Cum văd doi foști hackeri viitorul mașinilor autonome – Despre atacuri, căi de apărare și puncte vulnerabile
Charlie Miller și Chris Valasek au devenit celebri acum trei ani când au reușit să preia controlul de la distanță asupra unei mașini Jeep și să o scoată de pe șosea, acțiunea ducând și la recall-uri auto. De atunci, cei doi s-au ”cumințit” și de un an lucrează la o companie a General Motors care dezvoltă mașini autonome. La celebra conferință Black Hat din Las Vegas ei și-au prezentat viziunea privind mașinile autonome și modul în care ele pot face față atacurilor hackerilor. În continuare puteți citi despre punctele vulnerabile și despre suprafețele care trebuie apărate și puteți afla de ce tabloul are și părți optimiste.
Informația pe scurt
- Peste 25 de companii testează mașini autonome în SUA, Europa de Vest și Singapore, primele modele vor fi lansate probabil după 2025.
- Cele mai periculoase atacuri sunt cele prin care hackerii pot de la distanță să preia controlul mașinii, să miște volanul, să acționeze frânele sau accelerația.
- Pentru a scădea șansa de reușită a unui atac trebuie eliminate conexiunile care nu sunt necesare și cât mai multe elemente trebuie criptate. Scopul este reducerea la maxim a ”suprafeței de atac”.
- Tableta din bord este un element sensibil și trebuie să i se acorde o atenție sporită. Ea trebuie izolată de sistemele care controlează mașina și trebuie să comunice cât mai puțin posibil cu alte elemente ale mașinii.
- Atacul informatic asupra unei mașini autonome poate fi descurajant, fiindcă atacatorii au nevoie de multe lucruri, unele extrem de scumpe sau greu de găsit.
- Pentru mașinile care vor fi folosite în servicii de transport (ride sharing) un avantaj extrem de important va fi că în fiecare seară se întorc la garaj și soft-ul va putea fi verificat, iar upate-urile vor putea fi făcute în deplină siguranță.
Nu doar un smartphone pe roți, ci un adevărat centru de date pe patru roți
Peste 25 de companii testează mașini autonome în SUA, de la Google și Uber, până la Volkswagen și GM. Au fost făcute teste și în mai multe țări europene și foarte recent Italia a anunțat planul de a testa pe șosele mașini ce nu au nevoie de șofer. Chiar dacă sunt testate în puține locuri, este clar că mașinile autonome se vor răspândi mult în anii următori, existând discuții și pentru România.
Este clar că atacurile informatice asupra unor mașini autonome sunt extrem de periculoase fiindcă, dacă ele au succes, pot fi victime. Momentul nu este aproape, însă el probabil va veni.
În aceste condiții, doi dintre cei mai cunoscuți foști hackeri din domeniul auto, Charlie Miller și Chris Valasek, și-au prezentat viziunea privind modul în care aceste mașini ar putea fi atacate în viitor și mai ales despre cum ar trebui apărate. Cei doi sunt într-o tabără cu totul diferită față de momentul 2015 când au preluat de la distanță controlul unui Jeep. Acum sunt cercetători de securitate la Cruise Automation, companie a General Motors care a făcut peste 800.000 km cu mașini autonome.
La Black Hat Las Vegas i-am întrebat pe cei doi ce cred că se va întâmpla după 2025, când primele mașini autonome vor fi ”libere” pe străzi. Se vor năpusti hackerii asupra lor pentru a le ataca și a crea pagube palpabile?
”Noi cu asta ne ocupăm, să ne asigurăm că așa ceva nu se va întâmpla și să fim siguri că va fi foarte greu pentru hackeri să facă ceva. Hackerii vor acționa mereu, dar le vom face viața grea”, spune Valasek.
”Nu putem pretinde că ceva nu poate fi spart de hackeri și ne-am construit și carierele pe ideea asta. Dar vrem să-i descurajăm pe hackeri și să-i facem să vadă că vor câștiga foarte puțin și că nu merită efortul depus nici în timp, nici ca bani”, completează Miller.
