في معرض سافيت الذي أقيم مؤخرًا في هانوفر، قدم اثنان من المتسللين "البيض" كيفية اختراق سيارة عبارة عن مركز بيانات على عجلات وما يعنيه اختراقها بالنسبة لإنترنت الأشياء
في يوليو 2015، أظهر اثنان من الباحثين في مجال الأمن السيبراني لمراسل مجلة WIRED كيف يمكنهم التحكم عن بعد في سيارة جيب شيروكي بعد اختراق أنظمة المعلومات والترفيه في هجوم "استغلال يوم الصفر". أدى هذا إلى قيام شركة كرايسلر باستدعاء 1.4 مليون سيارة لتحديث أنظمتها الأمنية، وهو ما أدى إلى تكلفة كبيرة بالنسبة لشركة كرايسلر وأثار أيضًا خوفًا جماعيًا من عملائها.
يذهب كيفن ماهافي في مهمة تحذيرية حتى لا تتكرر القضية مرة أخرى. بصفته المؤسس والرئيس التنفيذي للتكنولوجيا لشركة Lookout لمورد برامج الأمن السيبراني، قرر Mahaffy وشريكه البحثي Mark Rogers من CloudFlare معرفة ما إذا كان من الممكن اختراق سيارة جيب شيروكي فقط. في أغسطس/آب 2015، فعلوا ذلك على سيارة تيسلا موديل S من أجل شرح قضية رئيسية في أمن أجهزة إنترنت الأشياء (IOT) في مؤتمر CeBIT في هانوفر، ألمانيا. في الأسبوع الماضي، قال محافي: "من بين جميع الأجهزة المتصلة بالإنترنت، السيارات، اخترنا الموديل S لسبب واحد: هندسته المعمارية جديدة تمامًا؛ ليس لديها إرث. وبالإضافة إلى ذلك، فهو أرخص من السيارة، فهو عبارة عن مركز بيانات على عجلات. "
يشرح كيفن ماهافي، المدير التنفيذي للتكنولوجيا في شركة Lookout للأمن عبر الإنترنت، كيف اخترق سيارة Tesla Model S. وقال ماهافي: "كانت فرضيتنا هي أن Tesla تستخدم الكثير من المعايير في السيارة". "لهذا السبب اعتقدنا أنه قيل إنه على الرغم من أننا بذلنا قصارى جهدنا لاختراقه، إلا أننا لم ننجح لأنهم قاموا بعمل جيد."
كما اتضح فيما بعد، كانت شركة Tesla تفعل العديد من الأشياء بشكل صحيح من منظور أمن تكنولوجيا المعلومات، ولكن ليس بما فيه الكفاية. تمكن الثنائي من الوصول إلى مجموعة متنوعة من أنظمة المعلومات المحوسبة في السيارة، وفي النهاية دفع الاثنان تسلا إلى تحديث البرنامج المضمن في الطراز S.
وبعد أن أبلغ ماهافي وروجرز شركة تسلا بنقاط الضعف لديهما، قامت الشركة بسرعة بإنشاء تحديثات البرامج، والتي تم إرسالها عبر السحابة إلى جميع مركبات الطراز S كما لو كانت عملية روتينية. لم يُطلب من العملاء إحضار سياراتهم إلى الكراجات، ولم تضطر تسلا إلى إنفاق الوقت والمال على الخدمة، ولم تكن هناك تداعيات خطيرة على العلاقات العامة من هذا الحدث.
تم تضمين ثلاثة خوادم منفصلة في سيارة Tesla Model S. تعمل مجموعة الأدوات (IC) وشاشة عرض المعلومات المركزية (CID) على تشغيل Linux؛ ويتم تشغيل أجهزة الكمبيوتر بواسطة نظام التشغيل FreeRTOS في الوقت الفعلي. وهذا يعني أنهم جميعا يعملون باستخدام المصدر المفتوح. الصورة مجاملة من تيسلا موتورز.
قال ماهافي إن هناك ثلاثة دروس أساسية يمكن تعلمها من اختراق Tesla Model S. تنطبق هذه الدروس على أنظمة تكنولوجيا المعلومات بشكل عام، ولكن بشكل خاص على أنظمة إنترنت الأشياء التي أصبحت أكثر شيوعًا حول العالم. تعتبر هذه الدروس ذات أهمية حيوية لأن الصناعات التي تعمل على تطوير "أشياء" إنترنت الأشياء ليس لها تاريخ في مجال تكنولوجيا المعلومات أو الأمن عبر الإنترنت. "من الأسهل هندسة [الأمن] في بداية التطوير ومن ثم لن تكون هناك حاجة لإضافة تصحيحات.
