Black Hat USA 2025: Modern arabaların güvenliğini test eden Arjantin yapımı cihaz "evilDoggie"
Dünyanın en büyük siber güvenlik konferanslarından biri olan Black Hat'in ikinci günü, iki Arjantinli bilgisayar korsanı, arabalarda kullanılan bilgisayar sistemlerinin güvenliğini test etmek için kullanılan "evilDoggie" adlı cihazı tanıttı. Faraday Security'den Octavio Gianatempo ve Gastón Aznarez, bu aracı kullanarak bazı araba markalarındaki güvenlik açıklarının nasıl tespit edileceğini gösterdi.
Aracın adı, modern otomobillerde çeşitli dahili bilgisayarların (örneğin motoru veya frenleri kontrol edenler) birbirleriyle iletişim kurmasını sağlamak için kullanılan bir dahili iletişim standardı olan " CAN " protokolünden (Denetleyici Alan Ağı'nın kısaltması) esinlenerek verilmiştir.
Programların ve çeşitli donanım parçalarının sergilendiği konferansın "Arsenal" bölümünde yapılan sunumda araştırmacılar, izleme sürümünden (Doggie) bu protokole saldırmak için kullanılan "kötü" sürümüne geçişi sağlayan bir anahtar bile içeren aracın nasıl kullanılacağını gösterdiler. Ayrıca, katılımcıların nasıl kullanılacağını öğrenmeleri için bir atölye çalışması da düzenlediler.
Araştırma , siber güvenlik konferanslarının en popüler alanlarından biri olan "Araba korsanlığı" başlığı altında ele alınıyor. Faraday Security, bu yayın organına yaptığı açıklamada, "Araba korsanlığı, mevcut siber güvenlik bilgisine odaklanır, ancak bunu arabaların kullandığı ağlara uygular. Son yıllarda araçlar 'daha akıllı' hale geldi ve elektronik sistemlerle birlikte var oluyor. Elon Musk'ın deyimiyle, 'tekerlekli bilgisayarlar'dır," diye açıkladı.
"Bu ağların hepsi tescilli; şeffaflık düşünülerek tasarlanmamışlar. İşte güvenlik uzmanlarının rolü tam da bu noktada devreye giriyor: Bu teknolojilerin nasıl çalıştığını ve ne gibi riskler oluşturduklarını anlamak," diye eklediler.
Saldırı moduna girmek için "iyi/kötü" anahtarı. Fotoğraf: Juan Brodersen
Şirketin araştırması, otomotiv güvenliği alanında bir keşif olarak başladı. "Araştırmamıza başladığımızda, aracın bilgisayarlarıyla iletişim kurmak için bir araca ihtiyacımız olduğunu fark ettik. Ancak Arjantin'de iyi bir açık kaynak seçeneği bulamadık. Gastón, bu aracı, donanım ve yazılımı için modüler bir tasarımla geliştirme fikrini ortaya attı; böylece herkes elindeki bileşenlerle kendi aracını oluşturabilir ve hatta başka versiyonlar bile geliştirebilirdi," dedi şirket araştırmacılarından Octavio Gianatiempo Clarín'e .
Gastón Aznarez, projenin siber güvenlikte sistemlere saldırarak güvenlik açıklarını bulmaya ve nihayetinde bunları düzeltmeye adanmış bir dalı olan saldırgan güvenliğe nasıl kaydığını açıklıyor. "İlk araç Doggie'ydi, ancak fikir gelişti ve saldırgan yetenekler ekledik, böylece nihayetinde hem protokol hem de fiziksel düzeyde CAN iletişimlerine gelişmiş saldırılar gerçekleştirme ve elektrik seviyesinde devreye müdahale etme olasılığı üzerine odaklanan evilDoggie ortaya çıktı," diye açıklıyor.
"Doggie özellikleri ve kötüDoggie saldırıları, bir aracın ECU'ları [elektronik kontrol üniteleri] arasındaki iletişimi bozmak ve beklenmedik durumlar yaratmak için kullanılabilir. Günümüzde arabalarda birden fazla bilgisayar bulunuyor ve neredeyse tüm işlevleri CAN iletişimi aracılığıyla bunlar tarafından kontrol ediliyor. Modern arabalar bu iletişime güvenlik önlemleri eklese de, bu tür saldırıların gerçek bir etki yaratabileceği bilinen durumlar da var," diye ekledi bilgisayar korsanı.
