Автор: Виктор СУХОТИН Совместно с:
28.08.2015
БОРТОВЫЕ КОМПЬЮТЕРЫ СОВРЕМЕННЫХ АВТОМОБИЛЕЙ КАК ИСТОЧНИК ПОВЫШЕННОЙ ОПАСНОСТИ НА ДОРОГАХ
Сразу два заслуживающих внимания события произошли летом в мировой автомобильной сфере. Первое, в США хакеры Чарли Миллер и Крис Валасек в ходе эксперимента смогли взять под контроль Jeep Cherokee журналиста Wired, двигавшийся со скоростью около 110 километров в час. Второе – ученые Нанькайского университета (Китай) провели испытания автомобиля, управляемого «силой мысли».
Машиной управлял человек, на голове у которого было закреплено 16 датчиков, сенсоры распознавали сигналы, подаваемые мозгом, а специальная система расшифровывала их и переадресовывала на органы управления автомобилем. Корреспондент «Совершенно секретно» разбирался в том, насколько такие эксперименты опасны для широкой общественности.
Американский журналист Энди Гринберг рассказал, что в его автомобиле внезапно заорал клаксон, затем на полную мощность включился кондиционер, магнитола перестроилась на другую радиостанцию, а выключить их даже вручную оказалось невозможно. После этого включились дворники, залили омывающей жидкостью лобовое стекло, отключился гидроусилитель. Потом хакеры перехватили управление трансмиссией, заставив машину ехать на низкой передаче, а под конец вообще заглушили двигатель. Даже предупрежденный об эксперименте человек испытал стресс, особенно когда его автомобиль, повинуясь чужому разуму, съехал на обочину, а затем в кювет.
Хакеры получили доступ к компьютеру внедорожника через информационно-развлекательную систему Uconnect. Они поменяли прошивку, внедрив в нее вредоносный код. Сделано это было для того, чтобы показать уязвимость современных автомобилей, напичканных электроникой с возможностью выхода в Интернет и дистанционным управлением приложениями. Эксперимент уже вызвал резонанс в конгрессе США. Два конгрессмена, Эд Марки и Ричард Блюменталь, объявили о намерении разработать закон о новых федеральных стандартах, которые будут призваны защитить электронную начинку автомобилей от киберпреступников.
ПРЕДЫСТОРИЯ
Первое громкое автомобильное киберпреступление произошло в 2010 году в штате Техас. 20-летний Омар Рамос Лопес, которого уволили из дилерского центра по продаже автомобилей, в отместку заблокировал на стоянках с включенными звуковыми сигналами около 100 проданных центром автомобилей. Он сделал это при помощи системы, которая позволяла дилерам блокировать автомобили в случае просрочки выплат за них по кредиту.
Осенью 2012 года Чарли Миллер – 40-летний инженер по безопасности Twitter и бывший сотрудник АНБ, и Крис Валасек – 31-летний директор отдела исследований безопасности автомобилей сиэттлской консалтинговой компании IOActive, получили от Агентства по перспективным оборонным научно-исследовательским разработкам Министерства обороны США (DARPA) грант на сумму чуть более 80 тысяч долларов США с целью выявления слабых мест в безопасности бортовых систем автомобилей.
С тех пор эта команда ежегодно ездит на различные конференции хакеров, где озвучивает результаты своей работы за год и делится новыми версиями программного обеспечения (ПО), разработанного для атаки бортовых компьютеров автомобилей. Миллер и Валасек делают это для того, чтобы автопроизводители оперативно реагировали на слабые места в безопасности электронных мозгов автомашин.
Первые тесты по дистанционному доступу к управлению автомобилем были проведены еще в 2010 году. Сводная команда исследователей из Университета штата Вашингтон (Сиэттл) и Университета Калифорнии (Сан-Диего) получала доступ при помощи бортовых программ, Bluetooth, пиратского приложения на Android, которое синхронизировалось с сетью автомобиля со смартфона водителя и даже со вставленного в магнитолу CD с компьютерным кодом.
Профессор Стефан Сэвидж из Калифорнийского университета так охарактеризовал результаты исследования: «Уязвимости, которые мы нашли, похожи на те, что существовали в компьютерных программах в начале 1990-х, когда компьютеры только-только стали подключать к Интернету».
