Cat de mare este pericolul ca masinile din prezent sa cada prada hackerilor
De ani buni auzim despre atacuri informatice indreptate impotriva unor state sau corporatii, insa incet incet atacurile vor ajunge sa vizeze lucruri mult mai obisnuite, cum ar fi automobilele. In aceasta vara au fost cateva exemple care arata ca masinile sunt vulnerabile, insa nu trebuie sa intram in panica. Industria auto admite ca trebuie sa faca ceva si deja se nasc aliante defensive, insa brese vor mai exista. Si autoritatile preseaza companiile sa ia lucrurile in serios, iar de aici se ivesc controverse. In articol puteti citi daca sunt masinile din prezent cu adevarat in pericol si care este elementul ce ar putea inrautati lucrurile in viitorul apropiat.
Masinile patrund in mod hotarat pe internet
Daca privim destul de departe in viitor, cam in 10-15 ani, ne putem imagina ca soselele vor fi pline de masini capabile sa se conduca singure si sa comunice intre ele. Dat fiind ca vor depinde enorm de internet, este logic sa ne gandim ca vor deveni o tinta pentru hackerii care, daca vor dori sa faca un rau, ar putea produce si accidente in lant, interferand cu comenzile masinii, de la distanta.
Insa nu trebuie sa privim atat de departe fiindca lucrurile deja se intampla. In vara aceasta au fost cateva incidente care arata ca masinile devin inca de acum interesante pentru hackerii ce au rabdare sa caute vulnerabilitati. Exista cateva zeci de milioane de masini conectate la internet, ceea ce reprezinta doar 2-3% din miliardul de masini ce formeaza parcul auto mondial. Insa estimarile arata ca pana la final de deceniu s-ar putea ajunge la 100 de milioane de masini conectate, ceea ce le face interesante pentru infractorii cibernetici.
Evident ca nu sunt in pericol Daciile vechi, masinile second-hand in stare impecabila si nici majoritatea masinilor noi vandute, fiindca posibilitatea de a se conecta la internet nu este o trasatura prea raspandita. Insa lucrurile se schimba si comparatia atat de des folosita, cum ca masina devine un „smartphone pe roti”, va ajunge sa fie deloc exagerata. Deja se testeaza aplicatii prin care poti cumpara o pizza printr-o comanda vocala facuta la volan sau poti comanda o cafea. Masina devine instrument de shopping si a ajuns tot mai interesanta pentru hackeri.
O vara plina de avertismente
In aceasta vara au fost mai multe demonstratii ce arata ca masinile conectate nu sunt imune la atacuri. Cel mai mediatizat a fost cazul unui Jeep la care doi specialisti de securitate informatica au preluat controlul de la cativa kilometri distanta, actionand si franele si directia, fara ca cel de la volan sa poata sa schimbe ceva. A fost un test si controlul masinii a fost preluat datorita unor vulnerabilitati in soft-ul sistemului de infotainment al masinii. Fiat-Chrysler, producatorul masinilor Jeep, a facut un recall de 1,4 milioane masini pentru un update software, dar compania are circumstante atenuante, un astfel de atac fiind la indemana putinor specialisti, fiindca pregatirile si testele au necesitat un an de lucru. Demonstratia a fost gandita sa arate ca masinile conectate au vulnerabilitati serioase, iar soft-ul Jeep a fost o victima destul de usoara.
Un alt episod a constat in interventia asupra unei masini Tesla care a putut fi oprita din mers, insa de la viteze foarte mici, de sub 10 km/h. Hackerii au avut mai intai acces in interiorul masinii, putand s-o infecteze cu malware, astfel ca episodul nu a fost considerat unul grav.
Cei doi cercetatori au trimis comenzi masinii de la distanta, de pe un iPhone, reusind sa deschida usile, portbagajul si sa faca astfel incat toate ecranele din bord sa se inchida.
Episodul se constituie intr-un semnal de alarma si nu este singurul, vulnerabilitati gasindu-se si la un soft al General Motors. Cu cat masinile devin mai sofisticate, cu atat si hackerii vor fi mai motivati sa le atace, mai ales ca miza tine si de valoarea datelor obtinute.
Unii producatori nu fac destul si nici nu cad de acord la strategii de protectie
Opinia generala este ca marii constructori auto, desi sunt dornici sa scoata masini conectate, mai scumpe, mai sofisticate si cu marja mai mare de profit, nu fac destul pentru securitatea infomatica. Constructorii auto nu se pricep la partea software a noilor sisteme de conectivitate si unii dintre ei nu apeleaza la companii de specialitate, din dorinta de a pastra controlul asupra tuturor datelor.
Insa lucrurile incep sa se schimbe si companiile creeaza aliante pentru a se apara impotriva eventualelor atacuri din viitor. Este vorba de punerea in comun a unui volum mare de informatii si de infiintarea unor centre de analiza si cercetare. In SUA un astfel de centru va fi operational pana la final de an si cateva mari companii auto vor impartasi informatii legate de atacuri si vulnerabilitati, totul in speranta ca vor fi cat mai putine atacuri informatice care ar putea afecta grav imaginea marcilor.
