1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как противостоять «умным» системам автомобильного взлома

Такие умные, что обмануть не получится? 8 вопросов к новым счетчикам, которые вам скоро поставят.

Краткое содержание:

Разбираемся, кто, кому и что должен после вступления в силу новых правил.

Счетчики должны менять бесплатно уже сейчас.

В России вступил в силу закон об умных счетчиках, который должен поменять отношения потребителей электричества с его поставщиками. Согласно ему, приборы учета должны стать не только умными, но и бесплатными для потребителя. Пока действовать будет только первый этап: владельцы домов и квартир больше не должны следить за счетчиками на электричество. Разбираемся, что это значит на практике.

Что такое умный счётчик?

Умный счетчик, или, как уважительно называют его в Минэнерго, интеллектуальный прибор учета, от обычного отличается наличием доступа к интернету — проводному или мобильному — с помощью сим-карты. Технология позволяет передавать данные со счетчика энергокомпании автоматически. Причем речь не только о показаниях — счетчик будет фиксировать уровень напряжения и частоту, позволяя потребителям следить за качеством подачи электричества.

Правда, у такой самодостаточности могут быть минусы — уже не раз умные вещи удивляли своих хозяев. Так, например, в Новосибирске на сим-карту гаражных ворот подключили платные подписки. Но в Минэнерго заверили, что конечного потребителя эти проблемы не коснутся: договор должен быть оформлен не на пользователя, а на обслуживающую счетчик компанию. И с платными подписками пусть уже разбирается она.

Кто хозяин счетчика?

По закону, за потребителем сохраняется единственная обязанность — обеспечивать целостность счетчика, и то — только в том случае, если он стоит либо в квартире клиента, либо в границах земельного участка (например во дворе частного дома). А если счетчик расположен, к примеру, в подъезде многоквартирного дома, ответственность за него несет обслуживающая организация.

Установка самих умных счетчиков еще не обязательна — полный переход на них начнется в 2022 году, пока что можно использовать и обычные. Но, как объяснили в Минэнерго, потребитель не может самостоятельно выбирать прибор учета. Если вы захотите установить интеллектуальный счетчик уже сейчас, поставщик вправе вам отказать. И наоборот: может поставить обычный прибор учета, даже если вам уже хочется умный.

Когда мне поменяют счетчик на умный?

Смена привычных счетчиков на умные в обязательном порядке начнется с 1 января 2022 года, до этого компания может установить вам обычный прибор учета. Новинка в первую очередь появится в новостройках, жители которых только подключаются к электросетям. Остальные получат оборудование по мере выхода из строя старого или истечения его межповерочного интервала.

Закончить переход от простых счетчиков к умным планируется за 15 лет. А это значит — не надо верить людям, которые говорят вам, что счетчик нужно менять срочно, а не то будет штраф. Никакой срочности. И штрафов тоже.

За что придется платить?

Только за электричество. За установку счетчика платить теперь будут поставщики электричества и сетевые организации, а не вы. По оценке Минэнерго, это позволит людям сэкономить от 5 до 20 тысяч рублей в зависимости от модели счетчика и сложности его монтажа.

— Также с потребителя снимается вся ответственность за обслуживание и поверку приборов учета. Затраты, которые ранее несли потребители, теперь будут нести гарантирующие поставщики и сетевые организации, — объяснили в Минэнерго.

В профильном министерстве уверяют, что тарифы в связи с этим не вырастут, поскольку их рост ограничен уровнем «инфляция минус». По крайней мере, правила пока действуют такие: максимальные индексы роста тарифов уже утверждены до 2023 года. Чиновники считают, что интеллектуальные приборы учета помогут окупить затраты на них за счет повышения эффективности процессов и снижения коммерческих потерь, так что увеличивать тарифы будет не нужно.

А мне сказали, что за установку надо платить. Почему?

Скорее всего, вас посетили коммивояжеры, старательно прикидывающиеся представителями социальных или коммунальных служб. В Минэнерго отмечают всплеск сообщений о таком способе вытягивать деньги из доверчивых потребителей. В полиции говорят, что угроза штрафом — одна из главных их уловок.

— Если посетитель представляется сотрудником коммунальной или социальной службы — у него обязательно должно быть соответствующее удостоверение. Запомните или запишите анкетные данные посетителя. Необходимо позвонить в организацию, которую он представляет (по телефону, указанному на сайте организации, а не по предоставленному самим визитером), и уточнить — направляли ли они в ваш дом для проведения работ такого сотрудника, — советуют в МВД.

Возможно, вам кажется, что это преувеличение и вы будете выглядеть нелепо, но отдать 20 тысяч мошенникам будет еще более неприятно. К сожалению, вернуть деньги в таком случае почти невозможно — с точки зрения закона это не мошенничество, потому что вы оплачиваете услугу и ее получаете. А то, что она вам была не нужна, — с этим ничего не поделаешь.

Если же платить вас заставляет компания, которая должна заниматься установкой и обслуживанием счетчиков, то это повод обратиться в Роспотребнадзор.

Можно ли обмануть умный счетчик?

Можно, но ваш обман быстро раскроют. Данные о любых изменениях в приборе отправляются в информационную систему.

— При внесении изменений в параметры прибора учета информация об этом немедленно фиксируется и передается в интеллектуальную систему. Таким образом, данные о незаконном вмешательстве поступят в организацию, выполнившую установку и производящую обслуживание прибора учета, то есть гарантирующему поставщику или в сетевую организацию, — объяснили в компании «Екатеринбургэнергосбыт».

Сам счетчик тоже обманывать не может. По крайней мере, пока он исправный — до выпуска с завода он проходит проверку метрологических характеристик.

Как сэкономить без обмана?

Как правильно (и легально) экономить с помощью счетчика, можете прочитать в этом материале. https://www.e1.ru/news/spool/news_id-69244696.html

А вот здесь тест: https://www.e1.ru/news/spool/news_id-69386635.html

проверьте, что вы вообще знаете об экономии на коммуналке.

Как защитить Умный Дом от взлома?

Умные дома быстро завоевывают популярность, и это неудивительно, ведь эти системы позволяют владельцам удаленно контролировать все, что происходит в здании. Причем делать это можно буквально из любой точки планеты, лишь бы там был интернет. УД экономят электроэнергию, следят за безопасностью дома и проживающих в нем, а так же способны предотвращать аварийные ситуации. Большинство владельцев довольны своей домашней автоматизацией и считают такие системы абсолютно безопасными. К сожалению, это не так.

Недавно специалистами из BullGuard была обнаружена гигантская по своим размерам бот-сеть для проведения DoS-атак. Самым удивительным для них стали не размеры сети, а то, какие устройства ее составляли. Большинство из них были не компьютерами, а интеллектуальной техникой из систем УД. Зараженными оказались больше миллиона умных устройств. А ведь каждое из них могло быть использовано не только как ячейка бот-сети, но и как «входная дверь» в умный дом.

Становится очевидным, что УД не так уж и безопасен. Чаще всего для управления такой системой используется центральный сервер, представляющий собой мощный специализированный компьютер. Собственно, его основное отличие от привычного домашнего ПК заключается в наличии специализированного ПО. Оно, в свою очередь, может иметь уязвимости и рискует подвергнуться заражению всевозможными вредоносными программами. При этом наиболее уязвимым участком системы является подключение к сети интернет.

Если УД постоянно подключен к интернету, а это наиболее распространенный и самый удобный для пользователя вариант, опытному хакеру не составит большого труда обойти межсетевой экран и получить несанкционированный доступ к его серверу. При удаленном управлении системой с мобильного устройства возможности злоумышленников увеличиваются, поскольку для взлома могут дополнительно использоваться уязвимости смартфона.

Самыми надежными в плане безопасности считаются умные дома без подключения к интернету, но они очень неудобны для пользователя. Относительно безопасны системы с периодическим подключением интернету. Такие сервера обычно используют VPN, брандмауэры и сложные ключи шифрования. Помимо этого сервера обычно периодически сбрасывают подключения. Все это существенно усложняет задачу для хакера.

Даже если УД не подключен к интернету, его все равно нельзя считать полностью защищенным, если его элементы связаны между собой беспроводным протоколом. Особенно это актуально для стандартов Bluetooth и Wi-Fi. Они очень удобны, но весьма уязвимы. Их протоколы шифрования опытный хакер взломает даже без специальных устройств. Многие выбирают систему именно с таким протоколом. Получается, что злоумышленник может достаточно легко получить доступ к управлению умным замком, термостатом, видеокамерами и многим другим.

