Σάββατο, 26 Σεπτεμβρίου 2015

Τα αυτοκίνητα, ο επόμενος μεγάλος στόχος των χάκερ;


Καθώς οι τεχνολογίες διασύνδεσης των οχημάτων εξαπλώνονται, κακόβουλες επιθέσεις δεν μπορούν να αποκλειστούν, λέει η Symantec


Ένας αυξανόμενος αριθμός αυτοκινήτων μπορεί πλέον να συμπεριληφθεί στο λεγόμενο Internet of Things (IoT), δεδομένου ότι διαθέτουν δικούς τους υπολογιστές, λογισμικό, αλλά και συνδεσιμότητα. Κι ενώ μια τέτοια εξέλιξη επιτρέπει στους ιδιοκτήτες αυτοκινήτων να επωφεληθούν από μια σειρά νέων τεχνολογιών, αυτό σημαίνει επίσης, ότι τα οχήματά τους εκτίθενται όλο και περισσότερο στα ίδια είδη ηλεκτρονικών απειλών που αντιμετωπίζουν και πολλές άλλες διασυνδεδεμένες συσκευές. Αναπόφευκτα ανακύπτει το ερώτημα αν είναι καιρός να αρχίσουμε να ανησυχούμε για το car hacking.

Και καθώς η αυτοκινητοβιομηχανία ενσωματώνει νέες τεχνολογίες στα αυτοκίνητα, η Symantec θεωρεί πολύ πιθανό να αυξηθούν κακόβουλες επιθέσεις. Μέχρι σήμερα, τα περιστατικά αυτά περιορίζονται απλώς στην απόδειξη της πιθανότητας μιας επίθεσης και πραγματοποιήθηκαν από ερευνητές ασφάλειας. Ωστόσο, καθώς οι τεχνολογίες εξαπλώνονται, κακόβουλες επιθέσεις δεν μπορούν να αποκλειστούν.

Αφορμή για το πιο πρόσφατο κύμα συζητήσεων στάθηκε η είδηση που ανέφερε ότι ορισμένες σειρές τετρακίνητων οχημάτων διέθεταν σημεία τρωτά σε εξ αποστάσεως ηλεκτρονικές απειλές. Οι ερευνητές Τσάρλι Μίλερ και ο Κρις Βάλασεκ, έκαναν επίδειξη μιας εικονικής επίθεσης, κατά τη διάρκεια της οποίας κατάφεραν να επέμβουν στα συστήματα μετάδοσης και πέδησης (φρένων) του αυτοκινήτου, επιτυγχάνοντας παράλληλα να αποκτήσουν τον έλεγχο ενός αριθμού λειτουργιών όπως ο κλιματισμός, η κεντρική οθόνη, το ραδιόφωνο και οι υαλοκαθαριστήρες.

Τα αποτελέσματα της επίθεσης αποδόθηκαν σε μια σειρά τρωτών σημείων και αδυναμιών του οχήματος, αρκετά από τα οποία οφείλονται στο Uconnect, το σύστημα σύνδεσης στο Internet που διαθέτουν πολλά μοντέλα αυτοκινήτων της Fiat Chrysler, συμπεριλαμβανομένων και των Jeep Cherokee. Η αποκάλυψη αυτή, ώθησε την Fiat Automobiles Chrysler στην ανάκληση 1,4 εκατομμυρίων οχημάτων, παρά το ότι -όπως τόνισε η εταιρεία- δεν έχει υπάρξει κανένα πραγματικό περιστατικό hacking σε οποιοδήποτε από τα οχήματά της.

Μερικές μέρες αργότερα, είδαν το φως της δημοσιότητας πληροφορίες που ανέφεραν ότι τα οχήματα που χρησιμοποιούν το σύστημα OnStar RemoteLink της General Motors (GM), ήταν ευάλωτα σε επιθέσεις που θα επέτρεπαν σε χάκερ να εντοπίσουν το όχημα και να ξεκλειδώσουν το σύστημα ελέγχου του. Την επίδειξη μιας τέτοιας εικονικής επίθεσης έκανε ο γνωστός ερευνητής ασφάλειας και χάκερ, Σάμι Κάμκαρ, ο οποίος κατέληξε στο συμπέρασμα ότι επίδοξοι εισβολείς θα ήταν εφικτό να ξεγελάσουν τον κάτοχο ενός τέτοιου οχήματος, συνδέοντάς το σε ένα διαφορετικό ασύρματο ψευδο-δίκτυο, για να πάρουν τελικά τον έλεγχο της OnStar RemoteLink Mobile Application.

O Κάμκαρ υπέδειξε ότι η ευπάθεια δεν εντοπίζεται σε κάποιο συγκεκριμένο όχημα της GM, αλλά στο application που επιτρέπει στους ιδιοκτήτες να εντοπίσουν και να ξεκλειδώσουν το όχημά τους. Ο ερευνητής κατέληξε ότι η εφαρμογή δεν ελέγχει σωστά το πιστοποιητικό ασφάλειας το οποίο  θα έπρεπε να διασφαλίζει ότι το τηλέφωνο του ιδιοκτήτη επικοινωνεί με τον server OnStar και μόνο. Η GM έχει δηλώσει ότι το πρόβλημα έχει πλέον διορθωθεί.

