Το Zubie είναι ένα μικρό κιβώτιο που συνδέεται με την ενσωματωμένη θύρα διαγνωστικού ελέγχου (ODBII) στα περισσότερα σύγχρονα αυτοκίνητα. Επιτρέπει στους χρήστες να μάθουν πόσο καλά οδηγούν και προσφέρει συμβουλές για την επέκταση των διανυθέντων χιλιομέτρων με λογική και οικονομική οδήγηση. Και μέχρι πρόσφατα, ο Zubie περιείχε σοβαρή καθυστέρηση στην ασφάλεια, η οποία θα μπορούσε να αφήσει τους χρήστες ευάλωτους στο να αποκτήσουν το αυτοκίνητό τους από απόσταση.
Η τρύπα, που ανακαλύφθηκε από τους αποφοίτους της μονάδας 8200 της ισραηλινής στρατιωτικής δύναμης της Αμυντικής Δύναμης, θα μπορούσε ενδεχομένως να δει τους επιτιθέμενους να παρεμποδίζουν από απόσταση το φρενάρισμα, το τιμόνι και τον κινητήρα.
Ο Zubie συνδέεται σε απομακρυσμένο διακομιστή μέσω σύνδεσης GPRS, η οποία χρησιμοποιείται για την αποστολή δεδομένων σε κεντρικό διακομιστή, καθώς και για την λήψη ενημερώσεων ασφαλείας.
Οι ερευνητές ανακάλυψαν ότι η συσκευή διαπράττει μία από τις βασικές αμαρτίες της ασφάλειας δικτύων και δεν επικοινωνεί με τον αρχικό διακομιστή μέσω κρυπτογραφημένης σύνδεσης. Ως αποτέλεσμα, ήταν σε θέση να spoof κεντρικό διακομιστή Zubie, και να στείλετε κάποια ειδικά σχεδιασμένο κακόβουλο λογισμικό στη συσκευή.
Περισσότερες λεπτομέρειες σχετικά με την επίθεση είναι παρακάτω, και θα χαρούμε να μάθετε ότι το ζήτημα έχει καθοριστεί από τότε. Παρουσιάζει, ωστόσο, μια ενδιαφέρουσα ερώτηση. Πόσο ασφαλή είναι τα αυτοκίνητά μας;
Διαχωρισμός της πραγματικότητας από τη μυθοπλασία
Για πολλούς, η οδήγηση δεν είναι πολυτέλεια. Είναι μια αναγκαιότητα
Και είναι μια επικίνδυνη αναγκαιότητα σε αυτό. Οι περισσότεροι άνθρωποι είναι πολύ εξοικειωμένοι με τους κινδύνους που συνδέονται με το να φτάνουν πίσω από το τιμόνι. Τα τροχαία ατυχήματα είναι ένας από τους μεγαλύτερους δολοφόνους στον κόσμο, με 1.24 εκατομμύρια ζωές να χάνονται στο δρόμο μόνο το 2010.
Ωστόσο, ο θάνατος των οδικών μεταφορών μειώνεται και αυτό οφείλεται σε μεγάλο βαθμό στην αυξημένη διείσδυση των περίπλοκων τεχνολογιών οδικής ασφάλειας. Υπάρχουν πάρα πολλά από αυτά για την πλήρη λίστα, αλλά ίσως το πιο διαδεδομένο παράδειγμα είναι το OnStar, διαθέσιμο στις ΗΠΑ, τον Καναδά και την Κίνα.
Η τεχνολογία - διαθέσιμη αποκλειστικά σε αυτοκίνητα GM, καθώς και άλλα οχήματα από εταιρείες που έχουν επιλέξει να διαθέτουν άδεια τεχνολογίας - παρακολουθεί την υγεία του αυτοκινήτου σας. Μπορεί να παρέχει οδηγίες προς τα πίσω και μπορεί αυτόματα να παρέχει βοήθεια αν βρίσκεστε μέσα από τυχαία ατυχήματα.
