نحن لا نمزح عندما نتحدث عن السيارات كمراكز كمبيوتر ضخمة لتوليد البيانات الضخمة على عجلات. إذا ذهبت إلى Glassdoor، فهناك سؤال في المقابلة، "كم عدد سطور التعليمات البرمجية الموجودة في Tesla؟"
لست متأكدًا تمامًا، ولكن حتى قبل عقد من الزمان، احتوت السيارات المتميزة على 100 وحدة تحكم إلكترونية تعتمد على المعالجات الدقيقة microprocessor-based electronic control units (ECUs)، والتي نفذت بشكل جماعي أكثر من 100 مليون سطر من التعليمات البرمجية. ثم هناك تقنيات المعلومات، وبرامج مساعدة السائق، ونظام المعلومات والترفيه، على سبيل المثال لا الحصر بعض المكونات الأخرى التي تتطلب كودا أو تعليمات برمجية Code.
لست متأكدًا تمامًا، ولكن حتى قبل عقد من الزمان، احتوت السيارات المتميزة على 100 وحدة تحكم إلكترونية تعتمد على المعالجات الدقيقة microprocessor-based electronic control units (ECUs)، والتي نفذت بشكل جماعي أكثر من 100 مليون سطر من التعليمات البرمجية. ثم هناك تقنيات المعلومات، وبرامج مساعدة السائق، ونظام المعلومات والترفيه، على سبيل المثال لا الحصر بعض المكونات الأخرى التي تتطلب كودا أو تعليمات برمجية Code.
تأتي كل سيارة مع العديد من المكونات، وقد يكون لكل منها قاعدة شفرات مختلفة، والتي، إذا تم اختبارها أو تأمينها بشكل سيئ، تكون عرضة للأخطاء أو العيوب أو التعليمات البرمجية الضارة. ولكن ماذا لو تمكنا من تأمين السيارات قبل أن تغادر أرض المصنع؟
لقد تحدث مؤخرًا Matt Wyckhouse، المؤسس والرئيس التنفيذي لشركة Finite State، لمعرفة كيفية تأمين شركات صناعة السيارات لكل هذا الكود أو التعليمات البرمجية. كما أنه يمتلك سيارة تسلا Tesla، لذا فقد استثمر شخصيًا في أمن السيارات.
من الشائع بناء الأمان في دورة حياة التطوير بأكملها. ومع ذلك ، فإن الدولة المحدودة تدفع الأمن "إلى أقصى اليمين قدر الإمكان". هذا يضمن أن رمز البناء النهائي آمن، لضمان عدم تغيير أي شيء بين الاختبار والذهاب إلى عملائها.
ما هي بعض العيوب الأمنية الأكثر شيوعًا؟
التعليمات البرمجية المكتوبة بشكل سيئ عرضة لمخاطر الأمان أو النشاط الضار. كل هذه الملايين من أسطر التعليمات البرمجية داخل المعالجات الدقيقة للسيارة لها أصل خاص بها. على سبيل المثال، تتكون البرامج الثابتة للنظام المضمن، بما في ذلك البرامج الثابتة المستخدمة في المركبات المتصلة، من 80-95% مكونات خارجية ومكونات مفتوحة المصدر.
وبمجرد أن تبدأ في استخدام برامج من أطراف أخرى قد لا تشاركك في يقظتك الأمنية، تزداد المخاطر. بعض الأمثلة الشائعة:
Log4J vulnerability
مثال على ثغرة Log4j الأخيرة- ثغرة يوم الصفر zero-day vulnerability في مكتبة التسجيل المستندة إلى Apache Log4j Java.
ربما يكون المطور الرئيسي قد سحب برنامج Log4j كجزء من ممارسة التطوير الخاصة به. أو قد يكون ملفوفًا في مكون طرف ثالث أو رابع أو خامس تم إنشاؤه في Java والذي يصل إلى البرنامج النهائي.
هذا يهدد أمن أي خادم تلقائي يستخدم المكتبة. يتم جمع البيانات وتخزينها في أماكن مختلفة بمرور الوقت. هذا يزيد من مخاطر التأثير على برنامج السيارة.
لم تمكنه من "قيادة" السيارات. لكن يمكنه قفل النوافذ والأبواب وفتحها، وتعطيل أنظمة الأمان في السيارات، وإطلاق الأبواق، وتشغيل أجهزة راديو السيارة وإيقافها.
مشكلة أمان بيانات الاعتماد المشفرة The security problem of hardcoded credentials
مثال آخر هو أوراق الاعتماد المشفرة. هذا هو المكان الذي يتم فيه وضع كلمات مرور النص العادي والبيانات السرية في التعليمات البرمجية المصدر. يوفر بابًا خلفيًا لاختبار المنتج وتصحيح الأخطاء.
في الكود النهائي، يمكن للمهاجم قراءة ملفات التكوين وتعديلها وتغيير وصول المستخدم. إذا كانت كلمة المرور نفسها قيد الاستخدام كخيار افتراضي عبر أجهزة متعددة، فستواجه مشكلة أكبر.
في عام 2019، أتاحت بيانات الاعتماد المشفرة hardcoded credentials في تطبيق MyCar للجوّال للمهاجمين الوصول إلى بيانات المستهلك والحصول على وصول مادي غير مصرح به إلى مركبة الهدف.
لذا، كيف تقوم بتأمين البرامج ضد الثغرات والهجمات؟
يبدأ عمل Finite State في مرحلة الاختبار، مع التركيز على النسخة الثنائية النهائية والبنيات. إنهم يعملون بشكل عكسي، وأتمتة الهندسة العكسية للشفرة، وتفكيك، واختبار نقاط الضعف والثغرات. ثم يشاركونها مع فريق أمان العميل.
أوضح ويكهاوس Wyckhouse أن الاختبار النهائي يمكّنهم من رؤية كيف تغيرت الأداة البرمجية بمرور الوقت:
وإذا كان هناك تغيير غير مقصود لا يمكن إرجاعه إلى إجراء من قبل فريق التطوير ، فهذا سبب لإجراء مزيد من التحقيق.
عندما نفكر في الأمن السيبراني والتنقل حقًا، فإننا في البداية فقط. ولكن وفقًا لـ Wyckhouse، يستثمر صانعو السيارات باستمرار في الأمن، ليس فقط للامتثال لمعايير الصناعة ولكن أيضًا لاكتساب مزايا سمعة وتنافسية على المنافسين الذين يعانون مرارًا وتكرارًا من الانتهاكات الأمنية.
ومع ذلك، لا يمر أسبوع دون تقرير آخر عن هجوم أو ثغرة اكتشفها باحثون من ذوي القبعات البيضاء. ومع زيادة التشغيل الآلي للسيارة، تزداد المخاطر فقط.
