Kiedy w ubiegłym roku dwóch uczciwych hakerów Charlie Miller i Chris Valasek pokazało, w jaki sposób można skutecznie przejąć kontrolę nad samochodem, na producentów aut padł strach. Fiat Chrysler odwołał nawet do naprawy 1,4 miliona samochodów. Nie z powodu wadliwych hamulców, czy systemu zapłonu lub innych usterek mechanicznych. Konieczna okazała się zmiana oprogramowania wypuszczanych z taśm samochodów.
Eksperci komputerowi w białych kołnierzykach posłużyli się Jeepem Grand Cherokee, włamując się do systemu UConnect, mającego dostarczać rozrywki kierowcy i pasażerom. Tymczasem okazało się, że luki w oprogramowaniu pozwoliły na przejęcie kontroli nad prędkością pojazdu, hamulcami, czy wycieraczkami. Nie wspominając już o opanowaniu tak błahych elementów jak radio, czy odtwarzacz płyt CD. Prawie półtora miliona kierowców otrzymało podłączane za pomocą portu USB urządzenie, które pozwala na “załatanie” luk w oprogramowaniu uniemożliwiających włamanie.
Elektroniczny labirynt
FBI opublikowało właśnie nowe ostrzeżenie dotyczące ryzyka związanego z używaniem nowoczesnych samochodów. O tym, że auta stają się coraz bardziej skomplikowane i naszpikowane elektroniką nikogo przekonywać nie trzeba. W nowych pojazdach coraz więcej układów uzależnionych jest od mikroprocesorów i minikomputerów sterujących ich pracą. W tej sytuacji oprogramowanie stało się kwestią jednym z najbardziej newralgicznych elementów pojazdu.
Nowoczesne auta są wyposażone w wiele opcji, takich jak możliwość uruchamiania na odległość, kontrolę zapłonu, czujniki ciśnienia w oponach, kontrolki dotyczące różnych kluczowych systemów, nawigację, czy system pokładowej rozrywki mogący współpracować z naszymi smartfonami i czerpiący informacje z Internetu. Steve Weisman prawnik i profesor Bentley University, będący jednym z najpoważniejszych amerykańskich ekspertów od kradzieży tożsamości, policzył, że nowe auto może mieć nawet do 40 elektronicznych “furtek” pozwalających na bezprzewodowe połączenie z pokładowymi systemami.
[blockquote style=”4″]Większość koncernów samochodowych nie zbudowała jeszcze systemu wykrywania włamań i reakcji na ataki hakerskie[/blockquote]
Ukradziona prywatność
Włamanie do samochodu to nie tylko niebezpieczeństwo realizacji apokaliptycznej koncepcji przejmowania kontroli nad jadącym samochodem. Eksperci od cyberbezpieczeństwa bardziej obawiają się zagrożenia kradzieżą tożsamości. A jest to więcej niż realne. Nowoczesne systemy pokładowe chętnie współpracują z naszymi smartfonami. Kierowcy nie wahają się z podłączaniem komórek do samochodowych systemów, bo te ostatnie stwarzają możliwość legalnego korzystania z telefonów podczas jazdy. Smartfon podłączony za pośrednictwem bluetootha w większości stanów pozwala uniknąć punktów karnych i słonego mandatu.
Ale jednocześnie podłączony do samochodu może stać się cennym łupem dla hakerów. Sama komórka może wydawać się dobrze zabezpieczona, ale co z tego, jeśli słabe punkty znajdować się będą poza nią – właśnie w samochodzie. To dzięki tym lukom hakerzy mogą wejść w posiadanie informacji o naszych kartach kredytowych, hasłach dostępu do kont bankowych i innych danych finansowych, umieszczonych w komórkach. Cyberprzestępcy mogą więc wykorzystać każdą słabość samochodowych zabezpieczeń.
Kongres pomoże?
