Jsou chytrá auta hloupý nápad? Jak moc se bát jejich hacknutí
4. DÍL DOPRAVNÍ SÉRIE. Moderní automobily se čím dál tím více podobají chytrému telefonu na čtyřech kolech. I díky tomu si s jedním z nich, konkrétně Jeepem Cherokee, nedávno dvojice hackerů pohrála jak s autíčkem na dálkové ovládání. Podobných průniků do dopravních systémů a prostředků přitom bude přibývat. Ne každý bude životu nebezpečný – domácí hackerská komunita například díky nezabezpečené elektronické jízdence Českých drah jezdí vlakem zdarma – hrozbu ale jistě nelze bagatelizovat. Podrobnosti diskutovali partner ve forenzní agentuře Surveilligence Ján Lalka a bezpečnostní konzultant ve společnosti AEC Martin Klubal. Nabízíme hlavní teze a expertní debatu.
Teze 1:
Doprava ještě není v samotném centru pozornosti hackerů, naštěstí. Útočníci se totiž zaměřují především na věci, které jim generují peníze. Z hacknutí například auta žádný prospěch mít nemohou, minimálně ne finanční. Přímo v Česku se pak hackeři na dopravu zaměřují okrajově. Jsou známé případy, kdy útočníci sklápěli závory na železničních přejezdech, což není nic komplikovaného a nedochází k tomu bezdrátově. Vcelku známé je i to, že česká hackerská komunita jezdí od dob, kdy České dráhy vydaly elektronické jízdenky a nemají pořádně zabezpečený systém, vlaky zadarmo. Ve světě jsou pak případy nabourání se do dopravních systémů či prostředků řekněme zajímavější a také nebezpečnější. Jsou známy případy útoků na auta nebo na dálniční informační cedule. V Česku to neohrožuje provoz a už vůbec ne někoho na životě.
[alter-eko-discussion thesis=“1″]
Teze 2:
Chytrá auto nás špehují, jde o naše (ne)pohodlí. Už dnes jsou mnohá auta permanentně propojena s operátorem, který je připraven kdykoli pomoci, najít například čerpací stanici nebo upozornit na vzniklou zácpu. A tento komfort přináší také riziko. Nevíme totiž, kdy nás kdo poslouchá. Operátor totiž může kdykoli zapnout mikrofon a odposlouchávat cokoli se v autě řekne. Podobné je to v případě chytrých telefonů, které neustále zaznamenávají, co se kolem nich říká. Čekají totiž na klíčové slovo, u Androidu například na pokyn aktivovat vyhledávač Google. (Jde tedy o to, abychom telefon mohli ovládat hlasem.) To znamená, že cokoli se v okolí telefonu řekne, se odešle do claudu. My nevíme, kdo k němu má přístup a může tak naslouchat. To ostatně znamená, že dnes můžeme být odposloucháváni i v našem “hloupém” autě.
[alter-eko-discussion thesis=“2″]
Teze 3:
Chytrá auta budou mít z pohledu hackera mnoho zranitelných míst. (Neznačkový) autoservis je jedno ze míst, která s sebou (po)nesou rizika. Kdo totiž zaručí, že mechanik – ať už úmyslně nebo neúmyslně – nenahraje do systému špatnou verzi firmwaru, který po několika kilometrech řekněme znepřístupní brzdy. Příkladem další oblasti, která s sebou nese riziko, je outsourcing operátora mimo automobilku. Dnes s chytrým automobilem komunikuje někdo z automobilky, v budoucnu je ale dost dobře možné, že si tyto operátory budeme vybírat sami, podobně jako dnes mobilní operátory. Tyto subjekty budou tak mít také budou přístup k našemu autu. Stejně jako například antivirové společnosti, které se na zabezpečení vozu budou podílet. Nikdo přitom nemůže zaručit, že daný antivir dělá, co dělat má, případně že je bez chyby.
[alter-eko-discussion thesis=“3″]
Diskuze očima Jána Lalky
Keď sa začali pred dvadsiatimi rokmi hromadne šíriť prvé mobily, pochybujem, že niekoho v tej dobe trápili otázky zabezpečenia. Odvtedy mal komfort pri užívaní mobilov prednosť pred bezpečnosťou po veľmi dlhú dobu.
Až postupne zverejňované prípady odpočúvania, krádeží identity, sledovania osôb, krádeže osobných a firemných dát, finančných podvodov a ďalších nezákonných aktivít viedli k tomu, že nielen výrobcovia začali brať bezpečnostné hľadisko aspoň trochu vážne. Ale hlavne, boli to užívatelia, ktorí pochopili čo im hrozí a následne zatlačili na výrobcov.
Či už mediálne, alebo jednoduchým trhovým princípom – prestali mať záujem o nedokonalé prístroje s nebezpečným softvérovým vybavením a nekupovali ich. Existuje tu analógia s technológiami nabitými automobilmi a inými dopravnými prostriedkami? Zdá sa, že áno.
Zhrnutie záverov rozhovoru, sformulovaných téz a komentárov ukazuje, že:
- 1) Autá, rovnako ako iné technologicky vyspelé zariadenia, sú a budú plné slabých miest a nedokonalostí. V tejto chvíli ale nie sú až tak zaujímavé pre potenciálnych útočníkov, keďže ešte nedokážu generovať finančný benefit alebo prínos v porovnaní s vynaloženým úsilím. Ako na to zareagujú výrobcovia v automobilovom priemysle v rámci konkurenčného boja? Môžeme očakávať zverejňovanie citlivých informácií o nedokonalom zabezpečení automobilu vyrábaného jednou automobilkou, nepriateľskou kampaňou inej automobilky? Nedávno sme mali možnosť podobné ostré kampane, aj keď s iným obsahom, sledovať aj na českom trhu. Siahnu automobilky aj po takomto “atómovom kufríku” keď ich bude konkurent významne ohrozovať? Začneme v investigatívnych reportážach dostávať tajne natočené záznamy z testov bezpečnosti, prípadne odposluchy vedúcich zamestnancov, ktoré budú ukazovať slabé miesta daných automobilov?
- 2) Rovnako ako aj v prípade teroristických útokov, pokiaľ si budeme chcieť uchovať úroveň kvality života, resp. komfortu a služieb v modernom automobile, nie je otázka či útoky nastanú, ale kedy. Každý systém stvorený človekom je napadnuteľný a prelomiteľný, prevencia je vždy len v aktívnom prístupe k ochrane a v získaní dostatočných informácií a v uvedomení si rizika. Dnešná pravdepodobnosť, že nás niekto zabije ovládnutým automobilom, je takmer nulová. Ako ale táto pravdepodobnosť narastie, keď niekto nesprávne navrhne, alebo naprogramuje riadiaci čip bezpečnostného systému vozidla a tento systém vyhodnotí vodiča pri krízovej situácii ako kolateral damage, a ochráni protiidúce vozidlo? Keďže dnes nevieme bezchybne naprogramovať ani jednoduché programy a vložiť do nich všetky možné scenáre vývoja, dôvera vo výrobcov bezpečnostných systémov môže už po pár incidentoch významne narušiť našu dôveru v chytré autá. Ako dlho trvalo kým počítač porazil v šachu ľudského šampióna?
Celý rozhovor Jána Lalky z forenzní agentury Surveilligence s Martinem Klubalem ze společnosti AEC si můžete poslechnout zde.
Předchozí díly dopravní série:
Koho cestu užíváš, toho píseň pěješ. Je čas učit se čínsky? – Druhý díl série zaměřené na dopravu
Proč Češi (ne)vládnou světu – Třetí díl série zaměřené na dopravu
Pop-up mobil Mobile (207451)SMR mobil článek Mobile (207411)SMR mobil článek 2 Mobile (207416)SMR mobil článek 2 Mobile (207416-2)SMR mobil článek 2 Mobile (207416-3)SMR mobil pouze text Mobile (207431)Líbil se vám tento text? Pokud nás podpoříte, bude budoucnost HlídacíPes.org daleko jistější.
Přispět 50 KčPřispět 100 KčPřispět 200 KčPřispět 500 KčPřispět 1000 Kč
Platbu on-line zabezpečuje Darujme.cz
Recommended (5901)Čtěte též
Automobilová revoluce Made in Czechia? Škoda chce první elektromobil v roce 2020
Proč Češi (ne)vládnou světu – Třetí díl série zaměřené na dopravu
Skyscraper 2 Desktop (211796-4)
2 komentáře
Chytré dopravní prostředky, včetně automobilů budou muset vládnout rozhodovacími algoritmy, jenž budou mít za úkol předcházet dopravním nehodám a minimalizovat případné škody na zdraví a majetku. Automobil automaticky zastaví před překážkou, nebo se jí vyhne. Představte si ale situaci, kdy jedete po cestě se strmým srázem na Vaší straně, v protisměru Vás právě míjí autobus a hned za ním Vám vběhne do cesty skupina dětí. Jak se má Váš automobil zachovat? Má to strhnout do autobusu, porazit děti nebo skočit z útesu? Z morálního hlediska je jistě správná třetí varianta. Nyní si přestavte situaci, kdy informace o autobusu a dětech bude pouze iluzí, kterou automobilu vsugeruje hacker schovaný opodál. Koupíte si automobil, který Vás kdykoliv vědomě zabije?
Určitě bude rozdíl v riziku útoku na vozidlo soukromé osoby oproti riziku útoku na významného činitele. Podle toho budeme volit i odpovídající zabezpečení, které se bude lišit cenou i kvalitou. Zadruhé, více pozornosti budeme muset věnovat rizikům konkurenčního boje mezi výrobci aut. Sice žádná automobilka nebude mít zájem ublížit řidičům, určitě ale bude chtít poukázat na bezpečnostní díry konkurenčního produktu. A v případě, že výrobce tuto díru okamžitě neopraví, může se jí chopit nějaká kriminální skupina a zneužít ve svůj prospěch.