Czy samochód łatwo zhakować? Samochody na celowniku hakerów

Czy samochód łatwo zhakować? Samochody na celowniku hakerów

06 kwietnia 2020
1
W listopadzie 2019 roku Federalne Biuro Śledcze (FBI) opublikowało raport, w którym przestrzega amerykański przemysł motoryzacyjny przed nasileniem ataków hakerskich. Celem cyberprzestępców mogą być systemy komputerowe powszechnie stosowane w branży motoryzacyjnej i zastraszenie producentów przed implementacją nowych technologii.

Postęp technologiczny sprawił, że przemysł motoryzacyjny działa w oparciu o cyfrowe systemy m.in. wspomagania układu hamulcowego, układu kierowniczego etc. W samochodach klasy premium stosuje się 150 milionów różnego rodzaju linijek kodów oprogramowania cyfrowego - o 12 razy więcej niż w przypadku konstrukcji samolotu bojowego F-35 (w ocenie analityków KPMG). Tym samym włamywacze mają znacznie więcej możliwości ataku.

Samochody są coraz bardziej powiązane ze światem zewnętrznym. Dzięki tym możliwościom samochody szybko stają się sieciami danych na kołach. Czy można się jednak do nich dostać inaczej, niż w oficjalnym serwisie producenta?

W 2018 roku dwóch hakerów: Charlie Miller i Chris Valasek włamało się do prywatnego samochodu należącego do dziennikarza Wired, Andy'ego Greenberga. Włamanie odbywało się w warunkach kontrolowanych przez właściciela, jednak specjaliści udowodnili, iż można przejąć pełną kontrolę nad autem. Eksperyment został zakończony w momencie, kiedy za pomocą pada od konsoli do gier hakerzy sterowali samochodem dziennikarza. W tym przypadku był to Jeep Cherokee, który mimo zaawansowania technologicznego, pozostaje dość archaiczny w porównaniu do systemów wykorzystywanych w nowych samochodach, zwłaszcza klasy premium.

Zobacz koniecznie - jak wiele filmików na You Tube powstało na temat amatorskiego hakowania samochodów.

Produkowane dzisiaj samochody opierają swoje systemy o powszechnie dostępne oprogramowanie znane z telefonów, jak np. Android, który sam w sobie stanowi łatwy cel. Nieświadomym pomocnikiem hakera jest sam użytkownik samochodu, który często paruje swój smartfon z autem, a tym samym otwiera kolejną furtkę dla atakujących. 
 
Nasze społeczeństwo jest nieświadome wielu występujących zagrożeń. Trudno zrozumieć, że tak dużo osób nie dba o zachowanie swojej prywatności. Tymczasem hakerzy, którzy infekują np. urządzenia mobilne do wykradania danych osobowych (haseł, pieniędzy, danych z telefonów), będą ulepszać złośliwe oprogramowania. Aplikacje zabezpieczające urządzenia są tylko jednym z elementów układanki prawidłowo funkcjonujących zasad i reguł bezpieczeństwa. To człowiek powinien być tarczą ochronną danych własnych i firmowych. Jeśli zawiedzie najsłabsza linia obrony, czyli człowiek, zawiedzie cały system. Dostawcy oprogramowania antywirusowego mają więc ciężki orzech do zgryzienia - podkreśla Wojciech Głażewski z Check Point Polska.

Hakować - uzyskać dostęp do obcego systemu informatycznego

Przemysł motoryzacyjny prawdopodobnie stanie w niedalekiej przyszłości przed wieloma zagrożeniami cybernetycznymi i złośliwymi działaniami, ponieważ ogromna ilość danych gromadzonych przez pojazdy połączone z Internetem i pojazdy autonomiczne stają się bardzo cenionym celem podmiotów państwowych i motywowanych finansowo - ostrzegają autorzy raportu FBI.

 Raport nie precyzuje kto stoi za atakami oraz czy są wspierane przez jakieś państwo.

Zagrożenie dla motoryzacji coraz bardziej realne
Ofiarami działań hakerów mogą paść nie tylko pojazdy autonomiczne, nad którymi widnieje ryzyko przejęcia kontroli. Rośnie liczba samochodów połączonych z siecią i komunikujących się między sobą i wydaje się, że nie ma od tego trendu odwrotu… Instalowanie technologii internetu rzeczy ma na celu poprawę komfortu i bezpieczeństwa podróżowania.

