Каждый квартал мы выбираем несколько новостей, затрагивающих тему кибербезопасности в автомобилестроении и технологиях транспорта. Эти события хорошо отражают состояние систем и практик информационной безопасности в отрасли, а также обозначают характерные слабые места. Наши эксперты разбирают каждый случай и дают рекомендации, чему уделить особое внимание при построении и совершенствовании систем ИБ в транспортной индустрии.
В этом выпуске:
Серия кибератак на корпорацию CDK Global нанесла ущерб тысячам автодилеров в Северной Америке. Атаки затронули работу почти 15 тысяч автосалонов в США и Канаде из-за остановки системы продаж, финансирования и расчетов. Несколько крупных автомобильных компаний использует системы CDK Global в своих дилерских центрах, включая Ford, General Motors и Stellantis. Специалисты считают, что корпорации может потребоваться несколько недель для полного восстановления системы.
Похожая ситуация со взломом систем цепочки поставок автомобилей недавно произошла во Флориде, США. Хакер получил доступ к системе автодилера, где фиксировались данные по транспортировке машин и, изменив адрес доставки, получил сначала роскошный Mercedes Benz GLS600 Maybach стоимостью $200 тыс., а затем Rolls-Royce Cullinan стоимостью $400 тыс., с которыми и исчез без следа.
Подобные инциденты хорошо демонстрируют, что сегодня злоумышленники переключают свое внимание со взлома автомобиля на отдельные звенья в цепочке поставок. Экосистема автомобильной промышленности включает множество участников: поставщиков электронных блоков управления (ЭБУ), программного обеспечения (ПО), чипсетов (поставщики первого и второго уровня, Tier 1, 2), автосервисы, дилеров и реселлеров. Уязвимости в используемом стороннем оборудовании или ПО создают риски ИБ для автомобилей. Это особенно опасно для поставщиков Tier 1 и Tier 2, так как уязвимости в компонентах могут стать векторами атак на автомобиль в целом.
Автосервисы также являются важными звеньями в цепочке безопасности, так как они используют диагностическое оборудование и ключи для диагностики ЭБУ, которые поставляют OEM.
Например, процедура контроля доступа к конфиденциальным функциям ЭБУ сегодня обычно реализуется в рамках сервиса с идентификатором SID 0x27 в соответствии со стандартом ISO 14229. Однако, это недостаточный механизм для надёжного и гранулированного контроля доступа. Типичной является ситуация, когда для всех ЭБУ в одной партии выдается один ключ доступа для диагностики, что создаёт риск утечки ключей на сторону. В этом случае злоумышленники могут получить возможность перепрошивать электронные блоки авто в своих целях.
Дилеры и реселлеры также становятся важными участниками системы безопасности, так как они используют онлайн-сервисы от автопроизводителей. Уязвимости в их ИТ-системах могут привести к компрометации ключей и сервисов, что представляет значительные риски в части угона или нелегальной перепрошивки блоков автомобиля.
Кибербезопасность в автомобильной индустрии существенно отстает от других отраслей, таких как финансовая или ИТ-индустрия. Например, Центр анализа и обмена информацией по автомобильной кибербезопасности Auto-ISAC (Information Sharing and Analysis Center) появился только в 2015 году, что значительно позже аналогичных центров в других секторах экономики. Для сравнения, финансовый ISAC (FS-ISAC) был основан в 1999 году, а ISAC для телекоммуникационной отрасли (Communications ISAC) — в 2000 году.
Для автопроизводителей крайне важно выстраивать процессы информационной безопасности не только на своей стороне, но и налаживать продуктивную работу по обмену информацией о киберугрозах и совершенствованию мер защиты во всей цепочке поставок.
Совершенствование подходов к кибербезопасности для игроков автомобильной индустрии (OEM, Tier 1, Tier 2) сегодня должно основываться на требованиях двух основных стандартов:
«Лаборатория Касперского» помогает автопроизводителям и другим участникам транспортной отрасли выстраивать процессы ИБ, а также разрабатывать требования к поставщикам и партнерам, опираясь на многолетний опыт в индустрии и требования вышеуказанных стандартов.
