Häkkerid Ja Mitte Kräkkerid: Kuidas Nad Tulevikus Autosid Varastavad

2023 Autor: Natalie MacDonald | [email protected]. Viimati modifitseeritud: 2023-05-21 02:36

Isesõitvad autod pole enam kaugem tulevik, vaid praktiliselt reaalsus. Üsna varsti pole inimestel õigusi vaja õppida ja inimfaktorist tulenevate õnnetuste arv väheneb.

Kuid kujutage ette sellist olukorda: lahkusite kodust, valmistusite tööle ja teie droon lahkus ilma teieta - see kaaperdati. Eemalt! Või veelgi hullem: istusite autosse, määrasite marsruudi, kuid see läks täiesti vales suunas. Pidurid ja rool ei kuula teid, navigatsioonisüsteem ei tööta. Ja te ei saa välja tulla: uksed on lukus. Küberpunki stiilis segu GT-st tumeda märulifilmiga düstoopilisest tulevikust.

Ja kõige ebameeldivam on see, et selleks ei pea kurjategija teie läheduses olema: piisab lihtsalt Interneti-ühenduse loomisest. Ja see kõik võib ka varsti reaalsuseks saada - me mõtleme välja, milliseid meetodeid tulevikus autode varastamiseks kasutatakse ja kas sellele on võimalik vastu panna.

Kuidas kaaperdajatest sai reaalsus

Paljud tänapäevased autod on tõelised ratastel arvutid. Need on varustatud poolautonoomsete juhtimissüsteemidega, Interneti-pöörduspunktidega sisseehitatud mobiilsete kanalite kaudu ning selliste sõidukite tarkvara (tarkvara) värskendatakse juba eetris. Ja isegi rehvirõhuanduritel on mikroarvutid. See tähendab, et sellistes süsteemides on tõenäoliselt haavatavusi. Niipea kui häkker need leiab ja kasutab, lakkab masin omanikule tõeliselt kuulumast.

Kaasaegsete esmaklassiliste autode vargustel pole ammu jõhkra klaasiakendega palju pistmist. Kurjategijad kasutavad spetsiaalset "koodirabandajat" - seadet, mis loeb ja jäljendab algsete võtmeta sisestusklahvide raadiokäske. Nii et tänapäevased kaaperdajad on pigem IT-spetsialistid, mitte maskides ja lukupulgad taskus tegelased.

"Kaasaegne auto sisaldab tohutult arvuteid, mis käitavad programme, saavad nende eest Interneti kaudu värskendusi ja vahetavad andmeid teatud serveritega," ütleb Doctor Webi arendusosakonna juhtiv analüütik Vjatšeslav Medvedev.

„Iga tarkvara sisaldab erineva raskusastmega haavatavusi. Selliste haavatavuste korral saavad ründajad ühenduda sõiduki arvutitega ja teha toiminguid, mille loetelu sõltub haavatavuste olemasolust. Kaugröövimine on olukord, kus auto avatakse mitte spetsiaalsete seadmete kaudu, vaid tavaliste arvutite abil, ühendades autoga nii, nagu oleks see kaugjuhitav arvuti."

Autodesse on võimalik sisse murda ka liikvel olles. Ründajad saavad juurdepääsu mitte ainult helisüsteemile või klaasipuhastitele, vaid ka üksustele, mille talitlushäire kujutab endast ohtu reisijate ohutusele - spidomeetrile, roolimisele, ülekandele ja isegi piduritele.

Esimest korda tegid seda 2015. aastal kaks Ameerika infoturbespetsialisti: Chris Valasek ja Charlie Miller. Nad tegid seda eksperimendi osana Jeep Cherokee'ga ja suutsid peatada 16 km kauguselt 110 km / h liikuva auto sülearvuti ja nutitelefoni abil, kasutades UConnecti infolustisüsteemi lünka.

Pärast pahatahtliku tarkvara allalaadimist hakkasid Valasek ja Miller gaasi ja pidurit "vajutama" ning ka rooli keerama. Wiredi ajakirjanik roolis ütles, et kõige jubedam hetk oli mootori seiskamine kiirusel 110 km / h, kui veoauto kiirelt tagant lähenes. Seejärel kutsus Chrysler haavatavuse kõrvaldamiseks tagasi 1,4 miljonit Jeepi sõidukit.

