Cu cât e mai computerizată o mașină cu atât mai mult poate fi condusa de hackeri

Tot mai multe masini au computere mult mai puternice decat ne-am inchipui si computerul sistemului multimedia stocheaza cantitati mari de date, inclusiv despre cand franam si cu ce viteza mergem. Doi cercetatori de la compania Ixia, Gabriel Cirlig si Stefan Tanase, au povestit la conferinta de securitate informatica Defcamp cum au reusit sa „sparga” computerul unei masni japoneze cu un simplu stick USB. Cel mai pesimist scenariu ar fi ca un atacator sa controleze de la distanta franele masinii, spre exemplu, iar demosntratii au fost facute in SUA. Industria auto a facut enorm pentru protectia fizica a pasagerilor in caz de impact, acum mai ramane sa investeasca si in securitatea datelor, din moment ce tot mai multe autoturisme devin „calculatoare pe roti”.

 

Gabrilel Cirlig, cunoscut ca hackerul RATB si-a cumparat o masina japoneza din 2014 si a inceput sa citeasca despre calculatorul sistemului multimedia al masinii si despre ce poate face el. I-a venit ideea inspirat de un eveniment care s-a lasat cu un recall de peste 100.000 de Jeep-uri. In 2015, doi cercetatori americani, Charlie Miller si Chris Valasek au preluat de la distanta controlul unei masini Jeep, intr-o demonstratie menita sa arate ca producatorii auto trebuie sa fie mult mai atenti cu soft-urile puse pe masini.

Multa lume nu isi da seama ca la masinile mai noi calculatorul masinii chiar este un computer asemanator cu cele pe care le avem in casa. La masina lui Cirlig calculatorul sistemului multimedia are puterea unui smartphone de gama medie: are 1 GB RAM, are WiFi, are un sistem de operare de sine statator si are si GPS. Evident ca la o masina second-hand de multi ani vechime computerul nu este atat de puternic si nu poate stoca atat de multe informatii, insa la cele mai noi este puternic. Masina lui Cirlig a costat 20.000 de euro.

Dupa ce s-a documentat a reusit sa acceseze calculatorul cu ajutorul unui stick USB. Descoperirea a fost, spune Gabriel, ca masina stia extrem de multe despre el fiindca acel computer al sistemului multimedia stocheaza o multime de date pe care le extrage de pe smartphone de fiecare data cand sincroniza telefonul cu masina.

Pe computerul masinii erau o multime de informatii: pe unde a fost, ce e-mail-uri a primit, SMS-urile, agenda telefonica, si chiar si profll de voce, mai exact comenzile vocale date in masina. Mai mult, stocheaza si date telemetrice despre condus, cand franezi, viteza medie. La fel, raman datele celor care-si mai conecteaza telefonul la computerul masinii

Datele raman pe computerul masinii si dupa ce se incheie sesiunea si sunt imposibil de sters. Practic, daca un hacker ajunge sa introduca un stick USB in portul masinii poate sa extraga datele tale persoanale si sa construiasca un fel de „dosar de informatii” cu toate obiceiurile sale.

Stefan Tanase, unul dintre cei mai cunoscuti specialisti romani de cyber-security, spune ca aici este o problema fiindca, practic nici nu mai stim unde se afla datele noastre personale. Le aveam pe computer, apoi in cloud si acum se gasesc si pe masinile pe care le conducem. Lucrurile se vor complica dupa ce apar masinile autonome, dar si cand se vor innmulti programele de car-sharing si cand nu vom conduce masina personala, ci vom imparti masinile cu diversi oameni si nu vom vrea ca datele noastre sa ajunga pe acele masini daca ne sincronizam telefonul cu ele.
.
Ar mai fi si problema retelelor WiFi. Masina, avand un calculator obisnuit detecteaza si se poate conecta la toate WiFi-urile de pe strada, iar un atacator o poate face sa se conecteze la toate wifi-urile deschise pe masura ce te plimbi cu ea si te poate urmari pe GPS si iti poate vedea traseul prin hotspot-urile gratuite, neprotejate. Sau, daca hackerul scrie un virus simplu, informatiile tale personale pot fi urcate pe internet cand treci pe langa o anumita retea WiFi.

Stefan Tanase, explica faptul ca masina poate fi ca un fel de arma, practic cand o conduci prin oras poate ataca alte masini conectate la retele WiFi. Se intampla practic ceea ce se numeste in termeni de specialitate „Wardriving”, ceea ce inseamna ca hackerii conduc prin oras si se conecteaza la retele WiFi nesecurizate, fie pentru a fura date sensibile, fie pentru a le folosi pentru actiuni ilegale.

Wardriving-ul se face folosind in general un laptop in masina, in cazul de fata, masina poate tine loc de laptop. Cand masina detecteaza o retea nesecurizate poate extrage date din ea sau poate lansa exploit-uri (program ce exploateaza o vulnerabilitate) impotriva altor terminale conectate la WiFi.

Ar putea exista si un scenariu foarte grav
Sistemul de infotainment face absolut orice si este posibil ca magistralele de informatii pentru senzori sa treaca tot prin calculatorul masinii si masina poate fi facuta de la distanta sa franeze automat brusc, ca si cand ar avea in fata un obstacol.

Un alt scenariu ar fi, pentru viitorul indepartat cand masinile vor fi mult mai puternic computerizate, ca un hacker sa-ti infecteze masina cu un ransomware, ceea ce face soft-ul inutilizabil pana cand nu platesti o recompensa financiara.

Masina devine o a doua casa, altii o prezinta ca un smartphone pe roti. Insa cei care creeaza software-ul pentru aceste masini nu sunt intotdeauna constienti de cat de mare este pericolul in fata atacurilor si nu creeaza aceste soft-uri ale masinii cu acest lucru in gand.

Orice noua tehnologie este o sabie cu doua taisuri pentru ca are avantaje, dar creeaza atacatorilor ocazia de a face lucruri urate, spune Stefan Tanase.

Apoi este un compromis greu de facut intre nevoia de securitate si cea de a folosi cat mai usor diversele servicii. Daca nivelul de securitate este mai ridicat, serviciile ar putea fi mai greu de folosit din cauza diverselor bariere instalate tocmai pentru o mai buna securitate.

Un soft nou mereu va avea gauri de securitate, spune Gabriel Cirlig, adaugand ca industria auto trebuie sa investeasca mai mult in securitatea datelor

Compania auto a fost anuntata de vulnerabilitate si a reparat-o, iar acum daca introduci un stick USB nu mai executa script-urile de data retriever de pe el

Leave a Reply

Your email address will not be published. Required fields are marked *

89 + = 97