W dzisiejszych czasach nikogo już nie dziwi, że coraz więcej urządzeń RTV i AGD posiada możliwość podłączenia do sieci, co w połączeniu z odpowiednią aplikacją na urządzenie mobilne, zwiększa możliwości sprzętu. Oczywiście jest to bardzo wygodne rozwiązanie. Pozwala np. uruchomić pranie smartfonem, kiedy jesteśmy jeszcze w pracy, tak by skończyło się kiedy przekroczymy próg domu. Kolejnym przykładem są ekspresy do kawy, które zrobią nam rano kawę bez wychodzenia z łóżka i podchodzenia do urządzenia (o ile wieczorem pamiętamy by podstawić pusty kubek). Przykłady można mnożyć, pralki, lodówki, piekarniki, tostery, żarówki – coraz więcej kategorii sprzętu jest tworzona z myślą o internecie rzeczy. Jednak kategorią, która najbardziej działa na wyobraźnię, jest wizja inteligentnych samochodów.
Inteligentne samochody
Samochody są naszpikowane coraz większą ilością elektroniki. Radary, asystenci zmiany pasa i utrzymywania prędkości, czujniki ruchu i wiele innych rozwiązań pomaga nie tylko zachować większy komfort podróży, ale także wyjść kierowcy z opresji np. hamując zanim człowiek zdążyłby zareagować. Nikt nie podważa, że te systemy mogą ratować życie i zmniejszać szkody w przypadku kolizji. Niestety, nie zawsze implementacja nowych rozwiązań jest przemyślana. Wiele współczesnych aut ma stały dostęp do internetu, dzięki czemu właściciel może na bieżąco kontrolować różnorakie parametry jazdy i zużycia części z poziomu urządzenia mobilnego, ale także uruchomić na kilka minut przed wyjazdem np. klimatyzację. Dodatkowo takie auto zapewnia internet pasażerom, co zwiększa wygodę podróżowania. Jak widać możliwości auta wzrastają. Niemniej jednak pozwala to także na przeprowadzenie ataków na auto, a lista możliwości jest w niektórych przypadkach alarmująca.
Sterowanie na odległość
Jednym z lepszych przykładów zagrożeń jakich możemy doświadczyć po podłączeniu samochodu do internetu, jest Jeep Cherokee. Jak podaje jeden z artykułów[1], autorom (Charlie Miller i Chris Valasek) tego eksperymentu udało się przejąć kontrolę nad wieloma funkcjami:
- Sterowanie temperaturą klimatyzacji
- Sterowanie systemem audio (wybór radia i głośności)
- Uruchomienie spryskiwaczy szyby i wycieraczek
- Sterowanie funkcjami kokpitu
Póki co nie brzmi to jak coś, co może spowodować zagrożenie życia. Prędzej jest to uprzykrzenie jazdy kierowcy i pasażerom. Niestety ta lista obfituje także w bardziej newralgiczne systemy, które udało się przejąć:
- Sterowanie skrzynią biegów
- Przejecie kontroli nad układem sterowania
- Przejęcie kontroli nad układem hamulcowym
- Śledzenie pozycji poprzez GPS
Przejęty przez autorów ataku samochód kończy swój bieg w rowie…
Teraz lista uzupełniona jest o bardziej poważne elementy, których wyłączenie lub niewłaściwe użycie może doprowadzić do wypadku. Wyobraźmy sobie sytuację, że jedziemy w mieście i w pewnym momencie dojeżdżamy do skrzyżowania. Zapala nam się czerwone światło, ale hamulce odmawiają posłuszeństwa. Na pełnej prędkości przejeżdżamy przez skrzyżowanie, ryzykując potrącenie pieszych na pasach oraz zderzenie z innym pojazdem. Jak dodają badacze, wystarczy poznać adres IP samochodu (co nie jest bardzo trudne do zrobienia) i przy pomocy odpowiedniego oprogramowania można dokonać ataku z odległego miejsca.
Szczegóły i sam przebieg badania oraz ataku można zobaczyć na poniższym filmie:
Na szczęście Miller i Valasek nie udostępnili publicznie wszystkich szczegółów ataku, w dniu przesłania pierwszych informacji o takim zagrożeniu. Miało to służyć bezpieczeństwu, na wypadek gdyby ktoś chciał powtórzyć atak, ale już nie w kontrolowanych warunkach… Sam Chrysler również otrzymał informację o błędzie w usłudze i dzięki temu zyskał czas na napisanie poprawki. Ta jest możliwa do zainstalowania jedynie poprzez fizyczny dostęp do samochodu (USB lub serwisant), nie da się jej przeprowadzić online…
Jaka będzie przyszłość?
Jeszcze kilka lat temu wiele wskazywało na to, że ataki na samochody i przejmowanie nad nimi kontroli to domena kina akcji. Niestety rzeczywistość okazała się inna. Technologia rozwija się na tyle szybko, że do internetu podłączamy coraz więcej urządzeń i sprzętu. Jednak samo zaimplementowanie nowego rozwiązania również musi odbyć się w sposób bezpieczny. Biorąc pod uwagę opisane przypadki, należałoby zastanowić się czy producenci samochodów nie powinni zatrudniać specjalistycznych firm i zrobić testy penetracyjne w swoich nowych rozwiązaniach. Jeszcze kilka lat temu sądzono, że w przyszłości samochody będą musiały mieć instalowane programy antywirusowe na wypadek ataku szkodliwego oprogramowania. Być może w przyszłości tak właśnie będzie, jednak bardziej palącym problemem wydaje się być załatanie dziur w oprogramowaniu.
W Stanach Zjednoczonych jeden z senatorów wysłał do producentów samochodów zapytanie o bezpieczeństwo i prywatność w autach, które produkują. W 2015 roku powstał na podstawie tego pytania raport[2], z którego wynika, że większość współczesnych aut posiada komunikację bezprzewodową, która może zostać użyta przeciwko właścicielowi. Co ciekawe, jedynie kilku producentów odpowiedziało twierdząco na pytanie o wykonywanie testów bezpieczeństwa przez zewnętrzne firmy…
[1] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway
[2] https://www.wired.com/2015/02/heres-full-senate-report-shaming-automakers-security/