Kuid projekti "Mehitamata sõiduk StarLine" juht Boris Ivanov vestluses ajakirjaga Avto.ru avaldas kahtlust, et katsetajad oleksid suutnud samamoodi autot varastada."See oli katse juhtimist üle võtta, kuid see on pigem kõigi tavapäraste sõidukite turvalisuse küsimus. Sellise sissemurdmise korral võib hüpoteetiliselt auto sõidu ajal kraavi saata. Kuid teha seda nii, et ta saaks teie enda võimu alla sattuda - ma kahtlen selles ».

2016. aastal häkkisid Hiina häkkerid aga katse raames TeslModel S 20 km kauguselt: nad suutsid käigu pealt pakiruumi avada ja pidurdada kiirust. Aasta hiljem tegid nad sama mudeliga X. Sellised katsed paljastasid kogu tööstuse haavatavused.

Iisraeli ettevõtte GuardKnox Cyber Technologies tegevjuht Moshe Shlizel usub seda masinate häkkimise ajastu on juba kätte jõudnud. Tema ettevõte koosneb Iisraeli õhujõudude veteranidest, kes aitasid hävitajatele ja raketitõrjesüsteemidele ehitada esimesed küberkaitsesüsteemid. Nüüd aitab ta autotootjatel üle kogu maailma parandada häkkerite kasutatavaid või kasutatavaid nõrkusi.

„Küberturvalisuse teadlikkus on kogu maailmas hüppeliselt tõusnud. USA ja Iraani vaheline kübersõda pole kellelegi saladus. Seda ohtu ei saa alahinnata. Kliendid väljendavad kartust, et tänapäevane kübersõda viib autoturu kaughäkkerirünnakuteni. Ja kui sõidate Internetiga ühendatud sõidukiga, on see nüüd kaitstud peaaegu samamoodi nagu 1980ndate arvutid. Põhjus, miks autotootjad selle pärast muretsevad, on see, et auto on osa ülemaailmsest internetist. Võite olla Põhja-Koreas või Iraanis, kuid teil on võimalus jõuda maailma mis tahes transpordini ", - tsiteeris Schlizel Stuff väljaannet.

Tehnoloogia arenguga laienevad häkkerirünnakute võimalused tänapäevastele masinatele igal aastal. Ja isejuhtivad autod ainult kiirendavad seda suundumust.

Interneti-ühendus on levinud kõikidele kaubamärkidele ja mudelitele. See tähendab, et ees ootavad kõige tõsisemad ohud. Näiteks võivad kurjategijad lukustada terve mudelirea uksed, pressides autotootjalt juurdepääsu taastamise eest välja miljoneid. "Suured rünnakud autode vastu on ainult aja küsimus," ütles Duke'i ülikooli elektri- ja arvutitehnika dotsent Miroslav Paich 2017. aastal.

"Varem oli konkreetse inimese või sõiduki ründamiseks vaja sihtmärgi tuvastamiseks kohapeal inimest või jälgimisseadet. Täna, veebiajastul, saavad häkkerid sõidukisse eemalt siseneda, leida selle asukoha ja seejärel rünnata,”ütleb Schlizel.

Kui palju raskem on mehitamata sõidukit kaaperdada ja kuidas seda teha

Nüüd on tehnoloogia arengu piiriks neljanda autonoomia taseme droonid. See eeldab "väga automatiseeritud juhtimist": süsteem ei vaja inimreservi, kui see toimib oma "arendustööalal". Kuid isegi sellised autod tähendavad nii või teisiti võimalust juhti kontrollida - seetõttu ei erine nende vargus tavalise auto vargusest, sest siin on juhil esmatähtis.

Kui aga auto on võimeline liikuma ilma juhita, on teoreetiline võimalus auto kaaperdada. Kui rääkida viienda autonoomiataseme seni olematutest droonidest (rooli istuva inimese viibimisele pole piiranguid, rooli ega pedaale pole), siis jääb üle vaid aruka häkkimise meetod juhtimissüsteem.

“Mehitamata sõidukitel on kindel taustaprogramm (serveri kaugosa), juhtimis- ja jälgimissüsteem ning operaatorid, kes vajadusel saavad juhtimisse sekkuda ja auto välja lülitada. Lõppude lõpuks pole välistatud hädaolukorrad, kus tehisintellekt ei suuda probleemi lahendada õnnetuse, rajal oleva prahi või siis, kui peate järgima liikluskorraldaja juhiseid. Seejärel saadavad algoritmid signaali „peatu, sa ei saa minna“ja operaator võtab kaugjuurdepääsu tehnoloogiaid kasutades juhtimise enda kätte,”ütleb Kaspersky Labi transpordisüsteemide osakonna juhataja Sergey Zorin.

