Albo zapłacisz okup, albo haker nie wpuści cię do samochodu

„Dwaj hakerzy przejęli kontrolę nad samochodem z odległości 30 km”, „Informatykom udało się zmusić do gwałtownego hamowania Toyotę Prius jadącą z prędkością 130 km/h”, „Jak otworzyć samochód bez oryginalnego kluczyka? Hakerzy to wiedzą”. Do takich tytułów pojawiających się w prasie musimy się przyzwyczaić. Rosnące zaawansowanie techniczne pojazdów, stale zwiększająca się ilość systemów elektronicznych oraz wprowadzenie łączności aut ze światem za pomocą WiFi i sieci GSM powodują, że cztery kółka stały się podatne na działania cyberprzestępców.

Miliony BMW bez osłony

A że nie są to przelewki, dowodzi chociażby sprawa z zeszłego roku, kiedy to eksperci z niemieckiego automobilkubu ADAC przyjrzeli się technologiom stosowanym w BMW. Powód? Bawarczycy – jako jedni z pierwszych – wprowadzili rozwiązania online oparte o karty SIM „zaszyte” w autach. Kontrola wykazała lukę bezpieczeństwa mającą wpływ na transmisję danych. Posłużono się w tym celu tzw. fałszywym BTS-em, czyli urządzeniem symulującym stację bazową telefonii komórkowej i przechwytującym komunikację pojazdu z centralą firmy. Komendy trafiające z centrali do auta nie były szyfrowane, a elektronika samochodu wykonywała je bez weryfikowania autentyczności. Sprawa dotyczyła – bagatela – 2,2 mln samochodów!

BMW oczywiście wprowadziło lepsze zabezpieczenia transmisji danych informując przy tym, że przed dokonaniem poprawek nie zanotowano żadnych nieuprawnionych zmian w systemach jakiegokolwiek samochodu wyposażonego w usługi ConnectedDrive.

Miliony kolejnych aut bez osłony

Kilka dni temu gruchnęła wieść o wykryciu usterki zabezpieczeń w 100 milionach samochodów na świecie. Okazało się, że dzięki ograniczonej liczbie haseł hakerzy są w stanie złamać bariery bezpieczeństwa w kluczach (pilotach) do aut, używając starszych kluczy. W efekcie możliwe jest zdalne otwieranie i zamykanie drzwi oraz bagażników w wybranych modelach marek Audi, Citroen, Fiat,  Ford, Nissan, Opel, Peugeot, Renault, Seat, Skoda i Volkswagen. W sumie – 100 mln pojazdów na całym świecie!

„Sytuacja, w której badacze zdołali zdalnie otworzyć samochody bez fizycznego dostępu do oryginalnego kluczyka, jasno pokazuje, że jeżeli atakujący posiada odpowiednio dużo czasu i wiedzy, może złamać niemal każde urządzenie. Niewykluczone, że dodatkowa inwestycja czasu i pieniędzy pozwoli odtworzyć rezultaty badania dla aut innych marek. Z drugiej strony eksperyment pokazał również, że producenci coraz intensywniej myślą o cyberbezpieczeństwie pojazdów i włamanie się do nowoczesnych samochodów nie jest sprawą prostą – przynajmniej w większości przypadków. Nie można zatem stwierdzić, że eksperyment powiódł się, ponieważ dany producent aut stosuje złe podejście do bezpieczeństwa. Mimo to, branża motoryzacyjna boryka się z pewnymi kwestiami, które mogą stanowić problem” – wyjaśnia Siergiej Zorin, ekspert ds. bezpieczeństwa IT w Kaspersky Lab.

Kłopot na kłopocie

Rzecz w tym, że koncerny muszą planować wszystko, łącznie z kwestiami bezpieczeństwa, z wyprzedzeniem 5-, 7-letnim, bo tyle trwa typowy cykl rozwojowy nowego modelu samochodu. Tymczasem metody cyberprzestępców ewoluują znacznie szybciej i zabezpieczenia auta dopiero trafiającego do sprzedaży mogą być przestarzałe już w momencie jego rynkowej premiery. Drugi problem jest związany z faktem, że w wyniku ograniczeń technologicznych nie zawsze da się dostarczyć poprawki bezpieczeństwa na tyle szybko i szeroko, by wyeliminować potencjalne zagrożenia.

„Obydwie kwestie mogłyby zostać rozwiązane poprzez zastosowanie mechanizmów pozwalających na łatwą aktualizację pokładowych systemów bez udziału autoryzowanych serwisów. Właściciele aut mogliby instalować poprawki usuwające luki natychmiast po wykryciu nowych błędów. Taki update mógłby być nawet wykonywany automatycznie. Spodziewamy się, że w przypadku samochodów, które pojawią się na rynku za około 5 lat, rozwiązania tego typu będą standardem. U niektórych producentów takie podejście do aktualizacji pokładowych systemów informatycznych można zaobserwować już dzisiaj, co jest godne pochwały” – mówi Siergiej Zorin.