Он сможет украсть личную информацию, включая коды от банковских карт, проникнуть дом в отсутствии хозяина или, наоборот, заблокировать замок и перехватить управление термостатом. Все это крайне нежелательно и даже опасно.

Как обезопасить свою систему УД от взлома

Специалисты рекомендуют выполнять следующие требования:

  • Подключать элементы умного дома с использованием проводных протоколов. Если это невозможно, выбирать максимально защищенные беспроводные стандарты типа ZigBee.
  • Использовать только временное подключение системы к интернету, что позволит снизить риск хакерских атак и минимизирует опасность появления вредоносного ПО в центральном компьютере.
  • Никогда не выходить на связь с УД из общественных мест или с чужого оборудования.
  • Если приходится использовать Bluetooth и Wi-Fi, обязательно установить так называемые глушилки на тех участках, где связь выходит за пределы дома.
  • Установить специальные гаджеты, препятствующие взлому и утечке информации.

Это самые общие рекомендации по обеспечению безопасности Умного дома. Специалисты по защите таких систем рассмотрели все самые уязвимые элементы и разработали требования по их безопасности.

Как обезопасить умный замок?

Гаджеты такого типа передают управление запорным механизмом мобильным устройствам. При его приближении устройство снимает блокировку двери. Можно осуществлять управление механизмом и дистанционно. Есть модели, которые открываются голосовой командой, и это самая уязвимая разновидность. Мобильное устройство на iOS связывается с замком, после чего прибор готов принимать голосовые команды. Проблема в том, что если смартфон лежит недалеко от запертой двери, замок можно будет открыть посредством команды снаружи.

Разработчики обезопасили пользователя от такого развития событий, встроив разрешение на исполнение подобных команд только при условии разблокировки устройства. Но как показывает практика большинство приборов, использующихся внутри дома, работает со снятой внутренней блокировкой, что существенно облегчает задачу взломщика. Таким образом, если владелец использует голосового помощника в соединении с замком, обязательно следует активировать пин-код разблокировки на оборудование с iOS или даже деактивировать Siril.

Есть еще один вариант развития событий. Замок достаточно легко взломать с мобильного устройства. Причем сделать это в момент передачи сигнала практически невозможно, в этом случае используются надежные коды. Но если на смартфон взломали, замку тоже угрожает опасность. Поэтому на мобильном устройстве должен стоять надежный антивирус, который сможет отразить все атаки.

Взлом умного замка возможен, если злоумышленник получил к нему физический доступ. Если это произошло, он может нажатием клавиши авторизовать свой смартфон, после чего без проблем открыть дверь в любой подходящий момент. Во избежание этого следует обязательно деактивировать функцию подключения других мобильных устройств в настройках умного замка.

Как обезопасить IP-камеру?

Большинство камер соединяется с управляющим мобильным устройством не напрямую, а через облачный сервис. При этом запрос, который они отправляют в облако, не зашифрован. Если учесть что он обязательно содержит идентификатор сессии, становится понятным, что безопасность камеры находится под большой угрозой. Хакер способен перехватить идентификатор сессии, и получить доступ к устройству.

От такого развития событий защитит VPN. Его обязательно нужно использовать, особенно при работе в публичных сетях. Еще одно уязвимое место – микропрограммное обеспечение. В некоторых версиях в настройках по умолчанию используются неизменяемые пароли. Причем они аналогичны для большинства моделей. Обнаружив эту уязвимость, хакер легко может скачать ПО на сайте производителя и тем самым получит искомый пароль для доступа к управлению видеокамерой.

Такие недоработки производитель обычно обнаруживает достаточно быстро и оперативно выпускает обновления микропрограммного обеспечения. Важно его получать и активировать, другого способа защиты не существует. Подобные уязвимости существуют и для умных термостатов, ламп, розеток и других приборов.

Таким образом, практически все элементы системы УД могут быть взломаны и стать источником утечки важной информации, «воротами» для грабителей или частью ботнета. Все это крайне неприятно и нежелательно.

Владелец системы не должен забывать об элементарных правилах безопасности: всегда устанавливать актуальные обновления микропрограммного обеспечения умного оборудования и использовать VPN для удаленного доступа.

Умные автомобили

Сегодня автомобилестроение развивается невероятными темпами. Производители стремятся сделать свои машины не только более быстрыми и надежными, но и безопасными, управляемыми, функциональными и умными.

В наше время сформировались все необходимые условия для создания умных автомобилей: стремительно развивается IT-сфера, появляются все более интеллектуальные и функциональные системы, широкое распространение получает интернет вещей (IoT). Все это в комплексе дает огромные возможности для развития автомобильного транспорта.

Умный автомобиль – это в массовом сознании нечто среднее между автомобилем и роботом с искусственным интеллектом. В реальности же так называют транспортные средства, превосходящие по ряду параметров стандартные машины. Назвать умным авто можно по разным причинам:

  • наличие самоуправления;
  • продвинутая система навигации;
  • экологичность;
  • использование альтернативного топлива.

Так же называют и уникальные авто и концепты, разработанные с какой-то определенной целью и имеющие эксклюзивные функции/особенности.

ИИ в автомобиле превращает поездку в нечто большее, чем просто перемещение из пункта отправления в пункт назначения. Современное оборудование делает движение безопасным, выступает в качестве дополнительных органов чувств, помогая водителю управлять транспортом, снижает вероятность ДТП и позволяет автомобилисту меньше концентрироваться на дороге без негативных последствий.

Искусственный интеллект в автомобилях способен полностью брать на себя задачу управления транспортным средством: это было неоднократно доказано компаниями Google, Tesla и другими разработчиками беспилотных автомобилей.

Кроме непосредственного участия в управлении движением, умные авто способны выстраивать оптимальный маршрут поездки и в режиме реального времени сообщать водителю о любых возможных неприятностях и пробках.

Умной машину не обязательно должен делать искусственный интеллект беспилотного автомобиля. По мнению многих производителей, достаточно и оснащения салона дополнительной электроникой, которая сделает эксплуатацию транспортного средства более комфортной и безопасной.

Автоконцерны придумывали множество идей для своих продуктов, оснащали машины всевозможными датчиками и системами контроля, но удивить сейчас этим вряд ли кого удастся. Поэтому отдельные производители пошли дальше, к примеру, создатели умного автомобиля GEA, к которому приложили руку дизайнеры из Italdesign Giugiaro и сотрудники LG.

Авто предназначено для бизнесменов, которым нужно максимально продуктивно проводить время, находясь в салоне. Потому был создан салон с тремя режимами:

  1. Business. Подобие офиса: мониторы, подсветка, разворачивающиеся кресла для совещаний.
  2. Wellness. Превращение салона в тренажерный зал.
  3. Dream. Режим для сна.

Предполагается, что этот автомобиль должен быть беспилотным, чтобы водитель смог добраться до места назначения во время описанных выше занятий.

Второй вариант интеллектуализации транспортного средства – оснащение его электронным помощником. Умные функции (которые раньше так и не назывались вовсе) появлялись постоянно, некоторые из них прочно вошли нашу жизнь и стали повседневностью, другие не прижились и пропали. Однако сегодня дополнительные возможности выходят на качественно новый уровень. Примером является разработка S-Max от Ford.

Главное назначение – сканирование дорожных знаков и автоматическая регулировка скорости движения транспортного средства, в том числе и посредством сокращения подачи топлива в двигатель, но без использования тормоза.

Нечто похожее есть у Tesla – система автоматического предупреждения столкновений, призванная остановить машину в критической ситуации.

Пожалуй, самый интересный тип систем умного автомобиля – автоматическое управление без участия человека. Считается, что именно за такими транспортными средствами будущее, однако их разработка требует баснословных вложений, поэтому созданием занимаются только самые крупные корпорации, к примеру, Google, Apple или Sony.

Гиганты планировали еще в середине прошлого десятилетия выпустить на рынок свои первые автомобили, однако реальность внесла свои корректировки. Запуск на рынок беспилотных авто – огромная ответственность за человеческие жизни, и до сих пор решить все проблемы, которые встают перед автопилотом во время движения, не удалось.

Концепты есть и от других фирм, в том числе от Nissan, Audi, Mercedes и даже КАМАЗ.

Высокотехнологичные автомобили разрабатываются для того, чтобы освободить автомобилиста от необходимости решать многочисленные задачи в процессе движения, сделать поездку более комфортной и уменьшить любые возможные риски.

Многие эксперты считают, что передача хотя бы части обязанностей по управлению транспортным средством искусственному интеллекту, позволит сделать дороги более безопасными, избежать многочисленных аварийных ситуаций и уменьшить количество человеческих жертв.

