От угона до взлома: как автомобили становятся мишенью киберпреступников

Автомобильная киберпреступность набирает обороты. Около 6 000 легковых автомобилей и фургонов было угнано в прошлом году в Лондоне с использованием системы взлома кода, что составило 42% всех угнанных машин, сообщили в городском департаменте полиции.

По мере того, как автомобили непрерывно оснащаются современными технологиями, с выходом в интернет, автономной парковкой, автоматической системой обнаружения препятствий и экстренного торможения, они становятся все более уязвимыми для кибератак, будь то угонщиков, либо тех, кто хочет кому-то индивидуально насолить, либо просто ради забав молодых хакеров.

Недавний случай с кибератакой на Jeep Cherokee продемонстрировал, как хакеры удаленно получили контроль над рулевым управлением и тормозной системой автомобиля, когда он ехал по автостраде. Прецедент немедленно поместил вопрос кибербезопасности в повестку дня всех автопроизводителей. Эту атаку ради эксперимента, а не со злыми намерениями, осуществили двое, так называемых, белых хакеров. Однако, потенциальная угроза очевидна, и производитель Jeep Fiat Chrysler отозвал 1.4 миллионов машин для устранения дефектов в системе безопасности автомобиля.

Японский гигант Hitachi прогнозирует, что к 2020 году 90% всех автомобилей будет подключено к интернету, и сейчас даже трудно предположить, сколько новых машин, оборудованных высокотехнологичными опциями, уже несут в себе скрытые угрозы.

«Можно взломать все, что подключено к интернету, включая машины. То, что могут сделать белые хакеры, зависит от того, насколько различные опции автомобиля зависят от интернет-соединения», - считает бывший шеф специализированного полицейского подразделения Стюарт Хайд. Потенциальные преступники могут за менее чем £20 ($31) приобрести онлайн устройство, позволяющее им заработать десятки тысяч долларов.

Риску подвержено большинство моделей, включая BMW, Mercedes, Audi, Land Rover и Saab. Теоретически, их современные ключи очень надежно защищают автомобиль, поскольку машина не заведется, пока не получит уникальный сигнал от брелока. Но при этом нерегулируемый оборот оборудования для программирования ключей позволяет мошенникам изготовлять копии. Обычно угонщик подсоединяется к диагностическому порту автомобиля, расположенного в ногах пассажира, следуя многочисленным инструкциям, выложенным на YouTube. Данные, считанные с компьютера автомобиля, перепрограммируются на чистый брелок, и с него заводится машина. Чтобы проникнуть внутрь автомобиля, угонщики могут либо разбить окно, либо воспользоваться специальным устройством, блокирующим сигнал на закрытие дверей с брелока владельца, так что машина остается открытой.

Для устранения этих очевидных недостатков в системе безопасности автопроизводители оснащают ключ дополнительным уровнем безопасности, чтобы сделать сложным копирование сигнала, и ужесточают контроль над процессом обработки учетных данных с ключа, а также обменом данными между производителем и клиентом. Полиция предлагает менее технологичный вариант: механическое устройство блокировки руля.

Взлом бортовой мультимедийной системы

В случае с Jeep взлом был произведен через мультимедийную систему, подключенную к интернету с помощью мобильного телефона.

Проблема заключается в «действительно по-дурацки открытых дверях» в бортовой системе интегрированных средств обработки и передачи данных, используемой для навигации и диагностики, считает руководитель подразделения Interface Products компании NXP, выпускающей микропроцессоры для автомобилей с выходом в интернет, Йенс Хинрихзен. Опции, работающие при подключении к интернету, делают автомобиль намного более уязвимым для кибератак издалека, полагает он.

Эксперты утверждают, что для защиты функционирования и взаимодействия между собой мультимедийной системы, телематических и критических функций, автомобили должны быть оснащены более качественной архитектурой системы безопасности.

«Обычно, автомобильные сети похожи на дом, внутри которого можно спокойно перемещаться из одной комнаты в другую. Автопроизводителям необходимо продумать систему безопасности таким образом, чтобы на дверь каждой комнаты повесить замок. Не исключено, что в спальне может стоять сейф с самым ценным материалом», - размышляет Хинрихзен.

Спуфинг GPS

По мере нашего продвижения к беспилотным автомобилям, огромное значение обретает наличие надежной системы GPS. Сигнал GPS, благодаря которому смартфон определяет свое месторасположение и предлагает на его основе множество опций, обычно поступает со спутника, вращающегося на околоземной орбите.

Этот сигнал можно сымитировать и послать фальшивку, чтобы изменить карту в навигационной системе автомобиля и сбить его с маршрута.

«Хактивисты ради забавы могут создавать пробки, а террористические группировки воспользоваться доступом к автомобилю, например, для создания засады и похищения человека», - считает Тим Ватсон, директор Центра кибернетической безопасности Уорикского университета. И это не только из области домыслов: специалистам по безопасности Техасского университета удалось изменить курс $80-миллионной супер-яхты, повернув ее на потенциально опасный путь. Капитан ничего не обнаружил.

В то время, как водитель может раскрыть бумажную карту или вернуться каким-нибудь дедовским методам, автономные автомобили, полагающиеся на систему спутниковой навигации, остаются уязвимыми для подобных атак. Однако, риск можно понизить, комбинируя GPS с другими технологиями определения местонахождения, такими как инерциальная навигация и перекрестная ссылочность сетей Wi-Fi.

Риски vs угрозы

По словам Ватсона, атакующие не всегда представляют угрозу безопасности, особенно когда у преступников нет материального стимула, а для террористов или хактивистов нет возможности, своими действиями шокировать публику.

Автопроизводителям необходимо сосредоточиться на вероятных угрозах, добавляет он: «Кибербезопасность находится в руках человека и нам нужно обеспечить хорошую безопасность защитным комплексом, основанным на поведении атакующего и жертвы».

На сегодня выпущено много автомобилей с электронными брелоками, которые можно легко взломать, и существуют более простые способы насолить кому-либо, чем взломать мультимедийную систему и взять контроль над системой торможения.

Ватсон продолжает: «Все сводится к эксперименту. Мы научились контролировать порядок в наших городах. Да, у нас еще существуют уличная преступность, но мы чувствуем себя хорошо защищенными. Мы должны проделать то же самое для нашего киберпространства».

В то же время, сторонники типа Ватсона напоминают о преимуществах, которыми обладают соединенные с интернетом автомобили.

«Если у вас сломался автомобиль с выходом в интернет, то ваш производитель тут же получает сигнал о поломке, при этом он знает ваше месторасположение, у него есть список авторизованных сервисов, находящихся поблизости, а при необходимости он может из диспетчерской связаться с вами», - рассказывает Ватсон.

Сторонники считают, что автономные автомобили позволят огромной части населения чувствовать себя менее одиноко, включая больных эпилепсией, пожилых и немощных людей.

«Это не Франкенштейн нового века, а замечательная технология, которая приведет нас к процветанию», - заверяет Ватсон.