"evilDoggie", bir arabanın güvenliğini test edebilen ilk cihaz değil. Hatta, "hacklemenin İsviçre Çakısı" olarak bilinen "Flipper Zero", anahtarsız araba kapısının nasıl açılacağını gösteren birkaç viral videoda yer aldı. Bunun nedeni, cihazın evilDoggie'nin hedef aldığı protokollerden farklı olan kablosuz protokollerle çalışmasıdır.
Faraday, "Arabanın parçaları, örneğin motor ve tekerlekler arasındaki iletişim kablolar aracılığıyla sağlanıyor. Bu nedenle, evilDoggie'yi kullanmak için önce araca erişiminiz olması gerekiyor: Amaç, aracın içine girdikten sonra bu protokolün ne kadar güvenli olduğunu ve nasıl geliştirilebileceğini görmek," diyor.
Octavio Gianatiempo ve Gastón Aznarez, Faraday Güvenlik araştırmacıları, Black Hat'te. Fotoğraf: Juan Brodersen
Bu Arjantin geliştirmesi, açık kaynaklı bir sürüm (tüm yapım ve programlama süreci danışmanlık için erişilebilir) ve düşük seviyede, yani aracın donanımı veya iletişim protokolleriyle doğrudan etkileşim halinde çalışmasını sağlıyor. evilDoggie, önceden tasarlanmış programlar veya arayüzler kullanmak yerine, modern araçlara yerleştirilmiş çiplere daha yakın katmanlara, örneğin bu CAN protokolüne erişim sağlıyor .
Şirket, "Siber güvenlik sadece bilgisayarlar ve sunucularla sınırlı değil, aynı zamanda her gün kullandığımız teknolojiyi de kapsıyor: Arabalar da bir istisna değil " açıklamasında bulundu.
Clarín , testler sırasında saldırıya uğrayan araç modellerini sordu ancak Faraday ayrıntı vermeyi reddetti.
Arsenal'deki sergi, aleti satın almak isteyen birden fazla ziyaretçinin ilgisini çekti.
BASE4'ten Diego Staino ve Federico Pacheco, BUDA sunumunda. Fotoğraf: Juan Brodersen
Arsenal'de ayrıca, Arjantinli BASE4 şirketinden araştırmacılar Federico Pacheco ve Diego Staino, "Siber aldatma" olarak bilinen, analistlerin bir sisteme girip bilgi elde etmek isteyen bilgisayar korsanlarını kandırmak için ağlara yerleştirdikleri sanal tuzaklar alanında bir araç sundular.
Aldatma stratejileri tehdit analizinde yaygındır. Saldırgan güvenlik alanında oldukça iyi araştırılmış bir alandır. 2024 Ekoparty etkinliğinde, yerel araştırmacı Sheila Berta, " bal tuzağı " adı verilen belirli bir sistem türünün kamu sistemlerinde nasıl kullanıldığını gösterdi.
Pacheco bu haber sitesine, "Geleneksel bal tuzağı tarzı tuzakların sorunu, daha gelişmiş saldırganların bazen bunları çok temiz veya boş göründükleri ya da aktivite eksikliği nedeniyle tespit edebilmeleridir. BUDA, bu tuzakları çok daha güvenilir kılan bir araçtır," dedi. BUDA, Davranışsal Kullanıcı Odaklı Aldatıcı Faaliyetler Çerçevesi'nin kısaltmasıdır.
Uzman, "Bunu yapmak için, ağın ve sistemlerin normal davranışlarına dayalı hayali 'kullanıcı profilleri' oluşturuyor. Bu profiller daha sonra normal bir çalışanın yapacağı işlemleri gerçekleştiriyor; örneğin bir sisteme giriş yapmak , belgeleri açmak, e-posta göndermek veya internette gezinmek gibi." diye devam ediyor.
Arsenal konuşmasında araştırmacılar, aldatmacalar için tutarlı bir "anlatı" oluşturmanın önemini vurguladılar; böylece saldırganlar bir bal tuzağıyla uğraştıklarını anlamazlar.
