bencede
New member
Otomobillerin daha fazla dijitalleştirilmesi ve ağ oluşturması ile zayıflıkların ortaya çıkması ve bunların çözülmesi beklenmektedir. Bu, Federal Bilgi Güvenliği Ofisi’nin (BSI) otomotiv endüstrisinde bilgi güvenliğine ilişkin üçüncü “Otomotiv Endüstrisi Profili”ndeki varsayımıdır. BSI, aracın güvenliğinin yanı sıra üretim, tedarik zinciri ve şarj istasyonları gibi altyapıyla ilgili konularla da ilgilenir.
Duyuru
BSI’ya göre araçlara kurulan donanım ve yazılımlar giderek daha kapsamlı ve karmaşık hale geliyor. Bu şekilde müşteriler, örneğin ödeme fonksiyonlarının araca entegre edilmesi için ek fonksiyonları etkinleştiren ücretli yazılım güncellemelerini alabiliyor. Ek uygulamalar da üçüncü taraf satıcılardan gelebilir, bu nedenle yazılım tedarik zincirleri dallara ayrılmış olabilir ve bu da yazılımdaki güvenlik açıklarının yönetilmesini zorlaştırır.
BSI aynı zamanda taşımacılık sektöründe çok sayıda açık kaynak kodunun kullanılmasında da bir sorun görüyor ve bu kodlar genellikle orijinal geliştiriciler tarafından sürekli olarak sürdürülmüyor veya daha da geliştirilmiyor. Bu alandaki “yüksek riskli güvenlik açıklarının” sayısı son yıllarda önemli ölçüde arttı. Bir saldırı vektörünün bulunmaması nedeniyle tüm güvenlik açıklarından saldırganlar tarafından yararlanılamasa bile satıcılar, açık kaynak bileşenleri de dahil olmak üzere yazılımları güvenlik açıklarına karşı kontrol etmekten sorumludur.
Klasik BT’deki gibi düzenli güvenlik güncellemeleri
BSI, klasik BT’de olduğu gibi düzenli güvenlik güncellemelerinin norm haline geleceğini söylüyor. Aracın satın alınmasından ne kadar sonra güvenlik yamalarının sunulacağı sorusu hala açık, ancak şu ana kadar bunun için yasal bir son tarih yok. BSI Volkswagen örneğini gösteriyor. Üretici, bu baharda üretimin bitiminden sonraki 15 yıl boyunca gönüllü olarak yazılım desteği sunacağını duyurdu.
Otomotiv endüstrisini de ilgilendiren bu ve güvenlikle ilgili diğer hususlar Avrupa düzeyinde giderek daha fazla düzenlenmektedir. BSI, AB Yapay Zeka Yasasını, AB Veri Yasasını, ENISA’nın Bulut Hizmetleri Planını ve Şarj İstasyonları Düzenlemesini ve ayrıca Siber Dayanıklılık Yasasını (CRA) listeler. AB Komisyonu’nun ürünlerin BT güvenliğini garanti altına almak istediği CRA, karmaşık bir düzenleyici çerçeveye açıklık getiriyor. Tanım gereği bu aynı zamanda karayolu trafiği bağlamında kullanılan ürünler için de geçerlidir. Ancak, (AB) 2019/2144’e göre tip onayı kanunu ve dolayısıyla BM yönetmeliği 155 kapsamına giren motorlu araçlar da dahil olmak üzere, AB çapındaki diğer düzenlemelerin halihazırda geçerli olduğu belirli ürün kategorileri açıkça bunun dışında tutulmuştur.
Önceki uyarılar
Duyuru
Zaten iki yıl önce BSI, ilk “Sanayi Durum Raporu”nda ağa bağlı otomobillere ve üretim tesislerine yönelik siber saldırılara karşı uyarıda bulunmuştu. O zaman bile üreticilerin kendileri ve tedarikçileri fidye yazılımı saldırılarından etkilendi. BSI ayrıca bu raporda bu tehlikelere, özellikle de hizmet olarak fidye yazılımı (RaaS) LockBit 3.0, Alphv, Black Basta ve Royal’e dikkat çekiyor. 2021 yılının sonundan bu yana Federal Ofis, yapay zeka konusu da dahil olmak üzere çeşitli projelerde otonom sürüş alanındaki teknolojik gereksinimlerle ilgileniyor.
Hızla devam eden bir diğer sorun ise güvenlik açıklarından yararlanan araç hırsızlığıdır. Radyo tuşlarının dönen kodlarıyla garanti edilen koruma, örneğin RollJam saldırısıyla aşılabilir. Uzaktan kumanda anahtarından gelen ardışık iki sinyal kaydedilir; bu sinyaller sırasında araca aktarım aynı anda radyo paraziti nedeniyle engellenir ve bu sinyaller daha sonra “henüz kullanılmamış” olarak kabul edilir. Temmuz ve Ağustos 2022’de yayınlanan RollingPwn ve RollBack saldırılarında bazı uygulamalarda araçtaki durum sayacı, daha önce kaydedilen tuş sinyallerinin tekrar oynatılmasıyla sıfırlanabiliyor. RollJam ataşmanının aksine araç herhangi bir zamanda istenildiği kadar açılabilir.
