Както хакери играе с джип, rusbase

Наскоро стана известно, че Fiat Chrysler Автомобили коли концерн оттегля 1,4 милиона коли за актуализация на софтуера. И всичко това, защото наскоро хакери са напукани Милър и Валашек Uconnect система, която е оборудвана с Chrysler автомобили. С тази система можете да включвате и изключвате двигателя, а не само на чистачките.

Rusbase публикува превод на статия, Енди Grinberga - това може да е колко уязвима съвременните автомобили.

Карах зад волана на джип Jeep Cherokee, при скорост от около 110 км / ч по магистралата в покрайнините на Сейнт Луис, когато програмата започва хакерски контрол на пристъпите. Знаех го от начина, сами по себе си в силата на спечелени фенове и вградени контролни температури седалка климата започва спада към мен. След включване на радиото настроен към местната хип-хоп вълна и лекторите на пълния обем реваха някои рапър. Започнах да се обърне дръжката и радио DAB в бутона на разстояние - без резултат. После се обърна за чистачки, течност за чистачки опръскан пяна.

Докато се опитва да се справи с обезумяла колата, се появи снимка на двама хакери на екрана на таблото, който прави всички тези трикове: Чарли Милър и Крис Валашек. Колко хубаво, помислих си.

Странното поведение на колата не беше изненада за мен. Направих специално пътуване до Сейнт Луис, за да играе ролята на тест манекен катастрофа по време на тест, организиран от Милър и Валашек. С течение на годините, те са разработили план за разбиване автомобилна компютърна система. Резултатът от тяхната работа е технология, която позволява да проникна в системата "Jeep» Cherokee и да получат отдалечен контрол върху хиляди машини. (Такова нарушение в компютърна сигурност е известен с термина "ден нула уязвимост", което показва, че срещу нея не са установени защитни механизми.) Проектиран от кода - в кошмар за автопроизводителите. С този софтуер, хакери могат да изпращат чрез мултимедийна система "джип" команда на арматурното табло и по този начин поемат контрола върху много функции на превозното средство, включително и кормилно управление, спирачно предаване - всичко чрез нормален лаптоп, който може да се намира от другата страна на държавата, ,

Както хакери играе с джип, rusbase

Чарли Милър (вляво) и Крис Валашек - уязвимост изследователи в автомобилния софтуер

И докато хакери са се отдавали на, и изключване на климатик, радио и чистачки, аз мислено се поздрави, че издържал теста с отличие. Но след това те изключен ми скоростна кутия.

Веднага спря да работи педала на газта. Започнах трескаво да изтръгне газа, гледайки оборотомера, но "джип" обаче е намалял с половин, а след това напълно се превърне в пътека. По това време, аз просто спря до дълго изкачване до надлеза. Бордюра и от двете страни на пътя не беше. Вече не е смешно.

Пътят постепенно, като се възкачи "Джип", загуба на въртящ момент почти не се е. За мен облицована колона. Машина един по един ме изпревари, отчаяни сигнали. В огледалото за обратно виждане забелязах, че ме приближава вагон. Молех се, че шофьорът ме забележат.

Безжичните похитители

Като средство за справяне със закона автоматично хакерство, че ще бъде повече от навременна. Разработено от Милър и Валашек хакерски инструменти не само може да prodelyvat трикове с таблото и скоростната кутия, което намерих в хода на посещението си в Сейнт Луис. В деня на моето приключение току-що е започнало. Едва избягвайки смърт от сблъсък с вагон, аз все още успява да ставам лош "Джип" на рампата на излизане и рестартиране на предаването, изключване и включване на запалването. След това, открих един празен паркинг, където можете спокойно да продължи експеримента.

Пълен арсенал Валашек Милър и включва функции като изключване на двигателя при ниски скорости, внезапно спиране или, обратно, провала спирачка. По време на експеримента, най-опасният момент ми се стори, когато "джип" внезапно загубил спирачките, както и два тона SUV на плъзна направо в канавката. Момчетата казват, че сега те се опитват да се подобри управлението. Досега, така че те могат - е да се завъртете волана по време на шофиране на заден ход. Хакерите също са в състояние да следят машината: а GPS достъпни за тях информация за местоположението на превозното средство, неговата скорост и по маршрута пътува.

Както хакери играе с джип, rusbase

След нашите учени ще разкрият подробности за откритията си на конференция в Лас Вегас, само две неща ще бъдат в състояние да предотврати вълна от хакерски атаки срещу "джипа" по целия свят. На първо място, те ще пазиш тайна, че част от код, който презаписва фърмуера на чипа, така че хакери са следващите по стъпките им, ще бъдат принудени да пресъздаде себе си елемент от т.нар обратен инженеринг - Милър и Валашек, този процес отне много месеци. Независимо от това, те публикуват част от код, който ще позволи на prodelyvat безобидни шеги с таблото или запис на автомобила от GPS.

Проблемът е, че актуализацията на софтуера, която е освободена от Chrysler, трябва да бъде инсталиран ръчно чрез USB-конектор на превозното средство, или като се свържете с дилъра. (Актуализации могат да бъдат изтеглени от тук). Това означава, че много от колите - ако не и по-голямата част - ще останат уязвими за хакерски атаки.

С други думи, публикуването на резултатите, получени от Милър и Валашек, може да е последният предупреждението за цялата автомобилна индустрия и свързаните с тях регулаторни органи преди да започнат пълноправен атака от хакери. "Политика и автомобилната индустрия най-накрая трябва да вярва в реалната възможност за разпространение на зловреден код - каза Савидж. - До сега, всички мислеха, че е имало не съществува непосредствена опасност. Вече не може да погребе главите в пясъка. "

В риск - 471 хиляди коли

Комфортът на кожен диван в хола на Милър, се грижи за двете хакери в Интернет за нови жертви.

