“Οι αντιπροσωπείες είναι σχετικά ευάλωτες, έχουν πολύ χαμηλό επίπεδο ασφάλειας και συνήθως δεν έχουν εσωτερικό τμήμα IT. Μπορείτε να φτιάξετε ένα κακόβουλο αυτοκίνητο, που θα το πάτε σε μια αντιπροσωπεία για τακτική συντήρηση και από εκεί να επιτεθεί στην αντιπροσωπεία. Για παράδειγμα όταν θα συνδέσετε το διαγνωστικό μηχάνημα για να δείτε γιατί το προειδοποιητικό λαμπάκι του κινητήρα είναι αναμμένο, το κακόβουλο λογισμικό θα εισχωρήσει στο διαγνωστικό μηχάνημα και στη συνέχεια μέσω του μηχανήματος αυτού το λογισμικό θα εισέλθει σε οποιοδήποτε άλλο αυτοκίνητο συνδεθεί επάνω του.”
Ο ερευνητής ασφαλείας Craig Smith παρουσίασε κατά τη διάρκεια της φετινής διοργάνωσης DerbyCon, ένα συνέδριο για την ασφάλεια και την πειρατεία, που πραγματοποιήθηκε στο Λούϊσβιλ, στο Κεντάκι Αμερικής (Louisville, Kentucky), μια ειδική συσκευή που δημιούργησε για να ελέγξει τους διαγνωστικούς εγκεφάλους αυτοκινήτων που υπάρχουν στα συνεργεία του δικτύου των επίσημων αντιπροσωπειών. Το μηχάνημα αυτό το ονόμασε ODB-GW (Ol’ Dirty Bastard Gateway). Το λογισμικό για αυτό το εργαλείο, με το όνομα Unified Diagnostic Services (UDS) Server είναι επίσης διαθέσιμο για κατέβασμα από το GitHub. Όπως εξηγεί ο Craig, η συσκευή ODB-GW δημιουργήθηκε για να λειτουργήσει ως ένα honeypot (παγίδα για hackers), κάνοντας το διαγνωστικό εγκέφαλο αυτοκινήτων να νομίζει ότι έχει συνδεθεί με ένα αυτοκίνητο. Από την άλλη πλευρά του ODB-GW, ο Craig συνδέει ένα φορητό υπολογιστή, από τον οποίο είναι πλέον σε θέση να πραγματοποιήσει βασικές δοκιμές και να εντοπίσει τις αδυναμίες στο μηχάνημα διάγνωσης αυτοκίνητων.
Η τεχνική που χρησιμοποιείται από τη συσκευή ODB-GW να βρει τρωτά σημεία λέγεται “fuzzying”, η οποία στέλνει μεγάλα τυχαία κομμάτια από δεδομένα προς το διαγνωστικό μηχάνημα αυτοκινήτων και κατόπιν βλέπει πώς αυτό το μηχάνημα αντιδρά και πότε και πώς κολλάει. Ο κ Smith λέει ότι όταν μάθει ένας κακόβουλος εισβολές ποια είναι τα τρωτά σημεία σε ένα διαγνωστικό μηχάνημα, μπορεί να δημιουργήσει κακόβουλα προγράμματα που θα είναι σε θέση να κάνουν hacking και ναμολύνουν τη συσκευή και στη συνέχεια, να χρησιμοποιήσουν το διαγνωστικό μηχάνημα για να εξαπλωθούν και σε άλλα αυτοκίνητα που τυχόν θα συνδεθούν με την συσκευή αυτή, ή ακόμα και να εξαπλωθεί μέσω του WiFi δικτύου της εμπορικής αντιπροσωπείας προς τα αυτοκίνητα που διαθέτουν WiFi και που βρίσκονται στο συνεργείο. “Ως ελεγκτής ασφαλείας σας προτείνω σίγουρα να το δοκιμάσετε, […] είναι μια μεγάλη αγορά που δεν έχει εξεταστεί», λέει ο κ Smith, αναφερόμενος στο γεγονός ότι η αυτοκινητοβιομηχανία έχει θέσει σε εφαρμογή ελάχιστες πρακτικές ασφαλείας.
Στη συνέχεια ο Κος Smith πηγαίνει ποιο βαθειά το σενάριο hacking, αναφέροντας ότι οι επιτήδειοι που θα καταφέρουν να μολύνουν τα αυτοκίνητα ή την αντιπροσωπεία με ransomware θα μπορούσαν να απαιτήσουν υπέρογκα ποσά για να ξεκλειδώσουν τα αυτοκίνητα, είτε από τον εκάστοτε ιδιοκτήτη του κάθε αυτοκινήτου, είτε από την αντιπροσωπεία αυτοκινήτων η οποία είναι υπεύθυνη για την φροντίδα και την σωστή λειτουργία τους. Ο Craig Smith είναι ο ιδρυτής του Open Garages, ο συγγραφέας του εγχειριδίου Car Hacker’s Handbook, και σήμερα διευθύνει τη δική του ανεξάρτητη εταιρεία έρευνας για την ασφάλεια, την Theia Labs.
