Bu hikaye ilk olarak tarafından yayınlandı Gristiklim, adalet ve çözümleri kapsayan kar amacı gütmeyen bir medya kuruluşu.
Bu hikaye ile birlikte yayınlandı KABLOLU.
Elektrikli Kia EV6’sının gücü azalırken, Sky Malcolm fişi takmak için Indiana, Terre Haute yakınlarındaki bir hızlı şarj cihazı bankasına girdi. Arabasına güç geldiğinde, yakındaki şarj cihazlarına göz attı. Özellikle biri öne çıktı.
Diğer Electrify America birimlerinde görüntülenen ticari karşılama ekranı yerine, bunda bir Başkan Biden parmağıyla işaret ediyor, “Bunu ben yaptım!” altyazı. Geçen yıl fiyatlar yükselirken, cumhurbaşkanını eleştirenlerin benzin pompalarına tokat atmaya başladığı memdi, ekranda 20 kez klonlandı.
Malcolm, geçen sonbaharda rastladığı hack hakkında “Maalesef çok şaşırtıcı değildi,” dedi. Bu tür saçmalıklar giderek yaygınlaşıyor. Ukrayna’daki savaşın başlangıcında, bilgisayar korsanları Rusya’daki Moskova-Saint Petersburg otoyolu boyunca uzanan şarj istasyonlarında ince ayar yaptı. kullanıcıları Putin karşıtı mesajlarla selamlamak. Aynı sıralarda, İngiltere’deki siber vandallar halka açık şarj cihazlarını programladılar. pornografi yayınlamak. Sadece bu yıl, YouTube kanalı The Kilowatts’ın sunucuları bir videoyu tweetledi mümkün olduğunu gösteren Bir Electrify America istasyonunun işletim sisteminin kontrolünü ele geçirin.
Bu tür ihlaller şimdiye kadar nispeten zararsız kalsa da, siber güvenlik uzmanları sonuçların gerçekten hain kötü niyetli kişilerin elinde çok daha şiddetli olacağını söylüyor. Şirketler, hükümetler ve tüketiciler daha fazla şarj cihazı takmak için koştururken, riskler yalnızca artabilir.
Son yıllarda, güvenlik araştırmacıları ve beyaz şapkalı bilgisayar korsanları, internete bağlı ev ve halka açık şarj donanımlarında müşteri verilerini açığa çıkarabilecek, Wi-Fi ağlarını tehlikeye atabilecek ve en kötü senaryoda elektrik şebekelerini çökertebilecek genişleyen güvenlik açıkları belirlediler. Tehlikeler göz önüne alındığında, cihaz üreticilerinden Biden yönetimine kadar herkes, giderek yaygınlaşan bu makineleri güçlendirmek ve güvenlik standartları oluşturmak için acele ediyor.
Sandia National Laboratories’de siber güvenlik araştırmacısı olan Jay Johnson, “Bu büyük bir sorun” dedi. “Bunu doğru yapmazsak bu ülke için potansiyel olarak çok feci bir durum.”
EV şarj cihazı güvenliğindeki çatlakları bulmak zor değil. Johnson ve meslektaşları, geçen sonbaharda yayınlanan bir makalede bilinen eksiklikleri özetlediler. enerji dergisi. Bilgisayar korsanlarının kullanıcıları izleyebilme olasılığından, “ev ve kurumsal bilgileri açığa çıkarabilecek” güvenlik açıklarına kadar her şeyi buldular. [Wi-Fi] ağlar bir ihlale.” Concordia Üniversitesi tarafından yürütülen başka bir çalışma ve geçen yıl yayınlandı Computers & Security dergisinde, şarj cihazlarını uzaktan açıp kapatabilme yeteneği de dahil olmak üzere bir düzineden fazla “ciddi güvenlik açığı” sınıfının altını çizdi kötü amaçlı yazılım dağıtmanın yanı sıra.
İngiliz güvenlik araştırma firması Pen Test Partners 18 ay geçirdiğinde yedi popüler EV şarj cihazının analizi modellerden beşinin kritik kusurları olduğunu buldu. Örneğin, popüler ChargePoint ağında, bilgisayar korsanlarının hassas kullanıcı bilgilerini elde etmek için büyük olasılıkla yararlanabilecekleri bir yazılım hatası tespit etti (ekip, bu tür verileri almadan önce araştırmayı durdurdu). tarafından İngiltere’de satılan bir şarj cihazı EV projesi araştırmacıların ürün yazılımının üzerine yazmasına izin verdi.
