Reklama

Zubie to małe pudełko, które można podłączyć do Diagnostyka pokładowa (ODBII) port znaleziony w większości nowoczesnych samochodów. Pozwala użytkownikom dowiedzieć się, jak dobrze jeżdżą, i oferuje porady dotyczące przedłużenia przebiegu dzięki rozsądnej, ekonomicznej jeździe. I do niedawna Zubie zawierał poważne opóźnienie w zakresie bezpieczeństwa, który może narazić użytkowników na zdalne uprowadzenie samochodu.

Dziura - odkryta przez absolwentów Unit 8200, elitarnego zespołu cyberbezpieczeństwa Izraelskich Sił Obronnych - może potencjalnie widzieć atakujących zdalnie ingerujących w hamowanie, kierowanie i silnik.

Zubie łączy się ze zdalnym serwerem za pośrednictwem połączenia GPRS, które służy do wysyłania zebranych danych do centralnego serwera, a także do otrzymywania aktualizacji zabezpieczeń.

Naukowcy odkryli, że urządzenie popełnia jeden z głównych grzechów bezpieczeństwa sieci i nie komunikuje się z serwerem macierzystym za pośrednictwem szyfrowanego połączenia. W rezultacie mogli sfałszować centralny serwer Zubie i wysłać do urządzenia specjalnie spreparowane złośliwe oprogramowanie.

instagram viewer

Dalsze szczegóły dotyczące ataku znajdują się poniżej, a z przyjemnością dowiesz się, że problem został już rozwiązany. Rodzi to jednak interesujące pytanie. Jak bezpieczne są nasze samochody?

Oddzielanie faktu od fikcji

Dla wielu osób prowadzenie pojazdu nie jest luksusem. To konieczność

I jest to niebezpieczna konieczność. Większość ludzi zna się na ryzyku związanym z wsiadaniem za kierownicę. Wypadki samochodowe to jeden z największych zabójców na świecie, z 1,24 milionami ofiar śmiertelnych na drodze w samym 2010 roku.

wypadek samochodowy

Ale liczba ofiar śmiertelnych na drogach spada, a to w dużej mierze ze względu na zwiększoną penetrację zaawansowanych technologii bezpieczeństwa drogowego. Jest ich o wiele za dużo, by je wyczerpująco wymienić, ale być może najbardziej rozpowszechnionym przykładem jest OnStar, dostępne w USA, Kanadzie i Chinach.

Technologia - dostępna wyłącznie w samochodach GM, a także w innych pojazdach firm, które zdecydowały się na licencję na technologię - monitoruje stan Twojego samochodu. Może zapewniać szczegółowe wskazówki i może automatycznie udzielić pomocy, jeśli znajdziesz się w sytuacji niż wypadku.

Prawie sześć milionów osób subskrybuje OnStar. Niezliczona liczba osób korzysta z systemu telematycznego, który pozwala ubezpieczycielom śledzić, jak dobrze jeżdżą samochody i dostosowywać pakiety ubezpieczeniowe, aby nagradzać rozsądnych kierowców. Justin Dennis ostatnio recenzował coś podobnego o nazwie Metronom przez Metromile Śledź swój przebieg, koszty paliwa i więcej dzięki bezpłatnemu urządzeniu OBD2W dzisiejszych czasach wszystko wydaje się być mądre - z wyjątkiem naszych samochodów. To bezpłatne urządzenie ODB2 i aplikacja to zmieniają. Czytaj więcej , który jest bezpłatnie dostępny dla mieszkańców Waszyngtonu, Oregonu, Kalifornii i Illinois. Tymczasem wiele samochodów po 1998 r. Można przesłuchać i monitorować za pośrednictwem Internetu Port diagnostyczny ODBII dzięki Androidowi Jak monitorować wydajność samochodu za pomocą AndroidaMonitorowanie mnóstwa informacji o samochodzie jest niezwykle łatwe i tanie z urządzeniem z Androidem - dowiedz się o tym tutaj! Czytaj więcej i aplikacje na smartfony z iOS.

Ponieważ technologie te osiągnęły wszechobecność, ma świadomość, że można je zhakować. Nigdzie indziej nie jest to bardziej widoczne niż w naszej psychice kulturowej.

The 2008 thriller Untraceable w widocznym miejscu pojawił się samochód wyposażony w system OnStar, który został „zamurowany” przez antagonistę filmu, aby zwabić kogoś w pułapkę. Podczas gdy w 2009 roku holenderska firma informatyczna InfoSupport uruchomiła serię reklam przedstawiających fikcyjnego hakera o nazwie Max Cornellise zdalnie włamuje się do systemów samochodowych, w tym Porsche 911, używając tylko jego laptop.

Przy tak dużej niepewności związanej z tym zagadnieniem ważne jest, aby wiedzieć, co można zrobić i jakie zagrożenia pozostają w obszarze science fiction.

Krótka historia hakowania samochodów?

Poza Hollywood badacze zajmujący się bezpieczeństwem osiągnęli całkiem przerażające rzeczy w samochodach.

W 2013 r. Charlie Miller i Chris Valasek zademonstrował atak gdzie poszli na kompromis Ford Escape i Toyota Prius i udało się przejąć kontrolę urządzenia hamujące i sterujące. Jednak ten atak miał jedną poważną wadę, ponieważ był uzależniony od podłączenia laptopa do pojazdu. To sprawiło, że badacze bezpieczeństwa byli ciekawi i zastanawiali się, czy można osiągnąć to samo, ale bez fizycznego przywiązania do samochodu.

