Strokovnjaki za IT dokazujejo, kako ranljivi so proizvajalci. Industrijo so opozorili, kje so šibke točke. Avtomobilska industrija je zlati rudnik za hekerje z vsega sveta. "Proizvajalce avtomobilov ciljam za zabavo," je Eaton Zveare povedal na govorniškem odru letošnje hekerske konference Def Con v Las Vegasu, poroča Automobilwoche. Zveare je z opozorilom nagovoril velika, uveljavljena podjetja.
Pravi, da imajo proizvajalci v digitalnem prostoru »na tisoče poddomen« in vsaka od njih je ranljiva. Številna podjetja, med njimi so uveljavljeni proizvajalci vozil, ne izpolnjujejo trenutnih tehnoloških standardov za zaščito pred napadi.
Zveare je dobrohoten heker z nalogo, zato opozarja, kako prepoznati in prijaviti varnostne ranljivosti, preden to stori zlonamerni akter.
Predstavitve v Las Vegasu so se osredotočale tudi na vozila in sisteme vozil, hekerji pa so razkrili pomembne varnostne luknje v panogi. Hekerji priznavajo, da želijo na račun opozoril šokirati industrijo. Zato so strojno opremo opisali kot "smeti", komponente pa kot "najcenejše". Hekerji so jih označili kar za "božična darila", seznam pa je skoraj "neskončen". Neki govornik je trdil, da je "po pomoti" vdrl v avtobus.
Vdorov se sploh ne zavedajo
Posmeh varnostnih strokovnjakov poudarja težavo: proizvajalci avtomobilov želijo svojim strankam ponuditi udobje sodobne zabavne elektronike, vendar je po mnenju hekerjev v primerjavi z njihovimi ambicijami njihov varnostni pristop amaterski.
"Na področju aktivne varnosti se dogajajo vdori, o katerih se veliki proizvajalci avtomobilov sploh ne zavedajo," je Zveare povedal za Automotive News. "Ker niso pripravljeni več vlagati v varnost, je verjetno samo vprašanje časa, kdaj se bodo »časovne bombe« sprožile."
Zveare je v svoji predstavitvi dokazal, kako je s skripti s spletne strani prodajalca ustvaril nacionalni skrbniški račun. Ta račun mu je omogočil dostop do osebnih podatkov strank in stanja zalog. Prav tako je lahko odklenil vozila in izvajal ukaze, kot sta zagon motorja ali hupanje. Potencialna škoda je "popolnoma nora," je dejal in dodal: "S to stopnjo dostopa so imeli popoln dostop do celotne avtomobilske mreže, ki jo je zgradil proizvajalec."
Jaguar Land Rover utrpel veliko škodo
Zveare ni želel imenovati prizadetega proizvajalca, je pa dejal, da je bilo sodelovanje "čudovito" in da je zdaj težava rešena. Vendar pa večina podjetij s takimi varnostnimi ranljivostmi nima te sreče.
Sistemi Jaguar Land Rover so bili letos več tednov nedostopni, potem ko so do njih vdrli hekerji, kar je povzročilo dolgotrajno zaustavitev proizvodnje. Lani je moral ameriški velikan sistemov za upravljanje trgovcev CDK Global zaustaviti svoje sisteme, potem ko so hekerji zahtevali odkupnino.
Vozila in prodajna omrežja imajo danes več programske opreme in več povezovalnih točk kot kdajkoli prej. Stranke pričakujejo oddaljeni zagon, upravljanje prek aplikacije in še več – in vse te povezave pomenijo možnost dodatnih napadov. Podjetja imajo »velike težave pri sledenju novim funkcijam, programski opremi in orodjem, ki jih želijo integrirati v avtomobile iz komercialnih razlogov,« je dejal Andrea Amico, izvršni direktor podjetja Privacy4Cars. "Tempo razvoja je veliko hitrejši od tistega, kar lahko prenese skupnost za kibernetsko varnost."
Razvijalci avtomobilov so dolga leta delali predvsem na področju mehanike, zdaj pa morajo hitro razviti strokovno znanje na področju šifriranja in nadzora dostopa. Težavo lahko predstavlja tudi mreža prodajalcev: njihovi portali omogočajo oddaljen dostop in omogočajo dostop do osebnih podatkov. Poleg tega komponente vozil pogosto prihajajo od stotin dobaviteljev. Podjetja morajo integrirati različne programe in varnostne standarde ter zagotoviti, da dobavitelji ustrezno zaščitijo svojo strojno opremo.
"Ranljivosti je v večini primerov zelo težko odpraviti," pravi Danilo Erazo, ki raziskuje in testira vgrajene naprave za kibernetsko varnost PCA. Proizvajalci ne morejo preprosto »spremeniti vrstice kode«.
Erazo je govoril tudi o tem, kako je v sistemu za informacije in zabavo zamenjal sliko, ki naj bi uporabnike preusmerila na uradno spletno mesto proizvajalca. Namesto tega je vdelana koda QR preusmerila na zlonamerno spletno mesto, kar so imeli hekerji dostop do pametnih telefonov uporabnikov. Hekerji v Las Vegasu so predstavili tudi trike za manipulacijo števcev kilometrov, ranljivosti v polnilnih postajah za električna vozila in še veliko več.
Zveare pravi, da bi avtomobilska industrija lahko uvedla nadzorne mehanizme – tudi če bi mnogi zaposleni v prodajalcih še vedno potrebovali dostop. "Vsekakor potrebujete revizijske sisteme in alarmne mehanizme. Če na primer zaposleni dostopa do 1000 uporabniških zapisov na dan, bi bilo treba to natančneje preiskati," je dejal.
Kljub relativno preprostim metodam, ki so jih hekerji uporabljali za dostop do kritičnih podatkov in nadzornih funkcij, je industrija dosegla napredek.
Eden izmed japonskih avtomobilov sledi vsako vožnjo, če ne izklopiš sledenje.
Fičo zakon!
avto industrija je lakomna in hkrati debilna. to da ti avto zablokira, ko presežeš servisni interval je lopovščina na 131 potenco. torej olje zdrži 40k km, servis mora pa bit na eno leto. in če naredim v tem letu 5k… ...prikaži več km me še vedno tera na servis, kjer olja sploh ne bodo zamenjal ampak samo resetiral sistem. po drugi strani pa avto odklene takorekoč vsak. torej naj ukinejo ključavnice, pa naj bo cena nižja.