פרסומת
Zubie היא קופסה קטנה שמתחברת לחיבור אבחון מקומי (ODBII) הנמל נמצא ברוב המכוניות המודרניות. זה מאפשר למשתמשים לגלות עד כמה הם טובים בנהיגה, ומציע טיפים להארכת הקילומטראז 'שלהם בנהיגה הגיונית וחסכונית. ועד לאחרונה, זובי הכיל חלפה רצינית בביטחון העלול להשאיר משתמשים פגיעים עקב חטיפת מכונית שלהם מרחוק.
החור - שהתגלה על ידי בוגרי יחידת 8200, צוות האבטחה הסייבר העילית של חיל ההגנה הישראלי - יכול היה לראות את התוקפים מפריעים מרחוק לבלימה, ההיגוי והמנוע.
Zubie מתחבר לשרת מרוחק באמצעות חיבור GPRS המשמש לשליחת נתונים שנאספו לשרת מרכזי, כמו גם על מנת לקבל עדכוני אבטחה.
החוקרים גילו כי המכשיר מבצע את אחד החטאים הקרדינלים של אבטחת הרשת ולא מתקשר לשרת הבית באמצעות חיבור מוצפן. כתוצאה מכך הם הצליחו לזייף את השרת המרכזי של Zubie ולשלוח כמה מכשירים זדוניים המיוצרים במיוחד למכשיר.
פרטים נוספים על התקיפה נמצאים בהמשך, ותשמח לדעת כי הבעיה תוקנה מאז. עם זאת, היא מעלה שאלה מעניינת. עד כמה המכוניות שלנו מאובטחות?
הפרדת עובדה מהסיפורת
עבור רבים נהיגה אינה מותרות. זה הכרח
וזה צורך מסוכן בזה. מרבית האנשים מכירים את הסיכונים הכרוכים בהתרחשות מאחורי ההגה. תאונות דרכים הן אחת הרוצחות הגדולות בעולם, עם 1.24 מיליון הרוגים שאבדו בכביש בשנת 2010 בלבד.
אולם מקרי המוות בכבישים הולכים ויורדים וזה נובע בעיקר בגלל החדירה המוגברת של טכנולוגיות בטיחות בדרכים מתוחכמות. יש הרבה יותר מדי כאלה לרשימה מקיפה, אך אולי הדוגמה הרווחת ביותר היא OnStar, זמין בארה"ב, קנדה וסין.
הטכנולוגיה - הזמינה באופן בלעדי במכוניות GM, כמו גם ברכבים אחרים של חברות שבחרו להעניק רישיון לטכנולוגיה - מנטרת את בריאות המכונית שלכם. זה יכול לספק הנחיות מפורטות, וניתן לספק עזרה אוטומטית אם תמצא את עצמך יותר מאשר תאונה.
כמעט שישה מיליון אנשים מנויים ל- OnStar. אין ספור משתמשים במערכת טלמטיקה, המאפשרת למבטחים לעקוב אחר טובתם של מכוניות ולהתאים חבילות ביטוח כדי לתגמל נהגים הגיוניים. ג'סטין דניס סקר לאחרונה משהו שנקרא מטרונום מאת מטרומיל עקוב אחר קילומטראז 'שלך, עלויות דלק ועוד עם מכשיר OBD2 בחינםבימינו, הכל נראה חכם - למעט המכוניות שלנו. מכשיר ויישום ODB2 בחינם משנים את זה. קרא עוד , הזמינה בחינם לתושבי וושינגטון, אורגון, קליפורניה ואילינוי. בינתיים, ניתן לחקור ולעקוב אחר מכוניות רבות אחרי 1998 דרך ה- יציאת אבחון ODBII בזכות אנדרואיד כיצד לפקח על ביצועי המכונית שלך באמצעות אנדרואידניטור טונות של מידע על המכונית שלך הוא קל וזול להפליא עם מכשיר האנדרואיד שלך - למד עליו כאן! קרא עוד ויישומי סמארטפון iOS.
