Transporto priemonių apiplėšimas jau turi 15 metų kilmės knygą. Nors šiandien kelyje yra bent 36 milijonai transporto priemonių, jau prijungtų prie interneto, atrodo, kad gamintojai mažai ką išmoko iš didžiausių interneto eros saugumo krizių. Kibernetinis saugumas vėlgi yra priedas prie varžtų, o ne neatsiejama sujungtos transporto priemonės inžinerijos dalis.

Piratai pradėjo veikti maždaug nuo 2002 m., Nukreipdami variklio valdymo technologijas, kontroliuojančias našius kompresorius ir kuro purkštukus. 2005 m. „Trifinite“ pademonstravo „Bluetooth“ ryšį, kad slapta perimtų ar perduotų automobilio garso signalus. 2007 m. JK įmonė „Inverse Path“ parodė, kaip įsilaužėliai gali pakenkti automobilyje esančių navigacijos sistemų vientisumui, siųsdami suklastotus eismo atnaujinimus per FM, sukeldami automobilių maršruto pasikeitimą.

2010 m. Eksperimentą apėmė dramatiškesnės intervencijos, galinčios turėti įtakos paties automobilio mobilumui. Teksase Teksasas nepatenkintas buvęs automobilių platinimo darbuotojas pasinaudojo pavogtais dokumentais, kad pasiektų internetinę transporto priemonės imobilizacijos pultą ir pradėjo sistemingai „plytinti“ automobilius, kuriuos pardavė jo buvęs darbdavys.

Galima teigti, kad šis nuotolinis išpuolis buvo susijęs su transporto priemonės imobilizatoriumi antrinėje rinkoje (įdiegtas siekiant „paskatinti“ vėluojančius mokėtojus kosėti) ir todėl negali būti tiesiogiai priskirtas sujungtų transporto priemonių silpnumui.

Nuotoliniai įsilaužimai tampa realybe

Tačiau 2015 m. Tokie argumentai nebuvo taikomi, kai Charlie Miller ir Chrisas Valasekas sugebėjo nuotoliniu būdu vaduoti Jeep Cherokee, kuris buvo vairuojamas viešuoju keliu. Išnaudodami nulinės dienos transporto priemonės pramogų programinės įrangos pažeidžiamumą, jie galėjo perimti prietaisų skydelio funkcijas, vairavimą, stabdžius ir transmisiją.

Po dvejų metų Milleris ir Valasekas ištobulino savo tyrimus iki to laiko, kai jie iš tikrųjų sugebėjo visiškai valdyti transporto priemonę, apeidami ribotą borto skaitmeninį saugumą ir klaidų taisymo mechanizmus, paspausdami ant stabdžių, pagreitino ir pasuko ratas bet kokiu greičiu.

Nors Milleris ir Valasekas šių antrųjų atakų neatliko nuotoliniu būdu, o savo atakų sutelkimą į nešiojamąjį kompiuterį, tiesiogiai sujungtą su transporto priemonės valdytojo zonos tinklu (dar žinomu kaip CAN magistralė), ankstesni jų tyrimai rodo, kad tai išlieka galimybė.

Visiškai autonominėms transporto priemonėms dar nėra išduota licencija daugeliui kelių tinklų visame pasaulyje, o susijusių automobilių pramonė vis dar yra pradinėje stadijoje. Taigi ką šie tyrimai ir su jais susiję pažeidžiamumai bei išnaudojimai reiškia mūsų ateičiai?

Net 2015 m. Milleris ir Valasekas sugebėjo nuotoliniu būdu atpažinti 471 000 „Jeep Cherokees“ kelyje, bet kurį iš jų jie teoriškai galėjo valdyti skaitmeniniu būdu. Įvertinimai dėl visiškai autonominių transporto priemonių priėmimo skirtumų yra skirtingi, tačiau viename BCG atliktame tyrime nustatyta, kad iki 2035 m. Visame pasaulyje kasmet galėtų būti parduota daugiau nei 12 milijonų visiškai autonominių vienetų, o dar 18 milijonų pusiau autonominių vienetų užimtų 25 procentus visų transporto priemonių. naujų automobilių rinka.