А непосредственно на уровне автомобиля мы рекомендуем использовать конструктивно безопасное ПО, адресно решающее проблемы кибербезопасности автомобилей. Например, Kaspersky Automotive Secure Gateway, совмещает функции телематического блока (TCU) и шлюза безопасности (Secure Gateway) и позволяет реализовать расширенную аутентификацию диагностических устройств с использованием наиболее современных стандартов CCC DK, SID 0x29.
В начале июля в OpenSSH, популярном наборе инструментов для дистанционного управления *nix-системами была найдена уязвимость, при помощи которой неаутентифицированный злоумышленник может выполнить произвольный код и получить root-привилегии. Уязвимость получила номер CVE-2024-6387 и собственное имя regreSSHion.
Все участники транспортной отрасли – от производства и продажи до эксплуатации и обслуживания автомобилей.
Набор утилит OpenSSH встречается почти повсеместно. В транспортной и конкретно автомобильной отрасли также есть ограниченное число примеров его использования, в том числе для функций удаленного управления автомобилем.
Следует избегать таких инструментов, как SSH, поскольку их сложно гранулированно настроить для различных сервисов. Например, общий доступ к командной строке операционной системы через SSH позволяет выполнять любые команды, что затрудняет настройку разграничения доступа.
В обычных системах, таких как Linux, права доступа регулируются на основе файлов, процессов и учетных записей пользователей. Это отличается от управления доступом в специфичных системах, таких как ЭБУ автомобилей, где важно учитывать состояние устройства или информацию о владельце авто. Из-за этого сложно настроить детальный контроль доступа и ограничить действия систем автомобиля в конкретных ситуациях.
Использование таких инструментов увеличивает риски безопасности, так как они не могут предоставить необходимый уровень контроля и защиты, особенно в сложных системах, таких как автомобильные платформы.
Мы советуем разработчикам автомобильного ПО использовать более структурированные протоколы, например, MQTT, для удаленного контроля автомобиля и сбора его телеметрии. Такие протоколы позволяют четко определить и ограничить набор команд и допустимых операций для каждого компонента системы. Авторизация доступа должна быть реализована с учётом пользователя, отправившего команду, состояния автомобиля и других контекстов.
Например, Kaspersky Automotive Secure Gateway позволяет не только реализовать базовые функции MQTT-брокера, но и бесшовно интегрировать различные электронные блоки авто, смартфон владельца, облако автопроизводителя и диагностические устройства в гибкую и защищенную сервисно-ориентированную архитектуру с гранулированным контролем доступа.
Такой подход учитывает контекст и требования конкретных доменов, таких как телеметрия и удаленный контроль автомобиля, обеспечивая более высокий уровень безопасности.
Недавний глобальный сбой, вызванный обновлением от CrowdStrike, привел к неработоспособности миллионов компьютеров по всему миру, но не затронул Southwest Airlines – одну из крупнейших авиакомпаний США. Причина в том, что она использует очень старую версию Windows 3.1.
Автопроизводители, а также поставщики первого и второго уровня.
Транспорт – отрасль, в которой компании часто используют устаревшее ПО и имеют ограниченные возможности его обновления, что связано с особенностями технологических и бизнес-процессов.
Ситуация в автомобильной промышленности очень похожа, здесь также много legacy ИТ-систем как в экосистеме вокруг автомобиля (особенно в части производства), так и в самом автомобиле. Функция обновления ПО электронных блоков по воздуху до сих пор недоступна в полном объеме для многих типов автомобилей, зачастую обновляются только один-два ЭБУ из многих (например, телематика и информационно-развлекательная система). Автопроизводители вынуждены отзывать автомобили вместо обновления их по воздуху в случае обнаружения критичных недоработок или уязвимостей.
