Вся электротехника России без посредников
Угрозы информационной безопасности автомобиля, какие существуют риски хакерского взлома
Думаете, что ваша машина полностью под вашим контролем? Доля электроники, различных элементов управления и программного обеспечения для управления и эксплуатации современных транспортных средств постоянно увеличивается, и пропорционально растет угроза хакерской атаки на них.
По мере увеличения доли электроники растет и спектр уязвимостей, которые хакеры используют для получения несанкционированного доступа к транспортному средству или с помощью которых они могут контролировать отдельные системы автомобиля. Автопроизводители по возможностям защиты от взлома отстают на годы от ИТ-индустрии.
Безопасность автомобилей от взлома значительно отстает от ИТ-сектора
Взлом автомобиля — дело не новое, изначально речь шла в основном о простых техниках имитации удаленного разблокировки автомобиля. Однако с увеличением количества электронных компонентов в транспортных средствах возрастает и их уязвимость.
Более роскошный современный автомобиль скрывает сотни электронных компонентов, более 4 км кабелей и проводов и миллионы строк программного кода.
Практически любое транспортное средство, сходящее с конвейера в наши дни, содержит интегральные схемы, управляющие различными функциями.
К критическим функциям относятся, например, тормоза, подушки безопасности, ремни безопасности и т. д. Это также может быть информация о местоположении автомобиля, а также технологии, повышающие комфорт водителя во время вождения.
В последнее десятилетие производители автомобилей инвестировали ресурсы в разработку электроники, которая делает автомобили более эффективными, комфортными и, по возможности, более экологичными. Однако с увеличением объема электроники и операционного ПО возможности злоумышленника, который может попытаться использовать данный функционал в своих интересах, растут прямо пропорционально.
Все началось с бесключевого доступа
Хакеры в первую очередь сосредотачиваются на том, от чего они могут получить непосредственную выгоду. Поэтому основной интерес по-прежнему сосредоточен на том, как угнать транспортное средство.
При использовании систем бесключевого доступа воры обычно пытаются подслушать и имитировать последовательность сигналов, посылаемых владельцем транспортного средства.
Если хакеры хотят добиться успеха, они всегда должны быть на шаг впереди производителей.
Поскольку производители автомобилей в ответ заменили фиксированную последовательность сигналов, отправляемых контроллером, на переменную плавающую последовательность, злоумышленники применили долгосрочные методы прослушивания и прогнозирования для оценки необходимой последовательности сигналов.
С помощью механизмов запуска автомобилей без ключа им удалось совместными усилиями двух хакеров с двумя рациями имитировать передачу низких и высоких частот, происходящих, когда владелец приближается к пульту дистанционного управления и нажимает кнопку запуска.
Проблема взлома автомобилей в основном в том, что можно управлять системами, неисправность которых напрямую угрожает жизни людей. Например, датчики, контролирующие давление в шинах, могут использоваться не по назначению, чтобы посылать предупреждающие сигналы или препятствовать дальнейшему движению автомобиля.
Возможно даже управление всей информационно-развлекательной системой автомобиля, как это было, например, в самом известном симуляционном взломе автомобиля Jeep Cherokee, который в рамках демонстрации злоумышленники заставляли ускоряться и тормозить во время движения по трассе. Затем они парализовали тормоза при медленной езде и, наконец, полностью остановили машину.
Возможности для хакеров растут, кибербезопасность подключённых автомобилей
Большинство современных автомобилей оснащены подключением к Интернету, что позволяет пассажирам и водителям легко получать доступ к развлечениям, навигации и информации. Но подключение автомобиля к Интернету подвергает его большему риску удаленных хакерских атак.
Например, на конференции Black Hat специалисты из команды Sky-Go показали еще один успешный автомобильный хак. В частности, это был Mercedes-Benz E-Class, в программном обеспечении которого было обнаружено более десятка уязвимостей. Это позволяло злоумышленникам, например, удаленно открывать дверь или запускать двигатель.
Все больше и больше устройств содержат чипы, которые собирают и отправляют информацию или даже подключаются к корпоративных сетей и облачных решений, а также их обеспечение безопасности — серьезная задача для специалистов по кибербезопасности.
Другие системы также могут быть атакованы с помощью автомобилей. Примером может служить возможность проникновения в домашние и корпоративные сети через зарядные устройства для электромобилей.
В недавно опубликованном тесте эксперты изучили зарядные устройства нескольких брендов и обнаружили, что для некоторых из них более изощренная атака позволила бы хакеру получить доступ к сети Wi-Fi. Впоследствии можно было бы отслеживать сетевой трафик или даже управлять подключенными к нему устройствами.
Кроме того, получение удаленного доступа к автомобильному зарядному устройству означает, что злоумышленник получит полный контроль над ним, тем самым заблокировав доступ владельца.
Яков Кузнецов