Читать еще:  Subaru Legacy 2018

Использование передовых систем контроля за состоянием водителя способствует снижению риска засыпания человека за рулем, уменьшает шанс возникновения ДТП по причине переутомления или проблем со здоровьем. Умное авто может быть оснащено комплексом специального оборудования, которое будет отслеживать состояние и поведение автомобилиста. К примеру, система способна:

  • блокировать возможность езды на машине, если человек находится в состоянии алкогольного опьянения;
  • отслеживать уровень усталости водителя и уведомлять его, если он начинает засыпать, выезжать за пределы разметки или иными действиями подтверждать потерю концентрации на дороге;
  • уведомлять диспетчера или экстренные службы о том, что автомобилист представляет опасность для себя и других участников дорожного движения.

Чтобы сделать машину более безопасной, многие производители сегодня используют специальное аварийное оповещение. Его главная задача – передача информации в случае экстренных ситуаций, фиксируемых датчиками транспортного средства. Сигнал может отправляться в следующих случаях:

  • опасность столкновения;
  • физический контакт с обочиной, разметкой, ограждениями или другими участниками дорожного движения;
  • возникновение неисправностей, способных привести к аварии.

В некоторых случаях система может автоматически уведомлять экстренные службы о необходимости помощи или соединять людей в машине с такими службами.

Наибольший интерес вызывают автомобили, способные передвигаться самостоятельно, без участия человека. Чтобы добраться в пункт назначения, беспилотное транспортное средство должно знать маршрут, понимать окружающую обстановку, соблюдать ПДД и корректно взаимодействовать с пешеходами и другими участниками дорожного движения. Для этого используются сложные и дорогостоящие технологии:

  1. Лидар – это лазерный дальномер, он устанавливается на крыше и генерирует 3D-карту пространства в радиусе до 100 метров; обзор прибора охватывает 360 градусов. Полученные данные управляющая система объединяет с Google-картами, что позволяет ей избегать аварийных ситуаций.
  2. Радар – еще одна важная часть беспилотного автомобиля. Этот прибор использует радиоволны, чтобы определить дальность объектов, траекторию и скорость их движения. Посылаемые радаром импульсы отражаются от препятствий на принимающую антенну. Таким образом радары заменяют машине зрение и позволяют мгновенно реагировать на любые изменения ситуации.
  3. Датчики положения определяют координаты автомобиля на карте. GPS-приемник позволяет отследить местоположение машины и маршрут ее следования.
  4. Видеокамера обнаруживает цветовые сигналы светофоров и объекты, которые приближаются на потенциально опасное расстояние.

В настоящее время многие компании уже разработали, испытали и активно эксплуатируют свои беспилотные автомобили по всему миру. Вопрос вывода таких транспортных средств на рынок стоит скорее в снижении стоимости используемого оборудования, нежели в недостатке идей.

Как противостоять «умным» системам автомобильного взлома

Статья о том, как действуют автомобильные хакеры для взлома «умных» машин, напичканных электроникой. В конце статьи — интересное видео о современных способах угона автомобиля.

Содержание статьи:

  • Случаи компьютерного взлома автомобилей
  • Обеспокоенность спецслужб
  • Устройства для защиты от автомобильных хакеров
  • Полезные советы по защите машины от «умного» взлома
  • Видео о современных способах угона автомобиля

Современные автомобили давно перестали быть просто средствами передвижения. Их смело можно сравнить с продвинутыми компьютерами, имеющими сложную электронную начинку. Они оснащаются различными информационно-развлекательными системами и имеют выход в Интернет.

Но «умнея», машины превращаются в довольно лакомую мишень для хакеров. Ведь взломать можно любую вещь, подключенную к сети. Что же в этом случае делать автовладельцам? Как защитить свою машину от «умных» систем автомобильного взлома?

Случаи компьютерного взлома автомобилей

Отмычки, монтировка и разбитые стекла – это уже в прошлом. Сегодня для взлома автомобилей все чаще используются ноутбуки и специальное компьютерное оборудование.

Автомобильная киберпреступность растет просто-таки угрожающими темпами. К примеру, в Лондоне в прошлом году злоумышленники, сделав дубликат радиобрелка для разблокировки иммобилайзера, угнали более 6000 автомобилей. Количество угонов с использованием высокотехнологичных средств увеличивается пропорционально тому, как машины «умнеют».

Вот несколько примеров того, как сейчас хакеры могут взломать и угнать автомобиль:

    В апреле этого года американцу удалось угнать машину всего за 12 минут. Причем он это сделал с помощью ноутбука. Злоумышленник вскрыл автомобиль и завел мотор, используя ноутбук и специальное электронное устройство. Он просто подошел с ноутбуком и каким-то неизвестным устройством к машине, вскрыл ее, сел и уехал. Вся процедура заняла 12 минут.

Видео похищения автомобиля было опубликовано полицией Хьюстона. При этом организация Crime Stoppers пообещала 5 тысяч долларов тому, кто поможет задержать хакера.

Следует отметить, что злоумышленникам совсем не обязательно находиться возле автомобиля при его взломе. В феврале этого года одному хакеру удалось взломать авто, находящееся на другом континенте.

Хакеры периодически доказывают, что могут взломать даже самые высокотехнологичные автомобили. Так, летом 2014 г. на симпозиуме по инфобезопасности команде китайских студентов удалось с легкостью взломать самый технологичный и продвинутый автомобиль современности – электрокар Tesla Model S. С помощью специальных средств они вошли в бортовой копьютер машины и начали управлять стеклоподъемниками, блокировкой дверей и клаксоном. При этом электрокар находился в движении. Студенты не стали управлять мотором и тормозами, но показали, что и это вполне возможно.

В США хакерам удалось перехватить управление движущимся на скорости 110 км/ч Jeep Cherokee через Интернет. Они заставили работать омыватели, кондиционер и радио. В движущемся автомобиле неожиданно включился кондиционер, а радио само настроило какую-то хип-хоп-станцию. Потом включились дворники. Программисты также показали, что могут заглушить мотор, отключить тормоза и заблокировать машину. Это был эксперимент, в конце которого на экране бортового компьютера появились улыбающиеся лица взломщиков. Хакеры просто хотели доказать уязвимость современных авто.

Но потенциальная вероятность настоящего взлома оказалась настолько высокой, что производитель решил отозвать более 1,4 млн. автомобилей для исправления уязвимости.

Как видите, при желании хакеры могут взломать любой автомобиль, что представляет огромную опасность. Мало того, что автомобиль могут угнать, но если в его систему залезут при движении, то это может привести к возникновению ДТП и серьезным последствиям.

Спецслужбы обеспокоены угрозой хакерских атак на автомобили

Следует понимать, что хакерские атаки на машины могут привести не только к авариям. Хакеры террористических организаций могут взламывать автомобили важных лиц государств и совершать различные террористические акции. А это уже удар по государственной безопасности.

Именно поэтому ФБР США официально заявило о высокой степени угрозы хакерских атак на автомобили. Организация предупредила всех автовладельцев о растущей угрозе взлома электроники их машин. Результаты таких взломов могут быть разными:

  • отключение электроники;
  • перехват управления;
  • отказ тормозов;
  • отключение мотора при управлении машиной.

Как сообщили в ФБР, хакерские атаки на автомобили могут осуществляться с помощью смартфонов либо планшетов, с применением функций систем беспроводного управления либо при подключении устройств к диагностическому порту машины.

Если проблемой компьютерного взлома заинтересовалась такая служба, как ФБР, то она (проблема) поистине серьезна и ее нужно решать.

Киберпреступность наносит вред мировой экономике на суму 500 млрд. евро ежегодно. Большие автопроизводители выделяют огромные бюджеты на инновации и борьбу с хакерами, пытаясь защитить свои машины от взлома.

Устройства для защиты от автомобильных хакеров

Сразу следует отметить, что на данный момент не существует какого-то одного устройства, которое бы защитило автомобиль от компьютерного взлома. Нужно понимать, что если хакерам периодически удается взломать серверы государственных учреждений, то взломать даже самую надежную систему автомобиля для них не составит особого труда. Поэтому пока нет устройства, которое бы гарантировало стопроцентную безопасность.

Однако по всему миру идут разработки средств защиты автомобилей от взлома. Причем зачастую их разрабатывают тоже хакеры. Вот несколько примеров разработок подобных устройств:

    Чарли Миллер и Крис Валасек, которые взломали Jeep Cherokee, на конференции Black Hat представили недорогое устройство, которое может противостоять хакерским атакам на систему авто. Себестоимость такого устройства составляет 150 дол. Оно состоит из обычной панели и микроконтроллера NXP. Устройство подключается к разъему под машиной либо к приборной панели (порт OBD2).