מכיוון שהטכנולוגיות הללו הגיעו לכל מקום, כך גם המודעות לכך שניתן לפרוץ אותן. בשום מקום אחר זה לא ברור יותר מאשר בנפש התרבותית שלנו.
ה מותחן 2008 לא ניתן לעקוב אחריו בהשתתפות בולטת מכונית מצוידת ב- OnStar ש"לבנה "על ידי אנטגוניסט הסרט כדי לפתות מישהו למלכודת. ואילו בשנת 2009 השיקה חברת ה- IT ההולנדית InfoSupport סדרת פרסומות המציגה האקר בדיוני קרא למקס קורנליז לפרוץ מרחוק למערכות רכב, כולל פורשה 911, רק באמצעות שלו מחשב נייד.
לכן, עם אי וודאות כה רבה סביב הנושא, חשוב לדעת מה ניתן לעשות ואילו איומים נותרו בתחום המדע הבדיוני.
היסטוריה קצרה של פריצת רכבים?
מחוץ להוליווד, חוקרי אבטחה השיגו כמה דברים די מפחידים עם מכוניות.
בשנת 2013 צ'רלי מילר וכריס וואלסק הפגין פיגוע איפה הם התפשרו פורד בריחה וטויוטה פריוס והצליחו להשתלט עליהם מתקני הבלימה וההיגוי. עם זאת, למתקפה זו היה חיסרון אחד מרכזי, מכיוון שהיה מותנה במחבר הנייד המחובר לרכב. זה הותיר חוקרי ביטחון סקרנים, ותוהים אם אפשר להשיג את אותו הדבר, אך מבלי להיות קשור פיזית למכונית.
שאלה זו נענתה באופן חד משמעי שנה לאחר מכן, כאשר מילר וואלסק ערכו מחקר מפורט עוד יותר בנושא אבטחתם של 24 דגמי מכוניות שונים. הפעם הם התמקדו ביכולתו של תוקף לבצע פיגוע מרחוק. המחקר הנרחב שלהם הוציא דוח בן 93 עמודים, שהיה פורסם ב- Scribd לחפוף עם שיחות המעקב שלהם בכנס האבטחה של Blackhat בלאס וגאס.
זה הציע שהמכוניות שלנו לא יהיו מאובטחות כמו שחשבו פעם אחת, כאשר רבים חסרים את ההגנות הגנה ביותר בנושא אבטחת הסייבר. הדיווח הארור הדגיש את קדילאק אסקאלייד, ג'יפ צ'רוקי ו- Infiniti Q50 כנחשבים ביותר להתקפה מרחוק.
כאשר אנו מסתכלים על אינפיניטי Q10 באופן ספציפי, אנו רואים כמה הקפות משמעותיות באבטחה.
מה שהופך את האינפיניטי למושך כל כך כמו מכונית זה גם מה שהופך אותו לפגיע כל כך. כמו מכוניות יוקרה רבות המיוצרות בשנים האחרונות, הוא מגיע עם מגוון של תכונות טכנולוגיות שנועדו להפוך את חווית הנהיגה למהנה יותר. אלה נעים בין נעילה ללא מפתח, לניטור לחץ אוויר בצמיג אלחוטי, ליישום סמארטפון 'עוזר אישי' שמתממשק לרכב.
לדברי מילר וולסק, חלק מהתכונות הטכנולוגיות הללו אינן מבודדות, אלא קשורות ישירות למערכות האחראיות על בקרת מנוע ובלימתן. זה מותיר אפשרות לתוקף לקבל גישה לרשת הפנימית של המכונית ואז ניצול פגיעות הנמצאת באחת המערכות החיוניות על מנת לקרוס או להפריע ל רכב.