Przeczytaj też: Hakerzy zaatakują samochody?!

Systemy bezpieczeństwa w samochodach postrzegane były dotychczas przez pryzmat systemów wspomagających hamowanie, układu kontroli jazdy, strefy kontrolowanego zgniotu, dużej ilości poduszek powietrznych czy kurtyn. Tymczasem, postęp technologiczny sprawił, że przemysł motoryzacyjny działa w oparciu o systemy cyfrowe. 

W motoryzacji stosuje się tradycyjne systemy operacyjne, które zarządzają również naszym komfortem (klimatyzacja, audio, rozmowy), które są często parowane ze osobistymi smartfonami - bardzo podatnymi na ataki hakerów - podkreśla Polskie Stowarzyszenie Dziennikarzy Motoryzacyjnych analizując cyberzagrożenia dla przemysłu motoryzacyjnego.

Zobacz: Hakowanie Mitsubishi Outlander PHEV

 

Warto sobie zatem zadać pytanie, czy samochody są bezpieczne pod kątem cyfrowym i odporne na ataki hakerskie?
Fakt, iż auta jeżdżą połączone online sprawia, że mogą on stanowić poważne zagrożenie.

Możliwość zhakowania dowolnej liczby pojazdów otwiera cyberprzestępcom drogę do spowodowania realnego zagrożenia życia niewinnych osób - ostrzega Leszek Cieloch z Polskiego Stowarzyszenia Dziennikarzy Motoryzacyjnych (PSDM) w Polsce.

Obawy polskich ekspertów motoryzacyjnych potwierdzają dane izraelskiej firmy bezpieczeństwa - Check Point. Analitycy Check Point zwracają uwagę na dwa rodzaje zagrożeń dla inteligentnych aut podłączonych online (connected car), których liczba rośnie z roku na rok w ekspresowym tempie (według danych IDATE DiGiWorld w 2020 roku na ulicach będzie jeździło 420 milionów tego typu pojazdów).

Po pierwsze - uważają analitycy Check Point - producenci muszą zabezpieczyć systemy nawigacji, do których mogą przeniknąć wirusy. Po drugie, należy zabezpieczyć systemy komunikacji wewnętrznej w samochodach, odpowiedzialne za takie funkcje jak wspomaganie kierownicy, ustawienia kamery cofania lub lusterek przy cofaniu pojazdu. Eksperci Check Point współpracują z branżą motoryzacyjną, pomagając producentom samochodów unikać takich zagrożeń, wdrażając różne poziomy dostępu do aplikacji i procesów w samochodowych systemach elektronicznych. Technika „separacji uprawnień” uniemożliwia hakerom, którzy parują część samochodu przez Bluetooth lub WiFi, przejście do innych systemów, a nawet przejęcie kontroli nad samochodem.

Przeczytaj koniecznie: 14-latek pokonał najnowsze zabezpieczenia w samochodzie

Przedstawiciele firmy Check Point ujawnili agencji Reuters Israel (2016), że przeprowadzili testy dla kilku firm motoryzacyjnych pokazujące jak można przejąć komunikację zewnętrzną auta za pomocą zdalnego urządzenia, dostępnego na platformie sprzedażowej eBay lub przy użyciu komputera osobistego.

Wraz z postępem zaawansowania technologicznego, rośnie ryzyko ataków. Nowoczesne samochody, produkowane według standardów online posiadają moc ponad 20 komputerów osobistych i procesory obsługujące ponad 100 milionów linijek kodów - podkreślają przedstawiciele firmy Check Point. - Dostęp do pojazdów permanentnie podłączonych do sieci to także zagrożenie nielegalnymi podsłuchami bądź manipulacjami parametrami aut, które w coraz większym stopniu są zależne od oprogramowania.

O tym, że zagrożenie jest realne, świadczą dane innej firmy - Upstream Security. Wskazują one, że liczba incydentów związanych z cyberbezpieczeństwem samochodów wzrosła od 2016 r. do dziś o ponad 600 proc. (tylko w 2019 r. skoczyła ponaddwukrotnie).

