24/09/2015 21:59
Σύμφωνα με τη Symantec, ολοένα και συχνότερα γίνονται γνωστές ιστορίες για τρωτά σημεία στην ασφάλεια του λογισμικού των αυτοκινήτων. Πρέπει να ανησυχούν οι οδηγοί και πως μπορούν να προστατευτούν;
Η Symantec ανακοίνωσε μέσα από το τελευταίο white paper της με τίτλο Building Comprehensive Security into Cars, ότι η αυξανόμενη συχνότητα με την οποία αναπαράγονται τελευταία οι σχετικές πληροφορίες, έφερε στο προσκήνιο το ζήτημα της κυβερνοασφάλειας των οχημάτων, καθώς διάφοροι ερευνητές αποκαλύπτουν μια σειρά από τρωτά σημεία σε νέα μοντέλα αυτοκινήτων
Τα περιστατικά αυτά αντικατοπτρίζουν το γεγονός ότι ένας αυξανόμενος αριθμός αυτοκινήτων μπορεί πλέον να συμπεριληφθεί στο λεγόμενο Internet of Things (IoT), δεδομένου ότι διαθέτουν δικούς τους υπολογιστές, λογισμικό, αλλά και συνδεσιμότητα. Κι ενώ μια τέτοια εξέλιξη επιτρέπει στους ιδιοκτήτες αυτοκινήτων να επωφεληθούν από μια σειρά νέων τεχνολογιών, αυτό σημαίνει επίσης, ότι τα οχήματά τους εκτίθενται όλο και περισσότερο στα ίδια είδη ηλεκτρονικών απειλών που αντιμετωπίζουν και πολλές άλλες διασυνδεδεμένες συσκευές. Αναπόφευκτα ανακύπτει το ερώτημα αν είναι καιρός να αρχίσουμε να ανησυχούμε για το car hacking.
Η αποκάλυψη των ευαίσθητων σημείων
Αφορμή για το πιο πρόσφατο κύμα συζητήσεων στάθηκε η είδηση που ανέφερε ότι ορισμένες σειρές οχημάτων του μοντέλου Jeep Cherokee, διέθεταν σημεία τρωτά σε εξ αποστάσεως ηλεκτρονικές απειλές. Οι ερευνητές Τσάρλι Μίλερ και ο Κρις Βάλασεκ, έκαναν επίδειξη μιας εικονικής επίθεσης, κατά τη διάρκεια της οποίας κατάφεραν να επέμβουν στα συστήματα μετάδοσης και πέδησης (φρένων) του αυτοκινήτου, επιτυγχάνοντας παράλληλα να αποκτήσουν τον έλεγχο ενός αριθμού λειτουργιών όπως ο κλιματισμός, η κεντρική οθόνη, το ραδιόφωνο και οι υαλοκαθαριστήρες.
Τα αποτελέσματα της επίθεσης αποδόθηκαν σε μια σειρά τρωτών σημείων και αδυναμιών του οχήματος, αρκετά από τα οποία οφείλονται στο Uconnect, το σύστημα σύνδεσης στο Internet που διαθέτουν πολλά μοντέλα αυτοκινήτων της Fiat Chrysler, συμπεριλαμβανομένων και των Jeep Cherokee. Η αποκάλυψη αυτή, ώθησε την Fiat Automobiles Chrysler στην ανάκληση 1,4 εκατομμυρίων οχημάτων, παρά το ότι -όπως τόνισε η εταιρεία- δεν έχει υπάρξει κανένα πραγματικό περιστατικό hacking σε οποιοδήποτε από τα οχήματά της.
Μερικές μέρες αργότερα, είδαν το φως της δημοσιότητας πληροφορίες που ανέφεραν ότι τα οχήματα που χρησιμοποιούν το σύστημα OnStar RemoteLink της General Motors (GM), ήταν ευάλωτα σε επιθέσεις που θα επέτρεπαν σε χάκερ να εντοπίσουν το όχημα και να ξεκλειδώσουν το σύστημα ελέγχου του. Την επίδειξη μιας τέτοιας εικονικής επίθεσης έκανε ο γνωστός ερευνητής ασφάλειας και χάκερ, Σάμι Κάμκαρ, ο οποίος κατέληξε στο συμπέρασμα ότι επίδοξοι "εισβολείς" θα ήταν εφικτό να ξεγελάσουν τον κάτοχο ενός τέτοιου οχήματος, συνδέοντάς το σε ένα διαφορετικό ασύρματο ψευδο-δίκτυο, για να πάρουν τελικά τον έλεγχο της OnStar RemoteLink Mobile Application.