Ostatecznie odpowiedziano na to pytanie rok później, kiedy Miller i Valasek przeprowadzili jeszcze bardziej szczegółowe badanie dotyczące bezpieczeństwa 24 różnych modeli samochodów. Tym razem koncentrowali się na zdolności atakującego do przeprowadzenia zdalnego ataku. Ich szeroko zakrojone badania zaowocowały 93-stronicowym raportem opublikowane na Scribd zbiegnie się z ich kontynuacją podczas konferencji bezpieczeństwa Blackhat w Las Vegas.

Sugeruje to, że nasze samochody nie są tak bezpieczne, jak kiedyś sądzono, a wielu nie ma najbardziej podstawowych zabezpieczeń cyberbezpieczeństwa. W tym przeklętym raporcie Cadillac Escalade, Jeep Cherokee i Infiniti Q50 są najbardziej narażone na atak zdalny.

Kiedy patrzymy na Infinity Q10 konkretniewidzimy poważne uchybienia w bezpieczeństwie.

car-infiniti

To, co czyni Infiniti tak atrakcyjnym jak samochód, jest również tym, co czyni go tak wrażliwym. Podobnie jak wiele wysokiej klasy samochodów wyprodukowanych w ostatnich latach, ma w sobie szereg funkcji technologicznych zaprojektowanych w celu zwiększenia przyjemności z jazdy. Obejmują one od bezkluczykowego odblokowywania, przez bezprzewodowe monitorowanie ciśnienia w oponach, po aplikację na smartfona „osobistego asystenta”, która współpracuje z samochodem.

Według Millera i Vlaseka niektóre z tych funkcji technologicznych nie są izolowane, ale są bezpośrednio połączone w sieć z systemami odpowiedzialnymi za sterowanie silnikiem i hamowanie. To pozostawia otwartą możliwość uzyskania przez atakującego dostępu do wewnętrznej sieci samochodu, a następnie wykorzystywanie podatności zlokalizowanej w jednym z podstawowych systemów w celu awarii lub ingerencji w sieć pojazd.

Rzeczy takie jak odblokowanie bez użycia klucza i „asystenci osobisti” są szybko uważane za niezbędne kierowców, ale jak to słusznie zauważył Charlie Miller: „To trochę przerażające, że wszyscy mogą z każdym rozmawiać inny."

Ale wciąż jesteśmy bardzo w świecie teoretycznym. Miller i Vlasek pokazali potencjalną drogę ataku, ale nie rzeczywisty atak. Czy są jakieś przykłady tego, że ktoś rzeczywiście ingerował w systemy komputerowe samochodu?

Cóż, nie brakuje ataków ukierunkowanych na funkcje odblokowywania bezkluczykowego. Jeden został nawet zademonstrowany wcześniej w tym roku na konferencji Blackhat Security Conference w Las Vegas przez australijskiego badacza ds. bezpieczeństwa Silvio Cesare.

Używając gotowych narzędzi o wartości zaledwie 1000 USD, był w stanie sfałszować sygnał z pilota, umożliwiając mu zdalne odblokowanie samochodu. Atak polega na tym, że ktoś jest fizycznie obecny w pobliżu samochodu, potencjalnie przez kilka godzin, jako komputer i antena radiowa nadają próbę brutalnej siły odbiornika wbudowanego w bezkluczykowy zamek samochodu system.

Po otwarciu samochodu osoba atakująca może potencjalnie spróbować go ukraść lub pomóc sobie w pozostawieniu pozostawionych przez kierowcę przedmiotów bez opieki. Istnieje tutaj duży potencjał uszkodzeń.

Czy są jakieś obrony?

To zależy.

Istnieje już pewna forma ochrony przed podatnością na zdalny dostęp, którą odkryli Charlie Miller i Chris Valasek. W ciągu miesięcy od ich rozmowy o Blackhat, tak zrobili był w stanie zbudować urządzenie działa jak system wykrywania włamań (IDS). Nie powstrzymuje to ataku, ale wskazuje kierowcy, kiedy atak może być w toku. Kosztuje to około 150 USD na części i wymaga odrobiny specjalistycznej wiedzy z zakresu elektroniki.

Luka w Zubie jest nieco trudniejsza. Mimo że dziura została już załatana, słabość nie leżała w samochodzie, ale raczej w podłączonym do niego urządzeniu innej firmy. Podczas gdy samochody mają własną niepewność architektoniczną, wydaje się, że dodanie dodatkowych dodatków tylko zwiększa potencjalne możliwości ataku.

Być może jest to jedyny sposób naprawdę Bezpiecznie jest prowadzić stary samochód. Taki, w którym brakuje bardzo wyrafinowanych dzwonków i gwizdów nowoczesnych samochodów z wyższej półki, i by oprzeć się pokusie wrzucenia rzeczy do portu ODBII. Bezpieczeństwo jest proste.

Czy jazda samochodem jest bezpieczna?

Bezpieczeństwo to proces ewolucyjny.

Gdy ludzie coraz lepiej rozumieją zagrożenia otaczające system, system ewoluuje, aby się przed nimi chronić. Ale świat samochodów jeszcze go nie miał Nerwica wojenna Gorzej niż Heartbleed? Poznaj ShellShock: nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux Czytaj więcej lub HeartBleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej . Wyobrażam sobie, że kiedy wystąpi pierwsze krytyczne zagrożenie - jest to pierwszy dzień zero, jeśli wolisz - producenci samochodów zareagują odpowiednio i podejmą kroki, aby zwiększyć bezpieczeństwo pojazdu rygorystyczny.

Ale co myślisz? Czy to jest trochę optymistyczne? Martwisz się o przejęcie samochodu przez hakerów? Chcę o tym usłyszeć. Dodaj mi komentarz poniżej.

Kredyty fotograficzne: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com

Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.