Jakie metody stosują cyberprzestępcy?
Cyberprzestępcy najczęściej wykorzystują ataki typu brute force (technika łamania haseł) lub phishing (infekowanie komputera po otworzeniu załącznika ze źródła wzbudzającego zaufanie). Coraz częściej stosowane są ataki ransomware, czyli wymuszenia okupu w zamian za przywrócenie dostępu do danych na komputerze lub kontach internetowych. Co prawda FBI w swoim raporcie nie wymienia bezpośrednio nazw firm motoryzacyjnych, które padły ofiarami ataków, lecz wiadomo, że np. Honda Motor Co Ltd była celem ataku WannaCry w 2017 roku. Honda zmuszona była do zamknięcia zakładów produkcyjnych po tym jak jej sieci firmowe w Japonii, Europie, Ameryce i Chinach zostały zawirusowane. Ofiarami wirusa WannaCry były również koncerny Nissan i Renault (KPMG).

Wielki koncern Fiat Chrysler zmuszony był wezwać do serwisu 1,4 miliona pojazdów, po tym jak podczas jazdy próbnej auto zostało zaatakowane przez legalnie działających hakerów. Spowodowali oni, że (bez ingerencji kierowcy) włączyły się wycieraczki, radio zmieniło stację, a klimatyzacja zaczęła wyrzucać z siebie lodowate powietrze. W końcu udało im się wyłączyć pojazd. To sprawiło, że rynek motoryzacji zaczął poważnie myśleć o zagrożeniu. Innym przykładem - tym razem zaplanowanym - była manipulacja przy systemach emisji spalin w koncernie Volkswagen, co przerodziło się w skandal o zasięgu globalnym.

Check Point Research - oddział analityczny izraelskiego potentata ds. zabezpieczeń - ujawnił w grudniu 2019 roku, że grupa APT Ocean Lotus naruszyła sieci producentów samochodów BMW i Hyundai. Grupa, wcześniej powiązana z różnymi atakami na producentów samochodów, podobno przeprowadziła atak za pomocą narzędzia hakerskiego Cobalt Strike, aby uzyskać dostęp do sieci obu firm. Check Point zwrócił uwagę, że firmy te nie zabezpieczyły stosownie swoich sieci, a rozwiązania takie były dostępne (np. Check Point IPS and Anti-Bot blade). W lutym 2019 roku doszło do ataku na systemy nawigacji pojazdu szkoleniowego amerykańskiej armii. Co prawda nie ma to bezpośredniego wpływu na prywatnych użytkowników pojazdów, ale jest dowodem na wzrastającą skuteczność hakerów.

Zabezpieczenia, uniemożliwiające niepowołanym osobom przejęcie kontroli nad poruszającym się autem, stają się zatem priorytetem. Szczególnie w dobie coraz bardziej popularnych aut w pełni autonomicznych. Producenci prześcigają się w zapewnieniach o opracowywanych systemach zabezpieczeń. BMW przekonuje, że wprowadzi takie na rynek już do 2021 roku. Konkurenci depczą mu po piętach. Wśród firm mających podobne ambicje znajdują się technologiczne koncerny, np. Uber, Tesla czy Google.

Przeczytaj też: Amerykański haker odkrył ciekawą funkcję w systemie kamer zainstalowanych w Tesli

 

Nagrody za wykrycie błędów są w dużej mierze tym, co robią producenci pojazdów, aby pomóc w zwalczaniu włamań. Niektóre programy ‘’premiowania za błędy’’ były bardziej skuteczne niż inne. Na przykład Uber odnotował 1345 usuniętych zgłoszeń błędów i wypłacił ponad 2,3 miliona dolarów. Okazało się, że firma miała prawie 1400 luk w oprogramowaniu pojazdów (Upstreamreport).

Według ekspertów McKinsey samochody będą z biegiem lat coraz bardziej zaawansowane. Podczas gdy dziś mają około 100 milionów linijek kodów software, w 2030 roku ilość kodów wzrośnie do 300 milionów, stając się jednymi z najbardziej skomplikowanych maszyn. To rodzi ogromne pole do prób cyberataków - podsumowują autorzy raportu McKinsey - The race for Cybersecurity 2018.