Problemem zajęli się politycy. Senatorzy Edward Markey i Richard Blumenthal zgłosili projekt ustawy o znamiennej nazwie SPY Car Act. Zobowiązywałaby ona producentów samochodów do przestrzegania restrykcyjnych standardów zabezpieczeń przeciwko hakerom. Nazwa SPY to akronim od “Security and Privacy in Your car”.
Senator Markey jeszcze w lutym ubiegłego roku opublikował raport, którego konkluzja była jednoznaczna – to co robią producenci samochodów na całym świecie jest niekonsekwentne i potencjalnie niebezpieczne.
Większość koncernów samochodowych nie zbudowała jeszcze systemu wykrywania włamań i reakcji na ataki hakerskie. Spy Car Act ma wymóc na producentach wprowadzenie koniecznych reform i zmian. Projekt zobowiązuje instytucje federalne – National Highway Traffic Safety Administration (NHTSA) i Federalną Komisję Handlu (Federal Trade Commission – FTC) do opracowaniem norm, które będą obowiązywać cały przemysł motoryzacyjny. Ich wdrożenie ma zabezpieczyć nowe samochody przed atakami cyberwłamywaczy. Autorzy projektu chcą także, aby powstały standardy regulujące ochronę prywatności danych gromadzonych przez nasze pojazdy. Wreszcie chcą także, aby przy sprzedaży nowych aut konsument otrzymywał od dealera pełną informację o dostosowaniu pojazdu do wyznaczonych przez władze federalne norm cyberbezpieczeństwa. Dane te mają być wywieszone w oknie nowego samochodu – w podobny sposób, jak informacja o zużyciu paliwa, wynikach testów kolizyjnych czy standardowym i dodatkowym wyposażeniu w jaki zaopatrzony jest dany model. Już wkrótce więc będziemy wiedzieć, który z producentów w najlepszy sposób chroni naszą prywatność wychodząc poza normy narzucone przez prawo.
Pomóż sobie sam
Zanim jednak politycy na Kapitolu przebrną przez długotrwałe i niepewne procedury legislacyjne, przemysł motoryzacyjny postanowił wziąć sprawy we własne ręce. 17 koncernów samochodowych i Departament Transportu podpisały porozumienie o wymianie informacji na temat ataków hakerskich na ich własne pojazdy. Powołano też do życia Information Sharing and Analysis Center (ISAC), które pełni funkcję punktu wymiany wiedzy na temat działań i zainteresowań hakerów. Producenci zobowiązali się także do wypracowania dobrych praktyk dotyczących cyberbezpieczeństwa.
Eksperci, w tym profesor Steve Weisman, przestrzegają jednak, że na konkrety trzeba będzie poczekać, gdy tymczasem każdego dnia z taśm produkcyjnych zjeżdżają tysiące nowych, naszpikowanych elektroniką pojazdów. Warto więc powalczyć o własne cyberbezpieczeństwo. Bo nie jest prawdą, że wobec samochodowych hakerów jesteśmy zupełnie bezsilni. Jest kilka kroków, które możemy zrobić sami. Na przykład rozpoczynając od systematycznego sprawdzania list samochodów odwołanych do naprawy przez producentów z powodu ataków hakerskich oraz strony internetowej NHTSA pozwalającej na sprawdzenie bezpieczeństwa naszego auta (vinrcl.safercar.gov/vin/). Podobną witrynę prowadzi także FBI. Ale Federalne Biuro Śledcze doradza także szczególną ostrożność w przypadku wezwań do napraw. Okazało się bowiem, że hakerzy potrafią rozsyłać urządzenia USB, które zamiast naprawiać dziurawe oprogramowanie, tak jak w Jeepach Grand Cherokee, umożliwiają cyberzłodziejom wejście w posiadanie naszych danych. Jeśli nie mamy 100-procentowej pewności w sprawie autentyczności, nie instalujmy programu – apeluje prof. Weisman.
Najważniejszy powinien być jak zawsze – umiar i zdrowy rozsądek. W końcu jeszcze kilka lat temu, kiedy istniały już komórki, potrafiliśmy się obejść bez pokładowych komputerów.
Jolanta Telega