Dabartinės technologijos, netinkamos ateičiai

Mes jau gyvename pasaulyje, kuriame kiekviena įmonė tam tikru laipsniu yra programinės įrangos įmonė. Nesvarbu, ar tai logistikos, sveikatos priežiūros, žemės ūkio, ar automobilių pramonė, jų produktai ir susijusios ekosistemos jau yra labai suskaitmeninti, paremti programine įranga ir sujungti.

Deja, daugelis tradicinių gamintojų, nors ir patyrę savo kompetencijoje, anksčiau, projektavimo etape, neturėjo atsižvelgti į skaitmeninį saugumą. Tradicinė automobilių technologija galėjo būti diskretiškai sujungta iš vidaus, tačiau bet koks reikšmingas išorinis keitimasis duomenimis vyko per lokomotyvo diagnostikos prievadą.

Taigi šiuo metu į CAN magistralės technologiją integruotas saugumo lygis geriausiu atveju yra nepastebimas ir lengvai įveikiamas. Tyrimai jau parodė, kad CAN magistralės architektūros trūkumai yra tokie esminiai, kad juos visiškai pašalinti galima tik atnaujinus CAN architektūros standartą.

Autonominių transporto priemonių ateitis priklauso nuo eksponentiškai didėjančio ryšio. Transmisija iš transporto priemonės į transporto priemonę (V2V) leidžia sukurti ad hoc belaidžius tinklus kelyje - pavyzdžiui, transporto priemonės, keičiantis kelio būkle ir eismo duomenimis.

Lygiai taip pat, kaip daiktų internetas (IoT) greitai užleido vietą visko internetui (IoE), V2V jau pakeitė V2X, arba „Vehicle to Everything“.

Tai apima V2V, V2I (nuo transporto priemonės iki infrastruktūros), V2P (nuo transporto priemonės iki pėsčiojo), V2D (nuo transporto priemonės iki įrenginio) ir V2G (nuo transporto priemonės iki tinklo) - ir galima tikėtis, kad šis akronimų sąrašas toliau plečiasi.

Dėl papildomo jungiamumo atsiranda daugiau kodo eilučių, o daugiau kodo eilučių - daugiau pažeidžiamumų. Ši besiplečianti ekosistema reiškia daugiau jungčių, kad būtų galima apsaugoti ir daugiau galimų kenkėjiškos prieigos taškų.

Būsimi išpuoliai, į priekį galvojanti gynyba

Jei manote, kad kibernetinius nusikaltėlius motyvuoja pinigai, ir nematote, kodėl jie buvo motyvuoti pulti transporto priemones, pateiksiu keletą scenarijų.

Pirmasis, ir turbūt labiausiai pažįstamas, yra automobilių išpirkos programa. Įsivaizduokite, kad ryte atrakintumėte savo transporto priemonę ir lieptumėte savo skaitmeniniam padėjėjui nuvežti jus į darbą. Užuot jus pasveikinęs pažįstamas skaitmeninis personalas, jus pasveikina išpirkos reikalavimas: „Jei jūs kada nors norėsite vėl vairuoti šį automobilį, siųskite 1„ CrypCoin “į… Jei bandysite pašalinti šią išpirkos programą, jūsų variklio blokas bus sulietas“.

Pagal daug klastingesnį scenarijų apsvarstykite dabartinį teroristų grupių palankų ginklą. Galėčiau tvirtai įrodyti, kad tai transporto priemonės, kaip liudija neseniai įvykę išpuoliai Londone, Niujorke, Nicoje ir Barselonoje.

Įsivaizduokite būsimą autonominių transporto priemonių parką, kurio visi keliai yra bendri, nuotoliniu būdu prieinami. Transporto priemonės borto jutikliai galėjo būti naudojami taikiniams identifikuoti, o jų V2V ryšiai buvo pakeista, kad jie veiktų kaip koordinuota grupė, o užpuolikas valdo viską iš tūkstančių mylių atstumo.

Svarbu, kad kibernetinio saugumo organizacijos ir tyrėjai labai glaudžiai bendradarbiautų su automobilių pramone, kad padėtų joms įveikti įgūdžių spragą - jau nekalbant apie kibernetinių įgūdžių trūkumą - užtikrinant, kad savarankiškų transporto priemonių saugumas nebūtų varžomas, o būtų kuriamas. į.

Turime išmokti vertingų pamokų, kurių mus moko šiandienis internetas. Sparčios naujovės ir priėmimas - net negalvojant apie saugumą - suteikia derlingą dirvą nusikalstamumui ir netinkamam elgesiui.