Σχεδόν έξι εκατομμύρια άνθρωποι εγγράφονται στο OnStar. Αμέτρητοι περισσότεροι χρησιμοποιούν ένα σύστημα τηλεματικής, το οποίο επιτρέπει στους ασφαλιστές να παρακολουθούν πόσο καλά οδηγούνται τα αυτοκίνητα και να προσαρμόζουν τα πακέτα ασφάλισης για να επιβραβεύουν λογικούς οδηγούς. Justin Dennis επανεξέτασε πρόσφατα κάτι παρόμοιο που ονομάζεται Metronome από Metromile Παρακολουθήστε τα χιλιόμετρα σας, τα κόστη καυσίμων και άλλα με μια δωρεάν συσκευή OBD2 Παρακολουθήστε τα χιλιόμετρα σας, τα έξοδα καυσίμων και άλλα με μια δωρεάν συσκευή OBD2 Σήμερα, όλα φαίνονται έξυπνα - εκτός από τα αυτοκίνητά μας. Αυτή η ελεύθερη συσκευή ODB2 και η εφαρμογή αλλάζουν αυτό. Διαβάστε περισσότερα, το οποίο είναι ελεύθερα διαθέσιμο για τους κατοίκους της Ουάσιγκτον, του Όρεγκον, της Καλιφόρνια και του Ιλλινόις. Εν τω μεταξύ, πολλά αυτοκίνητα μετά το 1998 μπορούν να διερευνηθούν και να παρακολουθούνται μέσω της διαγνωστικής θύρας ODBII χάρη στο Android Πώς να παρακολουθείτε την απόδοση του αυτοκινήτου σας με το Android Πώς να παρακολουθείτε την απόδοση του αυτοκινήτου σας με το Android Παρακολουθήστε τους τόνους πληροφοριών σχετικά με το αυτοκίνητό σας είναι απίστευτα εύκολο και φθηνό με το Android συσκευή - μάθετε για αυτό εδώ! Διαβάστε περισσότερα και εφαρμογές iOS smartphone.
Καθώς αυτές οι τεχνολογίες έχουν φθάσει στο πανταχού παρόν, έχει την συνείδηση ότι αυτά μπορούν να χαραχτούν. Πουθενά αλλού δεν είναι τόσο εμφανής από ότι στην πολιτισμική μας ψυχή.
Το θρίλερ Untraceable του 2008 χαρακτήρισε ένα όχημα εξοπλισμένο με OnStar, το οποίο «χτυπήθηκε» από τον ανταγωνιστή της ταινίας, προκειμένου να προσελκύσει κάποιον σε μια παγίδα. Ενώ το 2009, η ολλανδική εταιρεία πληροφορικής InfoSupport ξεκίνησε μια σειρά διαφημίσεων που έδειξαν έναν φανταστικό χάκερ που ονομάζεται Max Cornellise από απόσταση από το αυτοκίνητο σε συστήματα αυτοκινήτων, συμπεριλαμβανομένου ενός Porsche 911, χρησιμοποιώντας μόνο τον φορητό υπολογιστή του.
Έτσι, με τόσο μεγάλη αβεβαιότητα γύρω από το θέμα, είναι σημαντικό να γνωρίζουμε τι μπορεί να γίνει και ποιες απειλές παραμένουν στον τομέα της επιστημονικής φαντασίας.
Μια σύντομη ιστορία της πειρατείας αυτοκινήτων;
Έξω από το Χόλιγουντ, οι ερευνητές της ασφάλειας έχουν επιτύχει κάποια αρκετά τρομακτικά πράγματα με τα αυτοκίνητα.
Το 2013, ο Charlie Miller και ο Chris Valasek επέδειξαν μια επίθεση όπου έθεσαν σε κίνδυνο ένα Ford Escape και το Toyota Prius και κατάφεραν να πάρουν τον έλεγχο των συστημάτων πέδησης και διεύθυνσης. Ωστόσο, αυτή η επίθεση είχε ένα μεγάλο μειονέκτημα, καθώς εξαρτιόταν από τη σύνδεση ενός φορητού υπολογιστή στο όχημα. Αυτοί οι ερευνητές της αριστεράς ασφάλειας είναι περίεργοι και αναρωτιούνται εάν ήταν δυνατόν να επιτύχουν το ίδιο πράγμα, χωρίς όμως να είναι σωματικά συνδεδεμένοι με το αυτοκίνητο.