"Mis võiks olla drooni kaaperdamine? Volitus käsule saata auto mitte lõplikku kindlaksmääratud punkti, vaid kaaperdaja nõutavasse kohta. Vargus võib olla seotud juurdepääsuga selliste sõidukite juhtimiskanalitele."

Isesõitvad autod ise genereerivad terabaiti andmeid - räägime kaamerate pildist, andurite näitudest ja liiklusinfost. Need andmed tuleb kuhugi salvestada, töödelda ja edastada. See on vajalik, sest optimaalse jõudluse tagamiseks peavad droonid omavahel suhtlema, vahetades teavet, et määrata parimad marsruudid, kiirus ja vahemaa. Tuleviku transport on tegelikult võrk. Ja mis tahes võrk on häkkerile võimalus midagi halba teha.

“Autonoomne droon on võrguga ühendatud igal juhul: see edastab oma koordinaadid kuhugi, vähemalt selleks, et saada täpsusega navigeerimiseks parandusi. Kuid selle integreerimine intelligentsesse transpordisüsteemi avab uusi võimalusi: ühine marsruudi planeerimine, liiklusummikute reguleerimine. See loob ka haavatavuse võimaluse. Kuid kaitse on siin tõsisem. Inimkond hakkab sellele juba mõtlema. Siinset tööd teevad nii suured ettevõtted kui ka ÜRO Euroopa Majanduskomisjoni tasandil,”märgib Boris Ivanov StarLine’ist.

Eksperdid nimetavad kontrolleri AreNetwork (CAN) protokolli kõigi kaasaegsete masinate haavatavuseks, mis on tööstusliku võrgu standard, mis on suunatud masinaseadmete ja andurite võrgule ühendamiseks. CAN-buss töötati välja 1980. aastatel ja seda kasutatakse jätkuvalt viimastes elektriautodes ja droonides.

Seda saab häkkida füüsiliselt või sellega ühendatud seadmete kaudu - mis omakorda on ühendatud Internetti. Nii tegid Valasek ja Miller oma häkkimise: nad said juurdepääsu auto IP-le ja peakomplekti värskendussignaali koodile, misjärel programmeerisid UConnecti multimeediasüsteemi, et anda käske teiste moodulite juhtimiseks.

“CAN-bussi kasutatakse kõikjal ja see areneb. See on väga müraimmuunne, mitte eriti kiire ja spetsiaalselt auto jaoks kohandatud. Kuna enamik droone põhineb nüüd standardsõidukite platvormil, siis on CAN ükskõik millises neist. Ja suure tõenäosusega jääb see isegi 5. taseme droonidesse - see on tavaline rehv, väga töökindel. Probleem pole iseeneses, vaid selle rakenduses. Cherokee häkkimise puhul kasutati seda nii, et häkkimine oli võimalik,”selgitab Ivanov StarLine mehitamata sõidukist.

Milline on droonide kaitse varguste eest

Autofirmad teevad sageli koostööd küberohtude vastu võitlemiseks ja teabe vahetamiseks. 2014. aastal asutasid kaks suurimat autotootjate liitu - ülemaailmsete autotootjate liit ja autotootjate liit - selleks spetsiaalse organisatsiooni: autoteabe teabe- ja analüüsikeskus (Auto-ISAC). Tegelikult on see keskne sõlmpunkt, kuhu kogutakse kõik andmed küberohtude, autode elektroonilise täitmise võimalike haavatavuste ja nendega seotud autovõrkude kohta.

« Pahad poisid jagavad kogu aeg teavet. Kui head poisid seda ei tee, siis nad kukuvad läbi. See on lihtne: haavatavuse leidmine ühe ettevõtte poolt tähendab teisele ohu vältimist,”ütles Auto-ISACi tegevdirektor Fay Francie, kes töötas varem lennundustööstuses küberturvalisusega.

Ja ometi on autotootjatel keeruline infoturbega tõeliselt ajaga kaasas käia. Häkkimistööriistad ja nende vastu suunatud kaitsesüsteemid arenevad pidevalt ja väga kiiresti, samas kui mis tahes automudeli väljatöötamine võtab mitu aastat - see, mis töö alustamise ajal tundus olevat progressiivne idee, võib selle väljaandmise aeg olla kriitiliselt vananenud.

Selgub, et mehitamata sõidukite turvasüsteeme ootab sama saatus kui pangandussüsteeme: neid täiustatakse ja ajakohastatakse pidevalt, tuues kaasa lõputu võistluse küberkurjategijate vastu.

