Hackers, Ignition Interlocks-ஐ கீழே இறக்கி, DUI இயக்குனர்களை சிக்க வைத்தனர்

Compliance சாதனம் எப்போது தோல்விக்கான புள்ளியாக மாறுகிறது

driving under the influence-ற்கான குற்றவாளிகளான வெகுஜன அமெரிக்கர்களுக்கு, வாகனம் ஓட்டுவதற்கான திறன் டேஷ்போர்டில் ஏற்றப்பட்ட ஒரு சிறிய பெட்டியில் சார்பு கொண்டுள்ளது। Ignition Interlock சாதனம் driver இঞ்சியை தொடங்குவதற்கு முன் தூய சுவாசத்தின் மாதிரি வெளிவிட பாধ்যப்படுத்துகிறது. ஒரு calibration deadline திசை மாற்றவும், பরிசோதனায் தோல்வி அடையவும், அல்லது — சமீபத்தில் ஆயிரக்கணக்கான மக்கள் கண்டுபிடித்தபடி — உங்கள் provider-ஐ hacked கண்டுபிடிக்கவும், மேலும் நீங்கள் எங்குமே செல்ல முடியாது.

Des Moines, Iowa-வை அடிப்படையாக கொண்டுள்ள Intoxalock-ற்கு சைபர் தாக்குதல் நிகழ்ந்தபோது இது சரியாக நடந்தது, இது நாட்டின் மிகப்பெரிய ignition interlock providers-ன் ஒன்று. breach நிறுவனத்தின் backend systems-ஐ கலக்கி விட்டது, எத்தனையோ மாநிலங்களில் வாடிக்கையாளர்களை தங்களின் சொந்த வாகனங்களிலிருந்து locked out விட்டுவிட்டது. பலர்க்கு, இது வெறுமே ஒரு inconvenience இல்லை — இது வேலையை பின்னால் விட்டுவிடுவது, court-mandated appointments, அல்லது மருத்துவ பார்வைகள், சாத்தியமான சட்டப்பூர்வ விளைவுகளுடன் அவர்களின் interlock logs non-compliance அல்லாக இருந்தால்.

கணினி எப்படி செயல்பட்டு — மற்றும் இது எங்கே உடைகிறது

Intoxalock சாதனங்கள் isolation-ல் செயல்பட்டு கொள்ளவு இல்லை. பெரும்பாலான நவீன compliance hardware போல, அவை cloud infrastructure-ல் இணைந்து இருக்கின்றன, அது device status-ஐ validate செய்கின்றது, breath test முடிவுகளைக் process செய்கின்றது, மற்றும் calibration schedules-ஐ track செய்கின்றது. ড்রைவர்கள் பொதுவாக 30 முதல் 90 நாள்களுக்கு ஒரு முறை சாதனத்தை calibration-ற்கு கொண்டு வர வேண்டும். ஒரு calibration appointment திசைதிருப்ப பட்டால், கணினி ஒரு lockout முறை-ல் நுழையும் — கார் issue தீர்க்கப்படுவதுவரை start ஆகாது.

Intoxalock-ன் servers தாக்குதலுக்குப் பிறகு கீழே சென்றபோது, சாதனங்கள் தங்களின் calibration நிலைமையை உறுதிசெய்ய தொடர்பு கொள்ள முடியவில்லை. சில வாடிக்கையாளர்களுக்கு, இது automatic lockouts-ஐ trigger செய்தது. மற்றவர்கள் சாதனத்தின் service window மூடப்பட்டுக் கொண்டுள்ளது என்றும் online portal offline என்பதால் appointments-ஐ அட்டவணைப் படுத்த முடியவில்லை என்றும் கண்டறிந்தனர். backend-ஐ query செய்ய எந்த மதிப்பு இல்லை, interlock சாதனங்கள் தங்களின் மிக restrictive நிலைமையில் default செய்தன: immobilized.

Intoxalock சாதனங்கள் GPS logging-ஐও உள்ளடக்கியுள்ளன, மேலும், சில மாநிலங்களில், driver-ஐ tube-ல் blow செய்வதற்கான photographic documentation-ன் தேவை இருக்கிறது. இந்த அனைத்து data cloud infrastructure மூலம் flows செய்கிறது. அந்த infrastructure compromise செய்யப்பட்டபோது, cascading விளைவுகள் ஒரு mere service outage-ற்கு அப்பால் செல்கின்றன — அவை legal compliance records-ஐ touch செய்கின்றன, அது courts மற்றும் state DMVs-ல் சார்பு கொண்டுள்ளன, DUI offenders தங்களின் conditions-ஐ meet செய்கிறதா என்பதை உறுதி செய்ய.

Critical Infrastructure Hacks-ன் மানுட Cost

Ignition Interlock programs United States-ல் எந்த சமயத்திலும் estimated 350,000 drivers-ஐ பாதிக்கிறது, industry data-ற்கு அனுசாரமாக. California, Texas, New York, மற்றும் Illinois-ஐ போல States-ல் first-time DUI offenses-ற்கான mandatory interlock requirements இருக்கிறது. சாதனத்துடனான compliance optional அல்ல — operational interlock-ஐ maintain செய்ய தோல்விப்படுவது license suspension, probation violations, அல்லது even re-arrest-ன் விளைவுக்கு வழங்க முடியும்.