Cyberbezpieczeństwo w motoryzacji staje się więc priorytetowym zagadnieniem dla tej branży. I obejmuje ono nie tylko możliwość ataków na pojazdy w trakcie ich użytkowania, lecz sposób gwarancji bezpieczeństwa podczas planowania całego procesu produkcyjnego ze szczególnym uwzględnieniem fabryk i innych miejsc, w których samochody i ich części są wytwarzane.

Motoryzacja - podobnie jak inne branże - jest ciągiem procesów produkcyjnych, w których każde ogniwo - od pracownika fabryki aż po programistę systemów i programowania wewnętrznego - musi mieć świadomość realnego zagrożenia ze strony hakerów, kierujących się pobudkami finansowymi lub prostą chęcią zdobycia sławy. Musimy zdać sobie sprawę z faktu, iż każda nieudaremniona próba ataku może prowadzić do tragicznych w skutkach konsekwencji, zagrożenia życia kierowcy pojazdu na drodze - podkreśla Leszek Cieloch ze Związku Dziennikarzy Motoryzacyjnych.

W opinii Związku Dziennikarzy Motoryzacyjnych dzisiejsze wyzwania związane z zapewnieniem bezpieczeństwa samochodów są efektem coraz bardziej zaawansowanej technologii, złożonych systemów i aplikacji, stosowanych w przemyśle motoryzacyjnym na świecie. Kolejne lata i przemiany w funkcjonowaniu procesów produkcyjnych mogą przynieść dodatkowe wyzwania.

Musimy być w pełni przekonani, że hakowanie samochodów stanie się niemożliwe, a kierowcy będą mieli całkowitą kontrolę nad pojazdem. A w przypadku, gdy auto zacznie zachowywać się niekonwencjonalnie, dostępny będzie jeden guzik, dzięki któremu kierowca opanuje maszynę i odetnie ją od połączenia z niesprawnym serwerem - Elon Musk, szef Tesli, podczas spotkania National Governors Association w 2017 roku.

Według danych Automotive Industry Report (2016), producenci samochodów w Europie przeznaczają rocznie na innowacje ponad 44 miliardy euro, a wartość globalnego rynku cyberbezpieczeństwa motoryzacyjnego szacowana była w 2018 roku na 1,26 mld USD i ma rosnąć w tempie 15 procent w okresie 2019-2029 (dane Automotive Cybersecurity Industry Analysis).

Tymczasem badania przeprowadzone w 2018 roku przez KPMG (CEO Outlook Survey) dowodzą, że 85 procent szefów koncernów motoryzacyjnych spodziewa się zwiększenia wydatków na zabezpieczenie pojazdów przed hakerami w ciągu trzech lat, a 56 procent ocenia, że będzie to "znaczący wzrost" i większy niż w innych sektorach gospodarki.

Świadomość zagrożenia cyberataków dla sektora motoryzacji jest coraz bardziej powszechna, skłaniając regulatorów rynku do wprowadzenia stosownych ustaw określających minimalne, obowiązkowe standardy zabezpieczeń. W 2018 roku władze Kalifornii wprowadziły ustawowy obowiązek zabezpieczenia autonomicznych samochodów podlegających jakimkolwiek testom.

Podczas gdy te regulacje obejmują tylko część rynku motoryzacyjnego, Światowe Forum Harmonizacji Przepisów dotyczących pojazdów w ramach Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) ma wkrótce wprowadzić swoje rozporządzenie w sprawie bezpieczeństwa cybernetycznego i aktualizacji oprogramowania. To sprawi, że cyberbezpieczeństwo stanie się wyraźnym wymogiem dla przyszłej sprzedaży pojazdów; powiązane przepisy będą miały wpływ na nowe homologacje typu pojazdów w ponad 60 krajach. Eksperci branżowi postrzegają nadchodzące rozporządzenia EKG ONZ tylko jako początek nowej ery regulacji zgodności technicznej w sektorze motoryzacyjnym, zajmujących się wzrostem i znaczeniem oprogramowania i łączności w branży.