In Europa, unii constructori alcatuiesc aliante cu companii din industria IT, iar Asociatia Constructorilor Europeni de Automobile a prezentat la Salonul Auto de la Frankfurt o declaratie de intentie comuna a 15 companii auto care sa fixexe principiile protectiei datelor in industrie. Vorbim totusi doar de o etapa pur teoretica, practica fiind imprevizibila.
Insa mai este mult pana la consens, fiindca unele mari companii auto vor ca datele masinilor conectate sa fie pastrate pe serverele proprii, in timp ce altele prefera sa apeleze la nume mari din domeniul informaticii pentru pastrarea datelor.
Un alt capitol cu dezacorduri a iesit la iveala in SUA cand Fiat-Chrysler a rechemat 1,4 milioane de masini Jeep pentru care apoi la service s-a facut un update software menit sa reparare problema semnalata de cei doi cercetatori care au preluat controlul masinii de la cativa kilometri. Producatorul auto spune ca o problema de soft nu trebuie sa fie considerata defect precum la un airbag care nu functioneaza bine sau la o pompa de injectie cu ceva probleme. Industria spune ca e interventia unui factor negativ, rauvoitor, adica hackerul, astfel ca o problema la soft nu ar trebui tratata la fel ca un defect mecanic din fabricatie.
Insa in America de Nord autoritatile sunt foarte dure cand este vorba de masini cu defecte de fabricatie, existand numeroase cazuri in care companiile au fost obligate sa faca recall-uri, fiind amendate nemilos daca nu au reactionat la timp. Tocmai de aceea, constructorii auto nu vor ca problemele software sa fie puse pe acelasi nivel cu cele mecanice. Autoritatile spun insa ca nu este normal sa fie vandute masini care nu vin cu un software sigur.
Ce poate face industria auto
Marii jucatori din industria auto nu trebuie sa astepte sa apara un scandal extrem de grav pentru a lua masuri de securizare a soft-urilor utilizate in masini, ci trebuie sa investeasca din timp, preventiv. Multe companii declara ca fac asta de ani buni si ca sunt cu un pas in fata atacatorilor, insa acest lucru nu poate fi verificat decat atunci cand un atac pe scara larga se va produce.
Masinile nu constituie tinte atractive inca, mai ales ca prea putine dintre ele sunt conectate la internet. Insa lucrurile se vor schimba si trei masuri pot ajuta industria sa faca mai bine fata pericolelor.
Una ar fi ca vehiculele sa aiba sisteme ce permit actualizari over-the-air, astfel incat diversele patch-uri sa ajunga rapid la toate masinile, fara a fi nevoie ca soferii sa vina un service unde soft-ul automobilului sa fie updatat printr-un stick USB.
O alta masura se refera la necesitatea ca sistemul de infotainment sa fie separat de sistemele critice ale masini (transmisie, directie), iar comunicarea dintre diversele sisteme sa fie controlata si separata strict, la fel cum la avioane sistemele esentiale sunt strict separate de orice altceva.
Apoi, producatorii auto trebuie sa fie constienti ca unele atacuri informatice pot izbuti sa compromita o parte software a unui sistem si, in consecinta, fiecare componenta software trebuie securizata individual, astfel ca daca una cedeaza in caz de atac, sa nu fie compromis tot sistemul. Companiile auto nu au experienta in securitatea informatica si o pot castiga de-a lungul mai multor ani si in niciun caz rapid. In plus, companiile trebuie sa apeleze si la specialisti din afara si la comunitatile de specialisti in securitate informatica, o varianta fiind sa puna si recompense pentru cei care semnaleaza vulnerabilitati.
Cand vor deveni masinile tinte atractive
Deja se fac teste si tehnologia permite ca unele masini sa fie folosite pentru a face shopping online, mai ales prin comenzi vocale si prin sincronizarea soft-ului de la bord cu un smartphone. Soferii vor putea comanda cu voce tare o pizza in masina sau pot plati pentru combustibil tot folosind comenzile vocale si aplicatii de la bord.
Foarte multi cumpara lucruri si servicii direct de pe telefon, insa noile aplicatii de pe bord le vor permite soferilor sa faca aceleasi cumparaturi fara a mai fi nevoie sa butoneze telefonul.
Dezvoltarea acestor tehnologii va atrage infractorii care vor sa faca bani obtinand date bancare importante, astfel ca masinile vor deveni tot mai ineresante si vor fi tinte prin tot spectrul de fraude intalnit la sistemele traditionale de plati. Masinile nu vor deveni instantaneu „unelte” de shopping online, insa lucrul se va intampla cert inainte de aparitia automobilelor care nu mai au nevoie de sofer.
Concluzia este ca industria auto mai are mult de lucru la securitatea informatica si nu va putea sa ofere servicii sigure fara a apela la companii si specialisti din securitate IT. Marele pericol ce deriva din dezvoltarea masinilor conectate este ca unele atacuri informatice pot avea si consecinte fizice in lumea reala, cum ar fi accidente grave de circulatie, iar cu astfel de lucruri nu este de glumit. Una e cand un virus iti sterge datele de pe calculator si alta va fi daca ar duce la ranirea unei persoane apropiate.