Přivítejmeautovi ry
Transkript
Přivítejmeautovi ry
Y f-', .:i'.-:l '1..',-:',:,-,1,::'-,,-.1,-t Přivítejmeautovi ry Před deseti lety se všichni smáli tomu' že za dveřmije doba' kdy bude nejčastěišímdůvodem k návštěvě autoservisu softwatová závada. Dnes už se tomu nikdo nesměje. ToMÁŠPŘIBYL o škod|irych kódech' které by mohly napadnour auromobily, se objeviJa na konci roku 2004. Tvrdila, že některé mode1y automobilky Toyota je možnénapad. nout pomocí (relativně) rozšířenéhokódu I Cabir. Stát se tak mě1o díky přenosu dat pomocí Bluetooth mezi mobilním telefonem a auto. mobiiem, který některé modely umožňovaly. Přestože Toyota podobnou možnost opakovaně popírala (tvrdila mimo jiné to, že nevyužívá systém Symbian oS, ale vlastní pro. doh1edu ze strany zaměstnavatele, ale případ názorně ukázal, jak daleko jsme schopni zasahovat do provozu au. s pomocí počítačů tomobilů. Á že doba skutečnéhohackerského útoku je ,jen otázkou času. V konečném důsledku ale prvnízpráva Dobrou zprávou pro majitele automobilů bylo, že systém se nedal aktivovat za )ízdy. Šlotak sice ',jen.. o typické selhání lidského faktoru a neméně příznačnézanedbání atak nebyl sto- procentně úspěšný: klonovanou kartou se sice podařilo na účetpoškozeného zaplatit nebo ryřadit z činnosti poplašný systém, ale nikdy se dostar do vozidla. odstavené automobiIy Na poli útokůproti počítačůmv automobilech pak bylo několik let ticho' Poklidné vody zvířila v roce 2010 kauza omara Ramose-Lopeze (20)' který se svérázným způsobem pomstil svému b1valému zaměst. navateli (Texas Auto Center). prietární řešení. a tudíz je vůci Cabiru Ani škodovka není bez chyby Svědčío tom i loňská zpráva BBC, která při. nesla reportáž o snadném otevření a nastar. tování automobi1ů BM\7 bez vlastnictví ori. ginálního elektronického klíče.Jen tech. níckédetaily r'ynechala. Letos na jaře pak policíe zveřejnila trik, který r,yužívajízloději k lykrádání automobilů Škoda: blízko vozidla, které opouštíři. dič, držístisknuý ovladač' Tím obsadí komunikačnípásmo a automobil na povel k za. mčenínereaguje. Když je řidič nepozorný vozidlo zůstane otevřené _ a lapkové mají volné pole působ. nosti. Opět jistá forma odepření služby _ tedy DoS. imunní), legenda měia tuhý kořínek. Vywrátila 1i až fr,rma F.Secure, která si od automobilky lypůjčilajeden vůz a otestovala Americká organizace CAESS (Center |or Automotive Embedded Systems Securiry jej ve stíněnéšachtě. Centrum pro bezpečnost systémů integrova. Technici postupně zkoušeli několik mo. delů sítení Cabiru: nejprve z ..cizího.. chyrrého mobi1u umístěného vně vozidla, potom při synchronizaci mobilu majitele auta a nakonec se pokusili palubnímu systému přímo ných v automobi1ech) letos na jaře oznámila, že vytvořila kód CarShark, který se do vozidla dostává skrze CAN sběrnice (přes ně se rypicky napojují diagnosricke aparatury). A že kód dokáže modifikovat elektronické systémy ve1mi nepříjemným způsobem: brzdy nereaguji, čidla nerozeznáva)í' sílu působícína pedály, kdykoliv se dá r'ypnout moror... Jediný háČek je v porřebě $,zickeho přístupu k CAN sběrnici. CÁESS a]e wrdí, že už má r'ypracované poslat virus. Všechny pokusy skončily stejně, vůz škod1iý kód r'ytrvale odmítal. Jen v někte. rých speciálních případech docházelo k za- blokování palubního počítačeaýzvě pto Íi' diče, aby neprodleně zaparkoval na rovné ploše a zatáhl brzdu. Po l'ypnutí a opětovném zapnutí motoÍu ale by1o vše v pořádku. Mohli bychom tedy teoretické koncepry na ovládnutí vozidla skrze Bluetooth a mobilní telefon nebo přes CD se škodliým kódem vloženédo samot' ného autorádia. A do budoucna ner'ylučuje i masové viry šířenéz vozidla na vozidlo nebo otevření automobilu na dálku či odposlouchávání jeho ma'rimálně hovořit o útoku DoS, ale rozhodně ne o zavirování. Čerpání PHM bez placení V roce 2005 byla zveřejněna společná studie Neoprávněně pronikl do jeho webového John Hopkins Universiry a RSA Laborato- systému \íebTeck Plus pro dálkovou imobi- ríes, která konstatovďa, že je možné napad. lizaci vozidel _ a nás1edně jich zhruba stovku nout karry RFID ExxonMobil Speedpass. '^,!.^Á|l - Ty byly primárně určenék platbám za pohonné hmory a úhradě dálničníchpoplatků, ale některé modely vozťt z |et 2003 aL 2005 používaly i jako bezkontaktní vstupní či startovací k]íče. Pod1e studie by mělo lybavení za několik set dolarů stačit k získánídostatečného Automobily této organizace jsou totiž r'7. bavené zaÍízenímnapojeným trvale na inter' net, které umožňu,je jejich ,,r,ypnutí.. v pří. množstvíínformací k naklonování RFID karry. By1o jen třeba dostat se blízko ke kartě; protoŽe útok nasra| ..na dálku... o něm nemusel vůbec vědět. 40 )'. majireJ posádky, Soud zakázaI propagaci chyb červenci pak Birminghamská univerzita V odložila zveřejnění práce, ve které popisovala tři způsoby lyÍazení z PÍovozl imobilizérů padě, že majitel neplní své závazl<y vůčilea. ve vozidlech koncernu Volkswagen (včetně prestižních značek Porsche' Bentley a Lam- singové firmě. borghini) elektronickou cestou. ,,Autohacker.. navíc u někteých vozů spustil na dáiku ýstražný k1akson. Šetření ukázalo, že spo1ečnostTexas Auto Center po' stupovala správně, když Ramose-Lopeze lyhodila a okamžitě zneplatnila jeho účet_ jenže on si ještě dříve opatřil přihlašovací údaje jiného zaměstnance' Zveře1nění )í tottž zakázal soud na popud ýrobce: ten studii označil jako dar pro zlo- děje. Univerzita oponuje, že Volkswagen na chyby upozornila už před půl rokem, ale ten nepodnik-l zhola nic. Zdá se, že aplikace Car Total Security už I