Companiile auto se pricep foarte bine în a face mașini și au fost criticate pentru că nu se pricep să abordeze sectorul securității IT. I-am întrebat pe cei doi ce ar trebui ele să facă în acest sens. Fiecare companie auto trebuie să aibă un departament de securitate și să aibă echipe care se pricep la partea software. Unii producători auto au deja departamente de câțiva ani. ”De aceea am făcut și hackingul din 2015 cu Jeep, pentru a arăta companiilor că trebuie să lucreze la problemă. Aceste companii acționează mai greu și trece ceva timp până când fac schimbări. Nu am vrut să așteptăm să fie foarte multe mașini autonome pe șosea ca să acționăm asupra unor probleme atât de grave, ci trebuie să luăm atitudine încă de la început”, spune Charlie Miller.
Sunt cinci grade de autonomie ale unei mașini, iar la gradul zero sunt marea majoritate, unde șoferul controlează absolut totul. Tesla cu sistemul Autopilot este la gradul doi de autonomie, în timp ce la gradul IV se găsesc mașinile testate de câteva companii, mașini care se pot conduce singure, însă în zone strict delimitate și mai ales în zone care sunt cartografiate extrem de detaliat, astfel încât mașina să ”știe” unde este fiecare semn de circulație, fiecare gură de canal sau orice alt obstacol fix. Gradul V este Sfântul Graal în mașini autonome, fiindcă mașina se va putea conduce complet singură fără să aibă nevoie de hărți detaliate. Nu există încă astfel de mașini.
Elimimă tot ce nu este neapărat necesar
Cei doi cercetători spun că atacurile cibernatice asupra mașinilor autonome vor fi destul de greu de realizat, mai ales că producătorii vor lucra și vor reduce la maxim modurile în care software-ul de pe aceste mașlni se poate conecta cu utilizatorii. În plus, vor conține și componente mai scumpe sau construite special pentru companiile auto, piese care vor fi greu de obținut de către cei care vor să pornească un atac. ”Este greu să ataci mașina când nu ai hardware-ul, software-ul și nici radarul”, spune Valasek.
Miller și Valasek spun că există un mare avantaj în modelul de business de ride-sharing unde mașinile sunt deținute de o companie mare care se ocupă și de întreținerea și actualizarea lor ”Mașina se întoarce în fiecare seară la garaj și poate fi verificat totul și, dacă se descoperă ceva suspect, poate fi eliminat Și update-urile de soft pot fi făcute în siguranță”. Mai complicat va fi cu mașinile deținute de persoane fizice.
Mașina autonomă de test nu a ajuns atât de departe și este practic un ”centru de date pe roți” fiindcă portbagajul este plin cu hardware. Miller și Valasek s-au arătat foarte optimiști și spun că mașinile autonome pot fi apărate cu succes dacă sunt urmate câteva reguli. Trebuie eliminate lucrurile care nu sunt necesare și mai ales trebuie redusă ”suprafața de atac”, putând fi, de exemplu, eliminate sistemele de Bluetooth și WiFi ale mașinii.
Esențial este ca acele componente conectate la internet să fie separate de cele care controlează vehiculul. Un gadget vulnerabil este și tableta din bord care trebuie izolată de sistemele care controlează mașina și trebuie să comunice cât mai puțin posibil cu alte elemente ale mașinii. În plus, cât mai mult din traficul de date trebuie criptat, inclusiv cel dintre componentele mașinii.
Ce zone ar putea fi atacate: modulul de comunicații, sistemele de asistență la distanță sau sistemul multimedia (infotainment). Puncte sensibile pot fi și sistemul de management al flotei, serviciul de updatare sau senzorii ce măsoară presiunea în pneuri.
Ar trebui să existe multiple bariere de securitate în calea hackerilor care vor, spre exemplu, să pornească o mașină de la distanță, să-i miște volanul sau să o deschidă. Cei care dețin mașinile autonome ar trebui să aibă control permanent de la distanță asupra unității de comandă și control a motorului și, dacă se detectează vreo activitate suspectă, să fie imnposibil ca motorul să pornească.
Din fericire, deja există foarte multe bariere în calea atacurilor informatice, mai ales că mașinile conțin tot mai multe sisteme electronice și companiile care erau reticente în a investi își dau seama că un atac reușit le-ar putea strica grav imaginea.