Po novem na udaru hekerjev tudi avtomobili
Urban Škudnik
15. maj 2010 ob 15:32:48
Če ste do danes mislili, da je vdiranje v varnostne sisteme samo bolj ali manj nedolžna igra, ki se na koncu dneva ne more končati z resnimi posledicami na zdravstveno stanje udeleženih, vas bo morda sledeča raziskava prepričala v nasprotno.
Varnostni raziskovalci iz Univerze v Washingtonu in Univerze v San Diegu so se namreč posvetili računalniškim sistemom, ki jih lahko najdemo v sodobnih avtomobilih in ki služijo za nadzor in upravljanje raznovrstnih komponent avtomobila.
Ker je tako v ZDA kot tudi v EU standariziran dostop do avtomobilske elektronike z OBD-II priključkom in se lahko z njim dostopa do CAN-a (Controller Area Network) - podpirajo ga namreč vsa podjetja od BMW-ja, Volkswagena, Honde, GM-a, itd. - so imeli relativno standarizirano delo in so sledeči napadi aplikativni ne samo na model avtomobila, ki so ga testirali (prav zaradi vsesplošnega pomankanja varnosti točnega modela raziskovalci niti niso razkrili) ampak na celotno avtomobilsko industrijo.
Ko so raziskovalci pridobili dostop do CAN-a, so lahko preko njega dostopali do vrste elektronskih kontrolnih enot (ECU), ki se nahajajo po avtomobilu, z tem dostopom pa so lahko upravljali z praktično celotnim avtomobilom - od trivialnih komponentami kot so nadzor radia, temperature in moči klime do kritičnih kot so zavore in zaklenitev ključa s čimer se prepreči vozniku izklop motorja.
Že CAN sam je namreč zasnovan z zelo malo varnostnimi mehanizmi, tisti, ki pa so prisotni, pa so pogosto implementirani neprimerno. ECU-ji tudi omogočajo namestitev novega firmware-a in napada iz nizko-varnostnih sistemov (klime) na visoko-varnostne sisteme (zavore). Z novim firmware-om pa so lahko raziskovalci vprogramirali tudi napredne napade, ki so odvisni od spremenljivk (izklop zavor, ko avto že doseže visoko hitrost) in ponovni zagon in ponastavitev firmware-a na tovarniške nastavitve, kar potencialnim preiskovalcem skrije dokaze o vpletenosti tretje osebe.
Edina stvar, ki je raziskovalci s svojim modelom avtomobila niso mogli narediti, je bil nadzor nad samo smerjo vozila, vendar sumijo, da bi lahko v avtomobilih višjega cenovnega razreda, ki imajo na voljo samodejno parkiranje in upravljanje z vozilom, dosegli tudi to.
Ker je fizično dostop do OBD priključka načeloma omejen (a vseeno dostopen jezni ženi), bi lahko večino teh napadov odpisali kot neizvršljivo v resničnem svetu, če le ne bi sodobni avtomobili imeli vgrajenih tudi Bluetooth priključkov. Model avtomobila, ki so ga imeli raziskovalci, je namreč imel tudi Bluetooth, raziskovalci pa so lahko pridobili dostop do CAN-a tudi preko Bluetooth-a.