Взлом автомобиля, на этот раз дистанционный

Бизнес

Wired недавно опубликовал очередную сенсационную статью (в этом они действительно хороши), которая заставила водителей, энтузиастов технологий и экспертов по кибербезопасности обратить внимание на вполне уже знакомую тему автомобильного взлома. Только мы привыкли к тому, что компьютеры взламывают удалённо, как настала очередь автомобилей.

Без непосредственного контакта

Главные герои статьи знакомые: Чарли Миллер и Крис Валасек. Эти выдающиеся джентльмены сделали себе имена на исследовании бортовых систем автомобилей и возможность их взлома. Годами они изучали эти бортовые системы, обнаруживали в них уязвимости и демонстрировали возможность их злонамеренной эксплуатации. Они ранее показали, как «завладеть» автомобилем и вырубить его тормоза с использованием прямого доступа к бортовой системе (то есть подключив ноутбук к приборной панели). При всей опасности это было непрактично, на что автопроизводители поспешили указать. Тем не менее, опыт уже намекал на весьма реальную возможность взлома автомобиля.

Теперь они показали, как «грохнуть» Jeep (строго дистанционно), что является уже громкой и страшной новостью.

Энди Гринберг из Wired описал всё испытание, через которое он добровольно прошёл, достаточно красочно:

«… Хотя я не коснулся приборной панели, решётки кондиционера в Jeep Cherokee начали нагнетать холодный воздух в салон на максимальном значении, охлаждая пот на моей спине с помощью системы климат-контроля. Потом радио переключилось на местную станцию хип-хопа и стало глушить Skee-lo на полной громкости. Я резко крутанул регулятор влево и нажал кнопку питания, но безрезультатно. Затем включились дворники, и на стекло брызнул стеклоочиститель.

Пока я пытался справиться со всем этим, на цифровом дисплее машины появилось изображение двух хакеров, осуществляющих со мной все эти трюки: Чарли Миллер и Крис Валасек в своих фирменных спортивных костюмах».

Дальше Гринберг утверждает, что господа Миллер и Валасек разработали эксплойт нулевого дня для Jeep Cherokee, «предоставляющий злоумышленникам беспроводное управление через интернет любым из тысяч автомобилей этой марки». Написанный код журналист назвал «кошмаром автопроизводителя», так как он позволяет хакерам отдавать команды через мультимедийную систему джипа, «задействуя функции приборной панели, рулевого управления, тормозов и трансмиссии, и всё это с одного ноутбука, который может находиться вообще в другом конце страны».

Кто впустил собак

Подождите, что? Функции приборной панели «спарены» с развлекательной системой безо всякой изоляции между ними? Слава производителю за мудрейший подход к безопасности.

Что же касается «кошмара автопроизводителя,» то это всё больше похоже на кошмар водителя, тот самый, что пережил г-н Гринберг, когда его трансмиссию дистанционно отключили прямо на шоссе. Жизни его ничто не угрожало, но ему, безусловно, было невесело.

Злободневный вопрос, опять же, заключается в том, как вообще получилось, что «вторичная», некритическая информационно-развлекательная система оказалась так тесно интегрирована с «первичными», абсолютно жизненно-важными функциями приборной панели. Эти системы просто не изолированы друг от друга, и действительно на расстоянии можно сделать с машиной что угодно: всё, что злоумышленникам для этого требуется, говорится в статье Wired, — это знать IP-адрес автомобиля.

«Всё это возможно только потому, что Chrysler, как практически все автопроизводители, изо всех сил старается превратить современный автомобиль в смартфон», — пишет Гринберг. И после того, что ему довелось пережить, его язвительность объяснима.

Разве мы не предупреждали…?

Честно говоря, давно к этому всё шло.  Евгений Касперский, который недавно поделился своими мыслями по данному вопросу (взгляните), сказал, что «пошутил» о возможности взлома автомобиля ещё в 2002 году. В 2015 году это стало реальностью.

