Az okosodó autók veszélyeire figyelmeztet az FBI
Az FBI egy figyelmeztetést adott ki az egyre több elektronikai és informatikai technológiával felvértezett gépkocsik kockázatai miatt.A gépkocsik hackelése az elmúlt években egyre inkább felkapott témává vált. Persze nem véletlenül, hiszen a biztonsági kutatók, cégek több olyan sérülékenységre derítettek már fényt, amelyek révén akár távolról is veszélyes beavatkozásokat lehet végezni a meghackelt autókon. Elég, ha csak a Charlie Miller és kutatótársai által feltárt sérülékenységekre gondolunk, amelyek révén első körben a gépkocsikon belülről, majd később már távolról is át lehetett venni az irányítást a vezérlőegységek bizonyos funkciói felett. Az egyik ilyen kísérlet alkalmával egy olyan biztonsági résre derült fény, aminek következtében az FCA-nek (Fiat Chrysler Automobiles) 1,4 millió gépkocsit kellett visszahívnia biztonsági frissítés céljából. 2015-ben egy másik eset is borzolta a kedélyeket, aminek során biztonsági kutatók egy Corvette-n akkor tudták hatástalanítani a féket, amikor az mozgásban volt.
Az FBI mostani figyelemfelhívása elsősorban még nem az önvezető gépkocsik biztonsági problémáival foglalkozik, hanem azon kockázatokra világít rá, amelyek a napjainkban is milliószámra közlekedő autókat érinthetik. A biztonsági szakma pontosan tisztában van azzal, hogy a kiberbűnözők sem hagyják figyelmen kívül a gépkocsik egyre komplexebb rendszereinek sebezhetőségeit, ezért már több szervezet is foglalkozik a kockázatok kezelésével, illetve a védelmi intézkedések koordinálásával.
Természetesen nemcsak az USA-ban ismerték fel a döntéshozók a veszélyeket, hanem például az EU is. Tavaly februárban az ENISA bejelentette, hogy egy olyan szakértői csoportot hozott létre, amely kifejezetten az okosautók és az intelligens közúti rendszerek biztonsági kockázataival foglalkozik.
A támadási vektorok
Az FBI szerint a gépkocsik központi vezérlőegységeinek a támadásokkal, jogosulatlan beavatkozásokkal szemben is ellenállónak kell lenniük. Ezek ugyanis olyan kritikus funkciókért is felelnek, mint amilyen a kormányzás, a fékezés, a gázadás, stb. Ráadásul egyre gyakoribb, hogy bizonyos rendszerek vezeték nélküli kommunikációra is képesek, ami tovább növeli a kockázati tényezők számát.
Noha az autógyártók többnyire igyekeznek határokat szabni a gépkocsik kritikus rendszereivel kiépíthető kommunikációnak mind a vezeték nélküli, mind a diagnosztikai portok tekintetében, ennek ellenére ezek mégis támadási felületet jelentenek. Jogosulatlan hozzáférést biztosíthatnak bizonyos vezérlőkhöz vagy az autók által tárolt információkhoz. Rosszabb esetben pedig jogosulatlan műveletvégrehajtásra is módot adhatnak. További kockázatot jelent, hogy a gépkocsik mind inkább együttműködnek az interneteléréssel rendelkező (akár IoT) eszközökkel, okostelefonokkal, ami szintén potenciális támadási felületet képez.
Védelmi tanácsok
A gépkocsik információbiztonságának növelése is többszereplős feladat. Egyrészt a gyártóknak kell mindent elkövetniük azért, hogy a forgalomba hozott járművek kellő mértékben ellenálljanak a kibertámadásokkal szemben, illetve megfeleljenek az adatvédelmi elvárásoknak. Ugyanakkor a gépkocsik tulajdonosai is tehetnek a kockázatok csökkentése érdekében. Az FBI szerint érdemes kerülni a nem megbízható eszközök autókhoz való csatlakoztatását, beleértve a pendrive-okat és a nem megbízható motordiagnosztikai eszközöket is. Mindezek mellett pedig egyre inkább célszerű lesz figyelemmel kísérni a gyártók közleményeit, ugyanis a jövőben egyre több olyan szoftveres frissítés érkezhet a járművekhez, amelyek a biztonsági kockázatok csökkentésében is szerephez jutnak majd.
-
Az IBM Storage Protect Serverhez biztonsági frissítések váltak letölthetővé.
-
A CyberPanel két nulladik napi biztonsági hiba miatt szorul frissítésre.
-
Az Autodesk több biztonsági rést foltozott be egyes szoftverein.
-
A QNAP egy kritikus veszélyességű hibát javított az egyik szoftverében
-
A Mozilla Firefox megkapta a legújabb biztonsági frissítéseit.
-
11 biztonsági javítás érkezett a Mozilla Thunderbirdhöz.
-
A GitLab fejlesztői két sebezhetőségről adtak hírt.
-
Az IBM Security Guardium több tucat hibajavítással gyarapodott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A HAProxy egy újonnan feltárt biztonsági hiba miatt válhat támadhatóvá.
Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba.
A Booking.com a szálláshelyeket kereső utazók egyik legfontosabb platformja, de mára egyéb szolgáltatások is elérhetővé váltak az oldalon keresztül.