Чтобы лучше понять вызовы, стоящие перед отраслью, достаточно изучить исторические данные об отзыве автомобилей от NHTSA (National Highway Traffic Safety Administration, США). Анализ показывает, что первый «софтверный» отзыв – отзыв, в котором в качестве корректирующего действия или описания упоминается «программное обеспечение» — произошел в 1994 году. С тех пор произошло более 1000 связанных с программным обеспечением отзывов, потенциально затрагивающих более 70 миллионов транспортных средств. В то время как автомобильное ПО участвовало всего в 5% всех отзывов с 1966 года, в последние годы оно выросло почти до 15% всех случаев отзывов в 2023 году.
Процессы кибербезопасности в отрасли пока что являются незрелыми, а это открывает дополнительные возможности для злоумышленников и существенно повышает риски стать жертвой кибератаки. Ситуация с Southwest Airlines демонстрирует насколько устаревшее ПО порой используется в транспортной индустрии. В данном случае использование старой версии ОС чудом помогло компании избежать проблемы, но это исключение из правил, ведь в обычном случае происходит ровно наоборот. Чем более устаревшее ПО используют компании, тем больше в нем потенциально уязвимых мест, так как часто эти продукты уже не поддерживаются производителями, да и в целом при их разработке многие аспекты ИБ не учитывались вовсе.
Помимо аудита ИБ и разработки рекомендаций по совершенствованию процессов, связанных с информационной безопасностью, мы также предлагаем нашим клиентам актуальную информацию о киберугрозах и инцидентах ИБ в транспортной отрасли в форме отчетов, подготовленных аналитиками информационной безопасности. Такие данные помогают выявлять существующие, возникающие и потенциальные угрозы безопасности, оценивать риски и эффективно реагировать или планировать действия по смягчению последствий инцидентов. Содержание и регулярность отчетов согласовывается с конкретным заказчиком с учетом его задач и особенностей инфраструктуры и бизнес-процессов.
Каждый квартал мы выбираем несколько новостей, затрагивающих тему кибербезопасности в автомобилестроении и технологиях транспорта. Эти события хорошо отражают состояние систем и практик информационной безопасности в отрасли, а также обозначают характерные слабые места. Наши эксперты разбирают каждый случай и дают рекомендации, чему уделить особое внимание при построении и совершенствовании систем ИБ в транспортной индустрии.
В этом выпуске:
Серия кибератак на корпорацию CDK Global нанесла ущерб тысячам автодилеров в Северной Америке. Атаки затронули работу почти 15 тысяч автосалонов в США и Канаде из-за остановки системы продаж, финансирования и расчетов. Несколько крупных автомобильных компаний использует системы CDK Global в своих дилерских центрах, включая Ford, General Motors и Stellantis. Специалисты считают, что корпорации может потребоваться несколько недель для полного восстановления системы.
Похожая ситуация со взломом систем цепочки поставок автомобилей недавно произошла во Флориде, США. Хакер получил доступ к системе автодилера, где фиксировались данные по транспортировке машин и, изменив адрес доставки, получил сначала роскошный Mercedes Benz GLS600 Maybach стоимостью $200 тыс., а затем Rolls-Royce Cullinan стоимостью $400 тыс., с которыми и исчез без следа.
Подобные инциденты хорошо демонстрируют, что сегодня злоумышленники переключают свое внимание со взлома автомобиля на отдельные звенья в цепочке поставок. Экосистема автомобильной промышленности включает множество участников: поставщиков электронных блоков управления (ЭБУ), программного обеспечения (ПО), чипсетов (поставщики первого и второго уровня, Tier 1, 2), автосервисы, дилеров и реселлеров. Уязвимости в используемом стороннем оборудовании или ПО создают риски ИБ для автомобилей. Это особенно опасно для поставщиков Tier 1 и Tier 2, так как уязвимости в компонентах могут стать векторами атак на автомобиль в целом.