«…[Некоторые] автопроизводители навешивают на CAN [сеть контроллеров – бортовая система коммуникации, которая связывает и регулирует обмен данными между различными устройствами — KB] всё больше контроллеров, не заботясь об основных правилах безопасности. На одну и ту же шину, не подразумевающую контроля доступа, вешают целиком внутреннюю систему управления всем-всем.», — пишет Касперский.

CAN была разработана 30 лет назад и встроенных функций безопасности не имеет. И да, теперь она подключена к интернету без «деления полномочий».

Иллюстрация прямо в точку:

carr_image

Eсть ли ответ на вопрос «зачем?» На самом деле их даже два: простой и сложный.

Простой ответ — «маркетинг». Сложный — «следствие общей логики бизнеса».

Эта логика диктует следующее: «Мы ведь должны опережать конкурентов, так что давайте сделаем эту новую модель автомобиля ещё привлекательнее. Как? Давайте напичкаем его электроникой и назовём «умным».

Следом вступает маркетинг: «Эй! У нас для вас предложение — автомобиль, который настолько умён, что повинуется командам с вашего смартфона».

И человек, который купил этот «умный» автомобиль, думает: «Ух ты! У меня есть машина, которая подключена к интернету. Круто!»

Однако становится уже совсем не круто, потому что теперь возможен удалённый взлом – просто подарок злоумышленникам и мечта как угонщиков, так и намного более серьёзных преступников. Ведь главная проблема стара как мир: автомобильной бортовой системе на достаёт «разработки с учётом безопасности».

«Среди автопроизводителей распространено мнение об автономности технологий – вроде как в электронную начинку машины ни у кого ни желания, ни мозгов не хватит залезть. «, — пишет Касперский, добавляя, что повсеместно конкурентная гонка приводит к тому, что функциональность опрометчиво наращивается без учёта безопасности.

Да, точно так же дела обстоят и с другой критической инфраструктурой, а автомобили тоже можно смело назвать «критической инфраструктурой»: жизни людей зависят от того, насколько безопасны они и их CAN.

И ошибочно утверждать, что бортовые системы современного автомобиля являются сами по себе надёжными даже без подключения к интернету. Они, увы, не надёжны.

Недавно довелось читать об аварии, в которой водитель едва не погиб потому, что не сработала подушка безопасности. А не сработала она, как поначалу заявили представители автопроизводителя, потому, что бортовая система «приняла такое решение». Решение о срабатывании подушки безопасности бортовые контроллеры принимают, основываясь на ряде различных факторов, для того чтобы минимизировать возможный ущерб (в некоторых ситуациях подушки безопасности могут нанести дополнительные травмы водителю). И в этом конкретном случае был сделан вывод, что подушку безопасности выбрасывать не надо. Сбой это был или нет, выяснится, вероятно, позже. Но, как бы там ни было, фраза «система решила не открывать подушки безопасности» звучит несколько… пугающе, не правда ли?

Признанная проблема

Автопроизводители признали наличие проблема, а с ними заодно, похоже, и законодатели. Энди Гринберг из Wired написал, что Миллеру и Валасеку удалось «напугать» промышленность и «вдохновить» законодателей. В США разработан и готовится к принятию новый законопроект, требующий от автомобилей соответствия определённым стандартам защиты от цифровых атак и сохранения конфиденциальности. Хочется верить, другие страны последуют их примеру.

Вся автопромышленность сейчас встала на уши. Альянс автопроизводителей США объявил о создании Аналитического центра обмена данными, для того чтобы справиться с киберугрозами и уязвимостями в бортовой электронике и автомобильных сетях.

Самим автопроизводителям предстоит изменить подход к разработке современного высокотехнологичного оборудования. Как мы писали выше, безопасность должна стоять на первом месте. Её следует принимать во внимание с момента проектирования, а не добавлять позже (если вообще добавлять). Это единственный способ понизить уровень риска как для автомобильных систем, так и для прочих элементов гражданской критической инфраструктуры, который достаточно высок и без лишнего потакания киберугрозам как, например, в случае с дистанционным взломом Jeep.