Poate Hackerii îți vor prelua cu adevărat mașina?

Poate Hackerii îți vor prelua cu adevărat mașina? / Securitate

Zubie este o cutie mică care se conectează la portul de diagnoză la bord (ODBII) din cele mai moderne mașini. Permite utilizatorilor să afle cât de bine conduc și oferă sfaturi pentru a-și extinde kilometrajul cu o conducere sensibilă și economică. Și până de curând, Zubie conținea o eroare serioasă în ceea ce privește securitatea, care ar putea lăsa utilizatorilor vulnerabili la deturnarea de la distanță a mașinii.

Gaura - descoperită de absolvenții Unității 8200, echipa de elite a forțelor de apărare israeliene - ar putea vedea că atacatorii ar putea interfera de la distanță cu frânarea, direcția și motorul.

Zubie se conectează la un server la distanță printr-o conexiune GPRS, care se utilizează pentru a trimite date colectate la un server central, precum și pentru a primi actualizări de securitate.

Cercetătorii au descoperit că dispozitivul comite una din păcatele cardinale de securitate a rețelei și nu a comunicat serverului de acasă printr-o conexiune criptată. În consecință, au reușit să păcălească serverul central Zubie și să trimită dispozitivului malware special creat.

Mai multe detalii despre atac sunt de mai jos și veți fi încântați să aflați că problema a fost rezolvată de atunci. Totuși, ridică o întrebare interesantă. Cât de sigure sunt mașinile noastre?

Separarea faptului de ficțiune

Pentru mulți, conducerea nu este un lux. Este o necesitate

Și este o necesitate periculoasă la asta. Majoritatea oamenilor sunt prea familiarizați cu riscurile asociate cu obținerea în spatele roții. Accidentele rutiere sunt una dintre cele mai mari ucigătoare ale lumii, cu 1.24 milioane de vieți pierdute pe drum doar în anul 2010.

Însă decesele pe drumuri sunt în declin, și acest lucru se datorează, în mare măsură, sporirii penetrării tehnologiilor sofisticate de siguranță rutieră. Există prea multe dintre acestea pentru a cuprinde o listă cuprinzătoare, dar probabil cel mai răspândit exemplu este OnStar, disponibil în SUA, Canada și China.

Tehnologia - disponibilă exclusiv în mașinile GM, precum și alte vehicule ale companiilor care au ales să licențieze tehnologia - monitorizează starea de sănătate a mașinii. Acesta poate furniza indicații de tip "turn-by-turn" și poate acorda automat asistență dacă vă aflați mai mult decât accident.

Aproximativ șase milioane de persoane se abonează la OnStar. Nenumărate utilizează un sistem telematic, care permite asigurătorilor să urmărească felul în care sunt conduse mașinile și să adapteze pachetele de asigurare pentru a recompensa șoferii sensibili. Justin Dennis a revizuit recent ceva similar numit Metronome de Metromile Urmăriți-vă kilometrajul, costurile de combustibil și multe altele cu un dispozitiv OBD2 gratuit Urmăriți-vă kilometrajul, costurile de combustibil și multe altele cu un dispozitiv OBD2 gratuit În prezent, totul pare a fi inteligent - cu excepția mașinilor noastre. Acest dispozitiv gratuit ODB2 și aplicația schimbă asta. Citiți mai multe, care este disponibil gratuit pentru locuitorii din Washington, Oregon, California și Illinois. Între timp, multe mașini post 1998 pot fi interogate și monitorizate prin portul de diagnoză ODBII mulțumită Android Cum să monitorizezi performanța mașinii tale cu Android Cum să monitorizezi performanța mașinii tale cu Android Monitorizarea tone de informații despre mașina ta este incredibil de ușor și ieftină cu Android dispozitiv - afla despre el aici! Citiți mai multe și aplicații smartphone iOS.

Pe măsură ce aceste tehnologii au ajuns la omniprezență, tot așa are conștiința că acestea pot fi hackate. Nicăieri altceva nu este mai evident decât în ​​psihicul nostru cultural.

Thrillerul din 2008, Untraceable, a prezentat în mod proeminent o mașină echipată OnStar, fiind "înțepată" de antagonistul filmului pentru a atrage pe cineva într-o capcană. În timp ce în 2009, firma InfoSupport din Olanda a lansat o serie de reclame care au arătat un hacker fictiv numit Max Cornellise de la distanță de hacking în sistemele de automobile, inclusiv un Porsche 911, folosind doar laptopul său.

Deci, cu atâta incertitudine în jurul problemei, este important să știm ce se poate face și ce amenințări rămân în domeniul științei fictive.

O scurtă istorie a mașinilor de hacking?

În afara Hollywood-ului, cercetătorii de securitate au realizat unele lucruri destul de înfricoșătoare cu mașinile.

În 2013, Charlie Miller și Chris Valasek au demonstrat un atac în care au compromis un Ford Escape și Toyota Prius și au reușit să preia controlul asupra instalațiilor de frânare și de direcție. Cu toate acestea, acest atac a avut un dezavantaj major, deoarece era necesar ca un laptop să fie conectat la vehicul. Cercetătorii de securitate din stânga sunt curioși și se întreabă dacă este posibil să realizăm același lucru, dar fără a fi legați fizic de mașina.