Pen Test Partners’ın kurucularından Ken Munro, bu tür çatlakların bilgisayar korsanlarının araç verilerine veya tüketicilerin kredi kartı bilgilerine erişmesine izin verebileceğini söyledi. Ama belki de onun için en endişe verici zayıflık, Concordia testinde olduğu gibi, ekibinin cihazların birçoğunun bilgisayar korsanlarının istedikleri zaman şarjı durdurmasına veya şarj etmeye başlamasına izin verdiğini keşfetmesiydi. Bu, hüsrana uğramış sürücüleri ihtiyaç duyduklarında tam dolu bir pil olmadan bırakabilir, ancak gerçekten yıkıcı olabilecek kümülatif etkilerdir.
“Bu senin şarj cihazınla ilgili değil, aynı anda herkesin şarj cihazıyla ilgili” dedi. Birçok ev kullanıcısı, güç çekmeseler bile arabalarını şarj cihazlarına bağlı bırakır. Örneğin, işten sonra fişe takabilir ve fiyatların daha düşük olduğu bir gecede aracı şarj edecek şekilde programlayabilirler. Bir bilgisayar korsanı binlerce veya milyonlarca şarj cihazını aynı anda açıp kapatırsa, elektrik şebekelerinin dengesini bozabilir ve hatta çökertebilir.
Munro, “Kasıtsız olarak ulus-devletlerin elektrik şebekemize karşı kullanabileceği bir silah yarattık” dedi. Amerika Birleşik Devletleri, bilgisayar korsanları 2021’de böyle bir saldırının nasıl görünebileceğini gördü. Colonial Pipeline’ı kaçırdı ve ülke çapında benzin tedarikini aksattı. Saldırı, şirketin milyonlarca dolar fidye ödemesiyle sona erdi.
Munro’nun tüketiciler için en önemli tavsiyesi, evdeki şarj cihazlarını internete bağlamamaktır; bu, güvenlik açıklarının çoğunun kötüye kullanılmasını önlemelidir. Bununla birlikte, önlemlerin büyük bir kısmı üreticilerden gelmelidir.
Kâr amacı gütmeyen bir dijital haklar kuruluşu olan Electronic Frontier Foundation’ın kıdemli personel teknoloji uzmanı Jacob Hoffman-Andrews, “Güvenli olduklarından emin olmak bu hizmetleri sunan şirketlerin sorumluluğundadır” dedi. “Fişe taktığınız cihaza bir dereceye kadar güvenmek zorundasınız.”
Electrify America bir röportaj talebini reddetti. Sözcü Octavio Navarro, Malcolm ve The Kilowatts’ın belgelediği sorunlarla ilgili olarak bir e-postada olayların münferit olduğunu ve düzeltmelerin hızla devreye alındığını yazdı. Şirket yaptığı açıklamada, “Electrify America, kendimizi ve müşterilerimizi korumak için sürekli olarak önlemleri izliyor ve güçlendiriyor ve risk azaltıcı istasyon ve ağ tasarımına odaklanıyor.”
Pen Test Ortakları, bulgularında, şirketlerin belirlediği güvenlik açıklarını gidermek için büyük ölçüde duyarlı olduğunu, ChargePoint ve diğerlerinin boşlukları 24 saatten daha kısa sürede kapattığını yazdı (gerçi bir şirket eskisini yamamaya çalışırken yeni bir delik açmıştı). Project EV, Kalem Testi Ortaklarına yanıt vermedi, ancak sonunda “güçlü kimlik doğrulama ve yetkilendirme” uyguladı. Ancak uzmanlar, endüstrinin siber güvenliğe yönelik bu köstebek vurma yaklaşımının ötesine geçmesinin çok geç kaldığını savunuyor.
Johnson, “Herkes bunun bir sorun olduğunu biliyor ve pek çok insan bunu en iyi nasıl çözeceğini bulmaya çalışıyor” dedi ve ilerleme kaydettiğini de sözlerine ekledi. Örneğin, birçok halka açık EV şarj istasyonu, veri iletmek için daha güvenli yöntemlere geçti. Ancak koordineli bir standartlar dizisine gelince, “orada çok fazla düzenleme yok” dedi.