இது Intoxalock-ன் infrastructure-ஐ regulatory sense-ல் genuinely critical ஆக்குகிறது. streaming service-ல் ஒரு routine server outage irritating ஆகிறது. ஒரு court-mandated compliance provider-ல் ஒரு outage vulnerable people-ற்கான cascading legal consequences-ஐ trigger செய்ய முடியும், அவர்கள் ஏற்கனவே justice system-ஐ navigate செய்திருந்தார்கள் மற்றும் தங்களின் வாழ்க்கையை rebuild செய்ய முயற்சி செய்துக் கொண்டிருந்தனர்.

Affected user-ன் reports Intoxalock-ன் customer service-ஐ reach செய்வதற்கான நாட்களை விவரித்தன, அது calls-ன் surge-ல் overwhelmed இருந்தது. சில users success-ஐ reported செய்தனர் சுமார் அவர்களின் state-ன் department of motor vehicles-ஐ directly contact செய்யும் போது situation-ஐ explain செய்ய — ஒரு workaround, இது bureaucratic channels-ஐ navigate செய்வதற்கு தேவைப்படுகிறது, பெரும்பாலான மানুட stress-ல் equipped இல்லை.

ஒரு Growing Pattern: Niche Critical Infrastructure-ல் Attacks

Intoxalock incident ஒரு broader மற்றும் troubling pattern-ஐ fit செய்கிறது: ransomware மற்றும் cyberattacks increasingly niche provider-களை headline-grabbing enterprises-ற்கு பதிலாக targeted செய்கிறது, critical compliance அல்லது operational infrastructure-ன் பொருட்டாக. Healthcare providers, water treatment facilities, school districts, மற்றும் இப்போது DUI compliance vendor-கள் அனைத்து attackers-ன் crosshairs-ல் found செய்யப்பட்டிருக்கிறது, அவர்கள் இந்த organization-கள் அவர்களின் outsized real-world impact இருந்தாலும் பொதுவாக limited cybersecurity resources இருக்கிறது என்பதை recognize செய்கிறது.

Intoxalock, LifeSafer brand umbrella-ற்கு under operate செய்கிறது larger automotive services companies-ற்கு acquisition-ன் பின்னர், இந்த writing-ன் அடிப்படையில் attack-ன் nature-ஐ publicly disclose செய்யவில்லை. நிறுவனம் ஒரு statement issued செய்தது service disruption-களை acknowledging செய்கிறது மற்றும் சொல்லப்பட்டது cybersecurity experts-ட் operation-களை restore செய்ய வேலை செய்துக் கொண்டுள்ளது.

Incident என்ன clear செய்கிறது என்பது mandatory compliance technology-ன் business public safety மற்றும் private enterprise-ன் ஒரு peculiar intersection-ல் occupy செய்கிறது. சாதனங்கள் courts-ற்கு mandated மற்றும் states-ற்கு regulated, ஆனால் private companies-ற்கு operated cybersecurity investment மற்றும் crisis-response capability-ன் varying levels உடன்.

Compliance Hardware-ல் Resilience-ஐ Rethink செய்தல்

Security researcher-கள் நீண்ட நாட்கள் pointed out செய்திருக்கின்றனர், cloud-dependent compliance devices ஒரு systemic vulnerability-ஐ represent செய்கிறது. ஒரு device-ன் core function — இந்த case-ல், ஒரு car start செய்வது — ஒரு remote server-ல் depend செய்கிறது, இது ஒரு attacker-ற்கு offline take செய்ய முடியும், தோல்வி முறை-கூட ஒரு mere service outage அல்ல. இது ஒரு civil liberties issue ஆகிறது.

சில critic-கள் argued செய்திருக்கிறார்கள், interlock device-ன் safety-critical function-கள் offline அல்லது degraded mode-க்கு operate செய்ய design செய்யப்பட வேண்டும், cloud connectivity reserved கொள்ள வேண்டும் data reporting-ற்கு பதிலாக real-time operational gating. ஒரு calibration status locally cached மற்றும் periodically synced அனைத்து problem-களை solve செய்ய மாட்டாது, ஆனால் இது mass lockout-ஐ prevent செய்யும், இது இங்கு happen செய்தது.

மற்றவர்கள் regulatory redundancy-ன் கேள்வியை raise செய்திருக்கிறார்கள்: ஒரு provider compromise செய்யப்பட்டால், state-களுக்கு backup authorization pathway-கள் থাக வேண்டுமா, இங்கு driver-கள் stranded சாக்கு இல்லை, primary system offline இருந்தவேளை?

இப்போது, ஆயிரக்கணக்கான driver-கள், சொந்த cars-ஐ start செய்ய முடியவில்லை, Iowa-ல் server breach-ற்கு, unwanted lesson கிடைத்துவிட்டது, physical reality digital infrastructure-ல் எவ்வளவு deeply depend செய்கிறது — மற்றும் அந்த infrastructure fail செய்யும் போது இது எவ்வளவு badly ஆக முடியும்.

இந்த article Ars Technica-ற்கு reporting-ன் அடிப்படையில். Original article-ஐ read செய்யவும்।