随着电动汽车销量的增加,充电站受攻击的风险以及重大网络安全漏洞的可能性也越来越大。电动汽车(EV)的日益普及不仅受到消费者的青睐,也受到专注于利用电动汽车充电站发动深远攻击的网络犯罪分子的青睐。这是因为每个充电点,无论是在私人车库内还是在公共停车场内,都在线并运行各种与支付系统和电网交互的软件,并存储驾驶员身份。换句话说,它们是物联网(IoT)软件的深坑。
充电站面临重大网络安全风险
充电网络提供商EVPassport的首席执行官胡曼·沙希迪(Hooman Shahidi)表示:“随着电动汽车充电变得更加普遍,它们将成为更复杂的黑客组织的有吸引力的目标。” “供应商需要将他们的产品视为关键基础设施和我们国家安全的关键组成部分。”美国有250万辆电动汽车在运营,其中一半以上需要插入式充电器。鉴于其受欢迎程度,英国于2022年强制要求在所有新建住宅建筑中建造充电站。
Check Point Software和SaiFlow的研究人员写道:“问题包括不受保护的互联网连接、身份验证和加密不足、缺乏网络分段、不受管理的能源资产等等。” SaiFlow是分布式能源解决方案的网络安全专家。例如,受损的站点可能会损坏电网,或导致客户数据被盗。“充电站拥有个人和支付信息,并运行传统防火墙通常无法识别的各种协议,”在CTO办公室工作的Check Point Software的Aaron Rose说道。
针对充电站的网络攻击的早期阶段始于几年前,当时俄罗斯的一个充电站于2022年2月因乌克兰战争而遭到攻击,而英国的另外三个充电站于2022年4月遭到攻击。这两种情况都更多是网络恶作剧,屏幕上出现粗鲁的信息。壳牌去年修复了 一个数据库中的一个漏洞,该漏洞可能会暴露其电动汽车充电网络中的数百万条充电日志。
新的漏洞继续困扰着充电站。SaiFlow今年早些时候发现,其中两个可能导致远程代码执行和潜在的数据盗窃 。根据他们的研究,这些漏洞利用了充电站中使用的各种软件模块之间的弱身份验证例程。充电站供应商Enel X Way列出了涉及车辆ID号的各种其他数据泄露,以及可以远程访问车辆控件的漏洞。
Elias Bou-Harb是路易斯安那州立大学的计算机科学家,长期研究充电站安全。他发现几乎每个收费产品都存在重大漏洞,包括SQL注入、跨站脚本等众所周知的攻击方式。“特别令人担忧的是,大多数供应商都没有实施一些众所周知的保护措施,即使在我们发现这些弱点之后,也很少有供应商采取措施来提高安全性。”
物联网设备仍然是有吸引力的攻击目标
当然,来自充电站的威胁并不是唯一成为网络攻击者目标的物联网设备。这些站点只是众多物联网设备中的一种,其漏洞不断增加。许多规模较小的供应商安全设计和实践较差,再加上僵尸网络等众多自动化工具来定位和破坏各种设备,使得所有物联网设备很容易成为黑客的目标。此后,美国联邦通信委员会(FCC)的数据有所增加。
但充电站确实代表了一种复杂的元素组合,因此非常丰富且具有潜在的可利用性,其范围可以超越智能电视和智能扬声器。例如,Check Point的Rose表示,“充电器具有类似的风险状况,但与其他智能设备呈现不同的攻击面。”
Bou-Harb表示,这意味着充电站“在电动汽车用户和汽车之间以及充电站和电网之间运行管理软件工具,并协调计费、身份验证和供电”。“更复杂的是,所有这些都由收费供应商部署在云端。”他的研究发现,这些站点运行的一些软件已被利用多年,“供应商尚未意识到他们已受到损害,更不用说解决问题了。”
Enel X Way的博客文章列出了充电站的全面八点框架 ,涵盖身份访问、风险管理、应急响应和其他因素。
充电站成监管机构重点监管目标
美国和欧洲都在采取监管措施,试图控制公共和私人充电站。英国自2022年起颁布了一项与家庭充电站相关的反篡改法。正如最近报道的那样,这促成了多家供应商的安全性改进。充电站供应商Wallbox为其设备增加了额外的安全保障措施,以遵守这些法规,而其他供应商则退出了欧洲市场,而不是改进其产品。
欧盟去年在NIS2指令中提出了针对电网运营商和物联网供应商的新网络安全保障措施,该指令将于2024年10月生效。其中包括更严格的违规报告要求并征收更高的罚款等。 另一项建议是让充电站行业对其设备进行自我认证,就像美国保险商实验室对各种电子产品所做的那样。欧洲汽车安全供应商Dekra提出了一项公共充电站认证计划, 据称这是行业首创。它提供三个不同级别,从提供基本亚洲信誉品牌的大型娱乐平台到设备渗透测试。
美国在这些努力方面落后了。去年夏天,拜登政府提出了智能家居设备的网络安全标签计划。该标志被称为 “网络信任标志”,将由美国联邦通信委员会根据美国国家标准与技术研究所制定的工作进行管理。“网络信任标记是一个好主意,”Check Point的Rose说。“但执行将是关键。标记必须更新,并且基于对设备的持续测试。”
去年,美国国家标准与技术研究院(NIST)还针对公共充电站提出了一系列改善网络安全的建议。然而,NIST、Cyber Trust和Dekra倡议的一个关键要素是它们都是自愿的。Akitra产品管理副总裁Ravi Lingarkar在 LinkedIn上写道:“充电站的指导方针是一个积极的发展。” “如果没有统一的网络安全标准,电动汽车充电站很容易成为黑客的目标。这就像任何人都可以将自己的设备接入电网一样。鉴于电动汽车充电基础设施的快速扩张,网络安全是许多潜在问题的首要问题。”
尽管如此,这些努力还处于早期阶段且还不完整。“政府的规定来得太晚了,”布哈布说。“市场上各种充电产品已经饱和。这些供应商并不真正关心他们设备的安全性,这往往更多是事后的想法。现在是充电供应商团结起来,承认存在问题的时候了,并且开始研究解决方案并共享威胁数据。”
一个潜在的障碍是电动汽车充电器受到多个监管机构的管辖,例如交通部、能源部和国土安全部。让他们所有人合作并不容易。“没有人发挥领导作用,”布哈布说。
“政府现在可以采取的一个简单步骤是要求电动汽车充电提供商等待SOC2。我们需要提高标准,”EVPassport 的Shahidi说。SOC2标准重点关注安全控制和隐私等项目。
参考资源:
1.http://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities
2.http://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_s84_paper.pdf
3.http://www.clouddefense.ai/clouddefense-ai-discovers-critical-security-data-breach-for-oil-giant-shell/
4.http://www.motorbiscuit.com/a-ukrainian-company-hacked-russian-ev-charging-stations-to-protest-the-invasion/
5.http://www.linkedin.com/pulse/unpacking-nists-cybersecurity-guidelines-ev-fast-ravi-lingarkar/
6.http://www.dekra.us/en/digital-product-solutions/ev-charging-station-cybersecurity-certification/
原文来源:网空闲话plus