Diego Staino, "Araç, profillerin tipik davranış kalıplarını izleyerek otonom bir şekilde hareket edecek şekilde düzenlenmesine olanak tanıyor. Bu davranışları simüle ederek tuzak çok daha gerçekçi hale geliyor ve saldırganların meşru kullanıcıları olan bir sistemle uğraştıklarına inanmaları için daha fazla sebepleri oluyor. Bu da daha fazla zaman kaybına ve neyin gerçek neyin sahte olduğunu ayırt etmeyi zorlaştırıyor ," diye ekledi.
Uzman, "Ayrıca, hayali kullanıcılar gerçek veya sahte sistemler ve varlıklar üzerinde işlem yapabildiğinden, araç simüle edilen davranışın bir saldırganın veya kötü niyetli bir aktörün davranışına benzemesini sağlayarak, ağ ve sistem savunma önlemlerinin test edilmesine olanak tanıyor" diye sonuca varıyor.
Çalışma bu hafta Arjantin Operasyon Araştırmalarında Bilişim Konferansı'nda akademik incelemenin önünde bir teknik rapor olarak sunuldu.
Sebastián García ve Verónica Valeros, Prag'daki Çek Teknik Üniversitesi'ndeki (CTU) Arjantinli siber güvenlik araştırmacıları
Black Hat'in bir diğer önemli alanı da konuşma ve konferanslardan birkaç gün önce başlayan eğitim oturumlarıdır. Bu oturumlar halka açık olmayıp, çeşitli uzmanlar ve sektör çalışanları için yoğunlaştırılmış dersler niteliğindedir.
Bunlardan biri, Çek Teknik Üniversitesi'nde (CTU) çalışan Arjantinli araştırmacılar Sebastián García ve Verónica Valeros tarafından verilen, "kritik durumlarda kötü amaçlı yazılım (virüs) trafiğini nasıl tespit edeceğinizi ve meşru trafikten nasıl ayırt edeceğinizi öğrenmenizi sağlayan ileri düzey bir eğitim programı"ydı.
"Gerçek hayattan saldırıların ele alındığı, oldukça pratik ve yoğun iki gündü. Birçok tatbikat, gizli kötü amaçlı yazılımlar, botnetler, casus yazılımlar, büyük hacimli verilerle nasıl çalışılacağı ve tehdit tespitini iyileştirmek için yapay zekanın nasıl kullanılacağı hakkında bilgi edinmeye odaklandı," diye eklediler.
Nicole Perlroth, Black Hat USA 2025'te. Fotoğraf: Black Hat
Black Hat , dünyanın en etkili siber güvenlik konferanslarından biridir. Hacker dünyasında "The Dark Tangent" olarak bilinen Jeff Moss tarafından 1997 yılında kurulmuştur. Ana konferans Amerika Birleşik Devletleri'nde düzenlense de, Asya ve Avrupa'da da edisyonları bulunmaktadır.
2025 edisyonunun açılışında Moss siyasi bir konuşma yaptı ve ünlü Finlandiyalı hacker Mikko Hypponen , hackerlık sektöründen emekliliğini duyurdu. İkinci gün, eski New York Times gazetecisi Nicole Perlroth, yapay zekanın tehdit ortamında yarattığı zorluklar üzerine düşünme çağrısında bulundu.
" Yapay zeka ile balayı dönemini geride bırakıyoruz. İnanılmaz verimlilik seviyelerine ulaşıyoruz. Yapay zekanın savunmayı mı yoksa hücumu mu destekleyeceği sorusuna gelince, ilk göstergeler hücumun avantajlı olacağını gösteriyor. Ancak bunu hâlâ değiştirebiliriz. Dar bir zaman aralığımız var, ancak bu zaman hızla daralıyor ve yapay zeka altyapımıza, karar alma sürecimize ve savunmamıza yerleştiğinde, başarısızlığın maliyeti katlanarak artacak . Tasarım gereği güvenlik hiç bu kadar acil olmamıştı ," dedi Perlroth.
Kongre, siber güvenlik alanındaki güvenlik açıklarını, küresel tehditleri, savunma tekniklerini ve çığır açan bulguları tartışmak üzere dünyanın dört bir yanından uzmanları bir araya getiriyor. 1993 yılında kurulan ve daha gayriresmî bir ruha sahip olan DEF CON'un aksine, Black Hat kurumsal dünyaya yöneliktir.
Konferans, siber güvenlik dünyası için bir vitrin görevi görmenin yanı sıra, günümüz tehdit ortamı için de bir laboratuvar işlevi görüyor.
Clarin