„Kogu mehitamata teenuste ökosüsteem vajab kaitset. Tulevikus peaks sellistel autodel olema küberkaitse. Selle lähenemisviisi kohaselt eeldatakse, et isegi kui ründajatel õnnestub autosse sattuda, ei saa nad teisi blokeeringuid mõjutada. Näiteks proovib keegi multimeediumisüsteemi sisse häkkinud teha auto juhtimisseadmesse muudatusi. Selline tegevus blokeeritakse, kuna seda ei näe ette etteantud turvapoliitika,”ütles Sergey Zorin Kaspersky Labist.

Veel 2014. aastal avaldas FBI salajase sisearuande tuleviku transpordi kohta, mille sisu sai The Guardianile teada. Ta eeldas, et autonoomsed sõidukid võivad olla varustatud funktsiooniga, mis võimaldab politseiteenistustel sõidukeid eemalt peatada või uksed lukustada. Sellel lähenemisel on kindlasti palju vastaseid.

Teoreetiliselt võib droonidega juhtuda sama, mis nutitelefonides. Varem oli telefonide füüsilisi vargusi rohkem, kuid pärast tarkvarauuendusi, mis lisasid seadme blokeerimise varguse korral, langes kuritegevuse statistika. Sama võib töötada droonidega: pärast vargusest teatamist võib auto teoreetiliselt suuta lukustada uksed, pöörduda politseisse või isegi iseseisvalt lähimasse jaama / harusse sõita.

Parim kaitse sissemurdmise eest on "õhu" filter: juhtimisahela selge eraldamine meelelahutusringist, navigatsioonist ja teistest. Kui drooni juhtimissüsteem on autonoomne, ei nõua andmeid ega kontrolli välise süsteemiga, siis on Interneti kaudu võimatu sinna sisse pääseda. Kuid seda teed lähevad väga vähesed tootjad.

"Kõigil kaitsevahendite tootjatel on kaks probleemi," tunnistab Vjatšeslav Medvedev doktor Webist. - Esimene on pahavara puudumine: ründajad kamandavad lihtsalt arvutit, mida nad peavad tegema. Teine on autoarvutite nõrkus. Need pole lihtsalt mõeldud täiendava tarkvara, sealhulgas turvatarkvara mahutamiseks."

"Ja kolmas. Kujutage ette olukorda - sisenete järsule kurvile serpentiinsel mägiteel ja siis antakse teile teade: „Tuvastati pahavara. Kustutada?”. Teie teod? See on täpselt nii, kui viirusetõrje ei peaks kaitset pakkuma."

Miks droonide kaaperdamine on ohtlikum kui tavaline autovargus

Sest droone saab kasutada näiteks mõrvade ja terrorirünnakute jaoks. Seda näitas rünnak Nizzas, kui 19-tonnine veoauto kukkus Promenade des Anglais'l rahva sekka ja tappis 86 inimest. Hiljem juhtus sarnane asi Berliini jõuluturul ja Stockholmi kesklinnas. Kõigil neil juhtudel rammis auto möödujaid. Kujutage ette, et tulevikus poleks terroristidel vaja veresauna sooritada. Võite lihtsalt sundida autonoomset sõidukit seda tegema.

Samas FBI 2014. aasta aruandes nimetasid autorid droone "potentsiaalseks relvaks" ja kingituseks terroristidele. Autopiloodi abil pole vaja otsida enesetaputerroristi - saate auto lõhkeainega laadida ja kõikjale saata.

Ilmalikumad ohud on ära toodud ka FBI aruandes. Näiteks annavad droonid kurjategijatele tagaajamise korral politsei ees eelise: saate tulistada, ilma et juhtimine teid häiriks. Salateenistus tundis muret ka selle pärast, et pärast droonide elektrooniliste süsteemide häkkimist on neid lihtne sundida rikkuma neis sätestatud liikluseeskirju, kiirendada, jalakäijaid maha lüüa ja muid ebaseaduslikke toiminguid sooritada.

Mehitamata sõidukite häkkimine annab ründajatele potentsiaalselt palju võimalusi halba teha. Näiteks usuvad Georgia tehnikainstituudi teadlased, et tipptunnil vaid 20 protsendi autode peatamine halvab liikluse New Yorgis täielikult ja 10-protsendine sissemurdmine blokeerib kiirabiliikmete liikumise. Kas Die Hard 4.0 häkkimise õudused saavad tõeks?