O Κάμκαρ υπέδειξε ότι η ευπάθεια δεν εντοπίζεται σε κάποιο συγκεκριμένο όχημα της GM, αλλά στο application που επιτρέπει στους ιδιοκτήτες να εντοπίσουν και να ξεκλειδώσουν το όχημά τους. Ο ερευνητής κατέληξε ότι η εφαρμογή δεν ελέγχει σωστά το πιστοποιητικό ασφάλειας το οποίο θα έπρεπε να διασφαλίζει ότι το τηλέφωνο του ιδιοκτήτη επικοινωνεί με τον server OnStar και μόνο. Η GM έχει δηλώσει ότι το πρόβλημα έχει πλέον διορθωθεί.
Σε συνέχεια των παραπάνω, ήρθε στο προσκήνιο η Tesla, όταν άλλοι ερευνητές ανακάλυψαν έξι τρωτά σημεία στο μοντέλο S της εταιρείας, που δυνητικά θα επέτρεπαν σε κάποιον χάκερ να πάρει τον έλεγχο του οχήματος, θέτοντας σε κίνδυνο την ασφάλειά του. Εντούτοις, διευκρίνισαν ότι επιθέσεις κατά ενός οχήματος Tesla θα ήταν δύσκολο να πραγματοποιηθούν αν ο επίδοξος εισβολέας δεν είχε φυσική πρόσβαση στο αυτοκίνητο. Ωστόσο, από τη στιγμή που θα αποκτούσε κάποιος φυσική πρόσβαση στο όχημα, έστω και μια φορά, εν συνεχεία να μπορούσε να το επηρεάσει και εξ αποστάσεως. Η "επίθεση" τους επέτρεψε να επηρεάσουν το ταχύμετρο ώστε να δείχνει λάθος ταχύτητα, να ανοιγοκλείνουν τα παράθυρα, να κλειδώνουν, να ξεκλειδώνουν, καθώς και να αναβοσβήνουν τη μηχανή του οχήματος. Η Tesla ανακοίνωσε ότι έχει ήδη επιλύσει όλα τα σχετικά το προβλήματα.
Τέλος, μια άλλη ομάδα ερευνητών ασφάλειας από το Πανεπιστήμιο του Σαν Ντιέγκο της Καλιφόρνια ανακοίνωσε ότι ανακάλυψε κάποια ακόμη σημεία, τρωτά σε πιθανό hacking. Η ομάδα, ανακοίνωσε ότι θα ήταν δυνατόν να τεθούν σε κίνδυνο χιλιάδες οχήματα, μέσω hacking σε συσκευές εντοπισμού που χρησιμοποιούνται κυρίως από ασφαλιστικές εταιρείες και από εφαρμογές διαχείρισης στόλου για να παρακολουθείται τη θέση του οχήματος, η ταχύτητά του και η οδική συμπεριφορά.
Αυτές οι συσκευές θα μπορούσαν δυνητικά να επηρεαστούν με την αποστολή ενός ειδικά διαμορφωμένου SMS στη μονάδα εντοπισμού. Όταν η συσκευή παραβιαστεί, οι χάκερ μπορούν να διαβιβάζουν εντολές στο δίαυλο CAN του αυτοκινήτου, ένα εσωτερικό δίκτυο που ελέγχει τα επιμέρους συστήματα του οχήματος. Αυτό ενδεχομένως τους επέτρεπε να επηρεάσουν πολλές λειτουργίες, από τους υαλοκαθαριστήρες, μέχρι και το σύστημα πέδησης του αυτοκινήτου.