Το ερώτημα αυτό απαντήθηκε οριστικά ένα χρόνο αργότερα, όταν οι Miller και Valasek διενήργησαν μια ακόμα πιο λεπτομερή μελέτη σχετικά με την ασφάλεια 24 διαφορετικών μοντέλων αυτοκινήτων. Αυτή τη φορά, εστιάζονταν στην ικανότητα ενός εισβολέα να διεξάγει μια απομακρυσμένη επίθεση. Η εκτεταμένη έρευνα τους παρήγαγε μια έκθεση 93 σελίδων, η οποία δημοσιεύθηκε στο Scribd για να συμπέσει με την ομιλία που ακολούθησε στη διάσκεψη ασφάλειας του Blackhat στο Λας Βέγκας.
Πρότεινε ότι τα αυτοκίνητά μας δεν είναι τόσο ασφαλή όσο κάποτε, με πολλούς να μην διαθέτουν τις πιο στοιχειώδεις προστασίες στον κυβερνοχώρο. Η έκθεση αποζημίωσης υπογράμμισε ότι το Cadillac Escalade, το Jeep Cherokee και το Infiniti Q50 είναι πιο ευάλωτα σε μια απομακρυσμένη επίθεση.
Όταν εξετάζουμε το Infinity Q10 συγκεκριμένα, βλέπουμε μερικές σημαντικές καθυστερήσεις στην ασφάλεια.
Αυτό που καθιστά το Infiniti τόσο επιτακτικό όσο ένα αυτοκίνητο είναι αυτό που το καθιστά τόσο ευάλωτο. Όπως και πολλά αυτοκίνητα υψηλών επιδόσεων που παράγονται τα τελευταία χρόνια, προσφέρεται με ένα πλήθος τεχνολογικών χαρακτηριστικών που έχουν σχεδιαστεί για να κάνουν την εμπειρία οδήγησης πιο ευχάριστη. Αυτά κυμαίνονται από το ξεκλείδωμα χωρίς κλειδί, έως την παρακολούθηση της πίεσης των ασύρματων ελαστικών, σε μια εφαρμογή smartphone «προσωπικού βοηθού» που διασυνδέεται με το αυτοκίνητο.
Σύμφωνα με τον Miller και τον Vlasek, μερικά από αυτά τα τεχνολογικά χαρακτηριστικά δεν είναι απομονωμένα, αλλά συνδέονται άμεσα με τα συστήματα που είναι υπεύθυνα για τον έλεγχο και την πέδηση του κινητήρα. Αυτό αφήνει ανοικτή τη δυνατότητα ενός εισβολέα να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο του αυτοκινήτου και στη συνέχεια να εκμεταλλευτεί μια ευπάθεια που βρίσκεται σε ένα από τα βασικά συστήματα προκειμένου να σπάσει ή να παρεμποδίσει το όχημα.
Τα πράγματα όπως το ξεκλείδωμα χωρίς κλειδί και οι «προσωπικοί βοηθοί» θεωρούνται γρήγορα απαραίτητα για τους οδηγούς, αλλά όπως τόνισε χαρακτηριστικά ο Charlie Miller, «είναι λίγο τρομακτικό ότι μπορούν όλοι να μιλάνε ο ένας στον άλλο».
Αλλά είμαστε ακόμα πολύ στον κόσμο της θεωρητικής. Ο Μίλερ και ο Βλάσεκ έχουν δείξει μια πιθανή διαδρομή για μια επίθεση, αλλά όχι μια πραγματική επίθεση. Υπάρχουν παραδείγματα για το ότι όλοι έχουν πραγματικά καταφέρει να παρεμβαίνουν στα συστήματα ηλεκτρονικών υπολογιστών ενός αυτοκινήτου;
Λοιπόν, δεν υπάρχει καμία έλλειψη επιθέσεων που στοχεύουν τα χαρακτηριστικά κλειδώματος ξεκλειδώματος. Ένας ακόμη αποδείχθηκε νωρίτερα φέτος στο συνέδριο ασφάλειας Blackhat στο Λας Βέγκας από τον ερευνητή της Αυστραλιανής ασφάλειας Silvio Cesare.