Устройство сначала фиксирует характерные параметры автомобиля, но если его переключить в режим обнаружения, то оно выявит аномалии, отличающиеся от стандартного «поведения» машины.

Хакеры не собираются продавать это устройство. Они его разработали, чтобы показать автопроизводителям, что можно с легкостью выпускать подобные устройства.

Стартап Karamba Security из Израиля получил 2,5 миллионов долларов инвестиций для разработки антивируса для «умных» автомобилей, который сможет противостоять хакерским атакам. Этот антивирус будут устанавливать в интеллектуальные блоки машин еще перед их сборкой. Антивирус не допустит проникновение «чужого» кода злоумышленников.

Корпорация Intel также занимается разработкой защиты для авто. Специалисты антивирусного разработчика McAfee, который входит в состав корпорации, ищут уязвимости в ПО бортовых компьютеров автомобилей, чтобы потом придумать средства оптимальной защиты. Также о создании автомобильного антивируса объявила «Лаборатория Касперского».

В МИФИ заявили о разработке устройства для защиты машин от хакерского взлома. Это устройство назвали «Автовизор». Его устанавливают в машину, как сигнализацию. Оно проверяет всю электронику авто на наличие вирусов и любого стороннего оборудования, которое может привести к сбоям в управлении. Автовладелец в специальном приложении на своем телефоне может просматривать все изменения. Угрозы блокируются устройством автоматически.

Сейчас МИФИ ведет переговоры с крупными мировыми автоконцернами, чтобы это устройство устанавливалось в их автомобили. Стоимость установки «Автовизор» составляет 30 000 рублей и выше (все зависит от набора функций).

То есть, разработки активно ведутся и есть определенные успехи. Возможно, в ближайшие годы все автомобили будут выпускаться с системами защиты от хакерского взлома. Но что делать владельцам современных машин сейчас?

Как защитить свой автомобиль от хакеров – некоторые полезные советы

Пока же автовладельцам можно посоветовать соблюдать ниже приведенные рекомендации, которые уберегут их машины от компьютерного взлома:

    Покупая новое авто, нужно выяснить, какое электрооборудование и беспроводные системы в нем установлены. Нужно знать все имеющиеся в машине гаджеты. При покупке б/у автомобиля обязательно нужно заехать к квалифицированному электрику, чтобы он прозвонил всю электроцепь и выявил наличие дополнительного оборудования.

Покупать машину нужно только у проверенных автодилеров. Ремонт авто также нужно осуществлять на проверенных СТО. Горе-ремонтники могут манипулировать компьютерными системами.

Необходимо защищать важную информацию. Если в машине установлена какая-то система безопасности, то компания-разработчик предоставляет ценную информацию по управлению либо разблокировке системы и все необходимые пароли. Эти документы нужно хранить в надежном месте, нельзя их оставлять в машине. Даже если преступникам не удастся угнать машину, но они узнают пароли, то смогут, к примеру, заблокировать двигатель или отключить тормоза, когда автомобиль будет двигаться.

Следует быть осторожным при покупке автозапчастей и разных устройств. Продаваемые на рынке электроприборы редко проходят тщательную проверку или испытания. Если установить такое устройство, повысится уязвимость автомобиля.

Желательно найти квалифицированного специалиста, который будет следить за обновлением ПО или объяснит автовладельцу, как это делать.

Следует устанавливать либо обновлять ПО только согласно рекомендациям автопроизводителя.

Важно уделять повышенное внимание выбору приложений, оборудования либо программ, запрашивающих изменение кода ПО. Не стоит загружать непроверенные приложения, в частности музыку.

Нужно не допускать посторонних лиц и неизвестные устройства к диагностическому порту автомобиля (OBD-II). Как правило, он расположен со стороны водителя под панелью приборов. Через этот порт можно получить доступ ко всем системам автомобиля.

  • Не стоит передавать смартфоны и планшеты посторонним лицам.
  • Выводы

    На самом деле надежно защититься от хакерских атак на автомобиль можно только одним способом – ездить на стареньких «Жигулях», в которых нет электроники. Такие автомобили точно никто не взломает.

    Но ведь современный человек привык к комфорту, поэтому и использует автомобили, напичканные электроникой. В этом случае нужно соблюдать выше приведенные советы и при появлении надежной системы защиты приобрести ее и установить на свой автомобиль. Но стоит признать, что и это не гарантирует полную защиту от хакерского взлома. Умные хакеры при желании могут взломать абсолютно все.

    Видео о современных способах угона автомобиля:

    Опасный умный дом: взлом, экономическое наблюдение и другие возможные проблемы

    Рано или поздно большая часть устройств в доме будет подключена к интернету. Технофобы продержатся чуть дольше, но с появлением недорогих предложений умные лампочки, кофеварки, щётки, сиденья для унитаза заполнят наши жилища. И тогда острой станет проблема защиты частной жизни. Раз смарт-приборы взаимодействуют с владельцами, значит они могут общаться и с другими людьми — например, с разработчиками или злоумышленниками (а иногда это одно и то же).

    Возможный взлом

    Одна их самых явных опасностей умных устройств, подключенных к интернету, — получение несанкционированного доступа третьими лицами. Например, домашние системы безопасности, умные замки и глазки используют камеры для выполнения заявленных функций. Однако в результате взлома они могут стать средством наблюдения за домовладельцами. Собранная с помощью камер информация может быть использована для шантажа или составления плана проникновения в дом.

    Умные замки позволяют открывать двери без ключей, используя код или другие способы идентификации личности. Однако если приложения для разблокировки будут взломаны, то злоумышленники смогут не только попасть внутрь помещения, но и обойти систему уведомлений о состоянии замка. Вы будете уверены в том, что дверь закрыта до тех пор, пока не увидите обворованное жилище.

    В 2016 году в Мичиганском университете проверили интеллектуальные системы управления домом, чтобы понять, какие в них есть уязвимости. Особое внимание было уделено решению от SmartThings. В ходе экспериментальных атак было обнаружено два типа уязвимости: чрезмерные привилегии и небезопасные сообщения.

    Управление системой осуществляется с помощью приложений SmartApps, которые имеют привилегии для выполнения определённых действий. Это похоже на разрешения, которые запрашивают приложения при установке на телефон — например, доступ к камере, телефонной книге, памяти и т.д. Проблема в том, что у SmartApps привилегии группируются. В исследовании приводится пример с автоматическим замком на двери. Если вы даёте приложению привилегию на блокировку, то оно автоматически получает возможность проводить разблокировку. Исследователи сообщают, что больше половины приложений имеют доступ к большему количеству функций, чем им требуется для выполнения изначально заложенной в них задачи.

    При взаимодействии с физическими устройствами SmartApps обменивается с ними сообщениями, в которых могут содержаться конфиденциальные данные — например, PIN-код для снятия блокировки. При этом объём информации не зависит от функции, достаточно самого факта обмена сообщениями. Поэтому, например, приложение для контроля над уровнем заряда автоматического замка знаёт PIN-код для его разблокировки.

    Программы SmartApps также могут создавать сообщения, которые выглядят как реальные сигналы от физических устройств. Это позволяет злоумышленникам передавать пользователям недостоверную информацию — например, о том, что замок закрыт, хотя на самом деле дверь разблокирована.

    Кроме того, дома будут продаваться вместе с большинством умных устройств. Выставляя на продажу телефон или ноутбук, мы очищаем его память от файлов и удаляем все учётные записи. В случае с переездом то же самое придётся делать с домом. С другой стороны, покупателям, возможно, нужно будет задумываться ещё и о том, что предыдущие хозяева могут оставить себе лазейки для доступа к смарт-приборам.

    Чтобы обезопасить себя от взлома, необходимо полностью поменять своё отношение к устройствам, подключенным к интернету, даже если это самые банальные бытовые предметы. Кто мог подумать ещё несколько лет назад, что атака на систему начнётся с кофеварки или зубной щётки? Теперь же это реальная угроза, поэтому все приборы, подключенные к сети, должны быть защищены одинаково хорошо.

    Экономическое наблюдение

    Даже если ваш дом никогда не станет объектом злонамеренной атаки, существует другая проблема — передача конфиденциальной информации на серверы компаний, которые занимаются разработкой и поддержкой умных устройств. Этой проблеме было посвящено выступление на TED Talks, основанное на эксперименте Кашмиры Хилл (Kashmir Hill) и Сурии Матью (Surya Mattu).