Когато Милър и Валашек намери само една празнина в системата Uconnect, те Предполага се, че атаката на хакер може да се извършва само с помощта на директен достъп до Wi-Fi интернет достъп, ефектът от който е ограничен до няколко десетки метра. Когато това лято идентифицирани уязвимост още Uconnect клетъчна комуникация, те също така смята, че чрез нея може да проникне само за тези превозни средства, които са в обхвата на същата базова станция, като устройството за сканиране, които биха ограничили възможен диапазон на хакерски атаки няколко десетки километри. Но скоро се оказа, че това не е пределът. "Когато разбрах, че можем да го прави на всяко място чрез интернет, страхувам се, - казва Валашек. - А аз си мислех, по дяволите, да, тази кола отива на пистата след половин страната от тук. Аз просто хакнал тази кола. "

Както хакери играе с джип, rusbase

Колко и какви видове радиостанции се използва за свързване на електронната система на автомобила до интернет;

достатъчно добре изолирани блокове, взаимодействащи с интернет, системи, отговорни за движението на автомобила;

Дали системата отговаря за движение, "физически електронни компоненти", т.е. дали има възможност за физически електронни компоненти за задвижване (като въртенето на волана или задействане на спирачките).

Въз основа на тези критерии, те признаха Jeep Cherokee най-уязвими за хакерски атаки кола. Cadillac Escalade и Infiniti Q50 предприе втора и трета места на уязвимостта. В Infiniti каза, че техните инженери "очакват с нетърпение резултатите от ново проучване" и "ще продължи да се интегрират функциите за сигурност в колите ни за защита срещу кибератаки." Кадилакът подчертая, че компанията е пусна обновена Escalade от последното проучване Милър и Валашек, макар и киберсигурността е за тях "важна област на енергия и ресурси приложения", имайки предвид, че е въведена като директор на киберсигурността.

Оттогава Милър има достатъчно време, за да сканирате Sprint клетъчната мрежа, за да се определят уязвимите превозни средства и запис на данните си. Точкова тези данни в един алгоритъм, който обикновено се използва за определяне на популациите от диви животни в природата, се очаква, че броят на потенциално уязвими машини е около 471 хиляди.

Auto-хакерство интересуват от Конгреса

Сега, автопроизводителите ще трябва да се ангажира сериозно в областта на защитата на машини от хакери. Но Вашингтон може да допринесе за това.

Професор в Университета на Калифорния в Сан Диего Стефан Sevidzh счита, че основната поука от Милър и Валашек експерименти, не е това, което "джипове" или други машини са уязвими за хакери, но това по принцип всяка кола е потенциално уязвима. "Аз не мисля, че съвременните автомобили са качествено различни една от друга по отношение на киберсигурността, - казва той. - европейци в тази област малко по-добре. Японски - малко по-лош. Но като цяло, всеки има повече работа за вършене. "

Днес, на автомобили са повече от всякога загрижени за проблемите на електронната сигурност, се казва Dzhosh Корман, един от основателите на компанията Аз съм кавалерия, занимаващи се с проблемите на кибернетична защита "Интернет на нещата" - коли, медицинско оборудване и т.н. Според Корман, чрез писмо до Senator Печати и други нужди. автомобилопроизводители, идващи от Конгреса на САЩ автоматично капитал Детройт в продължение на няколко месеца, всички приказки за предстоящото въвеждане на регулация в електронния сигурността на превозните средства. Не забравяйте обаче, Корман каза, че едни и същи автопроизводители са все още се конкурират помежду си в броя на машините, монтирани в интернет-съвместим устройства. (Те са добре, спечелени от тези устройства). В резултат на това компаниите все още имат стимул да добавяте нови онлайн възможности, без да се налага да се притеснявате за тяхното ниво на сигурност. "И ако, за да се справи конкретно устройство в колата, напуска условно година, за да се изгради защита срещу хакери, трябва четири до пет години", - казва Корман.

Корман заяви, че автомобилните производители трябва да си сътрудничат с хакери, да идентифицират своите недостатъци, а не да се бори с тях. Един пример за това е компанията Microsoft, която, в отношенията си с хакерите постепенно се отдалечи от заплахите и съдебните дела и започна да ги покани на Съвещанието за сигурност и дори плащат за всеки открит бъг. В областта на компютърните технологии за такъв обрат във връзка с изисква 15-20 години. По това време автомобилната индустрия е по-малко. "Като се има предвид, че колата ми може да бъде заплаха за мен и семейството ми, бих искал да видя тази промяна в следващите 3-5 години. В края на краищата, последствията могат да доведат до загуба на човешки живот, "- казва той.

Седейки зад колело "SUV" в края на нашия експеримент, обаче, аз не мисля, че повсеместно коли хакерство взе пет години. За мен това е реалността тук и сега. Не можех да се отърва от неприятни чувства на уязвимост и очакванията, че Милър и Валашек по всяко време може отново да поемат невидими нишки контрол.

И те са наясно, че те държат в ръцете си. "Ние удави вашия двигател, комби и почти смазан - и организираха всичко това, седи на дивана, - казва Милър, ако трябва да се напомни. - Това е нещо, боеше от всички, които имат малко разбиране на системи за сигурност. Сега тя е реалност. "