Firma Fiat Chrysler Automobiles ma nie lada problem – musi jak najszybciej zorganizować akcję aktualizacji oprogramowania w co najmniej 1,4 mln aut. Powodem jest niedawna prezentacja Charliego Millera i Chrisa Valaska, dwóch specjalistów od wynajdywania luk w systemach komputerowych, którzy pokazali dziennikarzom amerykańskiego magazynu „Wired”, że są w stanie niemal całkowicie przejąć kontrolę nad autem, nawet gdy nie mają z nim fizycznego kontaktu.
Wystarczyły: odpowiednie oprogramowanie, informacje o pojeździe i dostęp do internetu. Do eksperymentu wybrali jeden z najpopularniejszych modeli w ofercie koncernu FCA – Jeepa Cherokee. Komputerowi włamywacze nie tylko na bieżąco obserwowali to, co dzieje się z pojazdem, lecz także zdalnie sterowali niemal wszystkimi jego funkcjami – od zamków przez radio czy klimatyzację aż po silnik, skrzynie biegów i hamulce.
Co do tych ostatnich: nie tylko mogli je w dowolnym momencie uruchamiać, lecz także udało im się je wyłączyć w taki sposób, że siedzący za kierownicą dziennikarz nie potrafił zatrzymać samochodu!
Problemy na własne życzenie
Jak to możliwe? No cóż, sami się o to prosiliśmy. Nowoczesne auto musi być naszpikowane elektroniką. Nabywcy oczekują komfortu, bezpieczeństwa, łatwej obsługi, a ostatnio coraz częściej również i tego, żeby w czasie jazdy nie tracić łączności z internetem, mediami społecznościowymi, aktualnymi komunikatami drogowymi. Nie lubimy otwierać aut kluczykami, wszystko ma się odbywać bezprzewodowo i być dostępne od razu po wciśnięciu przycisku.
To sprawia, że samochody stają się dla hakerów wprost wymarzonymi celami. W zasadzie każde nowe auto ma na pokładzie od 20 do ponad 100 mikroprocesorów kontrolujących pracę poszczególnych podzespołów. Większość z nich jest z sobą połączona, choć z punktu widzenia bezpieczeństwa to niezwykle ryzykowne rozwiązanie. Dlaczego np. elektronika sterująca pracą hamulców musi być powiązana z radiem czy klimatyzacją? Powodów jest kilka. Pierwszy, czysto techniczny, wynika z tego, że tak jest... łatwiej.
W starszych samochodach instalacja była tak skonstruowana, że każdy odbiornik miał swój włącznik i oddzielne okablowanie. Im więcej wyposażenia, tym więcej kabli. Gdyby według takich wytycznych wyprodukować auto wyposażone we wszystkie modne dziś opcje, to trzeba by użyć 2-4 km przewodów! Wynaleziono więc inne rozwiązanie, które w dużym uproszczeniu działa następująco: wszystkie podzespoły elektroniczne połączono wspólną magistralą danych (tzw. CAN bus), czyli kablem służącym do przesyłania cyfrowych sygnałów sterujących do poszczególnych podzespołów. Każdy z elementów wykonawczych ma moduł, który reaguje na przesyłane do niego sygnały. Kiedy więc na przykład otwieramy szybę, sygnał z przełącznika jest wysyłany tą samą magistralą, do której podpięto też i wycieraczki czy centralny zamek, i elektryczne lusterka.
Jeśli wszystko dobrze działa, na wysłane polecenie reaguje tylko silniczek szyby. Teoretycznie magistrale obsługujące funkcje związane z komfortem są oddzielone od tych odpowiadających za trakcję (ABS, ESP) czy bezpieczeństwo, tyle że wcale nie do końca. Chodzi o to, że do każdego z podzespołów elektronicznych musi być zapewniony dostęp z poziomu komputera diagnostycznego.
W autach z lat 90. było często tak, że np. jeden komputer diagnostyczny był potrzebny do obsługi sterownika silnika, a oddzielny – do sprawdzenia sterownika ABS-u. Teraz to nie do pomyślenia. W obecnie produkowanych modelach odpowiedni komputer podłączony do gniazda diagnostycznego musi zapewniać dostęp do praktycznie wszystkich elementów elektronicznych. Ten, kto może się dostać do gniazda, panuje nad autem! No dobrze, ale skoro gniazdo jest wewnątrz samochodu, to jak można się włamać do komputera zdalnie? To proste: internet. Coraz więcej nowych aut ma stałe połączenie z internetem za pośrednictwem sieci komórkowych. Jest ono wykorzystywane np. do zdalnej diagnostyki aut, ale też i do dodatkowych usług, np. przekazywania aktualnych informacji o ruchu drogowym do nawigacji satelitarnej czy też do pobierania muzyki.
