Mióta az autók is számítógépet kaptak, egyre égetőbb kérdés, hogy mekkora biztonsági kockázattal jár az egyre nagyobb kényelem. A múlt héten hekkerek először mutatták be, hogyan lehet átvenni az irányítást egy autó fölött vezeték nélkül, távolról. Ez még csak demó volt, de felébresztheti a gyártókat, akik eddig elhessegették a veszélyt. Közben már az amerikai szenátus elé került a törvényjavaslat, amellyel biztonságosabbá tennék az autóinkat.
Nemrég írtunk az okosautókkal kapcsolatos félelmekről, de a mostani hekkelés újabb bizonyítékkal szolgált arra, hogy mielőtt az életünkről döntő robotautóktól kezdenénk félni, ne becsüljük alá a jó öreg emberi rosszindulatot sem. Sokkal közvetlenebb veszélyt jelentenek ugyanis a biztonsági réseken beférkőző hekkerek, mint maguk a számítógépek.
A Wired újságírója nagy vihart kavart cikkében beszámolt róla, hogy részt vett egy kísérletben, amelyben két hekker mutatta be, milyen könnyedén tudják átvenni a teljes irányítást az autója felett. Beült egy Jeep Cherokeeba, és elindult az autópályán, aztán a hekkerek egy távoli pontról, egyetlen telefonnal és laptoppal gyakorlatilag azt csináltak vele, amit csak akartak. A helyzet a légkondi állítgatásától egészen odáig fajult, hogy az autó a sofőr akarata ellenére lassulni kezdett az autópálya közepén, 110 kilométer per órás sebességnél.
A két biztonságtechnikai kutató, Charlie Miller és Chris Valasek a rádiótól az ablaktörlőn át a sebességváltóig és a fékig szinte mindent elvett a sofőrtől, tolatás közben még a kormány fölött is át tudták venni az irányítást. Már két éve kísérleteznek autóhekkeléssel, amiben a katonaság kutatórészlegétől az autógyártókig többen is támogatják őket. Eleinte még vezetékes kapcsolatra volt szükségük az irányítás átvételéhez, ami szintén nem megnyugtató, de jóval kisebb veszélyt jelentett, mint a mostani távirányítás.
A hekkerek a Jeep információs és multimédia-központján keresztül voltak képesek parancsokat küldeni az autónak. Ezt a rendszert Uconnectnek hívják, és ez az autó digitális agya: összeköti a telefonnal, internetes szolgáltatásokat tesz elérhetővé, és a zenehallgatástól a navigációig, a híváskihangosítástól a hangvezérlésig szinte minden okosfunkcióért ez a felelős. És a sebezhetőségért is. A támadást az tette lehetővé, hogy az autó kapcsolódik az internethez. Az állandó kapcsolat a Dolgok Internete korában egyre inkább alapkövetelmény, de egyre kiszolgáltatottabbá teszi az eszközeinket a távoli támadások számára. A Miller és Valasek által kihasznált sebezhetőségnek a saját becslésük szerint 471 ezer autó van kitéve. A neten bejutva az autóba a támadók eljutnak a multimédia-központot irányító csiphez, amelynek a rendszerébe beleírják a saját kódjukat. Innentől bármilyen utasítást elküldhetnek az autó belső rendszerének.
A támadó szempontjából egy szuperjó sebezhetőségről van szó
– jegyezte meg Miller.
Ők csak a Jeep Cherokeen tesztelték a teljes arzenáljukat, de azt állítják, a cég más uconnectes autóin is működőképes. Másik márkákkal egyelőre nem próbálkoztak, de Stefan Savage, a Kaliforniai Egyetem San Diegó-i kampuszának kutatója szerint biztonsági szempontból nem lehetnek igazán nagy különbségek a különböző márkák között.
Az európaiak kicsit előrébb járnak. A japánok kicsit le vannak maradva. De összességében olyasmiről van szó, amit mindenki még mindig csak próbál megérteni.
