Какво е API?
Приложно-програмен интерфейс ( Application Programming Interface, API)
Известна е заплахата, която киберпрестъпленията представляват за финансите, но
малцина осъзнават рисковете, свързани с автомобили – ето как да откриете уязвимости в
сигурността на API
През 1996 г. General Motors представи първия в света свързан автомобил.
Предложението беше доста елементарно – основна система, която се свързваше с кол
център в случай на катастрофа. Но системата OnStar, предлагана само в няколко модела
на Cadillac, ще промени начина, по който мислим за автомобилите. Малко след
въвеждането на OnStar се появяват бордовият GPS, след това Bluetooth, а накрая и
интернет.
Тези нововъведения направиха революция в автомобилната индустрия. Ползите са
очевидни и безбройни, но понякога свързаността може да бъде нож с две остриета.
Уязвимостите в онлайн системите на много автомобили могат да позволят на
киберпрестъпниците да извършват редица неправомерни действия.
“Ако един нападател успее да открие уязвимости в крайните точки на API, които
използват телематичните системи на автомобилите, той би могъл да натисне клаксона,
да мига със светлините, да следи от разстояние, да заключва/отключва и да
стартира/спира автомобилите напълно дистанционно”, казва Къри.
С оглед на това е важно потребителите, организациите и производителите да осъзнаят
рисковете, свързани с новите екстри на нашите автомобили.
API задвижват цифровизацията
Цифровизацията, или адаптирането на дадена система или процес за работа с помощта
на компютри и интернет, е движещата сила на днешното изключително удобно
общество. Освен свързаните автомобили, цифровизацията ни донесе онлайн банкиране,
услуги за доставка на храна, супербързи таксиметрови услуги и множество други полезни
технологии.
Всички тези инициативи за дигитализация разчитат на интерфейси за програмиране на
приложения (API), за да функционират. Това включва и модерни софтуерни , които се
намират във вашия автомобил. Всъщност всяка нова функция, въведена в автомобилите
(или в който и да е друг продукт или услуга), трябва да се захранва от API. Разрастването
на тези нови цифрови приложения ускори използването на API. Това от своя страна
създаде изцяло нова и постоянно променяща се повърхност за цифрови атаки –
включително и в собствения ви автомобил.
Автомобилите могат да разкрият лични данни
Личната информация (ЛИН) е неустоима награда за киберпрестъпниците, особено когато
е изложена пред тях – а точно това правят свързаните автомобили. Личните данни могат
да бъдат разкрити от всеки един от автомобилите използващи API
И този проблем само ще се задълбочава през следващите години. С въвеждането на все
повече приложения и увеличаването на сложността им броят на заплахите за личните
данни ще нараства и все повече информация ще бъде изложена на риск. Може би не е
изненадващо, че най-засегнати ще бъдат луксозните модели.
Изследването на Къри разкрива реалността на уязвимостта на API в свързаните
автомобили. Те позволяваха достъп до стотици жизненоважни вътрешни приложения
(Mercedes Benz), приложения за служители, които съдържаха вътрешни дилърски
портали и документи за продажби (BMW, Rolls Royce), и пълно поемане на акаунти с
нулево взаимодействие (ATO) за всеки клиент (Ferrari).
Но най-лошият нарушител беше Spireon. Уязвимостите в нейните системи можеха да
позволят на киберпрестъпниците да завладеят изцяло всеки автопарк и да си осигурят
пълен административен достъп до всички продукти на Spireon. Технологията на Spireon
се използва от ключови служители – например от правоприлагащите органи и шофьорите
на линейки – перспективата киберпрестъпниците да превземат техните системи и да
контролират автомобилите е меко казано плашеща.
Производителите на автомобили са отговорни за сигурността на API
Може да изглежда очевидно, но е важно да се отбележи, че сигурността на API е изцяло
отговорност на производителя. Точно както очаквате спирачките да работят при
пристигането на автомобила ви, така и неговата киберсигурност трябва да е на ниво.
Струва си също така да се отбележи, че подобни слабости не са нещо ново. Новите
продукти и услуги се въвеждат по-бързо от всякога, тъй като организациите се борят за
конкурентно предимство, а използването на API нараства с изключителна скорост – може
би е разбираемо, че сигурността на API понякога остава на заден план. Това обаче не е
оправдание и организациите трябва да носят отговорност.