Această întrebare a fost rezolvată definitiv cu un an mai târziu, când Miller și Valasek au efectuat un studiu și mai detaliat privind securitatea a 24 de modele diferite de mașini. De data aceasta, se concentrau asupra capacității unui atacator de a efectua un atac la distanță. Cercetările lor ample au produs un raport de 93 de pagini, care a fost publicat pe Scribd pentru a coincide cu discuțiile ulterioare la conferința de securitate Blackhat din Las Vegas.

Acesta a sugerat că mașinile noastre nu sunt la fel de sigure, cum credeam odată, multe dintre ele lipsind cele mai rudimentare protecții în materie de securitate cibernetică. Raportul de condamnare a scos în evidență Cadillac Escalade, Jeep Cherokee și Infiniti Q50 ca fiind cele mai vulnerabile la un atac la distanță.

Când ne uităm la Infinity Q10 în mod specific, vedem câteva pierderi majore în securitate.

Ceea ce face ca Infiniti atât de convingătoare ca o mașină este și ceea ce o face atât de vulnerabilă. La fel ca multe mașini de ultimă generație produse în ultimii ani, acestea sunt dotate cu o serie de caracteristici tehnologice concepute pentru a face experiența de conducere mai plăcută. Acestea variază de la deblocarea fără cheie, până la monitorizarea presiunii în anvelope fără fir, la o aplicație smartphone "asistent personal" care interfețează cu mașina.

Potrivit lui Miller și a lui Vlasek, unele dintre aceste caracteristici tehnologice nu sunt izolate, ci mai degrabă sunt conectate direct la sistemele responsabile de controlul și frânarea motorului. Acest lucru lasă deschisă posibilitatea ca un atacator să aibă acces la rețeaua internă a autovehiculului și apoi să exploateze o vulnerabilitate situată într-unul din sistemele esențiale pentru a se prăbuși sau a interfera cu vehiculul.

Lucrurile precum deblocarea fără cheie și "asistenții personali" sunt considerați rapid ca fiind esențiali pentru șoferi, dar, așa cum Charlie Miller a subliniat astfel, “este un pic înfricoșător că toți pot vorbi unul cu celălalt.”

Dar suntem încă foarte mult în lumea teoretică. Miller și Vlasek au demonstrat o posibilă cale pentru un atac, dar nu un atac real. Există vreo exemplificare a faptului că cineva a reușit să intervină cu sistemele informatice ale unui automobil?

Ei bine, nu există lipsă de atacuri care vizează caracteristici de deblocare fără cheie. Unul a fost demonstrat chiar la începutul acestui an la Conferința de securitate Blackhat din Las Vegas de către cercetătorul australian de securitate Silvio Cesare.

Folosind unelte de numai 1,000 de dolari, el a reușit să răsfoiască semnalul de la o tastă-fob, permițându-i să deblocheze de la distanță o mașină. Atacul se bazează pe faptul că cineva se află fizic lângă mașină, potențial timp de câteva ore, ca un computer și o antenă de radio-antenă care încearcă să forțeze receptorul încorporat într-un sistem de deblocare fără cheie.

Odată ce autovehiculul a fost deschis, atacatorul ar putea încerca apoi să-l fure sau să se ajute la elementele nesupravegheate lăsate în urmă de șofer. Există foarte multe potențiale daune aici.

Există vreo apărare?

Depinde.

Există deja o formă de protecție împotriva vulnerabilității la accesul la distanță descoperită de Charlie Miller și Chris Valasek. În lunile de la discuțiile lor Blackhat, au reușit să construiască un dispozitiv care acționează ca un sistem de detectare a intruziunilor (IDS). Acest lucru nu oprește un atac, ci mai degrabă indică șoferului atunci când un atac ar putea fi în desfășurare. Acest lucru costă aproximativ 150 de dolari în părți, și necesită un pic de know-how de electronice pentru a construi.

Vulnerabilitatea lui Zubie este puțin mai complicată. Deși gaura a fost patchată de atunci, slăbiciunea nu se afla în interiorul mașinii, ci mai degrabă în dispozitivul terț care era atașat. Cu toate că mașinile au propriile lor nesiguranțe arhitecturale, se pare că adăugarea unor extra-uri suplimentare mărește doar posibilele căi de atac.

Poate că singura modalitate de a fi cu adevărat sigur este să conduci o mașină veche. Unul care nu are clopoțeii și sofisticatele de mașini moderne, de ultimă generație, și pentru a rezista nevoii de a împinge lucrurile în portul dvs. ODBII. Există securitate în simplitate.

Este în siguranță să conduc mașina mea?

Securitatea este un proces evolutiv.

Pe măsură ce oamenii înțeleg mai bine amenințările din jurul unui sistem, sistemul evoluează pentru a le proteja. Dar lumea mașinilor nu a avut destul ShellShock mai rău decît Heartbleed? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux mai rău decât în ​​inimă? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux Citiți mai multe sau HeartBleed Heartbleed - Ce puteți face pentru a rămâne sigură? Heartbleed - Ce puteți face pentru a vă menține în siguranță? Citeste mai mult . Îmi imaginez că atunci când a experimentat prima sa amenințare critică - este prima zi zero, dacă vreți - producătorii de automobile vor răspunde în mod corespunzător și vor lua măsuri pentru a face siguranța vehiculului puțin mai riguroasă.

Dar ce crezi tu?? Este un pic optimist? Ești îngrijorat de faptul că hackerii au preluat mașina ta? Vreau să aud despre asta. Dă-mi un comentariu mai jos.

Credite foto: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com

Explorați mai multe despre: OBD-II.