כיצד להתגונן מפני סיכוני סייבר בתחום הרכב?
בשנים האחרונות חדירתן של אפליקציות ופתרונות IoT (האינטרנט של הדברים) לעולם הרכב הביאו עימן מצד אחד את בשורת הקישוריות והרכב האוטונומי, ומצד שני גבר הסיכון לפריצה והתקפות סייבר
הגנה לישראל
| 27/02/2023
גיא חורש | קרדיט צילום: בינת
לצד השתכללות כלי הרכב, עלה הסיכון להתקפות סייבר נגד מכוניות. מהן החולשות הנפוצות ביותר בתחום ומה צריכה לכלול גישת האבטחה נגדן?
בחודש שעבר האקר הצליח לפרוץ בקלות לעמדות הטעינה החשמליות של חברת Electrify America האמריקאית. הפריצה בוצעה על ידי שימוש במערכת ההפעלה Windows 10 ותוכנת השליטה מרחוק TeamViewer.
ההאקר, שרצה להפנות את תשומת הלב לקלות בה ניתן לפרוץ למכשירים, שינה את הלוגו ואת מערכת הניווט של עמדת הטעינה לזה של טסלה. זוהי רק דוגמה אחת מני רבות לפריצות שבוצעו בשנה האחרונה לכלי רכב חשמליים ולעמדות טעינה.
עד לפני מספר שנים פריצות סייבר לכלי רכב לא היה נושא שהטריד מאוד את מנהלי חברות הרכב, אנשי אבטחת הסייבר או הציבור, ורוב אמצעי האלקטרוניקה וההגנה בכלי הרכב תוכננו להגנה מפני גניבתם או בכדי לסייע לנהגים להגיע בשלום ליעד.
בשנים האחרונות חדירתן של אפליקציות וה-IoT (האינטרנט של הדברים) לעולם הרכב הביאו עימן מצד אחד את בשורת הקישוריות והרכב האוטונומי, ומצד שני גבר הסיכון לפריצה והתקפות סייבר. נקודות תורפה אלו יכולות להיות מנוצלות על ידי תוקפים כדי להשיג שליטה על מערכות המכונית, והן עלולות להוביל להשבתה של כלי רכב, להפסדים כספיים לחברות ייצור כלי רכב, וחמור מכך - לסיכון של בטיחות הנוסעים ושאר משתמשי הדרך.
אבטחת סייבר לרכב מגנה על המערכות האלקטרוניות שלו, כגון יחידת בקרת המנוע ומערכת המידע והבידור, מפני גישה לא מורשית והתקפות זדוניות, וכוללת גם אמצעים למניעת פריצה, פרצות מידע וצורות אחרות של פשיעה סייבר. בנוסף, עבור כלי רכב אוטונומיים, אבטחת נתוני החיישנים ואלגוריתמי קבלת החלטות הינה בעלת חשיבות עליונה. בטיחות הרכב תלויה בדיוק של גורמים אלו, ותוכנת הרכב חייבת להיות מסוגלת לזהות ולהגיב לכל אירוע בזמן אמת.
השימוש הגובר במכוניות אוטונומיות ובמערכות מתקדמות לסיוע לנהג (ADAS - Advanced Driver Assistance Systems) מהווה גם נקודת חולשה. מכוניות אוטונומיות מסתמכות על חיישנים ומצלמות כדי לנווט ולקבל החלטות, ואם חיישנים ומצלמות אלו נפגעים, תוקף יכול להשתלט על המכונית או לגרום לה לתקלה. גם מערכות ADAS, כמו אזהרות סטייה מנתיב ובלימת חירום אוטומטית, עלולות להיפגע מפרצות אבטחה, מה שמסכן את בטיחות הנוסעים ושאר משתמשי הדרך.
מהן הפגיעיות הנפוצות ביותר באבטחת סייבר של מכוניות?
שימוש בלתי מורשה במערכת Remote Keyless (RKS), המאפשר כניסה למכונית והתנעתה ללא מפתח באמצעות שלט מפתח אלחוטי. בחודש שעבר, למשל, דיווחה חברת רנו כי חוקר אבטחה זיהה פגיעות בשם CVE-2022-38766, המשפיעה על מערכת נטולת מפתח מרחוק ברכבי רנו מדגם ZOE 2021.
ניצול רשתות משולבות בכלי רכב - למכוניות יש מספר יחידות בקרה אלקטרוניות (ECU - Electronic Control Unit), השולטות במערכות שונות כגון מנוע, בלמים וניווט. ECUs אלה מחוברים זה לזה באמצעות רשת ה-Controller Area Network (CAN). רשת זו אחראית על העברת נתוני חיישנים ופקודות בקרה בין ה-ECU השונים. רשת זו אינה מאובטחת, ותוקף יכול להשתלט על מערכות המכונית על ידי הזרקת קוד זדוני לאפיק ה-CAN.
