4. DÍL DOPRAVNÍ SÉRIE. Moderní automobily se čím dál tím více podobají chytrému telefonu na čtyřech kolech. I díky tomu si s jedním z nich, konkrétně Jeepem Cherokee, nedávno dvojice hackerů pohrála jak s autíčkem na dálkové ovládání. Podobných průniků do dopravních systémů a prostředků přitom bude přibývat. Ne každý bude životu nebezpečný – domácí hackerská komunita například díky nezabezpečené elektronické jízdence Českých drah jezdí vlakem zdarma – hrozbu ale jistě nelze bagatelizovat. Podrobnosti diskutovali partner ve forenzní agentuře Surveilligence Ján Lalka a bezpečnostní konzultant ve společnosti AEC Martin Klubal. Nabízíme hlavní teze a expertní debatu.

Teze 1:

• Doprava ještě není v samotném centru pozornosti hackerů, naštěstí. Útočníci se totiž zaměřují především na věci, které jim generují peníze. Z hacknutí například auta žádný prospěch mít nemohou, minimálně ne finanční. Přímo v Česku se pak hackeři na dopravu zaměřují okrajově. Jsou známé případy, kdy útočníci sklápěli závory na železničních přejezdech, což není nic komplikovaného a nedochází k tomu bezdrátově. Vcelku známé je i to, že česká hackerská komunita jezdí od dob, kdy České dráhy vydaly elektronické jízdenky a nemají pořádně zabezpečený systém, vlaky zadarmo. Ve světě jsou pak případy nabourání se do dopravních systémů či prostředků řekněme zajímavější a také nebezpečnější. Jsou známy případy útoků na auta nebo na dálniční informační cedule. V Česku to neohrožuje provoz a už vůbec ne někoho na životě.

[alter-eko-discussion thesis=“1″]

 Teze 2:

• Chytrá auto nás špehují, jde o naše (ne)pohodlí. Už dnes jsou mnohá auta permanentně propojena s operátorem, který je připraven kdykoli pomoci, najít například čerpací stanici nebo upozornit na vzniklou zácpu. A tento komfort přináší také riziko. Nevíme totiž, kdy nás kdo poslouchá. Operátor totiž může kdykoli zapnout mikrofon a odposlouchávat cokoli se v autě řekne. Podobné je to v případě chytrých telefonů, které neustále zaznamenávají, co se kolem nich říká. Čekají totiž na klíčové slovo, u Androidu například na pokyn aktivovat vyhledávač Google. (Jde tedy o to, abychom telefon mohli ovládat hlasem.) To znamená, že cokoli se v okolí telefonu řekne, se odešle do claudu. My nevíme, kdo k němu má přístup a může tak naslouchat. To ostatně znamená, že dnes můžeme být odposloucháváni i v našem “hloupém” autě.

 [alter-eko-discussion thesis=“2″]

 Teze 3:

• Chytrá auta budou mít z pohledu hackera mnoho zranitelných míst. (Neznačkový) autoservis je jedno ze míst, která s sebou (po)nesou rizika. Kdo totiž zaručí, že mechanik – ať už úmyslně nebo neúmyslně – nenahraje do systému špatnou verzi firmwaru, který po několika kilometrech řekněme znepřístupní brzdy. Příkladem další oblasti, která s sebou nese riziko, je outsourcing operátora mimo automobilku. Dnes s chytrým automobilem komunikuje někdo z automobilky, v budoucnu je ale dost dobře možné, že si tyto operátory budeme vybírat sami, podobně jako dnes mobilní operátory. Tyto subjekty budou tak mít také budou přístup k našemu autu. Stejně jako například antivirové společnosti, které se na zabezpečení vozu budou podílet. Nikdo přitom nemůže zaručit, že daný antivir dělá, co dělat má, případně že je bez chyby.

