתערוכת סביט שהתקיימה לאחרונה בהנובר, הציגו שני האקרים “לבנים” כיצד פרצו למכונית שהיא דטה סנטר על גלגלים ומה אומרת הפריצה אליה על האינטרנט של הדברים

ביולי 2015, הפגינו שני חוקרי אבטחת סייבר בפני כתב המגזין WIRED כיצד הם יכולים לשלוט מרחוק בג’יפ צ’ירוקי לאחר פריצת מערכות הבידור המשולבת במתקפת “ניצול יום האפס”. הדבר הוביל קרייזלר לקרוא ל-1.4 מיליון כלי רכב כדי לעדכן את מערכות האבטחה שלהם, בעלות ניכרה לשורה התחתונה של קרייזלר וכן גרצה הפריצה לפחד קולקטיבי ללקוחותיה.

קווין מהאפי יוצא למסע אזהרה כדי שהמקרה לא ישוב יותר. כמייסד ו- CTO של ספק תוכנת אבטחת הסייבר Lookout, מהאפי ושותפו למחקר מארק רוג’רס מחברת CloudFlare החליטו לבדוק אם לא רק ג’יפ צ’ירוקי ניתן לפריצה. באוגוסט 2015, הם עשו זאת על טסלה מדגם S במטרה להסביר נושא מרכזי בביטחון התקני האינטרנט של דברים (IOT) בכנס CeBIT בהנובר, גרמניה, בשבוע שעבר אמר מהאפי “מבין כל המכוניות המקושרות בחרנו בדגם S מסיבה אחת: הארכיטקטורה שלה חדשה מהיסוד; אין לה מורשת. ובנוסף, זולא מכונית, זה מרכז נתונים על גלגלים. ”

קווין מהאפי, ה-, CTO של חברת האבטחה המקוונת Lookout, מסביר כיצד הוא פרץ מכונית טסלה מדגם S. “ההשערה שלנו היתה שטסלה משתמשת בתקנים רבים במכונית,” אמר מהאפי. “לכן חשבנו שנאמר כי למרות שניסינו חזק ככל שיכולנו כדי לפרוץ אותה, לא הצלחנו כי שהם עשו עבודה טובה.'”

כפי שהתברר, טסלה עשתה דברים רבים בצורה נכונה מנקודת המבט של אבטחת IT, אבל לא מספיק. הצמד צבר גישה למגוון של מערכות המידע הממוחשבים במכונית, ובסופט של דבר השניים גרמו לטסלה לעדכן את התוכנה מוטבעת על דגם S.

לאחר שמהאפי ורוג’רס הודיע ​​לטסלה של הפרצות שלהם, החברה יצרה במהירות עדכוני תוכנה, אשר נשלחו באמצעות הענן לכל כלי רכב מדגם S כאילו היה פעולה שגרתית. הלקוחות לא נדרשו להביא את המכוניות שלהם למוסכים, טסלה לא היתה צריכה לבזבז זמן וכסף על שירות, ולא הייתה נשורת יחסי הציבור רצינית מהאירוע.

במכונית טסלה מדגם S משובצים שלושה שרתים נפרדים. אשכול Instrument (IC) ותצוגת מרכז המידע (CID) מריצים לינוקס;, המחשבים מופעלים באמצעות מערכת ההפעלה בזמן אמת FreeRTOS. כלומר כולם פועלים באמצעות קוד פתוח. התמונה באדיבות טסלה מוטורס.

מהאפי אמר כי ישנם שלושה שיעורים חיוניים שצריכים להילמד מהפריצה הזו לדגם S של טסלה. שיעורים אלה חלים על מערכות ה- IT בכלל, אבל במיוחד במערכות IOT ההולכות ונפוצות ברחבי העולם. שיעורים אלה הם בעלי חשיבות חיונית משום שלתעשיות המפתחות את “הדברים” ב-IOT אין היסטוריה ב- IT או באבטחה מקוונת. “קל יותר להנדס [אבטחה] בתחילת פיתוח ואז לא יהיה צורך להוסיף טלאים.