שימוש בטכנולוגיות אלחוטיות כמו בלוטות' ו-WiFi - טכנולוגיות אלו מאפשרות למכוניות להתחבר לאינטרנט ולמכשירים אחרים, כגון טלפונים חכמים. עם זאת, חיבורים אלחוטיים אלו יכולים להיות מנוצלים גם על ידי תוקפים, שיכולים לקבל גישה למערכות המכונית על ידי יירוט התקשורת האלחוטית.
שימוש ביישומים ושירותים של צד שלישי, כגון אפליקציות ניווט ומערכות התנעה מרחוק - אפליקציות ושירותים אלו מסתמכים לרוב על האינטרנט כדי לתפקד, ואם הם אינם מאובטחים כראוי, תוקף יכול לקבל גישה למערכות המכונית על ידי ניצול נקודות תורפה באפליקציות או בשירותים.
אז מה עושים? כדי לצמצם את הפגיעויות הללו, יצרניות רכב וחברות טכנולוגיה צריכות לאמץ גישה מקיפה לאבטחה הכוללת פיתוח מאובטח, עיצוב מאובטח ועדכוני אבטחה שוטפים.
פיתוח התוכנה המשמשת בכלי הרכב מתוך מחשבה על אבטחה, כשהיא מתעדכנת באופן שוטף כדי לתקן כל פגיעות שעלולה להתגלות.
הטמעת עקרונות אבטחה לפי עיצוב בפיתוח מערכות רכב, כולל פרוטוקולי תקשורת מאובטחים, מנגנוני אתחול מאובטחים ועדכונים מאובטחים.
פיתוח מאובטח על ידי שימוש בשיטות קידוד מאובטחות, הטמעת מנגנוני הצפנה ואימות וביצוע בדיקות אבטחה ובדיקות חדירה קבועות.
עדכוני אבטחה שוטפים על ידי הטמעת מנגנון עדכון דרך האוויר (OTA) לתיקון נקודות תורפה ולשיפור האבטחה.
שימוש בהצפנה להגנה על נתונים המועברים בין מערכות הרכב ובין הרכב להתקנים חיצוניים.
הטמעת מערכות אבטחה (כמו חומות אש) במערכות הרכב.
אימות ובקרת גישה לרכב כך שרק משתמשים מורשים והתקנים יכולים לגשת למערכות הרכב.
אבטחת מערכות הרכב מפני חבלה או תקיפה פיזית.
תעשיית הרכב מתפתחת כל הזמן ופגיעות חדשות מתגלות באופן קבוע. עלינו להיערך לעתיד, וכדי לצמצם פגיעויות, יצרני רכב וחברות טכנולוגיה צריכות לאמץ כבר עכשיו גישה מקיפה לאבטחה הכוללת.
הכותב הוא מהנדס פריסייל בחטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים.
בשנים האחרונות חדירתן של אפליקציות ופתרונות IoT (האינטרנט של הדברים) לעולם הרכב הביאו עימן מצד אחד את בשורת הקישוריות והרכב האוטונומי, ומצד שני גבר הסיכון לפריצה והתקפות סייבר
גיא חורש | קרדיט צילום: בינת
לצד השתכללות כלי הרכב, עלה הסיכון להתקפות סייבר נגד מכוניות. מהן החולשות הנפוצות ביותר בתחום ומה צריכה לכלול גישת האבטחה נגדן?
בחודש שעבר האקר הצליח לפרוץ בקלות לעמדות הטעינה החשמליות של חברת Electrify America האמריקאית. הפריצה בוצעה על ידי שימוש במערכת ההפעלה Windows 10 ותוכנת השליטה מרחוק TeamViewer.
ההאקר, שרצה להפנות את תשומת הלב לקלות בה ניתן לפרוץ למכשירים, שינה את הלוגו ואת מערכת הניווט של עמדת הטעינה לזה של טסלה. זוהי רק דוגמה אחת מני רבות לפריצות שבוצעו בשנה האחרונה לכלי רכב חשמליים ולעמדות טעינה.
עד לפני מספר שנים פריצות סייבר לכלי רכב לא היה נושא שהטריד מאוד את מנהלי חברות הרכב, אנשי אבטחת הסייבר או הציבור, ורוב אמצעי האלקטרוניקה וההגנה בכלי הרכב תוכננו להגנה מפני גניבתם או בכדי לסייע לנהגים להגיע בשלום ליעד.
בשנים האחרונות חדירתן של אפליקציות וה-IoT (האינטרנט של הדברים) לעולם הרכב הביאו עימן מצד אחד את בשורת הקישוריות והרכב האוטונומי, ומצד שני גבר הסיכון לפריצה והתקפות סייבר. נקודות תורפה אלו יכולות להיות מנוצלות על ידי תוקפים כדי להשיג שליטה על מערכות המכונית, והן עלולות להוביל להשבתה של כלי רכב, להפסדים כספיים לחברות ייצור כלי רכב, וחמור מכך - לסיכון של בטיחות הנוסעים ושאר משתמשי הדרך.