(başvuru)
Haberin Sonu
Duyuru
BSI’ya göre araçlara kurulan donanım ve yazılımlar giderek daha kapsamlı ve karmaşık hale geliyor. Bu şekilde müşteriler, örneğin ödeme fonksiyonlarının araca entegre edilmesi için ek fonksiyonları etkinleştiren ücretli yazılım güncellemelerini alabiliyor. Ek uygulamalar da üçüncü taraf satıcılardan gelebilir, bu nedenle yazılım tedarik zincirleri dallara ayrılmış olabilir ve bu da yazılımdaki güvenlik açıklarının yönetilmesini zorlaştırır.
BSI aynı zamanda taşımacılık sektöründe çok sayıda açık kaynak kodunun kullanılmasında da bir sorun görüyor ve bu kodlar genellikle orijinal geliştiriciler tarafından sürekli olarak sürdürülmüyor veya daha da geliştirilmiyor. Bu alandaki “yüksek riskli güvenlik açıklarının” sayısı son yıllarda önemli ölçüde arttı. Bir saldırı vektörünün bulunmaması nedeniyle tüm güvenlik açıklarından saldırganlar tarafından yararlanılamasa bile satıcılar, açık kaynak bileşenleri de dahil olmak üzere yazılımları güvenlik açıklarına karşı kontrol etmekten sorumludur.
Klasik BT’deki gibi düzenli güvenlik güncellemeleri
BSI, klasik BT’de olduğu gibi düzenli güvenlik güncellemelerinin norm haline geleceğini söylüyor. Aracın satın alınmasından ne kadar sonra güvenlik yamalarının sunulacağı sorusu hala açık, ancak şu ana kadar bunun için yasal bir son tarih yok. BSI Volkswagen örneğini gösteriyor. Üretici, bu baharda üretimin bitiminden sonraki 15 yıl boyunca gönüllü olarak yazılım desteği sunacağını duyurdu.
Otomotiv endüstrisini de ilgilendiren bu ve güvenlikle ilgili diğer hususlar Avrupa düzeyinde giderek daha fazla düzenlenmektedir. BSI, AB Yapay Zeka Yasasını, AB Veri Yasasını, ENISA’nın Bulut Hizmetleri Planını ve Şarj İstasyonları Düzenlemesini ve ayrıca Siber Dayanıklılık Yasasını (CRA) listeler. AB Komisyonu’nun ürünlerin BT güvenliğini garanti altına almak istediği CRA, karmaşık bir düzenleyici çerçeveye açıklık getiriyor. Tanım gereği bu aynı zamanda karayolu trafiği bağlamında kullanılan ürünler için de geçerlidir. Ancak, (AB) 2019/2144’e göre tip onayı kanunu ve dolayısıyla BM yönetmeliği 155 kapsamına giren motorlu araçlar da dahil olmak üzere, AB çapındaki diğer düzenlemelerin halihazırda geçerli olduğu belirli ürün kategorileri açıkça bunun dışında tutulmuştur.
Önceki uyarılar
Duyuru
Zaten iki yıl önce BSI, ilk “Sanayi Durum Raporu”nda ağa bağlı otomobillere ve üretim tesislerine yönelik siber saldırılara karşı uyarıda bulunmuştu. O zaman bile üreticilerin kendileri ve tedarikçileri fidye yazılımı saldırılarından etkilendi. BSI ayrıca bu raporda bu tehlikelere, özellikle de hizmet olarak fidye yazılımı (RaaS) LockBit 3.0, Alphv, Black Basta ve Royal’e dikkat çekiyor. 2021 yılının sonundan bu yana Federal Ofis, yapay zeka konusu da dahil olmak üzere çeşitli projelerde otonom sürüş alanındaki teknolojik gereksinimlerle ilgileniyor.
Hızla devam eden bir diğer sorun ise güvenlik açıklarından yararlanan araç hırsızlığıdır. Radyo tuşlarının dönen kodlarıyla garanti edilen koruma, örneğin RollJam saldırısıyla aşılabilir. Uzaktan kumanda anahtarından gelen ardışık iki sinyal kaydedilir; bu sinyaller sırasında araca aktarım aynı anda radyo paraziti nedeniyle engellenir ve bu sinyaller daha sonra “henüz kullanılmamış” olarak kabul edilir. Temmuz ve Ağustos 2022’de yayınlanan RollingPwn ve RollBack saldırılarında bazı uygulamalarda araçtaki durum sayacı, daha önce kaydedilen tuş sinyallerinin tekrar oynatılmasıyla sıfırlanabiliyor. RollJam ataşmanının aksine araç herhangi bir zamanda istenildiği kadar açılabilir.
(başvuru)
Haberin Sonu