🚖 Почти GTA
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
🔥10🤩3👍2❤1👏1
group-telegram.com/kasperskyb2b/1947
Create:
Last Update:
Last Update:
🚖 Почти GTA
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
BY Порвали два трояна
Share with your friend now:
group-telegram.com/kasperskyb2b/1947