Security Manager - ΤΕΥΧΟΣ 59

νέα &
ΕΞΕΛΙΞΕΙΣ
Μήπως είναι καιρός ν’ ανησυχούμε για το car hacking;
Η εταιρεία Symantec ανακοίνωσε μέσα από το τελευταίο
white paper της με τίτλο Building Comprehensive Security
into Cars, ότι η αυξανόμενη συχνότητα με την οποία αναπαράγονται
τελευταία οι σχετικές πληροφορίες, έφερε στο
προσκήνιο το ζήτημα της κυβερνοασφάλειας των οχημάτων,
καθώς διάφοροι ερευνητές αποκαλύπτουν μια σειρά από
τρωτά σημεία σε νέα μοντέλα αυτοκινήτων. Τα περιστατικά
αυτά αντικατοπτρίζουν το γεγονός ότι ένας αυξανόμενος
αριθμός αυτοκινήτων μπορεί πλέον να συμπεριληφθεί στο
λεγόμενο Internet of Things (IoT), δεδομένου ότι διαθέτουν
δικούς τους υπολογιστές, λογισμικό, αλλά και συνδεσιμότητα.
Κι ενώ μια τέτοια εξέλιξη επιτρέπει στους ιδιοκτήτες
αυτοκινήτων να επωφεληθούν από μια σειρά νέων τεχνολογιών,
αυτό σημαίνει επίσης, ότι τα οχήματά τους εκτίθενται
όλο και περισσότερο στα ίδια είδη ηλεκτρονικών απειλών
που αντιμετωπίζουν και πολλές άλλες διασυνδεδεμένες συσκευές.
Αναπόφευκτα ανακύπτει το ερώτημα αν είναι καιρός
να αρχίσουμε να ανησυχούμε για το car hacking. Αφορμή
για το πιο πρόσφατο κύμα συζητήσεων στάθηκε η είδηση
που ανέφερε ότι ορισμένες σειρές οχημάτων του μοντέλου
Jeep Cherokee, διέθεταν σημεία τρωτά σε εξ αποστάσεως
ηλεκτρονικές απειλές. Τα αποτελέσματα της επίθεσης α-
ποδόθηκαν σε μια σειρά τρωτών σημείων και αδυναμιών του
οχήματος.
Πρέπει ν’ ανησυχούν οι οδηγοί;
Καθώς η αυτοκινητοβιομηχανία ενσωματώνει νέες τεχνολογίες
στα αυτοκίνητα, η Symantec θεωρεί πολύ πιθανό να
αυξηθούν κακόβουλες επιθέσεις. Οι επιθέσεις του είδους
μπορούν να ταξινομηθούν σε τρεις μεγάλες κατηγορίες:
• Πιο επικίνδυνες θεωρούνται οι επιθέσεις «over-the-air»,
όταν οι «εισβολείς» επιχειρούν διείσδυση στα συστήματα
ενός οχήματος από απομακρυσμένη θέση. Τέτοιες επιθέσεις
απαιτούν εκτενείς προσπάθειες και βαθιά γνώση σχετικά
με το όχημα και το λογισμικό του.
• Φυσικές επιθέσεις, όπου ο χάκερ πρέπει να έχει φυσική
πρόσβαση στο όχημα, είναι συνήθως πιο εύκολο να υλοποιηθούν.
Πολλά οχήματα, διαθέτουν ελλιπή προστασία
στο δίαυλο CAN και τις Ηλεκτρονικές Μονάδες Ελέγχου
(ECU) που συνδέονται σε αυτόν. Για να γίνει μια τέτοια ε-
πίθεση, ο εισβολέας πρέπει να έχει φυσική πρόσβαση στο
όχημα, με κίνδυνο να συλληφθεί.
• Επιθέσεις μέσω mobile applications και εργαλείων υποστήριξης
που επιτρέπουν απομακρυσμένες λειτουργίες ε-
λέγχου του οχήματος, είναι επίσης πιθανές. Ευτυχώς οι περισσότερες
εφαρμογές και τα εργαλεία μπορούν εύκολα
να επιδιορθωθούν χωρίς να υπάρχει ανάγκη αναβάθμισης
στο λογισμικό του οχήματος. Ενώ τέτοιου είδους επιθέσεις
δεν μπορούν να αποκλειστούν στο μέλλον, οι οδηγοί δεν
θα πρέπει να ανησυχούν, αφού είναι γνωστό ότι τα κίνητρα
του κυβερνοεγκλήματος είναι κυρίως οικονομικά, οπότε το
hacking στο αυτοκίνητο μάλλον θα παραμείνει μια θεωρητική
δραστηριότητα, μέχρι να ανακαλυφθούν μέθοδοι «εξαργύρωσης»
των επιθέσεων. Οι ιδιοκτήτες αυτοκινήτων
που ανησυχούν για ζητήματα ασφάλειας, μπορούν ωστόσο
να πάρουν κάποια μέτρα για να μειώσουν την πιθανότητα
μιας επίθεσης. Σε αυτά περιλαμβάνονται: Τακτικά updates
λογισμικού, που θωρακίζουν με patches το σύστημα, διορθώνοντας
προβλήματα ασφάλειας. Ιδιαίτερη προσοχή
όταν το όχημα συνδέεται σε διαγνωστικές πλατφόρμες ή
πλατφόρμες τηλεματικής, καθώς αυτές πολλές φορές α-
νοίγουν την πόρτα σε «εισβολείς», για να εισέλθουν στον
δίαυλο CAN. Αποφυγή σύνδεσης μη αξιόπιστων συσκευών
στα συστήματα ενημέρωσης και ψυχαγωγίας των οχημάτων,
όπως USB sticks, τηλέφωνα ή media players. Επίσης,
αν το αυτοκίνητο διαθέτει σύνδεση στο Internet, πρέπει
αποφεύγεται η σύνδεση σε μη αξιόπιστα δίκτυα.To πλήρες
white paper Building Comprehensive Security into Cars
της Symantec, θα το βρείτε στο http://www.symantec.
com/content/en/us/enterprise/other_resources/
building-security-into-cars-iot_en-us.pdf
14
ΣΕΠΤΕΜΒΡΙΟΣ - ΟΚΤΩΒΡΙΟΣ 2015