الدرس 1: إنشاء عملية تحديث قوية
تتطلب أجهزة الكمبيوتر تحديثات بشكل منتظم. يفهم مقدمو تكنولوجيا المعلومات وعملاؤهم ذلك؛ لقد أنشأوا آليات معمول بها لترقية البرامج. أجهزة إنترنت الأشياء ليست محصنة ضد الحاجة إلى تحديثات البرامج، ولكن النظام البيئي لترقية البرامج ليس مركزيًا أو آمنًا أو منظمًا بشكل عام.
وأصر مهافي في عرضه على ضرورة هندسة الإصلاحات وعدم إضافتها فوق النظام. وقال "تحديثات البرامج يجب أن يتم توزيعها بشكل متكرر، ويجب أن تكون مجانية للمستخدم النهائي... وتتطلب نقرة واحدة أو نقرتين على الأكثر لتنشيطها". يتجاهل المستهلكون عمومًا تحديثات البرامج إذا كانت معقدة وتستغرق وقتًا طويلاً.
الدرس الثاني: إنشاء نظام مقاوم للأمان
الأمن كان قضية مركزية في جلسات مؤتمر سيفيت.. سياسي شارك في إحدى الاجتماعات. جان فيليب ألبريشت، عضو البرلمان الأوروبي عن شمال ألمانيا عن حزب الخضر، ومنتقد لاذع لقضايا الخصوصية الرقمية. وهو يدعو إلى دور قوي للحكومة في وضع معايير أمنية لإنترنت الأشياء.
وقال: "قبل تطوير أنظمة إنترنت الأشياء، نحتاج إلى ضمان بنية تحتية للأمن والخصوصية في تصميم هذه المنتجات". "ولتحقيق ذلك نحتاج إلى أن يقوم المنظمون بالعمل أولا."
"يجب على الشركات التي تمارس أعمالاً تجارية في أوروبا أن تلتزم بالقواعد. أوروبا لديها المعيار الذهبي لحماية البيانات. يجب على جميع الشركات المصنعة أن تفترض أن أجهزتها ستتعرض للهجوم عاجلاً أم آجلاً. يتعين على معظم الوافدين الجدد إجراء هندسة إلى درجة جعل الجهاز محصنًا لمنع الهجوم مسبقًا. وقال مهافي: "اليوم هناك جدران كبيرة من الخارج ولا شيء يحمي من الداخل".
ولمساعدة الشركات المصنعة على فهم أهمية ما يسميه التصميم المرن، يقدم ماهافي استعارة للجسم البشري. الجلد ما هو إلا خط المقاومة الأول ضد الأمراض؛ هناك نظام كبير في الجسم، ولكل جزء منه طريقته الخاصة في التعامل مع الالتهابات. يجب تحقيق أمان إنترنت الأشياء على أساس نظامي وليس من خلال الثقة في أن الواجهة الخارجية غير قابلة للاختراق. وقال ماهافي: "الثقة الكاملة ستؤدي إلى كسر حماية الجهاز بالكامل". يجب علينا إنشاء أجهزة استشعار تراقب عمليات نقل البيانات بين الأنظمة لتتبع ما يحدث في حالة حدوث اختراق.
الدرس 3: عزل المكونات الهامة
العودة إلى الجسد كناية عن إنترنت الأشياء. وأشار ماهافي إلى أن النظام الأكثر أهمية، وهو الدماغ، لديه طبقة أمان خاصة به - الحاجز الدموي الدماغي. يحتاج مصنعو السيارات ومصنعو الأجهزة الأخرى المتصلة بالإنترنت إلى إنشاء حاجز دموي دماغي خاص بهم حول بوابة النظام. مثال على إحدى الصناعات التي تطبق ذلك هي صناعة الطيران.
قال ماهافي: "لا يستطيع V-Wi-Fi التحدث إلى الطيار الآلي". “يجب ألا تكون مكابحك قادرة على التحدث إلى متصفح الويب؛ والأهم من ذلك، يجب ألا يتمكن متصفح الويب الخاص بك من التحدث إلى مكابحك. "
بوابة الجهاز هي الجزء الأكثر أهمية في النظام، وسوف تتمتع بأقوى حماية. وأشار ماهافي إلى أنه لا يمكنك الاعتماد فقط على جدار كبير، لكن الجدار الكبير يعد بداية جيدة.