שיעור 1: יצירת תהליך עדכון חזק

התקני מחשוב דורשים עדכונים על בסיס קבוע. ספקי ה-IT ולקוחותיהם מבינים זאת; הם הקימו מנגנונים נמצאים לשדרוגי תוכנה. התקני IOT אינם חסינים מהצורך בעדכוני תוכנה, אבל המערכת האקולוגית עבור שדרוגי תוכנה אינה ריכוזית, מאובטחת או מובנית בדרך כלל.

מהאפי התעקש במצגת שלו על הצורך להנדס את התיקונים ולא להוסיפם מעל המערכת. “עדכוני תוכנה צריכים להיות מופציםלעתים קרובות, הם צריכים להיות בחינם למשתמש הקצה … ונדרשת לחיצה אחת או שתיים לכל היותר כדי להפעילם,” אמר. צרכנים בדרך כלל מתעלמים מעדכוני תוכנה אם הם מסובכים ודורשים זמן רב.

שיעור 2: ליצור מערכת אבטחה-מחוסנת

אבטחה הייתה נושא מרכזי במושבי כנס סביט.. באחת הפגישות השתתף פוליטיקאי. יאן פיליפ אלברכט, חבר הפרלמנט האירופי מצפון גרמניה ממפלגת הירוקים, ומבקר חריף בסוגיות פרטיות דיגיטליות. הוא דוגל בתפקיד חזק לממשלה ב בהקמת תקני אבטחה עבור IOT.

“לפני שמפתחים מערכות IOT צריכים להבטיח תשתית של אבטחה ופרטיות בתכנון של מוצרים אלה,” אמר. “כדי להשיג זאת אנחנו צריכים שהרגולטורים יעשו את העבודה לפני כן.”

“חברות שעושות עסקים באירופה צריכות לדבוק בכללים. באירופה יש את תקן הזהב להגנה על נתונים. כל היצרנים חייבים להניח שהמכשירים שלהם יותקפו במוקדם או במאוחר. רוב המצטרפים החדשים צריכים להנדס עד כדי הפיכת המכשיר למבוצר כדי למנוע מראש את ההתקפה. כיום יש קירות גדולים מבחוץ ושום דבר לא מגן על החלק הפנימי,” הצהיר מהאפי.

כדי לסייע ליצרנים להבין את החשיבות של מה שהוא מכנה תכנון חסין, מהאפי מציע את המטפורה של הגוף האנושי. עור הוא רק את השורה הראשונה של ההתנגדות מפני מחלות; ישנה מערכת גדולה בגוף שלכל אחד מהחלקים שלה יש שיטה משלו להתמודד עם זיהומים. אבטחת IOT צריכה להיות מושגת על בסיס מערכתי ולא על ידי אמון בכך שהממשק החיצוני הוא בלתי חדיר. “אמון מוחלט יגרום לכך שההתקן יהיה פרוץ לחלוטין,” אמר מהאפי. חייבים ליצור חיישנים המנטרים העברות נתונים בין המערכות על מנת לעקוב אחר מה שקורה במקרה שמתרחשת הפרה.

שיעור 3: לבודד רכיבים קריטיים

חוזרים אל הגוף כאל מטאפורה ל-IOT. מהאפי ציין כי למערכת הקריטיות ביותר, המוח, יש שכבה מיוחדת משלה לביטחון – מחסום הדם-מוח. יצרני המכוניות ויצרנים של מכשירים אחרים בעלי חיבור לאינטנרט צריכים ליצור מחסום דם-מוח משלכם סביב השער של המערכת. דוגמה של תעשיה אחת המיישמת זאת היא תעשית התעופה.

V-Wi-Fi לא יכול לדבר עם הטייס האוטומטי”, אמר מהאפי. “הבלם שלך לא אמור להיות מסוגל לדבר עם דפדפן האינטרנט; וחשוב יותר, דפדפן האינטרנט שלך לא אמור להיות מסוגל לדבר עם הבלמים שלך. ”

שער המכשיר הוא החלק הכי חשוב של המערכת, ועליו תהיה הגנה חזקה ביותר. אי אפשר להסתמך רק על קיר גדול, ציין מהאפי ציין, אבל קיר גדול הוא התחלה טובה.