Хакерские атаки угрожают современным автомобилям: ищем способ защиты от хакеров

Дискуссии о том, что есть прогресс науки — добро или зло — ведутся со времен Аристотеля (IV век до н. э.). Средневековая инквизиция решала этот вопрос радикально, деятели новейшей истории более лояльны к ученым. В 1868-м году Альфред Нобель получил патент на динамит — смесь нитроглицерина с его абсорбентами. Предполагалось, что так будет лучше взрывать горные породы. Оказалось, применений новшеству можно найти больше. А что, было бы лучше, если бы в арсенале горных инженеров остались кирка и заступ?

Недавно сеть, как говорят в таких случаях, взорвалась новостью о том, что два хакера — Чарли Миллер и Крис Валасек — взяли под виртуальный контроль автомобиль «Jeep Cherokee» 2014-го года выпуска. Взломав бортовую систему «UConnect», они на расстоянии делали звук радиоприемника невыносимо громким, включали «дворники», крутили руль, отключали тормозную систему и глушили двигатель. Хорошо, что акция была согласована с хозяином автомобиля. Будь такая машина, например, у президента Джона Кеннеди, никакого Ли Освальда в Далласе не потребовалось бы. Кстати, вина морского пехотинца доподлинно не доказана. А в случае «радиоуправляемой» машины и доказывать было бы нечего.

 

Почему трюк Миллера и Валасека стал возможным? Войдя в состав итальянского концерна Fiat, американская компания «Chrysler» получила доступ к системе «UConnect», которая обеспечивает интерактивные функции бортового компьютера. Какие именно — хакеры показали во всей красе. Наука привела «железного коня на смену крестьянской лошадке». В современных автомобилях органы управления физически не связаны с исполняющими устройствами. Например, вращение руля обрабатывается системой стабилизации с учётом скорости, качества покрытия и давления в шинах. Всем командует бортовой компьютер, а «UConnect» через сотовую сеть обеспечивает удалённое управление.

Беда в том, что права доступа в такие сети не проверяются никак. То есть — никакой авторизации. Для удаленного подключения к автомобилю достаточно знать только IP-адрес. При этом «UConnect» управляет машиной гораздо «больше», чем водитель — во всяком случае, имеет для этого больше возможностей. Но любая авария, спровоцированная хакерской атакой, будет на совести как раз водителя, потому что будет выглядеть, как его ошибка. Другими словами — давайте откажемся от удобств ради безопасности? Вернем в салон кассетные магнитолы и рычаги переключения передач с розочкой в прозрачном стекле на ручке?

Чуть выше было сказано, что для входа в мобильную сеть управления авто не нужна авторизация. Это не совсем так. Минимальная авторизация в наличии — ключ от машины. И это первый фактор аутентификации — «то, что у меня есть».  А виртуальная составляющая оставляет, мягко говоря, желать лучшего. Бортовой софт производители сделали как дань моде, совершенно не озаботившись его защитой. На кону, между прочим, жизни водителя и пассажиров, ведь всегда может найтись «шутник», которому они станут не угодны. Для повышения защиты на порядок нужно не так много — хотя бы второй фактор аутентификации: «то, что я знаю». В современном мире это делается просто — с помощью токена (гаджета, генерирующего одноразовый пароль).

Компаниями , основной специализацией которых является двухфакторная аутентификация, к числу которых принадлежит и Protectimus, были разработаны самые разнообразные типы токенов — от аппаратных в форме брелока до программных в виде приложений на смартфоны, планшеты, часы. А теперь представьте, что токен — это автомобиль. Точнее — его бортовой компьютер, конечно. Смена пароля происходит в течение нескольких минут, этого достаточно, чтобы открыть машину (образно — применить многоразовый пароль в виде автомобильного ключа) и запустить двигатель. Причем панель ввода одноразового пароля (он появляется после открытия двери) может отображаться на отдельном индикаторе, рядом с кнопкой «старт». Вводим пароль через дисплей в бортовой компьютер и получаем защищенный доступ в систему. Естественно, что преступник, завладевший ключом, все равно угонит машину. Но управлять ею на расстоянии хакеры уже не смогут. Если злодей разобьется по пути, то исключительно по собственной инициативе и справедливостью божьей.

Как видим, такое достаточно простое, но эффективное решение, как двухфакторная аутентификация, может не только сохранить жизнь водителя и пассажиров, но и спасти авторитет науки. Ее прогресс нам еще пригодится для добрых дел.

Author: Cyber Max

Макс может похвастаться огромным опытом в разных направлениях IT. Но его основной интерес направлен на разработку решений для финансового сектора, мобильных приложений и решений информационной безопасности. В своих предыдущих проектах Макс успел побывать в роли инициатора, разработчика, руководителя, менеджера проекта и совладельца.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This