    Кашмир сделала из однокомнатной квартиры в Сан-Франциско умный дом, в котором было установлено 18 устройств, подключенных к интернету: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и т.д. Сурия создал специальный роутер, который отслеживал всю сетевую активность и регистрировал данные, поступающие в умный дом и покидающие его. Целью исследования было понимание того, какую информацию устройства передают производителям, и что могут узнавать интернет-провайдеры, которые обеспечивают доступ в интернет. Важно было понять и то, какие данные компании могут продать.

    Эксперимент над домом Кашмиры и её мужа Тревора продолжался в течение двух месяцев. По словам исследователей, за эти 60 дней не было ни минуты цифровой тишины. С помощью роутера, регистрирующего все сигналы от умных устройств, Сурия узнавал, когда хозяева квартиры ложились спать и просыпались, чистили зубы, готовили кофе. Он мог посмотреть, когда они включали телевизор, сколько его смотрели и какие программы пользовались у них наибольшей популярностью.

    Читать еще:  Сцепление и привод сцепления в сборе

    Самым разговорчивым устройством в доме оказалась колонка Amazon Echo, которая отправляла запросы на сервер каждые три минуты вне зависимости от того, использовали её или нет. В целом, все приборы вели непрерывные разговоры, о которых хозяева даже не подозревали. При этом большая часть данных, которые поступали на серверы компаний, может быть использована в коммерческих целях.

    В своём выступлении исследователи рассказали о том, как разработчики некоторых устройств применяют полученную от пользователей информацию.

    1. Компания Vizio, предоставляющая услуги телевидения, только в 2017 году заплатила 2,2 млн долларов правительству США за то, что собирала данные о том, как американцы смотрят телевизор, а затем продавала их рекламодателям.
    2. Стоматологическая страховая компания Beam следит за умными щётками своих клиентов с 2015 года и рассчитывает размер страховки, исходя из полученной информации.
    3. Производители секс-игрушки We-Vibe, которая с помощью синхронизации через интернет позволяет людям заниматься любовью на расстоянии, знают, когда и как долго её используют, а также какими настройками вибрации пользуются чаще всего. Эта информация используется в маркетинговых целях для увеличения продаж, при этом пользователи даже не подозревают, что их оргазмы анализируются, пусть и в виде мета-данных.

    Исследователи отмечают ещё одну особенность умных устройств — даже если пользователи знают, что приборы за ними следят, они очень быстро забывают об этом. Например, муж Кашмиры Тревор был недоволен тем, что Сурия узнал о его пристрастии к одному сериалу, при том что он сам подключил телевизор к роутеру, который отслеживал сигналы. Возможно, первое время Тревор говорил себе, что не стоит слишком долго смотреть телевизор, пытался казаться чуть лучше, но затем забыл о постоянном наблюдении и показал все особенности своей жизни — хотя некоторые секреты он явно хотел бы сохранить при себе.

    Безопасность — общая проблема владельцев умных домов

    Умных устройств в домах людей со временем будет становиться только больше. Уже сейчас эксперты по безопасности пытаются объяснить обычным пользователям, что установка таких приборов равносильна приглашению компаний, а иногда и злоумышленников, в места, которые всегда были максимально приватными: гостиную, спальню, ванную комнату. Чтобы снизить риск вторжения в частную жизнь, нужно следовать хотя бы минимальному набору правил безопасности.

    1. Убедитесь в том, что вам известна функциональность устройства: что оно делает, какие привилегии имеет, какую информацию получает и пересылает.
    2. Регулярно устанавливайте обновления. Часто уязвимости обнаруживаются после старта продаж. Разработчики устраняют их и отправляют пользователям апдейты с более высокими показателями безопасности. Нажимая «Установить позже», вы подвергаете систему рискам, которых можно было легко избежать.
    3. Помните о фишинге: относитесь с недоверием к сообщениям от незнакомых отправителей и ссылкам непонятного происхождения. Получив доступ к сети, злоумышленник сможет управлять всеми подключенными к ней устройствами.
    4. Выбирайте надёжные пароли и используйте двухфакторную аутентификацию.
    5. Используйте только официальные приложения от разработчиков интеллектуальных систем управления домом.
    6. Следите за тем, чтобы телефон, планшет или другое устройство, имеющее доступ к управлению умным домом, не попадало в чужие руки. При его потере необходимо полностью поменять настройки безопасности всей системы.

    Чем больше умных устройств появляется в доме, тем выше вероятность взлома. Поэтому пользователям придётся заботиться о безопасности системы и изучать особенности её работы. В противном случае неприкосновенность частной жизни может оказаться под угрозой.

    Россияне испугались за свои жизни из-за хакерского взлома автомобилей

    Эксперты опросили свыше 1000 российских водителей с целью определить, как они относятся к технологиям автономного управления и к машинам, подключенным к глобальной Паутине. Так, 49% респондентов уверены, что «беспилотники» станут массовыми уже в ближайшей десятилетке (официальные лица обещают появление первого российского беспилотника в 2035 году).

    Правда, 58% опрошенных умным технологиям особо не доверяют, мотивируя это тем, что для повседневного их использования необходимо разрабатывать соответствующие сервисы защиты и безопасности (с ними согласен и премьер-министр России Дмитрий Медведев). 63% участников опроса подтвердили свои опасения относительно того, что хаккеры могут получить контроль над таким автомобилем, а значит существует огромный риск попасть в ДТП. Более того: они небезосновательно переживают о конфиденциальности личных данных.

    Еще бы, ведь буквально на днях европейские страны — и Россия в том числе — попали под крупномасштабную кибер-атаку, парализовавшую работу целого ряда учреждений и ведомств. В частности, электронную информсистему ГИБДД — гаишники на некоторое время лишились возможности оформлять машины и выдавать водительские «права».

    А в случае с автономно управляемыми машинами при подобной атаке может возникнуть угроза жизни миллионов людей, поэтому опасения наших соотечественников вполне оправданы. Свыше 80% опрошенных россиян хотели бы получить гарантированную защиту от кибер-угонщиков и прочих злоумышленников. А 52% респондентов были бы не прочь использовать в качестве доступа к различным автомобильным сервисам отпечатки собственных пальцев.

    — Обеспечение безопасности имеет важное значение, но не менее важно для автопроизводителей и умение предложить сбалансированный пользовательский опыт. Если он окажется сложным или потребует большого количества времени, концепция так называемого подключенного автомобиля и соответствующие приложения большой популярности не получат, — прокомментировал порталу «АвтоВзгляд» ситуацию президент по сервисам для автомобильной промышленности и транспортной отрасли Gemalto Кристин Кавильони.

    В преддверии катастрофы: хакеры добрались и до наших машин

    PR-менеджер Connected Car Summit 2016

    • Автомобили
    • Кибербезопасность
    • Колонки

    Сейчас в мире существует 112 млн подключенных автомобилей. Однако производители машин не гарантируют своим клиентам защиту от киберпреступников.

    Исследователи считают, что хакеры могут взломать программную систему транспортного средства, находясь где угодно. А некоторые даже говорят, что мы находимся в преддверии катастрофы.

    Давайте разберемся, что к чему.

    Угроза есть

    Производители машин активно выпускают автомобили, подключенные к интернету. Функции 4G LTE и Bluetooth являются стандартными для многих моделей. С их помощью водитель остается в курсе событий даже тогда, когда находится за рулем. В будущем машины смогут подключаться к умным часам, домам и городам благодаря IoT-технологии.

    Джош Корман, директор Cyber Statecraft Initiative в Atlantic Council [прим. Rusbase – научно-исследовательский центр, который изучает экономические и технологические проблемы мира], предупреждает о том, что эти системы опасны. По его словам, производители автомобилей не могут гарантировать защиту от киберпреступников.

    Он сравнивает угрозу подключенных автомобилей с когда-то популярным строительным материалом, который, как выяснилось позже, был причиной возникновения рака. Ранее асбест был настолько популярен, что его использовали везде. Это логично, учитывая такие его достоинства, как огнестойкость, легкость и дешевизна. Так и с IoT-технологией. Ее преимущества очевидны, но вопрос о кибербезопасности остается открытым.

    Корман не единственный противник технологии. В апреле Счетная палата США опубликовала исследование, в котором Управлению транспорта настоятельно советовали заняться предотвращением кибернетических атак на автомобили. Согласно отчету, хакеры могут взломать систему, находясь где угодно. Это доказали исследователи из Питтсбурга, которые проникли в системы автомобиля Jeep Cherokee, ехавшего по трассе в Сент-Луисе.

    О возможностях хакеров, взламывающих автомобильные системы, известно еще с 2010 года, когда научные работники Вашингтонского университета и Калифорнийского университета в Сан-Диего доказали вероятность того, что программные системы автомобиля можно взломать и контролировать.