ПЕРЕКЛАДЫВАНИЕ ФУНКЦИЙ ВОДИТЕЛЯ НА БОРТОВОЙ КОМПЬЮТЕР ОПАСНО
Степень автоматизации автомобилей все время повышается. Разработчики и производители автомобилей дают как можно более широкий доступ к компьютерному дистанционному управлению и облегчению «работы» водителя, поэтому весь функционал автомобиля вписывается в ПО, кладется в бортовую память на компьютер, и любой взлом делает автомобиль полностью подконтрольным злоумышленнику, а человека, в нем находящегося, абсолютно беззащитным.
Чем больше электроники – тем меньше защита. Грамотно спланированная и вовремя проведенная акция даже с одним-тремя автомобилями может привести к гигантской автомобильной аварии или даже техногенной катастрофе. Учитывая массовое распространение недорогих и достаточно долгоживущих дронов, злоумышленник может из любого места контролировать нужный автомобиль и в нужное время, отключив различные системы, привести его к аварии.
С каждым годом сделать такое становится все легче, например в 2013 году Миллеру и Валасеку для перехвата управления бортовым компьютером приходилось сидеть с лэптопами на заднем сидении автомобиля. Этим летом они продемонстрировали дистанционный «взлом».
Что дало хакерам возможность дистанционного управления? В настоящее время почти любой американский или японский автопроизводитель предоставляет мобильные сервисы – например, OnStar у «Дженерал Моторс», SYNC у «Форда» и Safety Connect у «Тойоты». Мобильные сервисы пользуются спросом, эксперты прогнозируют 10-кратный рост рынка автомобильных приложений. Но в погоне за комфортом, технологическими новшествами и прибылью автопроизводители не уделяют должного внимания защите своих систем от киберпреступлений.
Испытания Миллера и Валасека показывают, что безопасность существующего ПО для автомобилей нуждается в серьезном улучшении. В настоящее время программы ученых-хакеров могут на ходу глушить двигатель, внезапно тормозить или наоборот, полностью отключать тормоза. Их ПО позволяет также отслеживать перемещения автомобиля по GPS.
По словам Миллера в программе автомобилей концерна «Фиат-Крайслер» Unconnect, которая позволяет управлять бортовой мультимедийной системой, навигатором и предоставляет доступ к Wi-Fi, есть одна проблема безопасности, которая позволяет любому, кто знает IP-адрес машины, получить доступ из любой точки США.
«С точки зрения злоумышленников это замечательная уязвимость», – говорит Миллер.
В течение девяти месяцев хакеры делились полученной в ходе эксперимента информацией с представителями «Фиат-Крайслер», чтобы автогигант успел выпустить патч к программе до июльской конференции взломщиков Black Hat в Лас-Вегасе, на которой Миллер с Валасеком представят 92-страничный доклад, посвященный дырам в безопасности 24 моделей различных автомобильных концернов.
Самыми удобными для взлома хакеры назвали три модели из протестированных – Jeep Cherokee и Infinity Q50 2014 года и новейший Cadillac Escalade. На другом полюсе находится Audi A8, в архитектуре системы которого функции дистанционного доступа и функции доступа к двигателю, тормозам, трансмиссии и рулевому управлению разделены. Высокую оценку хакеров получили также «Додж Вайпер» и «Хонда аккорд» моделей 2014 года.
БОМБА НА КОЛЕСАХ
По сути, в «зоне риска» находятся все. По данным Миллера и Валасека на дорогах США сейчас находится 471 тысяча потенциально незащищенных от взлома автомобилей. Каждый из этих автомобилей представляет собой настоящую «бомбу» на колесах.
«В 2013 году нас критиковали за то, что мы могли получить доступ только непосредственно из автомобиля. Нам не особенно доверяли, потому что казалось невозможным, что кто-то допустит людей с компьютером себе в салон. Теперь мы можем получить доступ к вашему бортовому компьютеру из любой точки», – говорит Валасек.
Представители концернов по-разному прореагировали на исследования инженеров. Так, представитель Крайслера с одной стороны поблагодарил Миллера и Валасека за проделанную работу, а с другой – раскритиковал хакеров за желание распространить информацию об уязвимостях их моделей. Руководство автоконцерна считает, что ни при каких обстоятельствах нельзя делиться информацией, которая может помочь злоумышленникам получить контроль над бортовыми системами автомобиля.
Автор:
Виктор СУХОТИН
Совместно с:
Комментарии