Inteligência de dados generativa

Cíber segurança

Estações de carregamento de veículos elétricos ainda estão repletas de vulnerabilidades de segurança cibernética

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 0

A crescente popularidade dos veículos eléctricos (EV) não é apenas um favorito dos consumidores preocupados com o gás, mas também dos cibercriminosos que se concentram na utilização de estações de carregamento de EV para lançar ataques de longo alcance. Isto porque cada ponto de carregamento, seja dentro de uma garagem privada ou num parque de estacionamento público, está online e executa uma variedade de software que interage com os sistemas de pagamento e a rede elétrica, além de armazenar as identidades dos motoristas. Em outras palavras, eles são um sumidouro de software da Internet das Coisas (IoT).

“À medida que o carregamento de veículos elétricos se torna mais difundido, estes tornar-se-ão alvos apelativos para grupos de hackers mais sofisticados”, afirma Hooman Shahidi, CEO da EVPassport, um fornecedor de redes de carregamento. “Os fornecedores precisam de pensar nos seus produtos como uma infraestrutura crítica e um componente crítico da nossa segurança nacional.” Há 2.5 milhões de veículos elétricos operando nos EUA, e mais da metade deles exigem carregadores plug-in. Reconhecendo sua popularidade, em 2022, o Estações de carregamento obrigatórias no Reino Unido serão construídas em todas as novas construções residenciais.

As estações de carregamento enfrentam riscos significativos de segurança cibernética. “Os problemas incluem conectividade desprotegida com a Internet, autenticação e criptografia insuficientes, ausência de segmentação de rede, ativos de energia não gerenciados e muito mais”, escreveu pesquisadores da Check Point Software e SaiFlow, este último especialista em segurança cibernética em soluções de energia distribuída. As estações comprometidas podem danificar a rede elétrica, por exemplo, ou resultar no roubo de dados dos clientes. “Os carregadores possuem informações pessoais e de pagamento e executam uma variedade de protocolos que normalmente não são reconhecidos pelos firewalls tradicionais”, diz Aaron Rose da Check Point Software, que trabalha no escritório do CTO.

Os estágios iniciais dos ataques cibernéticos a estações de recarga começaram há alguns anos, quando um Estação russa foi atacada em fevereiro de 2022 em resposta à guerra na Ucrânia e mais três foram comprometidas no Reino Unido em abril de 2022. Ambas as situações foram mais pegadinhas cibernéticas que exibiam mensagens rudes nas telas das unidades. Shell corrigiu uma vulnerabilidade no ano passado em um banco de dados que poderia ter exposto milhões de registros de cobrança de todo sua rede de carregamento de veículos elétricos.

Novas vulnerabilidades continuam a afetar as estações de carregamento. Dois deles podem levar à execução remota de código e potencial roubo de dados, descoberto por SaiFlow no início deste ano. As explorações aproveitam rotinas de autenticação fracas entre os diversos módulos de software utilizados nas estações, de acordo com suas pesquisas. O fornecedor de estações de carregamento Enel X Way lista um variedade de outros comprometimentos de dados envolvendo números de identificação de veículos, bem como explorações que poderiam obter acesso remoto aos controles do veículo.

Elias Bou-Harb é um cientista da computação da Louisiana State University que tem segurança da estação de carregamento há muito estudada. Ele descobriu que quase todos os produtos de cobrança apresentam vulnerabilidades importantes, incluindo métodos de ataque bem conhecidos, como injeção de SQL e scripts entre sites. “O que é particularmente alarmante é que algumas medidas de proteção bem conhecidas não foram implementadas pela maioria dos fornecedores e que poucos deles tomaram medidas para melhorar a sua segurança, mesmo depois de identificarmos essas fraquezas.”

Dispositivos IoT continuam sendo alvos atraentes

Certamente, as ameaças das estações de carregamento não são os únicos dispositivos IoT que são alvos de oportunidade para os ciberataques. E as estações são apenas um entre uma infinidade de dispositivos IoT onde as explorações continuam a aumentar. A combinação de vários fornecedores menores com design e práticas de segurança deficientes e inúmeras ferramentas automatizadas, como botnets, para localizar e comprometer vários dispositivos, torna todos os dispositivos IoT alvos fáceis para hackers. Os dados da Comissão Federal de Comunicações dos EUA (FCC) aumentaram desde então.

Mas as estações de carregamento representam uma combinação complexa — e, portanto, muito rica e potencialmente explorável — de elementos que podem ir além de TVs inteligentes e alto-falantes inteligentes. Por exemplo, Rose da Check Point diz que “os carregadores têm perfis de risco semelhantes, mas apresentam uma superfície de ataque diferente de outros dispositivos inteligentes”.