A két hekker augusztus elején, a Las Vegas-i Black Hat hekkerkonferencián tervezi elmondani, pontosan hogyan is működik a módszer, de már hónapok óta együttműködnek a gyártóval, így már meg is jelent a javítás.
Az ilyen javításokkal viszont az a probléma, hogy gyakran a támadással ellentétben nem végezhetők el távolról, közvetlenül kell őket az autóra tölteni. Ez azért gond, mert ha valami macerásabb, mint egy gombnyomás, nagy valószínűséggel sokan nem veszik rá azonnal a fáradságot, így hiába jött ki a patch, az érintett autók egy része még sokáig sebezhető maradhat. A mostani esetben a meghekkelt autót gyártó Fiat Chrysler eleinte csak a honlapján tette letölthetővé a javítást, de végül hálózaton keresztül is kiadta. Az általános gyakorlat azonban ma még nem ez. Valamit javít a helyzeten, hogy a két hekker a csip firmware-jének átírási módját nem osztja meg, ami plusz néhány hónapos haladékot jelent a rosszindulatú hekkerek aktiválódásáig.
A Fiat Chrysler persze nem győzi hangsúlyozni, hogy köszöni szépen Miller és Valasek munkáját, hiszen sokkal jobb nekik, hogy ők találták meg a hibát, és nem a rosszfiúk. A cég viszont nagyon nem boldog amiatt, hogy a konferencián nyilvánossá válik a módszer, szerintük sokkal jobb lenne, ha egyáltalán nem is mondanák el másoknak, hogyan csinálták, mert ezzel veszélybe sodorják a későn frissítőket.
Millerék szerint azonban egyrészt fontos, hogy a szélesebb hekkerközösség is igazolja a munkájuk pontosságát, éppen úgy, mint más területek kutatóinak eredményei esetében. Még ennél is fontosabb azonban, hogy
és ne lehessen egy gyors javítással elbagatellizálni a digitális eszközök folyamatos fejlődése miatt nyíló újabb és újabb támadási felületek biztonsági kockázatait. Mint ahogy ez a két hekker első, még vezetékes akciója idején történt. A cégeknek kellemetlen sürgetés a kutatók szerint életeket menthet.
A kísérletnek már néhány nappal a Wired cikke után komoly következménye lett: a Fiat Chrysler 1,4 millió sebezhető autót hívott vissza. Az amerikai Nemzeti Közúti Közlekedésbiztonsági Hivatal (NHTSA) közleményben üdvözölte a döntést:
A visszahívás a jó irány az ügyfelek védelme érdekében, és fontos precedenst teremt arra nézve, hogy az NHTSA és a gyártók hogyan fogják kezelni a kiberbiztonsági kockázatokat.
A cég egyébként hangsúlyozta, hogy csupán elővigyázatosságról van szó, de nagy szükségük is van arra, hogy visszaszerezzék a vásárlók bizalmát, mert néhány nappal a visszahívás után megkapták minden idők legnagyobb autóipari büntetését korábbi – nem szoftverrel kapcsolatos – autóhibák és az azokra adott túl lassú reakció miatt.
Szoftverhiba persze közel sem először merül fel az autókkal kapcsolatban, legutóbb például a Land Rover kényszerült visszahívni több mint 65 ezer Range Rovert július közepén, mert egy hiba miatt a kocsiajtó hajlamos volt magától kinyílni. A mostani eset viszont nemcsak a visszahívás mértéke miatt komolyabb, de a vezeték nélküli sebezhetőség is mérföldkő a digitális autóbiztonságban.
Közben az amerikai törvényhozást is megmozgatta az egyre növekvő kockázat. Két szenátor, Ed Markey és Richard Blumenthal – állítólag véletlenül – éppen a Wired cikkének megjelenésével egy napon adott be egy törvénytervezetet, amellyel a kérdést szabályoznák.