 

VIP pod kontrolą
Limuzyny, którymi poruszają się członkowie rządu czy VIP, mają cały szereg zabezpieczeń, głównie przed fizycznym atakiem. Kuloodporne szyby, wzmocnione podwozie, cały szereg rozwiązań mających zapewnić bezpieczeństwo osób wewnątrz auta.

Niektóre instytucje zgodnie z ustawą mogą wykorzystywać „urządzenia uniemożliwiające telekomunikację na określonym obszarze". Odnośnie do systemów bezpieczeństwa montowanych w samochodach fabrycznie, to zgodnie ze specyfikacją zamówienia takowe są montowane w dedykowanych pojazdach. Natomiast należy stanowczo podkreślić, iż największym zagrożeniem dla systemu bezpieczeństwa jest „nieświadomy użytkownik - podkreśla generał Andrzej Pawlikowski, szef Biura Ochrony Rządu (obecnie SOP). - Zagrożenia spowodowane podłączeniem urządzenia mobilnego do systemu multimedialnego stanowią poważne zagrożenie, biorąc pod uwagę fakt, iż w dzisiejszych czasach jest coraz większe zaufanie do urządzeń mobilnych, przez co więcej danych jest na nich gromadzonych. Dlatego przede wszystkim trzeba zwracać uwagę na prewencję, profilaktykę i świadomość użytkowników - dodaje generał.  

Samochody stały się łatwym łupem do ataku z dwóch, jak się okazuje, błahych powodów. Przede wszystkim z powodu braku zrozumienia problemu przez samych producentów, którzy - owszem - skupiają się na bezpieczeństwie użytkowników auta i minimalizują utratę zdrowia i życia poprzez cały szereg rozwiązań technicznych. Pozostawiają jednak przestrzeń, która może być wykorzystana do tragicznych w skutkach celów.

Kolejnym ogniwem są sami użytkownicy, którzy nieświadomie udostępniają za pośrednictwem smartfona pełny dostęp do kierowanych przez siebie pojazdów. Dają możliwość kontroli nie tylko systemu multimedialnego czy klimatyzacji, ale przede wszystkim układu kierowniczego czy hamulcowego. A to w ruchu drogowym może doprowadzić do niewyobrażalnej w skutkach katastrofy.

Specjaliści jednogłośnie podkreślają, że wiele zależy od nas samych, a błędy producentów możemy niwelować poprzez świadomość tych zagrożeń.

Nadal stoję na stanowisku, iż instytucje państwowe oraz podmioty prywatne powinny mieć w swoich strukturach osoby / specjalistów odpowiadających za bezpieczeństwo, tj. inspektora ochrony danych osobowych, inspektora BTI, audytora czy osobę odpowiedzialną za cyberbezpieczeństwo. Systemy bezpieczeństwa są montowane fabrycznie tylko w dedykowanych samochodach. Natomiast największym zagrożeniem dla systemu bezpieczeństwa jest „nieświadomy użytkownik" - mówi generał Andrzej Pawlikowski

Komentarze

Złomnik
06 kwietnia 2020 10:35
I czego żeśmy dożyli - antywirus w samochodzie plus guzik resetu do wersji z bakapu lub hardcorowo do wersji fabrycznej. Jak najbardziej rozumiem sens tego rozwiązania aczkolwiek nie aprobuję - w dobie wszechobecnej inwigilacji mającej na celu sprawną interakcje między samochodami na drodze czy reagowanie z wyprzedzeniem na "ciekawostki" i niejasne sytuacje drogowe (korki, wypadki pożar inne) - bo tak to działa w Teslach obecnie - nie da się inaczej bo NIE MA na tyle szybkiego kompa/jednostki centralnej z odpowiednią "inteligentną" sztuczną inteligencją mieszczącą sie w małym pudełką, odseparowaną od łączy ze światem (czyli bezpieczną bo niedostępna od zewnątrz) która reagowałaby podobnie jak człowiek ...
Wynika z tego że to CZŁOWIEK jest najsłabszym ogniwem - gupim, bezmyślnym, wygodnym i nieodpowiedzialnym - tylko kto wyda takie "zarządzenie" w którym nie dopuści sie/zabroni pod kara utraty samochodu JAZDY gdziebądź - obecnie chyba tylko kaczylas ;)