28/07/2015

Szok za kierownicą: Twojego Jeepa można zhakować podczas jazdy

Informacje

Po dwóch skutecznych włamaniach do systemów znajdujących się w autach Toyota Prius i Ford Escape badacze bezpieczeństwa Charlie Miller i Chris Valasek zhakowali niedawno Jeepa Cherokee. Tym razem było to jednak znacznie bardziej szokujące, ponieważ duetowi udało się przejąć kontrolę nad autem w sposób zdalny. Gdy zaczęto wykorzystywać exploita, ich dobrowolna ofiara jechała ok. 110 km/h na obrzeżach centrum St. Louis.

https://twitter.com/WIRED/status/623458457870540800/photo/1

„Gdy badacze zdalnie bawili się klimatyzacją, radiem i wycieraczkami, pogratulowałem sobie odwagi mimo przerażenia.”

Dziennikarz magazynu Wired nagrał swoją reakcję na kompulsywne zachowanie tego superinteligentnego samochodu połączonego z internetem. Andy Greenberg, który siedział za kierownicą, przyznał, że badacze przejęli kontrolę nad hamulcami, pedałem gazu, jak również innymi mniej ważnymi komponentami – radiem, klaksonem i wycieraczkami. Aby tego dokonać, Chris i Charlie musieli zhakować system rozrywki Uconnect przy użyciu sieci komórkowej.

Na szczęście nie jest to sytuacja bez wyjścia. Producenci systemu operacyjnego oraz samochodów zaczęli już wdrażać ważne i wymagane środki cyberbezpieczeństwa.

Chris Valasek powiedział: „Gdy zorientowałem się, że możemy dokonać tego gdziekolwiek, za pośrednictwem internetu, wystraszyłem się. Po raz pierwszy włamaliśmy się do systemu samochodu jadącego autostradą w środku kraju”.

Niestety wszystkie te istotne środki bezpieczeństwa nie wystarczą. Giganty oprogramowania, jak Microsoft czy Apple, przez lata szlifują skuteczne sposoby łatania dziur bezpieczeństwa w swoich produktach. Branża samochodowa zwyczajnie nie ma tego czasu. Co więcej, to nie był pierwszy raz, gdy zhakowano samochód, a mimo to nadal istnieje wiele problemów bezpieczeństwa, za które nikt nie chce się zabrać.

Takie same wady może mieć wiele innych pojazdów. Miller i Valasek nie sprawdzili na przykład żadnego auta marki Ford czy General Motors. Co gorsza, według Millera „zdolny haker mógłby przejąć kontrolę nad grupą jednostek głównych Uconnect, a następnie użyć ich do skanowania sieci Sprint — podobnie jak to się odbywa w grupie zainfekowanych komputerów — w celu przemieszczania się z jednej deski rozdzielczej do kolejnej. W wyniku tego powstałby bezprzewodowo kontrolowany botnet motoryzacyjny obejmujący setki tysięcy pojazdów”. Dobra podstawa do terrorystycznego sabotażu lub cyberataku na zlecenie państwa.

https://twitter.com/CNNMoney/status/623643252625932288/photo/1

„Eksperci z Kaspersky Lab wierzą, że aby uniknąć takich incydentów, producenci powinni budować inteligentną architekturę dla samochodów, kierując się dwoma podstawowymi zasadami: odizolowanie i kontrolowanie komunikacji” – powiedział Siergiej Lożkin, starszy badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT)  w Kaspersky Lab.

„W przypadku izolacji chodzi o to, aby niemożliwe było oddziaływanie na siebie dwóch oddzielnych systemów (np. system rozrywki nie powinien wpływać na system kontroli, tak jak miało to miejsce w Jeepie Cherokee). Z kolei kontrolowanie komunikacji oznacza, że podczas przesyłania i akceptowania danych przesyłanych z pojazdu oraz do niego należy stosować szyfrowanie i autoryzację. Biorąc pod uwagę eksperyment, można wnioskować, że albo algorytmy autoryzacji były słabe/dziurawe, albo szyfrowanie nie było poprawnie wdrożone”.

Dopóki problemy bezpieczeństwa nie zostaną rozwiązane na poziomie branżowym, możemy przesiąść się na rowery i konie lub… stare samochody. Ich przynajmniej nie można zhakować. Badacze bezpieczeństwa zaprezentują swój raport podczas konferencji Black Hat, która odbędzie się w sierpniu 2015 roku, a my z chęcią ich posłuchamy.