Автосервисы также являются важными звеньями в цепочке безопасности, так как они используют диагностическое оборудование и ключи для диагностики ЭБУ, которые поставляют OEM.
Например, процедура контроля доступа к конфиденциальным функциям ЭБУ сегодня обычно реализуется в рамках сервиса с идентификатором SID 0x27 в соответствии со стандартом ISO 14229. Однако, это недостаточный механизм для надёжного и гранулированного контроля доступа. Типичной является ситуация, когда для всех ЭБУ в одной партии выдается один ключ доступа для диагностики, что создаёт риск утечки ключей на сторону. В этом случае злоумышленники могут получить возможность перепрошивать электронные блоки авто в своих целях.
Дилеры и реселлеры также становятся важными участниками системы безопасности, так как они используют онлайн-сервисы от автопроизводителей. Уязвимости в их ИТ-системах могут привести к компрометации ключей и сервисов, что представляет значительные риски в части угона или нелегальной перепрошивки блоков автомобиля.
Кибербезопасность в автомобильной индустрии существенно отстает от других отраслей, таких как финансовая или ИТ-индустрия. Например, Центр анализа и обмена информацией по автомобильной кибербезопасности Auto-ISAC (Information Sharing and Analysis Center) появился только в 2015 году, что значительно позже аналогичных центров в других секторах экономики. Для сравнения, финансовый ISAC (FS-ISAC) был основан в 1999 году, а ISAC для телекоммуникационной отрасли (Communications ISAC) — в 2000 году.
Для автопроизводителей крайне важно выстраивать процессы информационной безопасности не только на своей стороне, но и налаживать продуктивную работу по обмену информацией о киберугрозах и совершенствованию мер защиты во всей цепочке поставок.
Совершенствование подходов к кибербезопасности для игроков автомобильной индустрии (OEM, Tier 1, Tier 2) сегодня должно основываться на требованиях двух основных стандартов:
«Лаборатория Касперского» помогает автопроизводителям и другим участникам транспортной отрасли выстраивать процессы ИБ, а также разрабатывать требования к поставщикам и партнерам, опираясь на многолетний опыт в индустрии и требования вышеуказанных стандартов.
А непосредственно на уровне автомобиля мы рекомендуем использовать конструктивно безопасное ПО, адресно решающее проблемы кибербезопасности автомобилей. Например, Kaspersky Automotive Secure Gateway, совмещает функции телематического блока (TCU) и шлюза безопасности (Secure Gateway) и позволяет реализовать расширенную аутентификацию диагностических устройств с использованием наиболее современных стандартов CCC DK, SID 0x29.
В начале июля в OpenSSH, популярном наборе инструментов для дистанционного управления *nix-системами была найдена уязвимость, при помощи которой неаутентифицированный злоумышленник может выполнить произвольный код и получить root-привилегии. Уязвимость получила номер CVE-2024-6387 и собственное имя regreSSHion.
Все участники транспортной отрасли – от производства и продажи до эксплуатации и обслуживания автомобилей.
Набор утилит OpenSSH встречается почти повсеместно. В транспортной и конкретно автомобильной отрасли также есть ограниченное число примеров его использования, в том числе для функций удаленного управления автомобилем.
Следует избегать таких инструментов, как SSH, поскольку их сложно гранулированно настроить для различных сервисов. Например, общий доступ к командной строке операционной системы через SSH позволяет выполнять любые команды, что затрудняет настройку разграничения доступа.
В обычных системах, таких как Linux, права доступа регулируются на основе файлов, процессов и учетных записей пользователей. Это отличается от управления доступом в специфичных системах, таких как ЭБУ автомобилей, где важно учитывать состояние устройства или информацию о владельце авто. Из-за этого сложно настроить детальный контроль доступа и ограничить действия систем автомобиля в конкретных ситуациях.
Использование таких инструментов увеличивает риски безопасности, так как они не могут предоставить необходимый уровень контроля и защиты, особенно в сложных системах, таких как автомобильные платформы.
