Je vaše auto v bezpečí před hackery?

Tento týden vědci budou současnost, dárek studie ukazující, co by se mohlo stát, kdyby odhodlaný hacker šel po počítačových systémech zabudovaných v autech. Vědci zjistili, že útočník mohl mimo jiné deaktivovat brzdy vozidla, zastavit motor nebo převzít kontrolu nad zámky dveří. Vše, co útočník potřebuje, je přístup k federálně nařízenému palubnímu diagnostickému portu – který se dnes nachází pod palubní deskou téměř ve všech autech.

Nejvyšší výbava: Výzkumníci použili software nazvaný Carshark pro přístup k počítačovým systémům automobilu. To jim umožnilo ovládat displej na palubní desce a motor auta – a obávají se, že hackeři by mohli v budoucnu udělat totéž.

Výzkumníci poukazují na nedávnou zprávu, která ukazuje, že typický luxusní sedan nyní obsahuje asi 100 megabajtů kódu, který ovládá 50 až 70 počítačů uvnitř vozu, z nichž většina komunikuje prostřednictvím sdílené vnitřní sítě.

V mnoha automobilových architekturách jsou všechny počítače propojeny, takže po převzetí jedné komponenty existuje značné riziko, že byste mohli převzít všechny ostatní. Jakmile jste uvnitř, jste uvnitř, říká Stefan Savage , docent na katedře počítačových věd a inženýrství na Kalifornské univerzitě v San Diegu, který je jedním z hlavních řešitelů projektu.

Výzkumníci říkají, že jejich práce by ještě neměla být důvodem k poplachu, hlavně proto, že zneužití vyžadují přístup do vnitřku vozidla. K některým z těchto systémů však lze přistupovat vzdáleně a trendem je přidávat ještě více bezdrátového připojení – například bezdrátové systémy automatické reakce na havárii. Výzkumníci říkají, že vstupními body by se mohly stát i další systémy, jako jsou satelitní rádia a dálkově ovládané otvírače dveří.

Systémy automobilů mají překvapivá propojení, říká Savage. Z bezpečnostních důvodů jsou auta naprogramována tak, aby po aktivaci airbagů odemkla dveře, aby pomohla potenciálně zraněným cestujícím opustit vozidlo. Ukázalo se, že to vytváří spojení mezi systémem zamykání dveří a systémem detekce nárazu, které by útočník mohl teoreticky zneužít.

Výzkumníci zkoumali výpočetní systémy uvnitř automobilu bez jakýchkoli speciálních znalostí výrobce. Začali tím, že vytáhli hardware a spustili standardní bezpečnostní testovací útoky, jako je fuzzing, který testuje software náhodným vstupem, aby zjistil, zda je možné vyvolat nějaké závady nebo podivné chování. Získané informace použili k vytvoření útoků, které by mohly převzít a ovládat systémy v interní síti vozu. Testovali své útoky na nepojízdné auto před provedením silničních testů, aby se ujistili, že jejich útoky jsou praktické v reálném světě.

Dokud jsme skutečně neprovedli živé silniční testy, nemyslím si, že jsme byli skutečně schopni říci, že by to někdo mohl udělat s autem na silnici, říká Tadayoshi Kohno , odborný asistent informatiky a inženýrství na Washingtonské univerzitě a také hlavní řešitel projektu. Ačkoli některé útoky musely být v tu chvíli upraveny, stále fungovaly.

Bude náročné navrhnout bezpečnější systémy pro automobily, říká Savage, protože mnoho technik běžně používaných k ochraně zařízení se nebude dobře přenášet. Je například běžné, že bezpečnostní systémy vypnou výpočetní procesy, když zjistí abnormální chování. V případě elektronického brzdového systému však může být jeho vypnutí stejně nebezpečné jako ponechání poškozeného programu v chodu.

Savage a Kohno říkají, že plánují pracovat na navrhování nových technik pro zabezpečení automobilových počítačových systémů prostřednictvím nově vytvořeného Centrum pro bezpečnost automobilových vestavěných systémů . Doufají, že budou spolupracovat s výrobci a dalšími, kteří mají zájem na navrhování počítačových systémů pro automobily, aby se ujistili, že jejich řešení jsou praktická a snadno implementovatelná.

Jedna pozoruhodná věc na práci výzkumníků je, že našli mnoho bezpečnostních systémů, které nebyly plně implementovány, jako jsou autentizační kontroly, které byly přítomny, ale nepoužívaly se, říká HD Moore , šéf bezpečnosti ve společnosti Boston Rapid7 a hlavní architekt Metasploit , open-source framework pro testování systémů na bezpečnostní díry. Moore také testoval nějaký automobilový software a zjistil podobné problémy. Říká, že to dává představu o tom, jak nevyzrálé odvětví je, a poznamenává, že problémy se pravděpodobně zhorší, jak více softwaru rozšíří dosah interní sítě automobilu.

Kevin Fu, odborný asistent informatiky na University of Massachusetts Amherst, souhlasí. Pravděpodobně nastal čas na komplexní kontrolu ze strany průmyslu i regulačních orgánů, jak zajistit zajištění bezpečnosti pro automobilové systémy se stále složitějšími softwarovými ovládacími prvky a komunikačními cestami, říká.

skrýt