Okazuje się, że producenci wbrew oficjalnym zapewnieniom dosyć niefrasobliwie podchodzą do kwestii zabezpieczania takiej łączności. Kilka miesięcy temu do mediów trafiły na przykład informacje o tym, że w ponad 2 mln aut produkowanych przez koncern BMW (dotyczy również marek Mini i Rolls-Royce) komunikacja między „centralą” producenta a pojazdami odbywała się w zupełnie niezakodowany sposób. Za pomocą powszechnie dostępnego sprzętu hakerzy mogli bez problemu podszyć się pod fabrykę i np. wysłać do wybranego przez siebie auta polecenie otwarcia drzwi, zmienić cel ustawiony w nawigacji czy szpiegować kierowcę.
Lukę w zabezpieczeniach ponoć już załatano dzięki... zdalnej instalacji stosownej aktualizacji w dotkniętych nią autach. No cóż, skoro w tak prosty sposób można zaktualizować zabezpieczenia, to tak samo można je też i obejść. Od pewnego czasu eksperci ostrzegają, że sposobem na złamanie elektroniki samochodu może być np. odpowiednio spreparowany plik lub płyta z muzyką czy szpiegująca aplikacja zainstalowana na smartfonie połączonym przez Bluetooth z fabrycznym zestawem audio.
Wracając do wspomnianych na początku problemów z Jeepem Cherokee: zapowiedziana przez koncern akcja aktualizacji oprogramowania przez wielu fachowców od bezpieczeństwa informatycznego została przyjęta z – delikatnie mówiąc – dużą dozą sceptycyzmu. Otóż „łatkę” należy zainstalować przez port USB z pamięci przenośnej. Można to zrobić w serwisie lub samodzielnie, wystarczy pobrać na pendrive'a odpowiedni plik z witryny koncernu. Jest też i trzecia opcja: koncern proponuje przesłanie zainteresowanym gotowych pamięci USB z aktualizacją.
Dla hakerów stwarza to dodatkowe możliwości, bo można umieścić w sieci fałszywe pliki z aktualizacją, które jeszcze szerzej otworzą dotychczasowe luki w zabezpieczeniach, lub też dostarczyć użytkownikom do skrzynek pocztowych... pendrive’y ze zmodyfikowaną zawartością. Według zapewnień koncernu problem dotyczy tylko modeli sprzedawanych w USA. W sieci pojawiły się już jednak spekulacje, że w samochodach sprzedawanych w Europie – w tym również w Fiatach wyposażonych w system Uconnect – nie da się dokładnie powtórzyć scenariusza ataku opracowanego w USA, ale i tak są inne luki pozwalające przejąć kontrolę nad pojazdem.
Wystarczy 60 dolarów
Sprzęt potrzebny do pokonania zabezpieczeń samochodu nie jest ani trudno dostępny, ani drogi. Podczas marcowej konferencji dotyczącej bezpieczeństwa informatycznego Black Hat Asia w Singapurze Eric Evenchick – twórca systemów m.in. dla Tesli – zaprezentował narzędzie CANtact, kosztujące niespełna 60 dolarów, które w połączeniu z komputerem (Windows, Mac, Linux) i odpowiednim darmowym oprogramowaniem pozwala za pośrednictwem gniazda OBD zhakować elektronikę auta i właściwie dowolnie sterować niemal wszystkimi jej funkcjami.
Oficjalnie sprzęt oferowany jest po to, żeby więcej osób zyskało możliwość wyszukiwania luk w zabezpieczeniach, przez co producenci aut zostaną zmuszeni do ich szybszego usuwania.
Bezpieczeństwo danych
Niedawno jeden z naszych czytelników poskarżył się nam, że producent samochodu nie chce uwzględnić reklamacji dotyczącej awarii filtra cząstek stałych. Swoją decyzję tłumaczył tym, że właściciel pojazdu nieprawidłowo go użytkuje i zbyt często jeździ na krótkich odcinkach. O komentarz poprosiliśmy przedstawiciela firmy, a ten – broniąc wydanej decyzji odmownej – przesłał nam... szczegółową statystykę tras pokonanych przez użytkownika. Trasy trwające 0-10 minut – 3913, 10-30 minut – 395, 30-90 minut – 77.