Η παρουσίαση του Craig στο DerbyCon
https://iguru.gr/2015/10/04/51976/cars-exposed-to-hacking-inside-car-dealerships/
Ο ερευνητής ασφαλείας Craig Smith παρουσίασε κατά τη διάρκεια της φετινής διοργάνωσης DerbyCon, ένα συνέδριο για την ασφάλεια και την πειρατεία, που πραγματοποιήθηκε στο Λούϊσβιλ, στο Κεντάκι Αμερικής (Louisville, Kentucky), μια ειδική συσκευή που δημιούργησε για να ελέγξει τους διαγνωστικούς εγκεφάλους αυτοκινήτων που υπάρχουν στα συνεργεία του δικτύου των επίσημων αντιπροσωπειών. Το μηχάνημα αυτό το ονόμασε ODB-GW (Ol’ Dirty Bastard Gateway). Το λογισμικό για αυτό το εργαλείο, με το όνομα Unified Diagnostic Services (UDS) Server είναι επίσης διαθέσιμο για κατέβασμα από το GitHub. Όπως εξηγεί ο Craig, η συσκευή ODB-GW δημιουργήθηκε για να λειτουργήσει ως ένα honeypot (παγίδα για hackers), κάνοντας το διαγνωστικό εγκέφαλο αυτοκινήτων να νομίζει ότι έχει συνδεθεί με ένα αυτοκίνητο. Από την άλλη πλευρά του ODB-GW, ο Craig συνδέει ένα φορητό υπολογιστή, από τον οποίο είναι πλέον σε θέση να πραγματοποιήσει βασικές δοκιμές και να εντοπίσει τις αδυναμίες στο μηχάνημα διάγνωσης αυτοκίνητων.
Η τεχνική που χρησιμοποιείται από τη συσκευή ODB-GW να βρει τρωτά σημεία λέγεται “fuzzying”, η οποία στέλνει μεγάλα τυχαία κομμάτια από δεδομένα προς το διαγνωστικό μηχάνημα αυτοκινήτων και κατόπιν βλέπει πώς αυτό το μηχάνημα αντιδρά και πότε και πώς κολλάει. Ο κ Smith λέει ότι όταν μάθει ένας κακόβουλος εισβολές ποια είναι τα τρωτά σημεία σε ένα διαγνωστικό μηχάνημα, μπορεί να δημιουργήσει κακόβουλα προγράμματα που θα είναι σε θέση να κάνουν hacking και ναμολύνουν τη συσκευή και στη συνέχεια, να χρησιμοποιήσουν το διαγνωστικό μηχάνημα για να εξαπλωθούν και σε άλλα αυτοκίνητα που τυχόν θα συνδεθούν με την συσκευή αυτή, ή ακόμα και να εξαπλωθεί μέσω του WiFi δικτύου της εμπορικής αντιπροσωπείας προς τα αυτοκίνητα που διαθέτουν WiFi και που βρίσκονται στο συνεργείο. “Ως ελεγκτής ασφαλείας σας προτείνω σίγουρα να το δοκιμάσετε, […] είναι μια μεγάλη αγορά που δεν έχει εξεταστεί», λέει ο κ Smith, αναφερόμενος στο γεγονός ότι η αυτοκινητοβιομηχανία έχει θέσει σε εφαρμογή ελάχιστες πρακτικές ασφαλείας.
Στη συνέχεια ο Κος Smith πηγαίνει ποιο βαθειά το σενάριο hacking, αναφέροντας ότι οι επιτήδειοι που θα καταφέρουν να μολύνουν τα αυτοκίνητα ή την αντιπροσωπεία με ransomware θα μπορούσαν να απαιτήσουν υπέρογκα ποσά για να ξεκλειδώσουν τα αυτοκίνητα, είτε από τον εκάστοτε ιδιοκτήτη του κάθε αυτοκινήτου, είτε από την αντιπροσωπεία αυτοκινήτων η οποία είναι υπεύθυνη για την φροντίδα και την σωστή λειτουργία τους. Ο Craig Smith είναι ο ιδρυτής του Open Garages, ο συγγραφέας του εγχειριδίου Car Hacker’s Handbook, και σήμερα διευθύνει τη δική του ανεξάρτητη εταιρεία έρευνας για την ασφάλεια, την Theia Labs.
Η παρουσίαση του Craig στο DerbyCon
https://iguru.gr/2015/10/04/51976/cars-exposed-to-hacking-inside-car-dealerships/
No comments :
Post a Comment