Хакването на превозни средства вече има 15-годишно родословие. Въпреки че днес има най-малко 36 милиона превозни средства, които вече са свързани с интернет, изглежда, че производителите са научили малко от най-големите кризи на сигурността в ерата на интернет. Киберсигурността отново е по-скоро замислена, а не неразделна част от инженеринга на взаимосвързано превозно средство.

Хакерите започнаха около 2002 г., като се насочиха към технологиите за управление на двигателите, които контролират производителността на суперзарядите и инжекторите за гориво. През 2005 г. Trifinite демонстрира, използвайки Bluetooth, за скрито прихващане или предаване на аудио сигнали в автомобила. През 2007 г. британската фирма Inverse Path показа как хакерите могат да нарушат целостта на навигационните системи в автомобила, като изпращат фалшиви актуализации за трафика през FM, което кара автомобилите да се пренасочват.

През 2010 г. експериментирането беше застигнато от по-драматични интервенции, които могат да повлияят на мобилността на самия автомобил. В Тексас недоволен бивш служител в автокъщата използва откраднати идентификационни данни за достъп до уеб базирана конзола за обездвижване на превозни средства и започва систематично „пребиване“ на коли, продадени от бившия му работодател.

Може да се твърди, че тази отдалечена атака е разчитала на обездвижване на автомобила на следпродажбено превозно средство (приложено да „насърчава“ късноплатещите да кашлят) и като такава не може да бъде пряко причислена като слабост на свързаните превозни средства.

Отдалечените хакове стават реалност

През 2015 г. обаче не се прилагаха подобни аргументи, когато Чарли Милър и Крис Валасек успяха дистанционно да командват джип Чероки, който се движеше по обществената магистрала. Използвайки уязвимост за нулев ден в развлекателния софтуер на автомобила, те успяха да поемат функциите на таблото, кормилното управление, спирачките и трансмисията.

Две години по-късно Милър и Валасек са усъвършенствали своите изследвания дотолкова, че са били в състояние ефективно да поемат пълен контрол над превозното средство, заобикаляйки ограничените бордови цифрови механизми за сигурност и коригиране на грешки, и се забиха на спирачките, ускориха и завъртяха колело с всяка скорост.

Докато Милър и Валасек не са извършвали тези втори атаки дистанционно, вместо това са съсредоточили атаките си с лаптоп, свързан директно с мрежата на контролера (известна още като шината CAN) в превозното средство, по-ранните им изследвания показват, че това остава възможно.

Напълно автономните превозни средства все още не са лицензирани за по-голямата част от пътните мрежи в световен мащаб, а свързаната автомобилна индустрия все още е в начален стадий. И какво означава това изследване и свързаните с него уязвимости и експлоатации за нашето бъдеще?

Дори през 2015 г. Милър и Валасек успяха дистанционно да идентифицират 471 000 джип чероки на пътя, всеки един от които теоретично би могъл да дигитално управлява. Прогнозите за степента на приемане на напълно автономни превозни средства варират, но едно проучване от БЦЖ изчислява, че до 2035 г. повече от 12 милиона напълно автономни единици могат да се продават годишно по целия свят, заедно с още 18 милиона полуавтономни единици, улавящи 25 процента от пазар на нови автомобили.

Сегашните технологии не са подходящи за бъдещето

Вече живеем в свят, в който всяка компания до известна степен е софтуерна компания. Независимо дали става въпрос за логистика, здравеопазване, селско стопанство или автомобилна индустрия, техните продукти и свързаните с тях екосистеми вече са силно дигитализирани, софтуерно задвижвани и взаимосвързани.

За съжаление, много традиционни производители, макар и високо квалифицирани в своите области на експертиза, преди това не трябваше да обмислят цифровата сигурност в своята фаза на проектиране. Традиционните автомобилни технологии може би са били дискретно свързани помежду си, но всеки смислен външен обмен на данни премина през вградения диагностичен порт.

Следователно нивата на сигурност, в момента вградени в CAN шината технология, са в най-добрия случай и лесно се преодоляват. Проучванията вече показват, че недостатъците в архитектурата на CAN шината са толкова фундаментални, че могат да бъдат отстранени изцяло само чрез актуализация до стандарта за архитектура CAN.

Бъдещето на автономните превозни средства разчита на експоненциално нарастващата свързаност. Предаванията от превозно средство към превозно средство (V2V) позволяват създаването на специални безжични мрежи на пътя - превозни средства, които обменят състоянието на пътя и данни за трафика, например.

По същия начин, по който Интернет на нещата (IoT) бързо отстъпи място на Интернет на всичко (IoE), V2V вече се замества от V2X, или Vehicle to Everything.

Това обхваща V2V, V2I (превозно средство до инфраструктура), V2P (превозно средство до пешеходец), V2D (превозно средство до устройство) и V2G (превозно средство до мрежата) - и можете да очаквате този списък на съкращения да продължи да се разширява.

С допълнителната свързаност се получават повече редове от код, а с повече редове от кода идват повече уязвимости. Това разширяване на екосистемата означава повече стави за осигуряване и повече потенциални точки на злонамерен достъп.

Бъдещи атаки, отбраняваща се отбрана

Ако мислите, че киберпрестъпниците са мотивирани с пари и не можете да разберете защо биха били мотивирани да атакуват превозни средства, ще ви оставя няколко сценария.

Първият и може би най-познат е изкупление за автомобили. Представете си да отключите автомобила си сутрин и да инструктирате вашия дигитален асистент да ви достави на работа. Вместо да бъдете посрещнати от познатата цифрова персона, вместо вас ще бъдете посрещнати от искане на откуп: „Ако някога отново искате да карате тази кола, изпратете 1 CrypCoin на… Всеки опит за премахване на този откуп ще доведе до сливането на вашия двигател.“

В един далеч по-коварен сценарий помислете за сегашното предпочитано оръжие на терористичните групи. Бих могъл да направя сериозен случай, че това са превозни средства, за което свидетелстват последните атаки в Лондон, Ню Йорк, Ница и Барселона.

Представете си бъдещ парк от автономни превозни средства, всички с обща, отдалечена уязвимост по нашите пътища. Бордовите сензори на превозните средства биха могли да бъдат използвани за идентифициране на цели и техните V2V комуникации са подкопани, за да действат като координирана група - докато нападателят управлява всичко от хиляди километри.

Задължително е организациите за киберсигурност и изследователите да работят в тясно сътрудничество с автомобилната индустрия, за да им помогнат да преодолеят разликата в уменията - да не говорим за недостига на кибер умения - за да се гарантира, че сигурността в ерата на автономните превозни средства не е закрепена, а вместо това е изградена инча

Трябва да научим ценните уроци, които днес ни учи интернет. Бързите иновации и приемането - без мисъл за сигурност - осигуряват плодородна почва за престъпления и злоупотреби.