Σε συνέχεια των παραπάνω, ήρθε στο προσκήνιο η Tesla, όταν άλλοι ερευνητές ανακάλυψαν έξι τρωτά σημεία στο μοντέλο S της εταιρείας, που δυνητικά θα επέτρεπαν σε κάποιον χάκερ να πάρει τον έλεγχο του οχήματος, θέτοντας σε κίνδυνο την ασφάλειά του. Εντούτοις, διευκρίνισαν ότι επιθέσεις κατά ενός οχήματος Tesla θα ήταν δύσκολο να πραγματοποιηθούν αν ο επίδοξος εισβολέας δεν είχε φυσική πρόσβαση στο αυτοκίνητο. Ωστόσο, από τη στιγμή που θα αποκτούσε κάποιος φυσική πρόσβαση στο όχημα, έστω και μια φορά, εν συνεχεία να μπορούσε να το επηρεάσει και εξ αποστάσεως. Η επίθεση τους επέτρεψε να επηρεάσουν το ταχύμετρο ώστε να δείχνει λάθος ταχύτητα, να ανοιγοκλείνουν τα παράθυρα, να κλειδώνουν, να ξεκλειδώνουν, καθώς και να αναβοσβήνουν τη μηχανή του οχήματος. Η Tesla ανακοίνωσε ότι έχει ήδη επιλύσει όλα τα σχετικά το προβλήματα.

Τέλος, μια άλλη ομάδα ερευνητών ασφάλειας από το πανεπιστήμιο του Σαν Ντιέγκο της Καλιφόρνια ανακοίνωσε ότι ανακάλυψε κάποια ακόμη σημεία, τρωτά σε πιθανό hacking. Η ομάδα, ανακοίνωσε ότι θα ήταν δυνατόν να τεθούν σε κίνδυνο χιλιάδες οχήματα, μέσω hacking σε συσκευές εντοπισμού που χρησιμοποιούνται κυρίως από ασφαλιστικές εταιρείες και από εφαρμογές διαχείρισης στόλου για να παρακολουθείται τη θέση του οχήματος, η ταχύτητά του και η οδική συμπεριφορά.

Αυτές οι συσκευές θα μπορούσαν δυνητικά να επηρεαστούν με την αποστολή ενός ειδικά διαμορφωμένου SMS στη μονάδα εντοπισμού. Όταν η συσκευή παραβιαστεί, οι χάκερ μπορούν να διαβιβάζουν εντολές στο δίαυλο CAN του αυτοκινήτου, ένα εσωτερικό δίκτυο που ελέγχει τα επιμέρους συστήματα του οχήματος. Αυτό ενδεχομένως τους επέτρεπε να επηρεάσουν πολλές λειτουργίες, από τους υαλοκαθαριστήρες, μέχρι και το σύστημα πέδησης του αυτοκινήτου.

Ενώ τέτοιου είδους επιθέσεις δεν μπορούν να αποκλειστούν στο μέλλον, οι οδηγοί δεν θα πρέπει να ανησυχούν, αφού είναι γνωστό ότι τα κίνητρα του κυβερνοεγκλήματος είναι κυρίως οικονομικά, οπότε το hacking στο αυτοκίνητο μάλλον θα παραμείνει μια θεωρητική δραστηριότητα, μέχρι να ανακαλυφθούν μέθοδοι “εξαργύρωσης” των επιθέσεων.

Οι ιδιοκτήτες αυτοκινήτων που ανησυχούν για ζητήματα ασφάλειας, μπορούν ωστόσο να πάρουν κάποια μέτρα για να μειώσουν την πιθανότητα μιας επίθεσης. Σε αυτά περιλαμβάνονται:

-Τακτικά updates λογισμικού, που θωρακίζουν με patches το σύστημα, διορθώνοντας προβλήματα ασφάλειας. 

-Ιδιαίτερη προσοχή όταν το όχημα συνδέεται σε διαγνωστικές πλατφόρμες ή πλατφόρμες τηλεματικής, καθώς αυτές πολλές φορές ανοίγουν την πόρτα σε εισβολείς, για να εισέλθουν στον δίαυλο CAN.

-Αποφυγή σύνδεσης μη αξιόπιστων συσκευών στα συστήματα ενημέρωσης και ψυχαγωγίας των οχημάτων, όπως USB sticks, τηλέφωνα ή media players. Επίσης, αν το αυτοκίνητο διαθέτει σύνδεση στο Internet, πρέπει αποφεύγεται η σύνδεση σε μη αξιόπιστα δίκτυα.



ΠΗΓΗ

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου