24 июля 2015

Сюрприз для водителя: несущийся по шоссе джип можно взломать удаленно

Безопасность Новости

Поездка за город теперь может стать по-настоящему веселым и захватывающим приключением: эксперты по компьютерной безопасности Чарли Миллер и Крис Валасек смогли перехватить управление кроссовером Jeep Cherokee.

Взлом удалось осуществить удаленно, что делает проблему еще серьезнее. На момент начала атаки добровольная жертва хакеров-исследователей ехала со скорость 110 км/ч по хайвею в центре города Сент-Луис, США.

«Пока два взломщика удаленно играли с кондиционером, радио и стеклоочистителями, я гордился своим самообладанием. И в этот момент они добрались до коробки передач».

Пока два взломщика удаленно играли с кондиционером, радио и стеклоочистителями, я гордился своим самообладанием. И в этот момент они добрались до коробки передач

Отчет Wired из первых рук рассказывает о чувствах водителя, потерявшего контроль над суперавтоматизированным подключенным авто. Сидевший за рулем журналист Энди Гринберг сообщает, что хакеры перехватили контроль над акселератором и тормозной системой машины, а также менее важными компонентами, такими как радио, стеклоочистители и клаксон. Для этого Крису и Чарли понадобилось взломать мультимедийную систему Uconnect через сотовое соединение.

К счастью, ситуацию не оставили совсем без внимания: производители операционных систем и самих автомобилей начали внедрять разнообразные меры для защиты от киберугроз. Что и неудивительно, так как проблема весьма серьезная.

Крис Валасек сказал: «Когда я осознал, что могу взломать авто из любой точки мира по Интернету, я просто охренел: таким образом можно добраться до машины, несущейся по шоссе где-то по стране, далеко от взломщика. Вот она, та поворотная точка, после которой удаленный взлом автомобиля становится реальностью».

К сожалению, всех внедряемых сейчас мер безопасности будет недостаточно. Гиганты компьютерного мира, такие как Microsoft и Apple, потратили годы на разработку эффективных способов «лечения» собственных продуктов. У автомобильной индустрии этого времени нет.

Заметим, что это уже далеко не первый раз, когда автомобиль становится жертвой хакеров. Но мы все еще сталкиваемся с огромными «дырами» в безопасности, которые, похоже, никто не стремится быстро «залатать».

Есть вероятность, что в других автомобилях можно обнаружить подобную уязвимость. Миллер и Валасек не тестировали машины таких производителей, как Ford, General Motors, и других гигантских автоконцернов. Внушает опасения и потенциальный масштаб возможного заражения.

Согласно Чарли Миллеру, опытный хакер способен взять под контроль группу систем Uconnect и использовать их для дальнейшего сканирования, точно так же, как и взломанные ПК. В результате потенциальный злоумышленник от одной мультимедийной системы к другой сможет заразить другие машины по сети сотового оператора Sprint и создать ботнет из сотен тысяч машин с удаленным управлением. Это просто подарок для террористов, а возможно, и для правительств воюющих стран.

«Во избежание подобных инцидентов разработчикам следует руководствоваться двумя базовыми принципами — изоляции и контролируемой коммуникации», — считает Сергей Ложкин, старший специалист по безопасности Центра глобальных исследований и анализа «Лаборатории Касперского».

«Принцип изоляции означает, что две отдельные системы не могут повлиять друг на друга. Например, мультимедийная система не должна взаимодействовать с управляющей системой (как это произошло в случае с Jeep Cherokee). Принцип контролируемой коммуникации подразумевает внедрение процедур шифрования и проверки прав доступа при передаче и приеме информации от автомобиля и к нему. Судя по результатам эксперимента с Jeep Cherokee, в этом автомобиле использовались слабые, уязвимые алгоритмы проверки прав доступа, а шифрование было внедрено некорректно», — сообщает Сергей Ложкин.

До тех пор пока проблемы безопасности не начнут решаться на уровне индустрии, мы можем подумать о том, чтобы пересесть на велосипеды и лошадок… или в старые авто. По крайней мере, их не хакнешь. Кстати, дуэт Миллера и Валасека собирается представить подробный отчет по своим исследованиям на конференции Black Hat в августе 2015 года, и мы охотно послушаем их доклад.