Zdalnie otwierali samochody bez użycia oryginalnego kluczyka
Specjaliści z dziedziny cyberbezpieczeństwa przeprowadzili test, w którym dowiedli, że można zdalnie otwierać samochody bez użycia oryginalnego kluczyka. Komentarz w tej sprawie udzielił Siergiej Zorin, ekspert ds. bezpieczeństwa IT z firmy Kaspersky Lab.
Sytuacja, w której badacze zdołali zdalnie otworzyć samochody bez fizycznego dostępu do oryginalnego kluczyka, jasno pokazuje, że jeżeli atakujący posiada odpowiednio dużo czasu i wiedzy, może złamać niemal każde urządzenie. Niewykluczone, że dodatkowa inwestycja czasu i pieniędzy pozwoli odtworzyć rezultaty badania dla samochodów innych producentów. Z drugiej strony eksperyment pokazał również, że producenci coraz intensywniej myślą o cyberbezpieczeństwie samochodów i włamanie się do nowoczesnych pojazdów nie jest sprawą prostą – przynajmniej w większości przypadków. Nie można zatem stwierdzić, że eksperyment badaczy powiódł się, ponieważ dany producent samochodów stosuje złe podejście do bezpieczeństwa. Mimo to, branża motoryzacyjna boryka się z pewnymi kwestiami, które mogą stanowić problem.
Pierwsza kwestia wynika z tego, że producenci samochodów muszą planować wszystko, łącznie z kwestiami bezpieczeństwa, od pięciu do siedmiu lat do przodu – tyle trwa typowy cykl rozwojowy dla nowego modelu samochodu. Nie jest tajemnicą, że metody wykorzystywane przez cyberprzestępców ewoluują znacznie szybciej i zabezpieczenia nowego samochodu mogą być przestarzałe już w momencie jego rynkowej premiery.
Drugi problem jest związany z faktem, że w wyniku ograniczeń technologicznych nie zawsze da się dostarczyć poprawki bezpieczeństwa na tyle szybko i szeroko, by wyeliminować potencjalne zagrożenia. Obydwie kwestie mogłyby zostać rozwiązane poprzez zastosowanie mechanizmów pozwalających na łatwą aktualizację pokładowych systemów komputerowych bez udziału autoryzowanych serwisów. W takiej sytuacji właściciele aut mogliby instalować poprawki usuwające luki natychmiast po wykryciu nowych błędów. Taka aktualizacja mogłaby być nawet wykonywana automatycznie. Spodziewamy się, że w przypadku samochodów, które pojawią się na rynku za około 5 lat, rozwiązania tego typu będą standardem. U niektórych producentów takie podejście do aktualizacji pokładowych systemów informatycznych można zaobserwować już dzisiaj, co jest godne pochwały.
Trzecim problemem, z którym producenci samochodów muszą się mierzyć już dzisiaj, jest łączność aut z internetem. Idea „połączonego” samochodu polega na tym, że wiele modułów pojazdu korzysta z kanałów wymiany informacji ze światem zewnętrznym. Kanałów, w zabezpieczeniach których badacze zidentyfikowali już pewne luki. Jako firma z branży bezpieczeństwa IT prowadzimy badania w tym zakresie już od kilku lat i widzimy, że nieustannie pojawia się coraz więcej błędów w zabezpieczeniach łączności samochodów z internetem. Rozwój bezpiecznych technologii komunikacyjnych dla samochodów to dziedzina, na której powinna się skupić w najbliższych latach zarówno branża bezpieczeństwa jak i motoryzacyjna.
Siergiej Zorin