Markeyt még Millerék 2013-as, vezetékes hekkelése inspirálta. Küldött egy levelet húsz gyártónak a biztonsági gyakorlatukról, és a válaszokat ismertető, idén februárban megjelent jelentés lesújtó képet vázolt fel az állapotokról. (Később májusban is volt egy elmarasztaló kör a kormány részéről). A Uconnecthez hasonló, vezeték nélküli kapcsolattal rendelkező rendszert mindegyik válaszadó beépített az autóiba, de csak nagyon kevesek foglalkoztak a rendszereik komoly tesztelésével, és még kevesebb cég fordított figyelmet a fedélzeti számítógépet érő támadások monitorozására. Miközben a gyártókat nyomja a verseny, hogy minél jobb és modernebb szolgáltatásokat építsenek be, sokkal kevésbé voltak érdekeltek abban, hogy ezeket megfelelően felkészítsék az eseteges támadások ellen.
A javaslat angolul stílszerűen a kémautótörvény nevet kapta. (A SPY Car a Security and Privacy in Your Car, vagyis Biztonság és Adatvédelem az Autódban rövidítése.) Ha elfogadják, utasítja majd az NHTSA-t és a fogyasztóvédelmi és versenyfelügyeleti feladatokat ellátó Szövetségi Kereskedelmi Bizottságot (FTC), hogy új biztonsági sztenderdeket vezessen be a digitális technológiát alkalmazó autók gyártói számára, beleértve többek között
Emellett a személyes adatok védelmét is erősítené a tervezet: az adattitkosítás mellett átláthatóbbá tenné, hogy egyáltalán milyen adatokat gyűjt össze a rendszer; könnyebb lenne eldönteni, ebből mihez járul hozzá az ügyfél, és mihez nem; illetve nem lehetne reklámcélra felhasználni ezeket az adatokat.
A tervezet harmadik eleme, hogy mindezt egy olyan egyszerűen érthető matricával jelöljék az új autókon, mint manapság a hűtők esetében, hogy milyen az energiahatékonysági besorolásuk.
Nem lenne szabad, hogy a vezetőknek az internet és a biztonság között kelljen választaniuk
– mondta Markey szenátor a tervezet céljáról.
A tervezeten kívül független szervezetek is foglalkoznak a Dolgok Internetének biztonságával. Az I Am The Cavalry nevű csoport például az autók és más okosított, vezeték nélküli kapcsolatot kapó eszközök védelmével foglalkozik. A csoport öt alapvető ajánlást fogalmazott meg a gyártók számára, amelyek átfedést mutatnak a fenti tervezettel:
Az utolsó pont fontosságáról már volt szó fentebb: minél könnyebb frissíteni, annál nagyobb eséllyel szánja rá magát a tulajdonos/felhasználó. Ebbe az irányba már tettek is lépéseket a gyártók, januárban például a BMW, márciusban a Ford.
Az utóbbi időben az autóipar kezdi egyre komolyabban venni a kiberbiztonság kérdését. Egy héttel a hekkelős kísérlet előtt az amerikai Autógyártók Szövetsége bejelentette, hogy létrehoznak egy új kiberbiztonsági fórumot az autók számítógépes rendszereivel kapcsolatos kihívások közös megválaszolására.
Fontos felismerniük a gyártóknak azt is, hogy a jó hekker a barátjuk, még ha nem kívánt figyelmet is generál. A techcégeknél már alapvetés, hogy támogassák és jutalmazzák a hibáikat kiszúró külsősöket, és ezt a mentalitást kell minél gyorsabban elsajátítani az autóipar szereplőinek is. Josh Corman, az I Am The Cavalry alapítója szerint a techvilágban ez 15-20 évig tartott, az autógyáraknak viszont maximum 3-5 évük van rá, mert a hibák itt életekbe kerülhetnek. A felelős gyártók mellett azonban az is fontos, hogy maguk az autóvezetők tisztában legyenek azzal, milyen kockázatokkal jár, ha már nemcsak a gyerek, de a családi autó se tud leszakadni a netről.