Trzecim problemem, z którym koncerny motoryzacyjne mierzą się już dzisiaj, jest łączność aut z internetem. Idea tzw. connected car polega na tym, że wiele modułów pojazdu korzysta z kanałów wymiany informacji ze światem zewnętrznym. Kanałów, w zabezpieczeniach których badacze zidentyfikowali już pewne luki. „Jako firma z branży bezpieczeństwa IT prowadzimy badania w tym zakresie już od kilku lat i widzimy, że nieustannie pojawia się coraz więcej błędów w zabezpieczeniach łączności samochodów z internetem. Rozwój bezpiecznych technologii komunikacyjnych dla aut to dziedzina, na której powinna się skupić w najbliższych latach zarówno branża bezpieczeństwa, jak i motoryzacyjna” – stwierdza specjalista z Kaspersky Lab.

[page_break]

Nie koniec problemów

Stephen Cobb, ekspert bezpieczeństwa i analityk w firmie ESET, ostrzega z kolei przed nową formą zagrożenia, która może pojawić się już niedługo. Wyobraźmy sobie taką sytuację – kierowca spóźniony do pracy wybiega z domu, chce wejść do swojego samochodu, ale… nie może. Dlaczego? Bo przejął nad nim kontrolę cyberprzestępca, który żąda okupu w zamian za wpuszczenie do środka pojazdu. Takie metody są już powszechnie spotykane w przypadku komputerów. Cobb uspokaja, że do tej pory złośliwe oprogramowanie (tzw. jackware) wymierzone w pojazdy nie zostało jeszcze wykryte, jednak na podstawie dotychczasowej wiedzy dotyczącej cyberzagrożeń, eksperci bezpieczeństwa przypuszczają, że powstanie takich programów to kwestia czasu. Tym bardziej, że działanie samochodów w dużej mierze opiera się na elektronice i oprogramowaniu. A dziury w nich zawsze próbują wykorzystać niepowołane osoby.

Wracając na chwilę do BMW – aplikacja BMW ConnectedDrive pozwala użytkownikowi np. regulować temperaturę w domu czy włączać oświetlenie, kiedy pojazd zbliża się do posesji. Świadomość, że po włamaniu się do serwisu zarządzającego tą usługą, wszystkie te funkcje w domu mogą być zarządzane przez osobę trzecią, jest co najmniej niepokojąca.

Kto nas uratuje?

Według ekspertów z ESET, właściciele samochodów tak naprawdę nie mogą nic zrobić, by zabezpieczyć swój sprzęt przed zagrożeniami ze strony cyberprzestępców. Cała odpowiedzialność za bezpieczeństwo gadżetów podłączanych do internetu czy nowoczesnych samochodów spada na ich producentów. Aby nie dopuścić lub opóźnić pojawienie się zagrożeń jackware, konieczne są dwa rodzaje działań. Pierwsze to zabezpieczenie urządzenia czy samochodu poprzez: szyfrowanie czy uwierzytelnianie. Drugie działanie to ogólnoświatowe przeciwdziałanie zagrożeniom cybernetycznym. Konieczne jest współdziałanie rządów, organów ścigania i sektora prywatnego, aby powstrzymać ciągły rozwój rynku zagrożeń.

Pierwsze działania w tym obszarze już są. Firma Intel ogłosiła w ubiegłym roku utworzenie Automotive Security Review Board (ASRB). To zespół zrzeszający specjalistów związanych z inteligentnymi systemami pokładowymi. Ich celem jest prowadzenie testów zabezpieczeń, w jakie wyposażane są auta oraz opracowywanie i rekomendowanie najlepszych praktyk związanych z tym zagadnieniem.

A jest się czym zajmować. Firma analityczna Gartner przewiduje, że do 2020 r., liczba aut, których pasażerowie w trakcie jazdy będą podłączeni do sieci, osiągnie 150 mln egzemplarzy. Od 60 do 75 proc. z nich będzie zdolnych do zbierania danych i dzielenia się nimi. Natomiast zgodnie z prognozami firmy badawczej Analysys Mason, aż 89 proc. nowych pojazdów będzie mieć wbudowaną łączność już w 2024 r. Wynika to m.in. z obowiązkowego systemu e-call, wymagającego zaszytej karty SIM i dostępu do sieci, który będzie stosowany w samochodach produkowanych dla Unii Europejskiej od 2018 r. „Możemy i musimy podnieść cyberprzestępcom poprzeczkę w zawodach dotyczących cyberbezpieczeństwa w samochodach” – mówi Chris Young, wiceprezes i dyrektor generalny Intel Security.