Интересно е, че повечето от грешките, произтичат от
елементарни уязвимости на API. Преобладаващата част от тях могат да бъдат открити в
списъка на OWASP API Security Top 10, включително:
Нарушено удостоверяване на потребителя (API2) – позволява на нападателите да
използват откраднати токени за удостоверяване, въвеждане на идентификатори и атаки ,
за да получат неоторизиран достъп до приложения.
Масово присвояване (API6) – позволява на нападателя да промени критични свойства на
данните и да използва повишаване на администраторските права.
Впръскване (API8) – позволява на нападателите да използват уязвимости за впръскване
чрез изпращане на злонамерени данни към API, които могат да бъдат обработени от разшифровчик или анализирани от сървъра на приложението и предадени на
интегрирана услуга.
В известен смисъл това означава, че тези уязвимости могат лесно да бъдат отстранени. От
друга страна обаче, тези проблеми е следвало да бъдат открити с помощта на обикновен
тест за проникване. Фактът, че това не е направено, говори за пропуск от страна на
производителите.
Защита на свързани автомобили
Какви стъпки могат да предприемат производителите на автомобили, за да защитят
свързаните автомобили? Първата стъпка е обучението. Разработчиците, наети от
производителите на автомобили, трябва да бъдат обучени най-малкото за заплахите за
сигурността на API. Това започва със списъка на OWASP API Security Top 10. Второ,
производителите на автомобили трябва да познават всички API в своята среда и да имат
достъп до целия API трафик, който пренася данни през техните приложения в двете
посоки. Проследяването на функционирането на API е от съществено значение за
идентифициране на уязвимости и заплахи.
В основата си API са средство за пренос на информация. Производителите трябва да
гарантират, че потокът от информация се осъществява по сигурен и стандартен начин. За
да направят още една крачка напред, от съществено значение е да въведат подходящ
надзор и управление на API, за които са отговорни. Това е особено важно за
производителите, които ползват паралелно потребителски данни с трета страна. В този
случай те трябва да въведат контрол и да наблюдават по какъв начин се управлява
комуникацията към техния автопарк.
Понастоящем автомобилната индустрия е крайно изостанала, когато става въпрос за
регулиране на изискванията за постигане на конкретно кибернетично ниво. Регламентът
би бил безценен ресурс за производителите на автомобили, тъй като би им помогнал да
гарантират, че контролът на сигурността им работи както трябва. Няма смисъл да се
харчат пари за ключалка, ако ще оставите вратата широко отворена.
Въпреки че производителите в крайна сметка носят отговорност за сигурността на API,
това не означава, че потребителите могат да почиват на лаврите си. Те трябва да бъдат
предпазливи. За много от нас самото заключване на автомобилите ни не би
предизвикало подозрение за хакерска атака, а вероятно бихме предположили, че
автомобилът просто се е повредил. Това е разбираемо, като се има предвид, че
потребителите обикновено не са изложени на този вид уязвимост. Освен това повечето
потребители не разполагат с времето или уменията, необходими за тестване на
автомобилите си всеки път, когато отиват на разходка.
Но има няколко неща, които потребителите могат да направят, за да защитят себе си и
своите автомобили. Първо, уверете се, че са приложени най-новите защити за сигурност –
настройте устройството за автоматично обновяване или редовно проверявайте за
известия за актуализация. Потребителите трябва също така да бъдат бдителни по
отношение на правилния контрол на акаунтите, т.е. да използват силни, уникални
пароли, когато такива се изискват. Важно е също така да се има предвид какви точно
данни са изложени на риск – например данни за кредитни карти, потребителски имена и
пароли или други лични данни – за да могат да се предприемат действия за намаляване
на риска. Може би най-важното е да се осъзнаят рисковете, които произтичат от
свързването на телефона с автомобила. Дори и при най-сигурните системи ще има
елемент на риск; водачите трябва да се запитат какво ценят повече: удобството или
сигурността?
За да успеят с тези нови приложения, автомобилните производители трябва да защитят
API, който дава възможност за самите услуги. Производителите трябва проактивно да
прилагат необходимия контрол, за да защитят както своите собствени, така и
чувствителните и критични данни на клиентите си. Последиците се простират отвъд
финансовите и репутационните щети. Успешна атака, която има потенциал да поеме
изцяло управлението на автомобила, може да изложи на риск живота на хората.