O que isto significa é que os carregadores executam ferramentas de software de gestão “entre o utilizador do VE e o carro e entre a estação de carregamento e a rede elétrica e coordenam a faturação, a autenticação e a energia fornecida”, diz Bou-Harb. “E aumentando essa complexidade, tudo isso também é implantado pelos fornecedores de cobrança na nuvem.” Sua pesquisa descobriu que alguns dos softwares executados por essas estações foram explorados durante anos, “e que os fornecedores ainda não perceberam que foram comprometidos e muito menos resolveram os problemas”.

A postagem do blog da Enel X Way lista uma lista abrangente quadro de oito pontos para estações de carregamento que abrange acesso de identidade, gestão de riscos, resposta a emergências e outros fatores. 

Na mira dos reguladores

Tanto os EUA como a Europa estão a tomar medidas regulamentares para tentar controlar as estações de carregamento, tanto públicas como privadas. O Reino Unido tem uma lei anti-adulteração em vigor desde 2022, relevante para as estações de carregamento domésticas. Isto resultou em melhorias de segurança de vários fornecedores, conforme relatado recentemente. A Wallbox, um fornecedor de estações de carregamento, adicionou salvaguardas de segurança adicionais aos seus equipamentos para cumprir estes regulamentos, enquanto outros fornecedores abandonaram os mercados europeus em vez de melhorarem os seus produtos. 

A UE propôs novas salvaguardas de cibersegurança para operadores de redes elétricas e fornecedores de IoT no seu Diretiva NIS2 do ano passado, que entrará em vigor em outubro. Inclui requisitos mais rigorosos de comunicação de violações e impõe multas mais elevadas, entre outros itens. 

Outra proposta é fazer com que a indústria de estações de carregamento autocertifique seus dispositivos, como o que o Underwriters Laboratories faz para vários produtos eletrônicos. Fornecedor europeu de segurança automotiva Dekra propôs um programa de certificação de estação de carregamento pública que afirma ser o primeiro do setor. Oferece três níveis diferentes que vão desde a prestação de serviços básicos de segurança até testes de penetração do equipamento. 

Os EUA estão atrasados ​​nestes esforços. No verão passado, a administração Biden propôs um programa de rotulagem de segurança cibernética para dispositivos domésticos inteligentes. Apelidado de Marca de confiança cibernética, seria administrado pela FCC, com base no trabalho desenvolvido pelo Instituto Nacional de Padrões e Tecnologia. “O Cyber ​​Trust Mark é uma excelente ideia”, afirma Rose, da Check Point. “Mas a execução será fundamental. A marca deve ser atualizada e baseada em testes contínuos de dispositivos.”

No ano passado, o Instituto Nacional de Padrões e Tecnologia (NIST) também propôs uma série de recomendações para estações de carregamento públicas para melhorar sua segurança cibernética. No entanto, um elemento-chave das iniciativas NIST, Cyber ​​Trust e Dekra é que todas são voluntárias. “As diretrizes das estações de carregamento são um desenvolvimento positivo”, disse Ravi Lingarkar, vice-presidente de gerenciamento de produtos da Akitra. escreveu no LinkedIn. “Sem padrões uniformes de segurança cibernética, as estações de carregamento de veículos elétricos podem se tornar alvos fáceis para hackers. É como permitir que qualquer pessoa traga seu próprio dispositivo para a rede. Dada a rápida expansão da infraestrutura de carregamento de VE, a segurança cibernética está na vanguarda de muitos problemas potenciais.” 

Ainda assim, estes esforços são iniciais e incompletos. “As regulamentações governamentais chegaram tarde demais”, diz Bou-Harb. “O mercado já está saturado de diversos produtos de carregamento. Esses fornecedores realmente não se importam com a segurança de seus dispositivos, o que geralmente é uma reflexão tardia. É hora de os fornecedores de cobrança se unirem, admitirem que há um problema e começarem a trabalhar em soluções e compartilhar dados sobre ameaças.”

Um obstáculo potencial é que os carregadores de veículos elétricos estão sob a alçada de várias agências reguladoras, como os departamentos de Transporte, Energia e Segurança Interna. Fazer com que todos trabalhem cooperativamente não será fácil. “Ninguém está assumindo a liderança”, diz Bou-Harb. 

“Um passo simples que o governo poderia tomar agora seria exigir o SOC2 pendente para fornecedores de carregamento de EV. Precisamos elevar o nível”, diz Shahidi, da EVPassport. O padrão SOC2 concentra-se em controles de segurança e privacidade, entre outros itens.  

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.