تعليقات 9
داني
وهذا صحيح – ولكنه ليس كافياً. لدي سيارة جيب شيروكي، وقد أرسلوا لي تحديثًا للبرنامج عبر البريد. لقد كان قرصًا صغيرًا يحتوي على مفتاح يحتوي على تحديث إصدار للوسائد الهوائية. لقد تحققت عبر الهاتف مع الشركة من أن هذا هو الشيء الذي أرسلوه بالفعل.
ولا تنس - ستذهب إلى المرآب وهناك ستعرف.... في هذه السيارة لا يمكنك حتى استبدال مصباح الشارع بنفسك.
كانت تيسلا محظوظة جدًا لأن المتسللين لم يكونوا متطورين بما فيه الكفاية ولم يرغبوا حقًا في إحداث أي ضرر. لأن أولئك الذين أرادوا إلحاق الضرر سيقتحمون خوادم تسلا (وليس سيارة واحدة) ويصدرون تحديثًا لجميع السيارات الذي يربط أيضًا جميع السيارات بهم ويفصلهم عن خوادم تسلا حتى لا تتمكن تسلا حتى من إرسال تحديث حتى بعد العثور على الخرق وإصلاحه.
تحديث البرامج للسيارة وأي جهاز مهم آخر يجب أن يكون من خلال جهاز فعلي فقط!!
كل شيء متصل بالشبكة هو نقطة قابلة للاختراق.
إذا لم يتعلموا ذلك من هذه الحالة، فسوف يتعلمونه لاحقًا بالطريقة الصعبة ...
اليوم يمكن اختراق كل شيء، وهذا ما يبدو لي. الأمن لا يزال يكلف ثروة.
حياة
من حيث المبدأ، فهو موجود اليوم. وتسلا لا تحتاج إلى أي جراج على مسافة 10,000 كم 🙂
المعجزات
لن يمر وقت طويل قبل أن تركب سيارة لا تحتوي على عجلة قيادة. تخبر الكمبيوتر بالمكان الذي تريد الذهاب إليه أو تكتب خطة عمل لذلك. علاوة على ذلك، عندما تصل السيارة إلى مسافة 10,000 كيلومتر، فإنها ستقود نفسها إلى المرآب.
رونين
دعني أخبرك بالجانب الآخر. لدي جيب شيروكي مثل هذا. بالإضافة إلى حقيقة أن قيادة هذه السيارة ممتعة وسهلة، فهي آمنة بشكل مدهش. فهو يحافظ على مسافة من تلقاء نفسه ويقوم بالفرملة بشكل مستقل عندما تقوم سيارة أمامك بالفرملة أو عندما يقطعك شخص ما. يحافظ على المسار ويدير عجلة القيادة عندما تغادر المسار. ويحذرك عند وجود مركبة في المنطقة الميتة. وإذا ضغطت على الزر الأيمن - فإنه يركن نفسه أيضًا...
الراحة والأمان يأتيان بسعر معقد. بشكل عام - أعتقد أن المزايا تفوق العيوب.
على الرغم من أنني أحب التقدم، إلا أنني أعتقد أحيانًا أن البساطة تفوز.
سمعت قصة من مرشد الجيب عن سيارة جيب قيمتها نصف مليون شيكل علقت أثناء رحلة إلى الأردن على أحد الكثبان الرملية. لقد انسكب بعض الزيت على بعض الدوائر الكهربائية واضطررنا إلى سحب السيارة إلى إسرائيل إلى المرآب المركزي لأنه هناك فقط يمكن تشغيلها.
في سيارة قديمة لم يكن هذا ليحدث..
كنت في محاضرة عن "إنترنت الأشياء" في مؤتمر كبير لأمن المعلومات في إسرائيل.
استنتاجي لا لبس فيه: لن يقوم أحد بتأمين الأجهزة بشكل صحيح وهذا يكاد يكون مستحيلاً.
خاصة عندما يتعلق الأمر بالأجهزة الموجودة في المنزل والتي تتصل بأجهزة أخرى، فإن عدد سيناريوهات الاختراق كبير.
علاوة على ذلك، ما هي الشركة المصنعة التي ستستثمر في تحديث المشكلات الأمنية في منتج عمره 5 أو 10 سنوات؟
أو بالأحرى سيارة: الثلاجة والميكروويف والغلاية والفرن وغيرها من الأجهزة المنزلية.
ستتوقف الشركات المصنعة عن التحديث في مرحلة ما وستعرض شراء منتج جديد وأكثر أمانًا أيضًا كترويج للمبيعات.
أشك في أن أي شخص سوف يتخلص من غلاية أو غسالة تعمل بشكل صحيح بسبب مشاكل أمنية.
إنها لحقيقة أن العديد من الأشخاص ما زالوا يعملون مع نظام التشغيل Windows XP.