Cybellum, Almanya'nın siber çocuk harikası David Colombo ile röportaj yapmaktan zevk aldı ve podcast'imiz için Colombo Technologies'in kurucusu kendi cihazlarımıza bıraktı.
Henüz 20 yaşında değil, üretken siber araştırmacı, Tesla araçlarına girme onuru da dahil olmak üzere çok sayıda kritik güvenlik açısının maruz kalması için zaten kredisine ihtiyaç duyuyor!
Ürün güvenlik platformumuz için günlük olarak araç güvenlik açıklarını analiz ettiğimiz için, genç bir hacker'ın Tesla sistemlerini nasıl ihlal etmeyi başardığı hakkında daha fazla şey duyamadık. Bunu biraz sonra nasıl yaptığını açıklayacağız.
Tabii ki, etik bir hacker olan David, bulgularını hemen dünyayla paylaşarak dünyayı daha iyi bir yer haline getirmeye çalışarak güvenlik araştırma topluluğunun gerçek ihlaller gerçekleşmeden önce siber sorunları çözmesini sağlıyor.
Peki, her şey nasıl başladı?
David, hesaplamaya ilgi duyduğunda sadece bir çocuktu. İlk dizüstü bilgisayarını 10. doğum gününde alarak, nasıl çalıştığı ve özellikle de internetin nasıl çalışmasıyla büyülendi. Hızlı bir şekilde bilgi işlem ve ağ oluşturma temellerine hakim olan David, yazılım geliştirme yolculuğuna başladı. Kendi kodunu inceleyerek, aniden, bir yabancının bilgisi olmadan kendi dizüstü bilgisayarında kod çalıştırmasını sağlayabilecek güvenlik açıkları olduğunu söyledi.
Uygulamalar, işletim sistemleri ve cihazlardaki güvenlik açıklarına yönelik araştırma tutkusunu tetikleyen Eureka anıydı.
Gençlerine girdiğinde, David zaten şirketleri, hastaneleri ve diğer bilgisayar kullanıcılarını ve ağlarını nasıl koruyacağını anlıyordu. Bu etkinliği sınıfta zaman geçirmekten çok daha heyecan verici buldu.
10. sınıfa gelindiğinde, Alman Ticaret Odası'ndan, okulunu haftada sadece bir veya iki gün gösterme izni vermesini sağlayarak, zamanının geri kalanını hesaplamasını oluşturmaya itmesine izin vererek bir akıl hocası buldu. ve siber beceriler.
16 yaşındayken David kendi siber güvenlik şirketini kurdu. Ancak yasal olarak ticarete giremeyecek kadar genç olan babası, danışmanlık sözleşmelerini onun adına imzalamak zorunda kaldı. 18 yaşında David nihayet yasal olarak siber işleri kendi başına yürütebildi.
Peki, David Colombo, 19 yaşındayken, ultra yüksek teknoloji Tesla arabalarına nasıl girdi?
Süreci tanımlamadan önce, David bize etik hackleme işinde olduğu için bize söylediği her şeyin halka açık olduğunu ve Tesla otomobillerini veya sahiplerini herhangi bir şekilde tehlikeye atmayacağını garanti ediyor. İşte hikaye.
Geçen yıl, David bir Fransız şirketi için güvenlik denetimi yapmaya başlamıştı. Tesla tarafından kullanılan bir veri kaydı cihazı oluşturan koda bir göz attı. Veri kaydedici, Tesla'nın nereye sürüldüğünü, ne kadar hızlı ve bu tür kullanım istatistiklerini gösterir. Ancak şaşkınlığına göre, David, Fransız şirketinin CEO'sunun diğer özel bilgilerle birlikte kendi Tesla'sını nerede kullandığını kolayca öğrenebilirdi.
Bir Tesla hayranı olarak, GitHub'dan diğer Tesla bileşenlerine giren kaynak kodu okumaya başladı.
Ach du Lieber! Açık kaynaklı yazılımların dijital otomobil anahtarlarını dışarıdan kolayca erişilebilecek şekilde depoladığını keşfetti. Ve hiç şifrelenmemiş. David, herhangi bir arabanın dijital araba anahtarlarını kolayca alabilir.
O anahtarlarla ne yapabilirdi? Sadece otomobilin güvenlik modunu uzaktan devre dışı bırakın, kapıların kilidini açın, boynuzu onurlandırın - bunun gibi “küçük” şeyler. Eğer sahibinin garaj kapısı açacağı arabaya bağlıysa, David de garaj kapısını açabilir - Finlandiya'da, İsviçre'de, her yerde - hepsi Almanya'daki dizüstü bilgisayarından!
Bu bir fluke miydi? Bir veya iki araba dahil miydi? David hızla bir internet araması yaptı. Nein. David kolayca ihlal edebileceği 20'den fazla araba buldu.
Hemen Tesla ile e -posta yoluyla temasa geçti ve endişe verici güvenlik açığını bildirdi.
Tesla nasıl tepki verdi? Derhal. Ancak David sadece “Araştırıyoruz” dedi. Ancak ertesi gün, OMG! e -posta geldi. “Ne bulduğunuza iyi baktık ve hemen erişim belirteçlerini iptal ediyor ve sahipleri bilgilendiriyoruz. Bize bildirdiğiniz için çok teşekkür ederim! "
David’in genç yaşı büyük siber bilgi ve deneyim birikimi için adalet yapmaz. Bugün, danışmanlık uzmanlığı büyük talep görüyor. Bizimle topladığı bazı içgörüleri paylaşıyor.
Hiç şüphe yok ki David büyük bir yetenek ve hepimiz hacklemenin sağ tarafında olduğu için çok şanslıyız. Ancak hikayesi, otomotiv ürün güvenliği durumuna ışık tutuyor: günümüzün gelişmiş akıllı otomobillerinin güvenliğini ihlal etmeyi düşündüğümüzden daha kolay.
Tesla, diğer araç üreticilerinin aksine, ürününü yazılıma inşa etti ve şirket içinde geliştirilen kod tabanını yönetmek için siber güvenlik kontrollerinin yerinde olması bekleniyor. Her Tesla için, siber güvenlik oyunu için nispeten yeni olan ve hala yazılım tedarik zincirlerini kötü niyetli oyunculardan güvence altına almak için mücadele eden binlerce başka cihaz ve araç var. Bu, çoğu aracı David’in uzmanlığı olmasa bile sömürülmesini çok daha kolay hale getirir.
Cybellum'da misyonumuz, ürün güvenlik ekiplerini yeni ve ortaya çıkan siber tehditlere hitap eden güçlü bir ürün güvenlik platformu ile donatmaktır, bu yüzden buna gelmeyecektir.
Bunu ve diğer Sol'u kendi cihazlarımıza https://cybellum.com/podcasts/ adresinden dinleyebilirsiniz.
Cybellum'un araçları ve diğer cihazları korumaya nasıl yardımcı olduğu hakkında daha fazla bilgi edinmek için cybellum.com adresini ziyaret edin.
Cybellum sponsorluğunda
Log4Shell'e kamuoyunun ilgisi kaybolur ancak saldırı yüzeyi kalır
CISA, saldırılarda sömürülen hataların listesine 7 güvenlik açığı ekler
2021 sırasında çoğu sıfır gün istismarının arkasındaki Çinli hackerlar
Atlassian, kritik JIRA kimlik doğrulama baypas güvenlik açığını düzeltir
QNAP, kullanıcılardan kritik Apache HTTP sunucu hatalarını azaltmasını ister
Kaynak: Bleeping Computer