    На данный момент в мире существует 112 млн подключенных автомобилей. По прогнозам финансовой компании IHS Markit, к 2023 году индустрия будет тратить $749 млн в год на борьбу с проблемами безопасности. Согласно консалтинговой компании Gartner, к 2025 году количество подобных машин удвоится, достигнув четверти миллиарда.

    Можем ли мы противостоять?

    На данный момент взлом автомобильных систем исследовали только ученые, но чиновники также знают о потенциальных угрозах.

    В ответ на исследование Счетной палаты США представители Управления транспорта начали разработку законопроектов о кибербезопасности, которые должны быть обнародованы в скором времени. На данный момент существует политика правительства касательно автоматизированных машин. Согласно документу, производители машин должны разработать системы для быстрого обнаружения и восстановления функций подключенных машин, а также уведомлять правительство о возможных угрозах кибербезопасности.

    Уже сегодня существуют компании, выявляющие потенциальные проблемы. Так, Центр анализа и обмена информацией о транспорте (Auto-ISAC), с которым сотрудничают главные производители и поставщики машин, уведомил о более чем 30 угрозах.

    В июле центр опубликовал советы для производителей и поставщиков автомобилей. В документе признается тот факт, что создание машины без каких-либо рисков невозможно, поэтому необходимо проводить соответствующий анализ угроз. Но на данный момент практически все производители машин не имеют такой возможности.

    Кроме того, Джош Корман опубликовал программу кибербезопасности автомобилей. Автор рекомендует разработать метод вещественного доказательства наподобие черного ящика, который проследит за попытками хакеров проникнуть в систему транспортного средства.

    Но создать подобное устройство записи данных нелегко. «В первую очередь хакеры удаляют данные, чтобы скрыть свои следы, – говорит Корман. – Поэтому создание подобного устройства требует больших усилий».

    Нужны независимые эксперты

    Индустрии необходима помощь независимых исследователей.

    На данный момент три производителя автомобилей спонсируют программы, благодаря которым независимые ученые исследуют возможные угрозы и предоставляют информацию компаниям перед тем, как данные становятся доступными обществу. Tesla Motors предлагает «золотую монету» и экскурсию по фабрике тем экспертам, которые найдут и укажут уязвимые места. А в General Motors и Fiat Chrysler Automobiles для исследователей запустили информационную программу.

    В 2015 году производители выступили за то, чтобы запретить независимым экспертам изучение программного обеспечения в их машинах. Но исследователи и прочие энтузиасты защитили свое право изучать автомобили, сославшись на закон об авторском праве в цифровую эпоху.

    В General Motors отношение к экспертам быстро изменилось, когда хакер Сэми Камкар сказал компании, что обнаружил изъян в приложении для смартфона OnStar, что позволило ему контролировать транспортное средство на расстоянии. Это заставило General Motors обратиться к специалистам, которые уже в течение 48 часов отправили компании результаты своих исследований.

    «Мы поняли, насколько важно сотрудничать с экспертами, – сказал Джефф Массимилла, глава отдела кибербезопасности в General Motors. – Да, мы производим автомобили высокого качества, но не знаем, как противостоять хакерам самостоятельно. Благодаря нашей программе мы получили много полезной информации».

    В преддверии катастрофы

    Выше перечисленных программ по предотвращению взломов автомобильных систем недостаточно. Необходимо создать стандарты кибербезопасности автомобилей. Количество информации о недостатках системы растет. Начиная с 1 октября, эксперты имеют законное право обнародовать результаты своих исследований.

    У большинства производителей не существует программ сотрудничества с независимыми специалистами. Но злодеи не будут ждать, пока у всех компаний появятся подобные программы. Проблемы с безопасностью могут привести к кризису, а если из-за взлома системы пострадают или погибнут люди, выпуск подключенных автомобилей запретят.

    Если вас волнует проблема кибербезопасности подключенных автомобилей и вам интересны последние разработки по защите электрокаров от хакерских атак, приходите на саммит Connected Car, который пройдёт 20–21 декабря в КВЦ «Сокольники».

    Регистрация на мероприятие доступна по ссылке.

    Материалы по теме:

    «Сбербанк» купил защиту онлайн-платежей у Group-IB

    Этот сайт может определить ваш пол по тому, как вы двигаете мышкой

    Крупнейшие российские банки подверглись кибератакам на фоне выборов в США

    Yahoo призналась в замалчивании данных о массовой утечке 2014 года

    Как промышленный шпионаж может добратьcя до каждого

    10 ужасающих сценариев из «Черного зеркала», которые могут стать реальностью

    Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

    «Крепче за баранку держись!» Кто и как обманывает «умные» автомобили

    Содержание статьи

    • Архитектура: CAN-шина, блоки ECU и прочее
    • Ученые вступают в бой
    • Повод задуматься
    • Крис Валасек и Чарли Миллер — легендарный дуэт
    • Печальная история о джипе и аудиосистеме
    • Подарок судьбы: безалаберный провайдер с дырявой сетью
    • Прикладная философия: безопасность в разработке и безопасность в использовании
    • Кто рулит «Теслой»?
    • Опасный лайфхак
    • Сенсоры: как роботы видят мир
    • GPS: алло, я где?
    • Китайская комната: о чем думает автопилот
    • Нейросеть не любит шума
    • Человеческое, слишком человеческое: ограничения технологии
    • Уровни автономности
    • Как перестать беспокоиться и полюбить «умную» машину

    Архитектура: CAN-шина, блоки ECU и прочее

    Начнем с архитектуры. Бортовой компьютер современного автомобиля на самом деле не существует как единое целое. Вместо него мы имеем совокупность электронных блоков управления (Electronic control unit, ECU), соединенных в сеть. С конца восьмидесятых годов и до сегодняшнего дня базовым стандартом этой сети остается так называемая CAN-шина. То есть куски витой пары, которым все блоки ECU передают сообщения одинакового формата.

    На самом деле все, конечно, немного сложнее. Шина может быть не одна, а несколько — например, для более важных устройств с повышенным быстродействием и для второстепенных. В таком случае между шинами существует какой-нибудь «мост». А в своей платформе электромобилей MEB автоконцерн Volkswagen и вовсе отказывается от архитектуры на основе CAN-шины и будет использовать вместо нее бортовой Ethernet — и единую операционную систему на основе Android.

    Подробнее о формате обмена данными и об устройстве CAN-шины можно прочесть в нашей недавней статье, в нашем мартовском номере 2015 года или в Википедии. А если хочется действительно подробно изучить вопрос, то в открытом доступе есть хорошая книга от большого специалиста.

    Нам же пока важно то, что, каким бы «умным» ни был современный автомобиль, в основе лежит та же самая шина. А значит, по-прежнему актуальна ее принципиально неустранимая уязвимость: получив доступ к CAN (например, подключившись к диагностическому разъему или поставив на шину сниффер), мы получаем доступ ко всей передаваемой информации. Со всеми вытекающими последствиями.

    И если мы сможем передать какому-то из блоков ECU свой сигнал, то он послушно выполнит команду. Если это будет блок управления кондиционером, еще не так страшно. А если блок управления тормозами или двигателем? В соответствии с принципом «ломать не строить» (или Garbage in, garbage out — «мусор на входе, мусор на выходе») одна-единственная неправильная команда, поступившая в момент напряженного обгона с выездом на встречную полосу, может привести к печальным последствиям и громким газетным заголовкам.

    Впрочем, дела не настолько плохи. Производители не дураки и вполне в состоянии встроить элементы защиты в каждый конкретный блок ECU. Он может отказаться принимать команду, если в ней нет правильной контрольной суммы или если она будет не соответствовать каким-то дополнительным условиям. Очень часто притвориться помощником при парковке можно, только если машина едет задним ходом и не быстрее пяти километров в час, — при других условиях его сигналы будут проигнорированы.

    Кроме того, сообщения в CAN-шине — это команды настолько низкоуровневые, что их можно сравнить с машинным кодом. Чтобы понять, что означает последовательность битов, придется долго читать технические инструкции производителя или проводить натурные эксперименты на настоящем автомобиле — или, на безрыбье, на отдельных блоках ECU.

    Ученые вступают в бой

    Получается интересная ситуация: на теоретическом уровне взломать автомобиль очень просто, но на практическом понадобится много скрупулезной подготовки. И как-то так вышло, что долгое время этим занимались в основном люди, держащиеся в тени и имеющие сугубо корыстные интересы — не получить контроль над электроникой автомашины, а получить саму автомашину в свои руки.

    Только в 2010 году об этой теме заговорили всерьез. На посвященном безопасности симпозиуме Института инженеров электротехники и электроники (IEEE) был представлен доклад инженеров-компьютерщиков из университетов Сан-Диего и Вашингтона.