Мы советуем разработчикам автомобильного ПО использовать более структурированные протоколы, например, MQTT, для удаленного контроля автомобиля и сбора его телеметрии. Такие протоколы позволяют четко определить и ограничить набор команд и допустимых операций для каждого компонента системы. Авторизация доступа должна быть реализована с учётом пользователя, отправившего команду, состояния автомобиля и других контекстов.
Например, Kaspersky Automotive Secure Gateway позволяет не только реализовать базовые функции MQTT-брокера, но и бесшовно интегрировать различные электронные блоки авто, смартфон владельца, облако автопроизводителя и диагностические устройства в гибкую и защищенную сервисно-ориентированную архитектуру с гранулированным контролем доступа.
Такой подход учитывает контекст и требования конкретных доменов, таких как телеметрия и удаленный контроль автомобиля, обеспечивая более высокий уровень безопасности.
Недавний глобальный сбой, вызванный обновлением от CrowdStrike, привел к неработоспособности миллионов компьютеров по всему миру, но не затронул Southwest Airlines – одну из крупнейших авиакомпаний США. Причина в том, что она использует очень старую версию Windows 3.1.
Автопроизводители, а также поставщики первого и второго уровня.
Транспорт – отрасль, в которой компании часто используют устаревшее ПО и имеют ограниченные возможности его обновления, что связано с особенностями технологических и бизнес-процессов.
Ситуация в автомобильной промышленности очень похожа, здесь также много legacy ИТ-систем как в экосистеме вокруг автомобиля (особенно в части производства), так и в самом автомобиле. Функция обновления ПО электронных блоков по воздуху до сих пор недоступна в полном объеме для многих типов автомобилей, зачастую обновляются только один-два ЭБУ из многих (например, телематика и информационно-развлекательная система). Автопроизводители вынуждены отзывать автомобили вместо обновления их по воздуху в случае обнаружения критичных недоработок или уязвимостей.
Чтобы лучше понять вызовы, стоящие перед отраслью, достаточно изучить исторические данные об отзыве автомобилей от NHTSA (National Highway Traffic Safety Administration, США). Анализ показывает, что первый «софтверный» отзыв – отзыв, в котором в качестве корректирующего действия или описания упоминается «программное обеспечение» — произошел в 1994 году. С тех пор произошло более 1000 связанных с программным обеспечением отзывов, потенциально затрагивающих более 70 миллионов транспортных средств. В то время как автомобильное ПО участвовало всего в 5% всех отзывов с 1966 года, в последние годы оно выросло почти до 15% всех случаев отзывов в 2023 году.
Процессы кибербезопасности в отрасли пока что являются незрелыми, а это открывает дополнительные возможности для злоумышленников и существенно повышает риски стать жертвой кибератаки. Ситуация с Southwest Airlines демонстрирует насколько устаревшее ПО порой используется в транспортной индустрии. В данном случае использование старой версии ОС чудом помогло компании избежать проблемы, но это исключение из правил, ведь в обычном случае происходит ровно наоборот. Чем более устаревшее ПО используют компании, тем больше в нем потенциально уязвимых мест, так как часто эти продукты уже не поддерживаются производителями, да и в целом при их разработке многие аспекты ИБ не учитывались вовсе.
Помимо аудита ИБ и разработки рекомендаций по совершенствованию процессов, связанных с информационной безопасностью, мы также предлагаем нашим клиентам актуальную информацию о киберугрозах и инцидентах ИБ в транспортной отрасли в форме отчетов, подготовленных аналитиками информационной безопасности. Такие данные помогают выявлять существующие, возникающие и потенциальные угрозы безопасности, оценивать риски и эффективно реагировать или планировать действия по смягчению последствий инцидентов. Содержание и регулярность отчетов согласовывается с конкретным заказчиком с учетом его задач и особенностей инфраструктуры и бизнес-процессов.
