EV Charge Points Hijack – Ortaya Çıkan Çoklu Güvenlik Açıkları


EV Şarj Noktaları Kaçırma

Son zamanlarda, çeşitli elektrikli araç (EV) şarj sistemlerinde iki yeni güvenlik zayıflığı keşfedildi. Bu zayıflıklar, kötü niyetli aktörler tarafından şarj istasyonlarını uzaktan kapatmak için kullanılabilecekleri için endişeleri artırdı.

Ayrıca zayıflıklar, şarj sistemlerini veri ve enerji hırsızlığına maruz bırakabilir ve bu da hem EV sahipleri hem de şarj istasyonu operatörleri için ciddi sonuçlar doğurabilir.

Bu keşif, EV şarj endüstrisinin siber güvenliğe öncelik vermesi ve sistemlerinin güvenlik göz önünde bulundurularak tasarlanıp uygulanmasını sağlaması gerektiğini vurguluyor.

Moskova ve Saint Petersburg’u birbirine bağlayan Rusya’daki M11 otoyolu boyunca bu güvenlik olayına karışan birkaç şarj istasyonu var. Bu şarj istasyonları hacklendi ve sonuç olarak Ukrayna yanlısı mesajlar vermeye başladılar.

DÖRT

Bu hack sadece sürücülerin kafasını karıştırmakla kalmadı, aynı zamanda bu şarj sistemlerinin güvenliği ve gelecekte benzer olayların olma olasılığı hakkında endişeleri de artırdı.

EV Şarj Noktaları Kaçırma

OCPP standardındaki iki güvenlik açığı, saldırı yöntemiyle kullanılabilir.

  • Birden Fazla Şarj Cihazı Bağlantısının Yanlış Kullanımı

Elektrikli araç şarjı alanında, elektrikli araç şarjı endüstrisinde kullanılan bir tür standart protokol olan Açık Şarj Noktası Protokolü (OCPP) istismar edilme potansiyeline sahiptir.

OCPP, orijinal bağlantı hala etkinken yeni bir bağlantıyı kabul ettiğinde şarj noktasının (CP) nasıl davranması gerektiğini belirtmez.

Ücretlendirme yetkilendirme, ödemeler, indirimler ve faturalama raporları dahil olmak üzere çeşitli işlevleri gerçekleştirmek için Ücret Noktalarının bir Merkezi Sistem Yönetim Hizmetine (CSMS) bağlanması gerekir.

  • OCPP Standardında Zayıf Kimlik Doğrulama Politikası

OCPP protokol standardı sürüm 1.6J’nin özelliklerine uygun olarak, CPS’nin kimliği CSMS hesap sağlayıcısı tarafından üç kimlik doğrulama yönteminden biri kullanılarak doğrulanabilir: yalnızca CP’nin kimliği, CP’nin kimliği ve kimlik bilgileri veya müşteri sertifikası ve CP’nin kimliği.

Gelişen standartlar

ABD’deki Ulusal Karayolu Trafik Güvenliği İdaresi (NHTSA), otomobil üreticileri için yazılım güvenliğine yönelik yönergeler sunar, ancak zorunlu düzenlemelere uyulması gerekmez.

Tüm elektrikli ev aracı (EV) şarj istasyonları, kimlik doğrulama ve veri şifreleme gereksinimlerini karşılamalıdır. Ek olarak, bu şarj istasyonları EV sahiplerinin kişisel bilgilerini silmesine ve düzenli güvenlik güncelleme kontrolleri yapabilmesine izin vermelidir.

öneriler

İki farklı zafiyet tanımladığımız için her birine göre hafifletme uygulamalıyız.

  • Birden fazla CP bağlantısının hatalı kullanımı

Bir Şarj İstasyonu Yönetim Sisteminin (CSMS) tek bir Şarj Noktasından (CP) birden fazla bağlantı alması durumunda, hangisinin yasal ve doğru bağlantı olduğunu belirleyene kadar her iki bağlantıyı yönetmekten CSMS sorumludur.

Bu, bir WebSocket ping veya OCPP kalp atışı isteği gönderilerek yapılabilir. Bağlantılardan biri yanıt vermezse, CSMS bağlantısını kesmelidir.

  • OCPP standardında zayıf kimlik doğrulama politikası

Şarj Noktası Operatörü (CPO), varsa varsayılan fabrika parolasını kullanmak yerine özel bir parola oluşturarak temel kimlik doğrulama gibi daha güçlü güvenlik önlemleri uygulamalıdır.

Bununla birlikte, gelecekte, OCPP 2.0.1 standardı ve güvenlik uzantısı, ücretlendirme Noktaları için kimlik bilgilerini içerebilen minimum güvenlik gereksinimlerini zorunlu kılacak ve bu da yukarıda belirtilen tavsiyeyi potansiyel olarak geçersiz kılacaktır.

OCPP 2.0.1 standardı, kimlik bilgilerinin kullanılmasını zorunlu kılarak şarj noktalarının güvenliğini artırır ve bir güvenlik açığını etkili bir şekilde kapatır. Tek bir Şarj Noktasından birden çok bağlantının durumunu ele almak için, bir ping veya kalp atışı isteği kullanılarak bağlantıları doğrulamak gerekir.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link