    Они описали множество чрезвычайно интересных особенностей автомобилей как компьютерных систем. В основном эти особенности проистекали из того, что в индустрии много внимания уделяется безопасности при штатном использовании и чрезвычайных ситуациях, но мало — защищенности от целенаправленной атаки на электронные системы автомобиля.

    Например, чтобы при аварии двери автомобиля не оказались запертыми, низкоприоритетная сеть, куда был включен блок управления центральным замком, имела «мостовую» связь с высокоприоритетной сетью, в которой были датчики состояния всего автомобиля и блоки разнообразных систем — «помощников» водителя. А продвинутые телематические системы собирали показания множества датчиков и по сотовой связи отправляли их в сервисные центры — чтобы автомобиль заранее мог подсказать владельцу, что скоро настанет пора заглянуть в автосервис, или самостоятельно звонил 911 в случае аварии. Более того, в ту же систему могло быть включено и противоугонное устройство — позволяющее на расстоянии заблокировать двигатель машины.

    Читать еще:  Электромеханический стояночный тормоз

    Еще пару строк об архитектуре: в современных автомобилях почти всегда есть специальный диагностический разъем OBD-II и специальный диагностический режим, предназначенный для автомехаников. И чтобы в любом автосервисе в любой глуши специалист имел возможность «подебажить» машину, доступ к этому режиму, по сути, предоставляется. через доступ к разъему. Да, именно так. Практически логин root, пароль password. На использовании этого режима основаны многие примеры из этой статьи.

    Что же именно сделала эта команда исследователей? Для начала они написали программу CARSHARK — гибкий инструмент для анализа и внедрения сообщений в CAN-шине. Дальше открываются широкие возможности. Не вдаваясь особенно глубоко в технические подробности, скажем только, что те блоки ECU, в которых была встроена аутентификация, были защищены всего лишь 16-битным ключом. Такую защиту получится обойти методом перебора за несколько дней. После этого можно, например, «перепрошить» ECU — и тогда уже твори что угодно.

    Нанести существенный вред можно и просто устроив классическую DoS-атаку: перегруженная бессмысленными сообщениями система становилась неработоспособной. Но можно было и поиграть в героя фильмов про хакеров. Например, в качестве простой и убедительной демонстрации своих сил исследователи написали «демовирус самоуничтожения»: после его запуска машина выводила на спидометр обратный отсчет от шестидесяти, в такт уходящим секундам мигала поворотниками и сигналила, а потом намертво глушила двигатель и блокировала замки, оставляя на спидометре надпись PWNED.

    Еще более коварный подход, который продемонстрировали исследователи, — загрузка вредоносного кода в оперативную память телематической системы (внутри которой была полноценная ОС на базе Unix). Они сделали так, чтобы код срабатывал по триггеру (например, разгону до определенной скорости) и перезагружал систему после срабатывания, удаляя себя оттуда. Идеальное преступление!

    PWNED!

    Но на этом исследователи не остановились. В следующем, 2011 году они представили новый доклад (PDF), в котором рассматривали уже не то, что может сделать с системой злоумышленник, получив к ней доступ, — а то, как именно он может этот доступ получить.

    Повод задуматься

    В 2011 году исследователи отмечали в качестве уже реального вектора атаки компьютеры, к которым в автосервисах подключают автомобили, — они используют Windows и часто нуждаются в доступе к интернету. А в качестве теоретического, возможного в будущем — оборудованные на зарядных станциях для электромобилей «умные» зарядки, по которым идет не только ток высокой силы, но и информация.

    В отличие от их предыдущего весьма конкретного доклада этот читается скорее как захватывающее повествование о высотах и провалах инженерного искусства. Чего стоит только музыкальный трек в формате WMA, который на компьютере проигрывается как обычная музыка, но на автомобильном плеере отправляет вредоносные пакеты в CAN-шину. Или рассуждения о том, как именно можно подсоединиться к машине по Bluetooth или через телематическую систему с подключением к сотовой связи.

    Иными словами, в этом докладе исследователи скорее указывали на потенциальные угрозы, напоминающие сценарии фильмов про хакеров, — с той оговоркой, что они действительно все это проделали в лабораторных условиях, а не просто предположили, что такие вещи могут произойти.

    Крис Валасек и Чарли Миллер — легендарный дуэт

    Что ж, после того как это сделала команда исследователей из двух крупных университетов, их достижения смогли повторить два парня в своем гараже — знакомься, Крис Валасек и Чарли Миллер.

    Так легендарные хакеры выглядят в жизни

    Начали они с того, что дотошно повторили исследования своих предшественников — и написали куда более развернутый и полный доклад. Выводы, описанные в нем, в этой статье уже несколько раз упоминались: для успешного взлома автомобиля нужно много кропотливой предварительной работы, в которой есть свои подводные камни — например, если исследовать блоки ECU отдельно от автомобиля, на специальном испытательном стенде, то они могут (и будут!) вести себя не вполне так, как в рабочих условиях. Но если не бояться всей этой работы, то, когда получишь доступ к автомобилю, будет понятно, что делать, — и можно будет сделать очень многое.

    Затем они изучили пару десятков конкретных моделей автомобилей, обращая внимание на детали их сетевой архитектуры — и особенно на возможные векторы удаленной атаки. Именно на этом этапе они выделили так называемые киберфизические компоненты — всевозможные помощники водителя вроде круиз-контроля или блока LKA (Lane Keep Assist, помощник удержания в полосе). Эти устройства одновременно служат самой привлекательной конечной целью для хакера — и важными вехами на пути к по-настоящему самоуправляемому автомобилю.

    Валасек и Миллер обнаружили, что, с одной стороны, производители автомобилей используют разные компоненты и сетевую архитектуру, но, с другой стороны, во многих развлекательных системах применяются широко известные решения из обычной пользовательской электроники вплоть до веб-браузеров.

    Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

    Как взламывают умные машины

    Совсем недавно у всех на слуху была громкая новость: случилась беда, «Тесла» рулит не туда! Как же после этого доверять «умным» машинам? Чтобы разобраться в серьезности угрозы для перспективной технологии, мы изучим архитектуру системы, историю вопроса, основные уязвимые точки и векторы атаки — а также посмотрим конкретные случаи.

    1. Архитектура: CAN-шина, блоки ECU и прочее
    2. Ученые вступают в бой
    3. Повод задуматься
    4. Крис Валасек и Чарли Миллер — легендарный дуэт
    5. Печальная история о джипе и аудиосистеме
    6. Подарок судьбы: безалаберный провайдер с дырявой сетью
    7. Прикладная философия: безопасность в разработке и безопасность в использовании
    8. Кто рулит «Теслой»?
    9. Опасный лайфхак
    10. Сенсоры: как роботы видят мир
    11. GPS: алло, я где?
    12. Китайская комната: о чем думает автопилот
    13. Нейросеть не любит шума
    14. Человеческое, слишком человеческое: ограничения технологии
    15. Уровни автономности
    16. Как перестать беспокоиться и полюбить «умную» машину

    Архитектура: CAN-шина, блоки ECU и прочее

    Начнем с архитектуры. Бортовой компьютер современного автомобиля на самом деле не существует как единое целое. Вместо него мы имеем совокупность электронных блоков управления (Electronic control unit, ECU), соединенных в сеть. С конца восьмидесятых годов и до сегодняшнего дня базовым стандартом этой сети остается так называемая CAN-шина. То есть куски витой пары, которым все блоки ECU передают сообщения одинакового формата.

    На самом деле все, конечно, немного сложнее. Шина может быть не одна, а несколько — например, для более важных устройств с повышенным быстродействием и для второстепенных. В таком случае между шинами существует какой-нибудь «мост». А в своей платформе электромобилей MEB автоконцерн Volkswagen и вовсе отказывается от архитектуры на основе CAN-шины и будет использовать вместо нее бортовой Ethernet — и единую операционную систему на основе Android.

    Подробнее о формате обмена данными и об устройстве CAN-шины можно прочесть в Википедии А если хочется действительно подробно изучить вопрос, то в открытом доступе есть хорошая книга от большого специалиста.

    Нам же пока важно то, что, каким бы «умным» ни был современный автомобиль, в основе лежит та же самая шина. А значит, по-прежнему актуальна ее принципиально неустранимая уязвимость: получив доступ к CAN (например, подключившись к диагностическому разъему или поставив на шину сниффер), мы получаем доступ ко всей передаваемой информации. Со всеми вытекающими последствиями.

