Yazan: Soujanya Ain, GitGuardian'da Ürün Pazarlama Müdürüdür
Otomotiv ortamı, mekanik harikalardan, karmaşık bilgisayar sistemleriyle çalıştırılan tekerlekler üzerindeki gelişmiş platformlara kadar dramatik bir şekilde gelişti. Şaşırtıcı bir şekilde, bu araçlar, elektronik kontrol birimleri (ECU'lar) olarak bilinen 50 ila 100'den fazla bağımsız işlemcide çalışan 100 milyon satırdan fazla kod tarafından yönetiliyor. Bunu perspektife koymak gerekirse, modern mühendislik harikası Ford F-150 Lightning, 150 milyon satır kodla çalışıyor ve nispeten mütevazı bir 6,5 milyon satır koda dayanan Boeing 787 Dreamliner'ı bile geride bırakıyor.
Bu karmaşık kod, şeritte kalma yardımından mobil cihazlarımızla sorunsuz bir şekilde bağlantı kurmaya ve en sevdiğimiz melodileri çalmaya kadar çeşitli görevlerden sorumlu olan modern arabaların can damarıdır. Bugünlerde arabaların aslında dönen bilgisayarlar olduğu sıklıkla söyleniyor. Bu duygu sebepsiz değil. Amerikan araçları için 1996'dan ve Avrupa araçları için 2001'den bu yana, standartlaştırılmış konektörlerin (OBD/EOBD), yerel araç bilgisayar ağıyla (CAN veri yolu) arayüz oluşturması zorunlu hale getirildi.
Ayrıca, yerleşik LTE bağlantısı 2014'ten bu yana araçlara entegre ediliyor ve bu da üreticilerin performans verilerini toplamasına ve kilitleme/kilit açma ve uzaktan çalıştırma işlevleri gibi uzaktan kontroller uygulamasına olanak tanıyor.
Ancak bu teknolojik sıçramanın da kendine has zorlukları var. Kapsamlı bir kod tabanıyla kod sızıntısı riski acil bir endişe haline gelir. Açığa çıkan bir AWS API anahtarının hayati AWS kaynaklarına yetkisiz erişimle sonuçlanabileceği bir yazılım şirketinin aksine, otomotiv dünyasında riskler çok daha yüksek. Otoyolda saatte 70 mil hızla ilerlediğinizi ve uzaktan aracınızın kontrolünü kaybettiğinizi hayal edin. Bu sadece verilerle ilgili değil, araç içindeki ve çevresindeki her bireyin hayatıyla da ilgili. Bu, otomobillerin hem fiziksel hem de uzaktaki rakiplerin tehditlerine karşı duyarlı değerli varlıklara dönüştüğü gerçeğinin altını çiziyor.
Yazılım Tanımlı Araç (SDV) Çağı
SDV pazarının, 2023'teki 43 milyar dolarlık pazar büyüklüğünden 2030'a kadar potansiyel 150 milyar dolara çıkarak önemli ölçüde büyüyeceği tahmin ediliyor. Tesla'nın öncülüğünde otomotiv şirketleri, yazılıma öncelik veren kuruluşlar olma yolunda ilerliyor. Ford'un yakın zamanda piyasaya sürdüğü elektrikli araçlar F-150 Lightning ve Mustang Mach-E SUV bu dönüşümün altını çiziyor. Ancak, teknoloji ilerledikçe kod güvenliği uygulamalarının da birlikte gelişmesi gerektiğinin farkına varmak zorunludur.
Gösterişli bilgi-eğlence sistemleri ve kesintisiz navigasyon deneyimlerinin ötesinde, herhangi bir aracın güvenliğinin temeli, temeldeki güvenlik altyapısında yatmaktadır. Örneğin, gömülü Linux üzerinde çalışan araç içi bilgi-eğlence (IVI) sistemleri, kişisel kimlik bilgileri (PII) gibi hassas bilgileri depolar. Bu sistemler genellikle motor, frenler ve sensörler gibi hayati önem taşıyan alt sistemlerle birbirine bağlıdır ve gömülü LTE bağlantısıyla birlikte geniş bir saldırı yüzeyi oluşturur. Bu, bilgisayar korsanlarının bilgi-eğlence sistemini hedef alması durumunda hassas bilgilere erişim sağlayabilecekleri ve hayati araç fonksiyonları üzerinde potansiyel olarak kontrol sahibi olabilirsiniz. Buradaki sağlam güvenlik önlemleri tartışılamaz.
Kaynak Kodunun Acı Gerçeği ve Sır Sızıntıları
En kritik endişelerden biri, sabit kodlanmış kimlik bilgilerinin sızmasıyla ilgilidir. Kötü aktörlerin güvenlik açıklarını belirleyip kullanması gereken geleneksel saldırıların aksine, sabit kodlanmış sırlar minimum çabayla kullanılabilir. Bu, müşteri veri ihlallerine, fikri mülkiyet hırsızlığına, şirket çapında sistem manipülasyonuna ve hatta araçları kontrol etmeye yönelik mobil uygulamalara yetkisiz erişime yol açabilir.
Üreticiler, tüketici davranışları hakkında zengin bilgiler içeren geniş veri gölleri biriktiriyor. Bu veriler, ürünleri iyileştirmek ve kullanıcı deneyimlerini geliştirmek için paha biçilmez değerde olsa da önemli bir güvenlik riski oluşturur. Bu veri göllerindeki herhangi bir ihlal, bireysel sürücüleri ve kullanıcı tabanlarının tamamını etkileyecek geniş kapsamlı sonuçlara yol açabilir.