[alter-eko-discussion thesis=“3″]

Diskuze očima Jána Lalky

Keď sa začali pred dvadsiatimi rokmi hromadne šíriť prvé mobily, pochybujem, že niekoho v tej dobe trápili otázky zabezpečenia. Odvtedy mal komfort pri užívaní mobilov prednosť pred bezpečnosťou po veľmi dlhú dobu.

Až postupne zverejňované prípady odpočúvania, krádeží identity, sledovania osôb, krádeže osobných a firemných dát, finančných podvodov a ďalších nezákonných aktivít viedli k tomu, že nielen výrobcovia začali brať bezpečnostné hľadisko aspoň trochu vážne. Ale hlavne, boli to užívatelia, ktorí pochopili čo im hrozí a následne zatlačili na výrobcov.

Či už mediálne, alebo jednoduchým trhovým princípom – prestali mať záujem o nedokonalé prístroje s nebezpečným softvérovým vybavením a nekupovali ich. Existuje tu analógia s technológiami nabitými automobilmi a inými dopravnými prostriedkami? Zdá sa, že áno.

Zhrnutie záverov rozhovoru, sformulovaných téz a komentárov ukazuje, že:

• 1) Autá, rovnako ako iné technologicky vyspelé zariadenia, sú a budú plné slabých miest a nedokonalostí. V tejto chvíli ale nie sú až tak zaujímavé pre potenciálnych útočníkov, keďže ešte nedokážu generovať finančný benefit alebo prínos v porovnaní s vynaloženým úsilím. Ako na to zareagujú výrobcovia v automobilovom priemysle v rámci konkurenčného boja? Môžeme očakávať zverejňovanie citlivých informácií o nedokonalom zabezpečení automobilu vyrábaného jednou automobilkou, nepriateľskou kampaňou inej automobilky? Nedávno sme mali možnosť podobné ostré kampane, aj keď s iným obsahom, sledovať aj na českom trhu. Siahnu automobilky aj po takomto “atómovom kufríku” keď ich bude konkurent významne ohrozovať? Začneme v investigatívnych reportážach dostávať tajne natočené záznamy z testov bezpečnosti, prípadne odposluchy vedúcich zamestnancov, ktoré budú ukazovať slabé miesta daných automobilov?
• 2) Rovnako ako aj v prípade teroristických útokov, pokiaľ si budeme chcieť uchovať úroveň kvality života, resp. komfortu a služieb v modernom automobile, nie je otázka či útoky nastanú, ale kedy. Každý systém stvorený človekom je napadnuteľný a prelomiteľný, prevencia je vždy len v aktívnom prístupe k ochrane a v získaní dostatočných informácií a v uvedomení si rizika. Dnešná pravdepodobnosť, že nás niekto zabije ovládnutým automobilom, je takmer nulová. Ako ale táto pravdepodobnosť narastie, keď niekto nesprávne navrhne, alebo naprogramuje riadiaci čip bezpečnostného systému vozidla a tento systém vyhodnotí vodiča pri krízovej situácii ako kolateral damage, a ochráni protiidúce vozidlo? Keďže dnes nevieme bezchybne naprogramovať ani jednoduché programy a vložiť do nich všetky možné scenáre vývoja, dôvera vo výrobcov bezpečnostných systémov môže už po pár incidentoch významne narušiť našu dôveru v chytré autá. Ako dlho trvalo kým počítač porazil v šachu ľudského šampióna?

Celý rozhovor Jána Lalky z forenzní agentury Surveilligence s Martinem Klubalem ze společnosti AEC si můžete poslechnout zde.

Předchozí díly dopravní série:

Mobilita 21. století? Příležitosti nebo noční můra, záleží jen na nás. – První díl série zaměřené na dopravu

Koho cestu užíváš, toho píseň pěješ. Je čas učit se čínsky? – Druhý díl série zaměřené na dopravu

Proč Češi (ne)vládnou světu – Třetí díl série zaměřené na dopravu