    И если мы сможем передать какому-то из блоков ECU свой сигнал, то он послушно выполнит команду. Если это будет блок управления кондиционером, еще не так страшно. А если блок управления тормозами или двигателем? В соответствии с принципом «ломать не строить» (или Garbage in, garbage out — «мусор на входе, мусор на выходе») одна-единственная неправильная команда, поступившая в момент напряженного обгона с выездом на встречную полосу, может привести к печальным последствиям и громким газетным заголовкам.

    «Тесла» сбилась с курса и оказалась в глухом и унылом месте — не по своей воле, конечно

    Впрочем, дела не настолько плохи. Производители не дураки и вполне в состоянии встроить элементы защиты в каждый конкретный блок ECU. Он может отказаться принимать команду, если в ней нет правильной контрольной суммы или если она будет не соответствовать каким-то дополнительным условиям. Очень часто притвориться помощником при парковке можно, только если машина едет задним ходом и не быстрее пяти километров в час, — при других условиях его сигналы будут проигнорированы.

    Кроме того, сообщения в CAN-шине — это команды настолько низкоуровневые, что их можно сравнить с машинным кодом. Чтобы понять, что означает последовательность битов, придется долго читать технические инструкции производителя или проводить натурные эксперименты на настоящем автомобиле — или, на безрыбье, на отдельных блоках ECU.

    Ученые вступают в бой

    Получается интересная ситуация: на теоретическом уровне взломать автомобиль очень просто, но на практическом понадобится много скрупулезной подготовки. И как-то так вышло, что долгое время этим занимались в основном люди, держащиеся в тени и имеющие сугубо корыстные интересы — не получить контроль над электроникой автомашины, а получить саму автомашину в свои руки.

    Только в 2010 году об этой теме заговорили всерьез. На посвященном безопасности симпозиуме Института инженеров электротехники и электроники (IEEE) был представлен доклад инженеров-компьютерщиков из университетов Сан-Диего и Вашингтона.

    Они описали множество чрезвычайно интересных особенностей автомобилей как компьютерных систем. В основном эти особенности проистекали из того, что в индустрии много внимания уделяется безопасности при штатном использовании и чрезвычайных ситуациях, но мало — защищенности от целенаправленной атаки на электронные системы автомобиля.

    Например, чтобы при аварии двери автомобиля не оказались запертыми, низкоприоритетная сеть, куда был включен блок управления центральным замком, имела «мостовую» связь с высокоприоритетной сетью, в которой были датчики состояния всего автомобиля и блоки разнообразных систем — «помощников» водителя. А продвинутые телематические системы собирали показания множества датчиков и по сотовой связи отправляли их в сервисные центры — чтобы автомобиль заранее мог подсказать владельцу, что скоро настанет пора заглянуть в автосервис, или самостоятельно звонил 911 в случае аварии. Более того, в ту же систему могло быть включено и противоугонное устройство — позволяющее на расстоянии заблокировать двигатель машины.

    Еще пару строк об архитектуре: в современных автомобилях почти всегда есть специальный диагностический разъем OBD-II и специальный диагностический режим, предназначенный для автомехаников. И чтобы в любом автосервисе в любой глуши специалист имел возможность «подебажить» машину, доступ к этому режиму, по сути, предоставляется… через доступ к разъему. Да, именно так. Практически логин root, пароль password. На использовании этого режима основаны многие примеры из этой статьи.

    Что же именно сделала эта команда исследователей? Для начала они написали программу CARSHARK — гибкий инструмент для анализа и внедрения сообщений в CAN-шине. Дальше открываются широкие возможности. Не вдаваясь особенно глубоко в технические подробности, скажем только, что те блоки ECU, в которых была встроена аутентификация, были защищены всего лишь 16-битным ключом. Такую защиту получится обойти методом перебора за несколько дней. После этого можно, например, «перепрошить» ECU — и тогда уже твори что угодно.

    Нанести существенный вред можно и просто устроив классическую DoS-атаку: перегруженная бессмысленными сообщениями система становилась неработоспособной. Но можно было и поиграть в героя фильмов про хакеров. Например, в качестве простой и наглядной демонстрации своих сил исследователи написали «демовирус самоуничтожения»: после его запуска машина выводила на спидометр обратный отсчет от шестидесяти, в такт уходящим секундам мигала поворотниками и сигналила, а потом намертво глушила двигатель и блокировала замки, оставляя на спидометре надпись PWNED.

    Еще более коварный подход, который продемонстрировали исследователи, — загрузка вредоносного кода в оперативную память телематической системы (внутри которой была полноценная ОС на базе Unix). Они сделали так, чтобы код срабатывал по триггеру (например, разгону до определенной скорости) и перезагружал систему после срабатывания, удаляя себя оттуда. Идеальное преступление!

    Взлом Теслa

    Но на этом исследователи не остановились. В следующем, 2011 году они представили новый доклад (PDF), в котором рассматривали уже не то, что может сделать с системой злоумышленник, получив к ней доступ, — а то, как именно он может этот доступ получить.

    Повод задуматься

    В 2011 году исследователи отмечали в качестве уже реального вектора атаки компьютеры, к которым в автосервисах подключают автомобили, — они используют Windows и часто нуждаются в доступе к интернету… А в качестве теоретического, возможного в будущем — оборудованные на зарядных станциях для электромобилей «умные» зарядки, по которым идет не только ток высокой силы, но и информация.

    В отличие от их предыдущего весьма конкретного доклада этот читается скорее как захватывающее повествование о высотах и провалах инженерного искусства. Чего стоит только музыкальный трек в формате WMA, который на компьютере проигрывается как обычная музыка, но на автомобильном плеере отправляет вредоносные пакеты в CAN-шину. Или рассуждения о том, как именно можно подсоединиться к машине по Bluetooth или через телематическую систему с подключением к сотовой связи.

    Иными словами, в этом докладе исследователи скорее указывали на потенциальные угрозы, напоминающие сценарии фильмов про хакеров, — с той оговоркой, что они действительно все это проделали в лабораторных условиях, а не просто предположили, что такие вещи могут произойти.

    Крис Валасек и Чарли Миллер — легендарный дуэт

    Что ж, после того как это сделала команда исследователей из двух крупных университетов, их достижения смогли повторить два парня в своем гараже — знакомься, Крис Валасек и Чарли Миллер.

    Так легендарные хакеры выглядят в жизни

    Начали они с того, что дотошно повторили исследования своих предшественников — и написали куда более развернутый и полный доклад. Выводы, описанные в нем, в этой статье уже несколько раз упоминались: для успешного взлома автомобиля нужно много кропотливой предварительной работы, в которой есть свои подводные камни — например, если исследовать блоки ECU отдельно от автомобиля, на специальном испытательном стенде, то они могут (и будут!) вести себя не вполне так, как в рабочих условиях. Но если не бояться всей этой работы, то, когда получишь доступ к автомобилю, будет понятно, что делать, — и можно будет сделать очень многое.

    Затем они изучили пару десятков конкретных моделей автомобилей, обращая внимания на детали их сетевой архитектуры — и особенно на возможные векторы удаленной атаки. Именно на этом этапе они выделили так называемые киберфизические компоненты — всевозможные помощники водителя вроде круиз-контроля или блока LKA (Lane Keep Assist, помощник удержания в полосе). Эти устройства одновременно служат самой привлекательной конечной целью для хакера — и важными вехами на пути к по-настоящему самоуправляемому автомобилю.

    Валасек и Миллер обнаружили, что, с одной стороны, производители автомобилей используют разные компоненты и сетевую архитектуру, но, с другой стороны, во многих развлекательных системах применяются широко известные решения из обычной пользовательской электроники вплоть до веб-браузеров.

    Печальная история о джипе и аудиосистеме

    Но главным результатом этого этапа их трудов стало назначение цели для следующего шага. Они нашли потенциально интересную уязвимость в модели Jeep Cherokee 2014 года — и решили взяться за нее всерьез.

    И их усилия были вознаграждены. В приборную панель джипа была встроена развлекательная система Harman Uconnect — компьютер с 32-битным процессором архитектуры ARM и операционной системой QNX (Unix-подобная коммерческая микроядерная ОС, часто используется в подобных встроенных системах). Она совмещала в себе аудиосистему, радиостанцию, навигатор, приложения — а еще умела раздавать Wi-Fi и имела модем 3G.

    Важный нюанс: в Jeep был не простой модем 3G, а специально настроенный на американского провайдера Sprint — Tier-1-оператора, который предоставляет широкий спектр услуг, в том числе мобильную телефонию.

    Сканирование открытых портов этой точки доступа показало, что в их числе был порт 6667. И что этот порт использовался системой межпроцессного взаимодействия D-Bus. И что для доступа к ней по этому порту был даже не нужен пароль.

    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector
    ×
    ×