אבטחת סייבר לרכב מגנה על המערכות האלקטרוניות שלו, כגון יחידת בקרת המנוע ומערכת המידע והבידור, מפני גישה לא מורשית והתקפות זדוניות, וכוללת גם אמצעים למניעת פריצה, פרצות מידע וצורות אחרות של פשיעה סייבר. בנוסף, עבור כלי רכב אוטונומיים, אבטחת נתוני החיישנים ואלגוריתמי קבלת החלטות הינה בעלת חשיבות עליונה. בטיחות הרכב תלויה בדיוק של גורמים אלו, ותוכנת הרכב חייבת להיות מסוגלת לזהות ולהגיב לכל אירוע בזמן אמת.
השימוש הגובר במכוניות אוטונומיות ובמערכות מתקדמות לסיוע לנהג (ADAS - Advanced Driver Assistance Systems) מהווה גם נקודת חולשה. מכוניות אוטונומיות מסתמכות על חיישנים ומצלמות כדי לנווט ולקבל החלטות, ואם חיישנים ומצלמות אלו נפגעים, תוקף יכול להשתלט על המכונית או לגרום לה לתקלה. גם מערכות ADAS, כמו אזהרות סטייה מנתיב ובלימת חירום אוטומטית, עלולות להיפגע מפרצות אבטחה, מה שמסכן את בטיחות הנוסעים ושאר משתמשי הדרך.
מהן הפגיעיות הנפוצות ביותר באבטחת סייבר של מכוניות?
שימוש בלתי מורשה במערכת Remote Keyless (RKS), המאפשר כניסה למכונית והתנעתה ללא מפתח באמצעות שלט מפתח אלחוטי. בחודש שעבר, למשל, דיווחה חברת רנו כי חוקר אבטחה זיהה פגיעות בשם CVE-2022-38766, המשפיעה על מערכת נטולת מפתח מרחוק ברכבי רנו מדגם ZOE 2021.
ניצול רשתות משולבות בכלי רכב - למכוניות יש מספר יחידות בקרה אלקטרוניות (ECU - Electronic Control Unit), השולטות במערכות שונות כגון מנוע, בלמים וניווט. ECUs אלה מחוברים זה לזה באמצעות רשת ה-Controller Area Network (CAN). רשת זו אחראית על העברת נתוני חיישנים ופקודות בקרה בין ה-ECU השונים. רשת זו אינה מאובטחת, ותוקף יכול להשתלט על מערכות המכונית על ידי הזרקת קוד זדוני לאפיק ה-CAN.
שימוש בטכנולוגיות אלחוטיות כמו בלוטות' ו-WiFi - טכנולוגיות אלו מאפשרות למכוניות להתחבר לאינטרנט ולמכשירים אחרים, כגון טלפונים חכמים. עם זאת, חיבורים אלחוטיים אלו יכולים להיות מנוצלים גם על ידי תוקפים, שיכולים לקבל גישה למערכות המכונית על ידי יירוט התקשורת האלחוטית.
שימוש ביישומים ושירותים של צד שלישי, כגון אפליקציות ניווט ומערכות התנעה מרחוק - אפליקציות ושירותים אלו מסתמכים לרוב על האינטרנט כדי לתפקד, ואם הם אינם מאובטחים כראוי, תוקף יכול לקבל גישה למערכות המכונית על ידי ניצול נקודות תורפה באפליקציות או בשירותים.
אז מה עושים? כדי לצמצם את הפגיעויות הללו, יצרניות רכב וחברות טכנולוגיה צריכות לאמץ גישה מקיפה לאבטחה הכוללת פיתוח מאובטח, עיצוב מאובטח ועדכוני אבטחה שוטפים.
פיתוח התוכנה המשמשת בכלי הרכב מתוך מחשבה על אבטחה, כשהיא מתעדכנת באופן שוטף כדי לתקן כל פגיעות שעלולה להתגלות.
הטמעת עקרונות אבטחה לפי עיצוב בפיתוח מערכות רכב, כולל פרוטוקולי תקשורת מאובטחים, מנגנוני אתחול מאובטחים ועדכונים מאובטחים.
פיתוח מאובטח על ידי שימוש בשיטות קידוד מאובטחות, הטמעת מנגנוני הצפנה ואימות וביצוע בדיקות אבטחה ובדיקות חדירה קבועות.
עדכוני אבטחה שוטפים על ידי הטמעת מנגנון עדכון דרך האוויר (OTA) לתיקון נקודות תורפה ולשיפור האבטחה.
שימוש בהצפנה להגנה על נתונים המועברים בין מערכות הרכב ובין הרכב להתקנים חיצוניים.
הטמעת מערכות אבטחה (כמו חומות אש) במערכות הרכב.
אימות ובקרת גישה לרכב כך שרק משתמשים מורשים והתקנים יכולים לגשת למערכות הרכב.
אבטחת מערכות הרכב מפני חבלה או תקיפה פיזית.
תעשיית הרכב מתפתחת כל הזמן ופגיעות חדשות מתגלות באופן קבוע. עלינו להיערך לעתיד, וכדי לצמצם פגיעויות, יצרני רכב וחברות טכנולוגיה צריכות לאמץ כבר עכשיו גישה מקיפה לאבטחה הכוללת.
הכותב הוא מהנדס פריסייל בחטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים.