Χρησιμοποιώντας μόνο εργαλεία εκτός του ράφι αξίας $ 1000, ήταν σε θέση να παραπλανήσει το σήμα από ένα key-fob, επιτρέποντάς του να ξεκλειδώσει ένα αυτοκίνητο από μακριά. Η επίθεση βασίζεται σε κάποιον που βρίσκεται φυσικά κοντά στο αυτοκίνητο, πιθανώς για λίγες ώρες, καθώς ένας υπολογιστής και μια ραδιο-κεραία μεταδίδει προσπαθεί να ωθήσει τον δέκτη ενσωματωμένο στο σύστημα κλειδώματος ξεκλειδώματος ενός αυτοκινήτου.
Μόλις ανοιχτεί το αυτοκίνητο, ο επιτιθέμενος θα μπορούσε ενδεχομένως να προσπαθήσει να τον κλέψει ή να βοηθήσει στον εαυτό του οποιαδήποτε ανεπιτήρητα αντικείμενα που άφησε πίσω του ο οδηγός. Υπάρχει μεγάλη πιθανότητα ζημιών εδώ.
Υπάρχουν οποιεσδήποτε υπερασπίσεις;
Αυτο εξαρταται.
Υπάρχει ήδη κάποια μορφή προστασίας από την ευπάθεια εξ αποστάσεως που έχει ανακαλύψει ο Charlie Miller και ο Chris Valasek. Κατά τους μήνες από τη συζήτησή τους Blackhat, κατάφεραν να κατασκευάσουν μια συσκευή που λειτουργεί ως σύστημα ανίχνευσης εισβολής (IDS). Αυτό δεν σταματά μια επίθεση, αλλά μάλλον υποδεικνύει στον οδηγό όταν μια επίθεση μπορεί να είναι σε εξέλιξη. Αυτό κοστίζει περίπου 150 δολάρια σε μέρη και απαιτεί λίγη τεχνογνωσία για την κατασκευή ηλεκτρονικών.
Η ευπάθεια Zubie είναι λίγο πιο δύσκολη. Παρόλο που η τρύπα έπεσε από τότε, η αδυναμία δεν βρισκόταν μέσα στο αυτοκίνητο, αλλά μάλλον μέσα στη συσκευή τρίτου που ήταν συνδεδεμένη με αυτήν. Ενώ τα αυτοκίνητα έχουν τη δική τους αρχιτεκτονική ανασφάλεια, φαίνεται ότι η προσθήκη επιπλέον πρόσθετων στοιχείων αυξάνει μόνο τις πιθανές διευθύνσεις για μια επίθεση.
Ίσως ο μόνος τρόπος να είσαι πραγματικά ασφαλής είναι να οδηγείς ένα παλιό αυτοκίνητο. Κάποιος που δεν διαθέτει τα εξαιρετικά περίπλοκα καμπάνες και σφυρίχτρες των σύγχρονων, high-end αυτοκινήτων, και να αντισταθεί στην ανάγκη να σπρώξετε τα πράγματα στο λιμάνι σας ODBII. Υπάρχει ασφάλεια στην απλότητα.
Είναι ασφαλές να οδηγώ το αυτοκίνητό μου;
Η ασφάλεια είναι μια εξελικτική διαδικασία.
Καθώς οι άνθρωποι αποκτούν μεγαλύτερη κατανόηση των απειλών που περιβάλλουν ένα σύστημα, το σύστημα εξελίσσεται για να προστατεύεται από αυτές. Αλλά ο κόσμος των αυτοκινήτων δεν είχε αρκετά ShellShock χειρότερη από Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux χειρότερα από Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για το OS X και Linux Διαβάστε περισσότερα ή HeartBleed Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα . Φαντάζομαι ότι όταν έχει βιώσει την πρώτη κρίσιμη απειλή - είναι η πρώτη μηδενική ημέρα, αν θέλετε - οι κατασκευαστές αυτοκινήτων θα ανταποκριθούν κατάλληλα και θα λάβουν μέτρα για να κάνουν την ασφάλεια των οχημάτων λίγο πιο αυστηρή.
Αλλά τι νομίζεις; Είναι λίγο αισιόδοξο; Ανησυχείτε αν οι χάκερ αναλάβουν το αυτοκίνητό σας; Θέλω να το ακούσω. Αφήστε μου ένα σχόλιο παρακάτω.
Φωτογραφία Συντελεστές: ΜπανγκόκΕνθρωπία (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com