Bunu değiştirmeye yönelik bazı hareketler oldu. 2021 iki partili altyapı yasası 7,5 milyar doları dahil elektrikli araç şarj ağını ABD genelinde genişletmek ve Biden yönetimi siber güvenliği bu girişimin bir parçası haline getirdi. Geçen sonbaharda Beyaz Saray, giderek hayati önem taşıyan elektrikli araç şarj donanımının uygun şekilde korunmasını sağlamanın yolunu tartışmak üzere üreticileri ve politika yapıcıları bir araya getirdi.
Ulusal Siber Direktör Beyaz Saray Ofisi baş stratejisti Harry Krejsa, “Kritik altyapımızın temel düzeyde bir güvenlik ve dayanıklılık düzeyini karşılaması gerekiyor” dedi. Ayrıca EV siber güvenliğini güçlendirmenin, riski azaltmak kadar güven oluşturmakla da ilgili olduğunu savundu. Güvenli sistemler, “başka türlü sahip olabileceğimizden daha fazlasını hedeflememiz için bize yeni nesil dijital temellerimize güven veriyor” dedi.
Bu yılın başlarında, Federal Karayolları İdaresi kesinleşmiş bir kural devletlerin altyapı yasası kapsamında finanse edilen şarj cihazları için “uygun” siber güvenlik stratejilerini uygulamasını zorunlu kılmak. Ancak Johnson, düzenlemenin, ülke çapında hâlihazırda yürürlükte olan 100.000’den fazla üniteden bahsetmiyorum bile, bu genişleme dışında kurulan cihazları çıkardığını söylüyor. Artı, dedi, devletler ne yapacaklarına dair çok fazla ayrıntı sunmadılar. “Eyalet planlarını derinlemesine incelerseniz, bunların aslında siber gereksinimler konusunda son derece hafif olduklarını göreceksiniz” dedi. “Gördüğüm büyük çoğunluk sadece en iyi uygulamaları takip edeceklerini söylüyor.”
En iyi uygulamayı neyin oluşturduğu tam olarak tanımlanmamış durumda. Johnson ve Sandia’daki meslektaşları yayınladı şarj cihazı üreticileri için öneriler, ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün bir hızlı şarj için çerçeve bu, gelecekteki düzenlemeleri şekillendirmeye yardımcı olabilir. Ama nihayetinde 2022’ye benzer bir şey görmek istiyor. Siber Sağlık Hizmetlerini Koruma ve Dönüştürme Yasası elektrikli araçlara yönelik.
“Yönetmelik, tüm sektörü temel güvenlik standartlarını iyileştirmeye yönlendirmenin bir yoludur” dedi ve ABD’deki politika yapıcılar için model veya başlangıç noktası olarak diğer ülkelerdeki son yasalara işaret etti. Örneğin, geçen yıl Birleşik Krallık bir gereksinimlerin ana bilgisayarı gelişmiş şifreleme ve kimlik doğrulama standartları, kurcalama algılama uyarıları ve rastgele gecikme işlevi gibi EV şarj cihazları için.
İkincisi, bir şarj cihazının 10 dakikaya kadar rastgele bir zaman gecikmesiyle açılıp kapanabilmesi gerektiği anlamına gelir. Bu, bir elektrik kesintisi veya bilgisayar korsanlığından sonra aynı anda devreye giren bir alandaki tüm şarj cihazlarının etkisini azaltacaktır. Munro, “O çiviyi alamıyorsun, bu harika,” dedi. “Elektrik şebekesindeki tehdidi ortadan kaldırıyor.”
Johnson, idealden daha yavaş da olsa endüstrinin doğru yönde ilerlediği konusunda iyimser. “Hayal edemiyorum [stricter standards] olmayacak Sadece uzun zaman alıyor” dedi. Ve kesinlikle gereksiz bir alarma yol açmak istemiyor, bunun yerine gelişme için sürekli baskı uygulamak istiyor.
“Korkunç şeyler,” dedi, “ama korku tellallığı olmamalı.”
Kaynak : https://www.scientificamerican.com/article/hackers-could-use-electric-vehicle-chargers-to-attack-the-power-grid/