Otomotiv endüstrisi, veri gizliliğinin sağlanması (GDPR ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) uyumluluğu) ve varlıklarının siber tehditlere karşı güvence altına alınması gibi ikili zorluklarla karşı karşıyadır. Buradaki bir ihlal, müşteri kimlik hırsızlığına, mali dolandırıcılığa ve ağır idari para cezalarına neden olabilir. Büyük otomobil üreticilerinin dahil olduğu son zamanlardaki ihlaller, gelişmiş bir sır yönetimi duruşuna acil ihtiyaç olduğunu hatırlatıyor. Daimler, Nissan, Toyota ve diğerleri, yanlış yapılandırmalar ve açığa çıkan sırlar nedeniyle hassas müşteri verilerinin yanlışlıkla ifşa edildiği olaylarla karşı karşıya kaldı.
Bu, özellikle GitGuardian State of Secrets Sprawl raporundaki endişe verici açıklamalara aşina olanlar için sürpriz olmamalı. Çalışma, yalnızca 2022 yılında halka açık GitHub depolarında açığa çıkan 10 milyon sırrın şaşırtıcı olduğunu ortaya çıkardı. Bu, uygulamalara, tüm tedarik zincirine ve kritik altyapının omurgasına geniş bir gölge düşüren bir endişedir.
Gizli Güvenliği İhmal Etmenin Artan Riskleri
Otomotiv yazılımlarının yaklaşık %85'i açık kaynak kodu ve üst tedarikçilerden alınan bileşenlerden oluşuyor. Bir bileşendeki ihlal, farklı üreticilere ait birden fazla otomobil modelini etkileyebilir. Bu nedenle, otomotiv tedarik zincirindeki her halkayı potansiyel gizli olaylara karşı incelemek zorunludur. Sonuçta araçlardaki sabit kodlu kimlik bilgileri yalnızca otomobil üreticileriyle sınırlı değil; tedarik zinciri boyunca uzanırlar. Yazılımıyla donatılmış her bileşen, bazen bunları korumaya yönelik güçlü güvenlik önlemlerinden yoksun, gömülü sırlar barındırabilir.
Bu karmaşık bağlantılı ekosistem içinde Telematik sunucusu, araçlardan veri alan ve uzaktan komutları yürüten çok önemli bir ağ geçididir. Ne yazık ki, genellikle yeterince korunmuyorlar ve araçları yetkisiz erişime açık hale getiriyorlar. Bu sistemdeki bir ihlal, araç sahiplerinin araçlarının kilitlenmesinden düzensiz ve potansiyel olarak tehlikeli davranışların başlatılmasına kadar ciddi sonuçlara yol açabilir. Aşırı durumlarda, saldırganlar aracın direksiyonunun kontrolünü bile ele geçirerek yoldaki hayatları tehlikeye atabilir. Bu, Android ve iOS uygulamalarında ve komuta ve kontrol (C&C) altyapısında sağlam sır güvenliğine yönelik kritik ihtiyacın altını çiziyor.
Bu daha geniş endüstri ortamında süregelen bir “onarım hakkı” tartışması var. Bağımsız tamir atölyelerinin hayati araç verilerine erişimini sağlayarak ileriye doğru önemli bir adım atıldı. Ancak bu erişim genişledikçe veri güvenliğine yönelik endişeler de artıyor. Önemli yazılım tanımlı bileşenlerin korunması, hassas kod ve kullanıcı bilgilerinin yanlışlıkla açığa çıkmamasını sağlamak için çok önemli hale gelir. Bu bağlamda sırların tespiti, genişletilmiş erişimle bile hassas verilerin güvende kalmasını garanti eden kritik bir savunma katmanı olarak ortaya çıkıyor.
Araçlar, Over-The-Air (OTA) süreçleri aracılığıyla giderek daha fazla güncellemeye tabi tutuldukça, saldırganlar için potansiyel bir giriş noktası oluşuyor. Bu güncellemelerin ele geçirilmesi, incelenmesi ve manipüle edilmesi, gizli özellikleri, işlevleri ve “sabit kodlanmış sırlar” da dahil olmak üzere hassas bilgileri ortaya çıkarabilir ve fidye yazılımı saldırılarının önünü açabilir. Bu, hassas kod ve kullanıcı bilgilerinin korunmasının kritik önemini vurgulamaktadır. Otomotiv endüstrisi dijital çağa hızla girerken, bir şey çok açık: Hem araçların hem de yolcularının emniyeti ve emniyeti, sırların sağlam bir şekilde korunmasına bağlı.
Otomotiv yazılımının güvenliğini sağlamak, tüm tedarik zincirinin kolektif çabasını gerektiren çok yönlü bir zorluktur. Burada sır güvenlik önlemlerinin geliştirme sürecinin başlangıcından itibaren entegre edilmesi çok önemlidir.
Riskler yüksek ve gelecekteki araçların teknolojiyle göz kamaştırmasını ve çok sağlam kod güvenlik önlemleriyle güçlendirilmesini sağlama sorumluluğu sektöre düşüyor. Önümüzdeki yol dönüşüm ve inovasyondan geçiyor; bu süreci dikkatli ve öngörülü bir şekilde yönetmeliyiz.
yazar hakkında
Soujanya Ain, GitGuardian'da Ürün Pazarlama Müdürüdür. Uygulama güvenliği ve şirketlerin bugün karşılaştığı AppSec zorlukları hakkındaki hikayenin yayılmasına yardımcı oluyor.
İnternet sitesi:https://www.gitguardian.com/
Twitter tanıtıcısı: https://twitter.com/GitGuardian
LinkedIn: https://www.linkedin.com/company/gitguardian