Πρέπει ν’ ανησυχούν οι οδηγοί;
Καθώς η αυτοκινητοβιομηχανία ενσωματώνει νέες τεχνολογίες στα αυτοκίνητα, η Symantec θεωρεί πολύ πιθανό να αυξηθούν κακόβουλες επιθέσεις όπως οι παραπάνω. Μέχρι σήμερα, τα περιστατικά Car hacking περιορίζονται απλώς στην απόδειξη της εφικτότητας μιας επίθεσης και πραγματοποιήθηκαν από ερευνητές ασφάλειας. Ωστόσο, καθώς οι τεχνολογίες εξαπλώνονται, κακόβουλες επιθέσεις δεν μπορούν να αποκλειστούν.
Οι επιθέσεις του είδους μπορούν να ταξινομηθούν σε τρεις μεγάλες κατηγορίες:
• Πιο επικίνδυνες θεωρούνται οι επιθέσεις “over-the-air“, όταν οι “εισβολείς” επιχειρούν διείσδυση στα συστήματα ενός οχήματος από απομακρυσμένη θέση. Τέτοιες επιθέσεις απαιτούν εκτενείς προσπάθειες και βαθιά γνώση σχετικά με το όχημα και το λογισμικό του.
• Φυσικές επιθέσεις, όπου ο χάκερ πρέπει να έχει φυσική πρόσβαση στο όχημα, είναι συνήθως πιο εύκολο να υλοποιηθούν. Πολλά οχήματα, διαθέτουν ελλιπή προστασία στο δίαυλο CAN και τις Ηλεκτρονικές Μονάδες Ελέγχου (ECU) που συνδέονται σε αυτόν. Για να γίνει μια τέτοια επίθεση, ο εισβολέας πρέπει να έχει φυσική πρόσβαση στο όχημα, με κίνδυνο να συλληφθεί.
• Επιθέσεις μέσω mobile applications και εργαλείων υποστήριξης που επιτρέπουν απομακρυσμένες λειτουργίες ελέγχου του οχήματος, είναι επίσης πιθανές. Ευτυχώς οι περισσότερες εφαρμογές και τα εργαλεία μπορούν εύκολα να επιδιορθωθούν χωρίς να υπάρχει ανάγκη αναβάθμισης στο λογισμικό του οχήματος.
Ενώ τέτοιου είδους επιθέσεις δεν μπορούν να αποκλειστούν στο μέλλον, οι οδηγοί δεν θα πρέπει να ανησυχούν, αφού είναι γνωστό ότι τα κίνητρα του κυβερνοεγκλήματος είναι κυρίως οικονομικά, οπότε το hacking στο αυτοκίνητο μάλλον θα παραμείνει μια θεωρητική δραστηριότητα, μέχρι να ανακαλυφθούν μέθοδοι “εξαργύρωσης” των επιθέσεων.
Οι ιδιοκτήτες αυτοκινήτων που ανησυχούν για ζητήματα ασφάλειας, μπορούν ωστόσο να πάρουν κάποια μέτρα για να μειώσουν την πιθανότητα μιας επίθεσης.
Σε αυτά περιλαμβάνονται:
• Τακτικά updates λογισμικού, που θωρακίζουν με patches το σύστημα, διορθώνοντας προβλήματα ασφάλειας.
• Ιδιαίτερη προσοχή όταν το όχημα συνδέεται σε διαγνωστικές πλατφόρμες ή πλατφόρμες τηλεματικής, καθώς αυτές πολλές φορές ανοίγουν την πόρτα σε “εισβολείς”, για να εισέλθουν στον δίαυλο CAN.
• Αποφυγή σύνδεσης μη αξιόπιστων συσκευών στα συστήματα ενημέρωσης και ψυχαγωγίας των οχημάτων, όπως USB sticks, τηλέφωνα ή media players. Επίσης, αν το αυτοκίνητο διαθέτει σύνδεση στο Internet, πρέπει αποφεύγεται η σύνδεση σε μη αξιόπιστα δίκτυα.
To πλήρες white paper Building Comprehensive Security into Cars της Symantec, θα το βρείτε στο https://www.symantec.com/content/en/us/enterprise/other_resources/building-security-into-cars-iot_en-us.pdf