Skąd jednak importer o tym wie? To proste – takie (i setki innych) informacji zapisywane są w sterowniku samochodu. W przypadku niektórych modeli aut producent ma zdalny dostęp do takich danych, o czym użytkownicy nie zawsze są informowani! Ma to służyć ich bezpieczeństwu i komfortowi, np. samochód w razie wykrycia usterki albo konieczności wykonania przeglądu m.in. sam się umówi w serwisie. Podczas gdy nasi politycy prześcigają się w wygłaszaniu populistycznych obietnic, przykładowo w niemieckim parlamencie trwa już dyskusja nad tym, jak uregulować kwestie ochrony prywatności użytkowników aut.
Każde auto da się zaatakować
Razem z Charliem Millerem pokonał Pan zabezpieczenia Jeepa Cherokee – przejęliście m.in. kontrolę nad hamulcami i kierownicą, skierowaliście go zdalnie do rowu. Po co Pan to zrobił?
Valasek: Chcieliśmy pokazać, że jest to rzeczywiście możliwe, że można zdalnie opanować auto i spowodować szkody. Producenci wychodzili dotychczas z założenia, że to niemożliwe lub co najmniej tak trudne, że nikt tego nie spróbuje zrobić.
Z jakich słabych punktów auta skorzystaliście?
Ten model jest wyposażony w moduł transmisji danych 3G, podobny jak w telefonach komórkowych. Zidentyfikowaliśmy lukę w jednej z usług wykorzystujących wspomnianą transmisję danych. Dzięki niej mogliśmy wgrać nasz kod do systemu multimedialnego auta. Z tego miejsca mogliśmy modyfikować oprogramowanie określonych podzespołów.
Fiat-Chrysler po Waszej prezentacji wezwał do warsztatów 1,4 mln samochodów.
Robią, co mogą. Doradzam im, żeby udało się kompletnie załatać luki w zabezpieczeniach.
Czy da się zbudować nowoczesne auto, które byłoby absolutnie bezpieczne przed hakerami?
Nie sądzę. Programiści od lat bezskutecznie pracują nad bezpiecznymi przeglądarkami, pecetami, telefonami. Dlaczego miałoby się udać z autami?
Naszym zdaniem
Jesteśmy przyzwyczajeni do tego, że szpiegują nas smartfony i komputery. W przypadku aut z marnie zabezpieczoną elektroniką ryzyko jest jednak większe. Opanowany przez hakerów smartfon może cię okraść lub oszukać, a samochód – nawet zabić! Producenci wciąż nie dostrzegają powagi sytuacji.
Za pośrednictwem internetu hakerom udało się przejąć kontrolę nad niemal kompletną elektroniką auta, w tym również nad układem hamulcowym.
Systemy automatycznego wzywania pomocy wkrótce będą obowiązkowe. To sposób na inwigilację kierowców!
Rozbudowany system multimedialny z dostępem do internetu to dla hakerów szeroko otwarte wrota do wszystkich podzespołów elektronicznych samochodu. Przez radio można się włamać do sterownika auta!
Każde nowoczesne auto jest wyposażone w układy ABS/ESP, a te wymagają hamulców kontrolowanych elektronicznie. Wydając centralce odpowiednie polecenia, można więc zarówno zablokować hamulce (bez konieczności naciskania na pedał, tak jak to się dzieje np. w przypadku reakcji układu ESP na niezamierzoną zmianę toru jazdy), jak i je zwolnić (tak jak podczas działania ABS-u). Coraz więcej modeli ma też aktywne tempomaty oraz systemy utrzymywania toru jazdy i automatycznego parkowania, które nie tylko sterują silnikiem i hamulcami, lecz także przejmują kontrolę nad kierownicą. O ile w przypadku układu kierowniczego w znakomitej większości modeli kierowca może „walczyć” ze zbuntowaną elektroniką, o tyle nad hamulcami, zwłaszcza gdy auto ma też „elektryczny ręczny”, nie da się fizycznie zapanować. Podobnie jest z całkowicie elektronicznie sterowanymi automatycznymi skrzyniami biegów.
Nowe modele dają kierowcom złudne poczucie bezpieczeństwa dzięki elektronice, która ma reagować, kiedy np. prowadzący się zagapi. Stajemy się przez to mniej ostrożni, np. cofamy do momentu, kiedy zaczyna piszczeć czujnik parkingowy, ruszamy na śliskiej nawierzchni z gazem w podłodze, licząc na to, że sprawę załatwi za nas kontrola trakcji. Wszystkie te systemy bywają zawodne, a czasem reagują zupełnie inaczej, niż byśmy chcieli. Typowy przykład nieprawidłowej reakcji systemu to automatyczne hamowanie awaryjne podczas zbliżania się do szlabanu lub np. przy mijaniu przydrożnych zarośli. System nie patrzy w lusterka!
Systemy nie zawsze działają tak, jak to widać w reklamach.