Marten Mickos, HackerOne | CUBE Conversation, April 2020
Hakkerit voisivat käyttää haavoittuvia latausasemia estääkseen latauksen sähköautoja tietylle alueelle tai mahdollisesti jopa käyttää haavoittuvuuksia sähköverkon lohkaisemiseen, turvallisuustutkija sanoi torstaina Amsterdamissa järjestetyn Box-konferenssin Hackissa.
Vaikka sähköautot ja EV-latausjärjestelmät ovat edelleen lapsuudestaan lähtien heistä voisi tulla yleisempi tapa matkustaa seuraavien 10 vuoden aikana. Jos näin tapahtuu, on tärkeää, että latausjärjestelmät, jotka ovat avautuneet kaupungeissa ympäri maailmaa, ovat turvallisia estääkseen hyökkääjät pääsemästä niihin ja karkaamaan heitä, sanoo HP ArcSightin tuotepäällikön turvallisuusratkaisuja Ofer Shezaf.
"Pohjimmiltaan latausasema on tietokone kadulla", Shezaf sanoi. "Se ei ole vain tietokone kadulla, vaan se on myös verkko kadulla."
Käyttäjät haluavat autojen veloittaa mahdollisimman nopeasti, mutta kaikkia sähköautoja ei voida veloittaa kerralla, koska maksujen tarjoajat asemien on otettava paikallisen ja alueellisen piirikapasiteetin mielessä, sanoi Shezaf. "Siksi tarvitsemme älykkään latauksen", hän sanoi.
Mutta älykkään latausjärjestelmän asentaminen edellyttää, että kadun latausasemat on yhdistettävä, joten energiaa jaetaan siten, että sähköverkot eivät ylikuormita, hän sanoi. Mutta latausasemien ollessa kytkettynä useita latausasemia voidaan käyttää väärin, jos hakkeri voi käyttää niitä, Shezaf sanoi.
Helpoin tapa on fyysisesti käyttää latausasemaa. "Kadulla on järjestelmiä, ja tietokone on hyvin helppokäyttöinen", Shezaf sanoi. "Kun pääset laitteeseen, käänteinen suunnittelu on todella paljon helpompaa kuin luulette."
Hakkerit voisivat erottaa järjestelmät komponenttien määrittelemiseksi ja analysoida ja debugata laiteohjelmistoa, hän sanoi. Tällä tavoin he voivat kohdistaa käteviä salakuuntelupisteitä ja saada salausavainta, Shezaf sanoi, joka lisäsi, että hän perusteli tutkimustyötään julkisista lähteistä ja useimmiten toimittajien verkkosivustoista.
Latausasemia voidaan konfiguroida avaamalla ne asettavat manuaalisen sähköisen DIP-kytkimen konfiguraatiotilaan, yhdistävät Ethernet-ristikekaapelin ja sytyttävät selaimen päästäkseen konfiguraatioympäristöön, hän sanoi. Vähintään yhden tyyppisen latausaseman tällainen käyttö ei edellytä todentamista, Shezaf havaitsi. "Sinä lähdet ja avaat laatikon avaimella, ja se on viimeinen turvatoimenpide, jonka täytit", hän sanoi.
Jotkut latausasemat ovat myös kytkettyjä RS-485-lähiverkkoviestintäverkkoihin, joita käytetään edulliseen paikalliseen verkkoon, Shezaf sanoi.
Ja vaikka kaikki riippuu sovelluksesta, kaistanleveys ja latenssirajat RS-485 -verkoissa tekevät salakuuntelusta ja man-to-band-leveydestä, keskellä hyökkäyksiä yksinkertaisesti Shezafin mukaan, joka kuvaili useita muita mahdollisia haavoittuvuuksia esityksensä aikana.
Käyttämällä näitä menetelmiä hakkereita voisi alkaa vaikuttaa maksujen suunnitteluun tai vaikutusmahdollisuuksiin ja lopettaa maksut, hän sanoi. Jos mikään sähköauto ei lataudu päivälle, jolloin 30 prosenttia kaikista maan autoista on sähköisiä, tämä voi muuttua ongelmalliseksi, hän sanoi. "Jos joku voi estää lataamisen kaikille pienellä alueella, sinulla on suuri vaikutus elämään. Suuremmalla alueella saattaa olla todella suuri ongelma, Shezaf sanoi.
"Jos joku löytää keinon hämmentää älyauton latausjärjestelmää, palvelun kieltäminen ei voi vain osua latausautoihin vaan myös sähköjärjestelmään", hän sanoi.
Vaikka riskit voivat olla pieniä tänään, on aika aloittaa varmistaen latausjärjestelmät, Shezaf sanoi. Maksusektorilla olisi oltava enemmän standardointia, mieluiten avoimia standardeja käyttäen, hän sanoi. Mutta periaatteessa "meidän on vain kiinnitettävä enemmän huomiota ja käytettävä enemmän rahaa", hän sanoi ja lisäsi, että tällä hetkellä liian vähän kummallakin tapahtuu.
"Emme saa olla rentoutumassa nyt. Asiat tulevat todellisiksi, kun sähköautot tulevat todellisiksi. Jos emme aloita tänään, se ei ole turvallinen kymmenessä vuodessa, hän sanoi.
Facebookin puhelinkyselyä voidaan käyttää väärin ihmisten lukumäärän löytämiseksi, tutkijat sanovat
Hyökkääjät voivat väärinkäyttää Facebookin puhelinsovellusominaisuutta löytääksesi pätevän puhelinnumeroita ja omistajien nimeä, turvallisuustutkijoiden mukaan.
Tutkija: Hakkerit voivat aiheuttaa liikenneruuhkia manipuloimalla reaaliaikaisia liikennetietoja
Hakkerit voivat vaikuttaa reaaliaikaiseen liikennevirtaan -analyysijärjestelmät, jotka auttavat ihmisiä ajautumaan liikenneruuhkiin tai pitämään tiet näkyvissä alueilla, joissa monet ihmiset käyttävät Google- tai Waze-navigointijärjestelmiä, saksalainen tutkija, joka on osoittanut BlackHat Europen.
Matemaattinen syötepaneeli käyttää matematiikan tunnistinta, joka on rakennettu Windows 7: een tunnistamaan käsinkirjoitetut matemaattiset lausekkeet. Sen jälkeen voit helposti käyttää sitä tekstinkäsittelyohjelmilla tai laskentataulukoilla. Matemaattinen syöttölaite on suunniteltu käytettäväksi tablet-kynällä Tablet PC: ssä, mutta voit käyttää sitä millä tahansa syöttölaitteella, kuten kosketusnäytöllä tai jopa hiirellä.
Matemaattinen syöttölaite käyttää Windowsissa sisäänrakennettua matemaattisen tunnistimen 7 tunnistamaan käsinkirjoitetut matemaattiset lausekkeet. Sen jälkeen voit helposti käyttää sitä tekstinkäsittelyohjelmilla tai laskentataulukoilla.