“Rahulik augusti laupäeva hommik. Ühtäkki lastakse kogu riigis korraga üle tuhande TeslModel S sedaani - nad lülitasid autopiloodi sisse ja sõitsid teele. Osa neist käib kohalikes tanklates. Mõned lähevad elektrijaamadesse. Ja siis lähenedes kiirendavad nad maksimaalse kiiruseni. Plahvatused on fantastilised: Model S patareide sädemed süütasid kõik selle piirkonna tuleohtlikud. Los Angelese elektrivõrk variseb peaaegu kohe kokku. Möllavad sajad tulekahjud. Ameerikat ähvardab rünnak. Kõlab nagu ulme, aga see pole nii,”kirjutas Kanada küberturvalisuse ekspert Zach Eisan The Weekly Standardi artiklis.

Kas kaaperdamisi tuleb veel?

Ühest küljest võib autode häkkimine levida droonide leviku ja nende hinna languse tõttu. See võib viia turvalisuse ohverdamiseni tehnoloogia kulukuse ja lihtsuse nimel, muutes droonid lihtsamaks ja atraktiivsemaks sihtmärgiks.

Seda toetab asjaolu, et häkkimine ise on odavnenud. "Klassikaliste" kõrgtehnoloogiliste varguste varustus on üsna kallis (umbes 50 tuhat dollarit) - sellise hinnasildiga on kaaperdajatel mõttekas sihtida ainult kõrgema klassi autosid. Kuid nüüd toodetakse järjest rohkem võtmeta sissepääsuga autosid, mis avatakse näiteks nutitelefoni käsu abil. Nutitelefoni häkkimine on odavam.

Lisaks pole kaaperdamine ainus häirivus, mis drooni omanikku ähvardab. Näiteks usub seda Duke'i ülikooli inimeste ja autonoomia labori direktor Mary Cummings inimese puudumine mõjutab negatiivselt suhtumist mehitamata sõidukitesse.

"Nendes masinates toimub palju rohkem kuritegusid, kui inimesed arvavad. Autod rookivad seestpoolt, hävitavad rehve, neilt eemaldatakse esituled. Ilma autojuhita autos algab meie silme ees väga halb käitumine, "tsiteeris Cummings The Vice'i.

Sellegipoolest on tulevasi isejuhtivaid autosid raske häkkida. Kaaperdajad seisavad silmitsi uute takistustega, nagu näiteks biomeetriline juurdepääs, GPS-i jälgimine või isegi auto kaugseisutamine. See ei lase kurjategijal kaugele jõuda - varastatud auto leidmine on palju lihtsam. Tänapäeval enamikul autodel selliseid süsteeme pole: miks peaks mehitamata sõidukite leviku korral olema rohkem kaaperdamisi?

„Arvestades krüptimistehnoloogiate arengutaset, on drooni kaaperdamise korraldamine väga keeruline. Lisaks tegelevad autotootjad aktiivselt komponentide kaitsmisega, näiteks takistades kasutatud osade väljavahetamist ilma tootja loata. Seda tehakse autode varguse vähendamiseks, et kallid elektroonikakomponendid edasi müüa. Ja kui mehitamata lahenduse ja selle komponentide ökosüsteem on nõuetekohaselt kaitstud, siis muutub kaaperdamine mitte ainult keeruliseks, vaid ka kasutuks, "ütles Sergey Zorin Kaspersky Labist.

Tõenäoliselt ei toimu massiliste autovarguste "epideemia". Kõigist nõrkustest hoolimata suudavad väga vähesed siiski autot häkkida. Neist veelgi vähem huvitab kuritegelikul eesmärgil autode varastamine: see nõuab palju raha ja aega, mille järel ründaja seisab silmitsi küsimusega: mida teha kaaperdatud drooniga? Püüate müüa? Aga kellele? Osade jaoks lahti võtta? Aga kes neid ostab?

« Kas varastada jääb veel autosid? Varguse jaoks on vaja müügiturgu. Minu arvates see kaob … Ühel hetkel pole isiklikku autot eriti vaja - see võib viia teid koju või tööle ja kuhu see hiljem läheb? Teisi kanda? See on tavaline variant, aga milleks siis seda omada? Ma pole kuulnud, et reisibusse kaaperdatakse sageli,”lõpetas Boris Ivanov.

Lisaks on raha tänapäevaste küberkurjategijate peamine motivaator, mistõttu nende jõupingutused on tavaliselt suunatud pankadele ja ettevõtetele. Mehitamata sõidukid ei salvesta tavaliselt mingit väärtuslikku teavet. Vähesed võivad proovida teedel korraldada autoapokalüpsist - lõppude lõpuks tahavad ründajad varastada ja teenida raha, mitte laastada. Kaaperdamine on keeruline ja kahjumlik ning droonide ilmumine seda tõenäoliselt ei muuda.