דברים כמו פתיחת נעילה ללא מפתח ו"עוזרים אישיים "נחשבים במהירות כחיוניים עבורם נהגים, אבל כפי שצ'רלי מילר ציין כל כך בביטחון, "זה קצת מפחיד שכולם יכולים לדבר עם כל אחד אחר. "
אבל אנחנו עדיין הרבה בעולם התיאורטי. מילר וולסק הראו אמצעי אפשרי להתקפה, אך לא התקפה ממשית. האם יש דוגמאות לכך שמישהו הצליח להפריע למעשה למערכות המחשבים של מכונית?
ובכן, לא חסרים התקפות שמכוונות לתכונות הנעילה ללא מפתח. אחת מהן הודגמה מוקדם יותר השנה בכנס האבטחה של Blackhat בלאס וגאס מאת חוקר האבטחה האוסטרלי סילביו צ'זארה.
בעזרת כלים לא מדף בשווי של 1000 דולר בלבד, הוא הצליח לזייף את האות ממפתח מפתח, מה שמאפשר לו לפתוח מרחוק מכונית. ההתקפה מסתמכת על כך שמישהו נוכח פיזית בסמוך למכונית, פוטנציאלית למשך מספר שעות, בתור מחשב ואנטנת רדיו משדרת מנסה לאכוף בכוח את המקלט המובנה בפתיחת נעילת מפתח ללא מכונית מערכת.
לאחר פתיחת המכונית, התוקף יכול אז לנסות לגנוב אותה, או לעזור לעצמם לכל פריט ללא השגחה שהשאיר הנהג. יש כאן הרבה פוטנציאל לנזק.
האם יש הגנות?
זה תלוי.
קיימת כבר סוג כלשהו של הגנה מפני פגיעות הגישה מרחוק שגילו צ'רלי מילר וכריס וואלסק. בחודשים שחלפו מאז שוחח Blackhat שלהם, הם עשו זאת הצלחנו לבנות מכשיר פועל כמערכת גילוי פריצות (IDS). זה לא מפסיק התקפה, אלא מציין בפני הנהג מתי יתקף התקפה. זה עולה בערך 150 $ לחלקים, ומחייב קצת ידע בתחום האלקטרוניקה לבנות.
הפגיעות של Zubie מעט מורכבות יותר. אף כי מאז התיקון של החור, החולשה לא הייתה בתוך המכונית, אלא בתוך המכשיר של הצד השלישי שהיה מחובר אליו. בעוד שלמכוניות יש חוסר ביטחון אדריכלי משלהם, נראה כי הוספת תוספות נוספות רק מגדילה את הדרכים הפוטנציאליות להתקפה.
אולי הדרך היחידה להיות באמת מאובטח הוא לנהוג במכונית ישנה. כזה שחסר לו פעמונים ושריקות מתוחכמות מאוד של מכוניות מודרניות מתקדמות, וכדי להתנגד לדחף לדחוף דברים לנמל ה- ODBII שלך. יש ביטחון בפשטות.
האם זה בטוח לנהוג במכונית שלי?
אבטחה היא תהליך אבולוציוני.
ככל שאנשים משיגים הבנה גדולה יותר של האיומים סביב מערכת, המערכת מתפתחת כדי להגן עליהם. אבל עולם המכוניות לא ממש היה כזה הלם קרב גרוע מבעבועות לב? הכירו את ShellShock: איום אבטחה חדש עבור מערכת ההפעלה X ו- Linux קרא עוד או דימום לב פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד . אני מתאר לעצמי שכשיחווה את האיום הקריטי הראשון שלו - זהו יום האפס הראשון, אם תרצו - יצרני רכב יגיבו כנדרש וינקטו צעדים בכדי להפוך את אבטחת הרכב ליותר קפדני.
אבל מה אתה חושב? זה קצת אופטימי? האם אתה מודאג מהאקרים שישתלטו על המכונית שלך? אני רוצה לשמוע על זה. זרוק לי תגובה למטה.
קרדיט לצילום: בנגקוק האושר (Shutterstock), דמיטרי מרוטה (תריס סטוק), טדי לונג / Shutterstock.com
מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.
