روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در طی 5 سال گذشته اتومبیل های الکترونیکی جهش چشمگیری داشته است، شاید آن ها از لحاظ ظاهری فرق چندانی با اتومبیل های سوختی نداشته باشند اما از لحاظ سیستم و عملکرد کاملا متفاوت هستند. با کاهش قیمت اتومبیل های الکترونیکی رشد خرید و فروش این ماشین ها و البته افزایش تعداد آن ها پیش بینی می شود. زیرساخت های ماشین های الکترونیکی در حال توسعه هستند و بنابراین تا کمی بعد شاهد جایگاه های متعدد شارژ برای اتومبیل ها خواهیم بود.
ما بارها در مقالات خود گفته ایم که هر ماشینی که به سمت هوشمند شدن پیش برود و تجهیزات آن حرفه ای شود زمینه بوجود آمدن آسیب پذیری در آن به مراتب بیشتر می شود. شاید در این مورد یک شارژر الکترونیکی به شما آسیبی نرساند اما مجرمان سایبری چطور؟ پیاده سازی مفاهیم، پرداخت و شارژ چطور؟ آیا احتمال سرقت اطلاعات شخصی و پول های شما در این مورد هم وجود دارد؟ Mathias Dalheimer در سی و چهارمین کنگره ی ارتباطات در مورد آسیب پذیری زیرساخت های الکترونیکی این موضوع را مطرح ساخت.
اتومبیل های شارژی چگونه کار می کنند؟
بدیهی است با رشد اتومبیل های الکترونیکی جایگاه شارژ کردن آن ها نیز افزایش بیابد، این در حالی است که مسئولین ارائه دهنده به جای بنزین و گاز سوختی، انرژی را ارائه و پول دریافت می کنند. برای این معاملات، آنها به یک سیستم بیلینگ داخلی نیاز دارند. قبل از اینکه شما بخواهید ماشین خود را شارژ کنید نیاز است که هویت خود را با استفاده از آیدی توکن خود مشخص کنید.
بیلینگ برای تبادل الکتریسته به طور معمول با استفاده از پروتکل Charge Point انجام می شود که قادر است ارتباط بین سیستم های مدیریتی صدور بیلینگ در یک طرف و در سویی دیگر شارژر الکترونیکی را تنظیم کند. نقطه ی شارژ درخواستی را برای شناسایی شما به سیستم بیلینگ ارسال می کند، مدیریت بیلینگ درخواست را تایید می کند و اجازه می دهد تا نقطه ی شارژ شناسایی شود، در این صورت ایستگاه به شما اجازه می دهد تا اتومبیل خود را شارژ کنید. پس از آن مقدار برق محاسبه می شود و به سیستم مدیریت بیلینگ ارسال می شود تا صورت حساب برای شما صادر گردد.
هیچ چیز عجیب و شگفت آوری در این مراحل وجود ندارد اینطور نیست؟ بسیار عالی، حال بیایید کمی فنی تر و دقیقتر این مراحل را بررسی کنیم.
مشکلات، مشکلات در همه جا وجود دارند
Dalheimer با بررسی اجزای مختلف سیستم متوجه شد که همه ی آن ها با موارد امنیتی مواجه هستند. این مورد آیدی توکن است. آن ها توسط ارائه دهندگان اشخاص ثالث ساخته می شوند و این مورد کاملا تعجب آور است. اکثر آن ها اطلاعات شما را به خطر می اندازند. آن ها کارت های بسیار ساده ی NFC هستند که شناسه و یا هرچیزی که درون خود حفظ می کنند را امن نگاه نمی دارند و آن ها را رمزنگاری نمیکنند. البته مشکلات این کارت ها همچنان ادامه دارد. آنها برنامه های بسیار ساده ای دارند که Mathias با کپی کارت خود موفق به شارژ کردن شد. انجام این کار توسط یک فرد زیرک بسیار ساده است.
از آنجایی که شارژ توسط ارائه دهندگان تنها یکبار در ماه ارائه می شود اگر حساب کاربری صاحب اتومبیل در خطر افتاده باشد، دیگر قادر نخواهد بود که به حساب خود وارد شود و این مورد شاید حاشیههای بسیاری در برداشته باشد.
مورد دیگری که چنین اتومیبیل هایی را آسیب پذیر می کند این است که در حال حاضر اکثر ایستگاه ها از نسخه ی سال 2012 OCPP استفاده می کنند به نسبت قدیمی و مبتنی بر HTTP است (به خوبی می دانیم که استفاده از پروتکل رمزنگاری نشده ی HTTP به هیچ عنوان توصیه نمی شود). Mathias نشان داد که به راحتی میتوان یک حمله ی مرد میانی را در این بین راه اندازی و سیستم را به طور کلی هک کرد.
علاوه بر این هر دو ایستگاه هایی که Mathias آن ها را مورد بررسی قرار داد دارای پورت های USB بودند. زمانی که کاربر USB خود را وارد می کند، لوگ ها و داده های مربوط در درایو کپی می شوند. با استفاده از این داده ها، دستیابی به لوگین و رمزعبور از طریق سرور OCPP و شماره های توکن کاربران قبلی که عضو بوده اند به راحتی امکان پذیر می شود.
بدتر از آن این است که اگر داده های روی درایو نیز تغییر کنند سپس درایو USB به نقطه ی شارژ وارد شود، نقطه ی شارژ به طور خودکار آن را به روزرسانی می کند و داده ها را بر روی درایو با پیکربندی جدید در نظر می گیرد. و این آسیب پذیری پای هکرها را به راحتی به میان میکشد.
به طور خلاصه مجرمان می توانند: شناسه های کارت را جمع آوری کنند، از آن ها کپی برداری کنند و برای معاملات خود استفاده کنند. سپس درخواست های شارژ مجدد را بررسی می کنند و از این طریق نقطه ی شارژ را غیر فعال می سازند. تمام این موارد نشان دهنده ی ناامن بودن فعلی اتومبیل های الکترونیکی بود. شاید در حال حاضر این ماشین ها در ایران چندان دیده نشوند اما به زودی با پیشرفت تکنولوژی شاهد رشد آن ها خواهیم بود.
منبع: کسپرسکی آنلاین(ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.