Einbruch in Auto aus der Distanz

Einbruch in Auto aus der Distanz

Einbruch in Auto aus der Distanz

Ein Einbruch in ein Auto, diesmal aus der Ferne. Wired hat kürzlich einen weiteren sensationellen Artikel veröffentlicht (darin sind sie wirklich gut), der Fahrer, Technologie-Enthusiasten und Cybersicherheitsexperten dazu brachte, auf das bereits bekannte Thema Auto-Hacking aufmerksam zu machen. Nur sind wir daran gewöhnt, dass Computer aus der Ferne gehackt werden, als Autos an der Reihe sind.

Ohne direkten Kontakt. Die Hauptfiguren des Artikels sind bekannt: Charlie Miller und Chris Valasek. Diese herausragenden Herren haben sich bei der Erforschung der Bordsysteme von Autos Namen gemacht und die Möglichkeit, sie zu knacken. Jahrelang haben sie diese Bordsysteme untersucht, Schwachstellen entdeckt und die Möglichkeit einer böswilligen Ausbeutung demonstriert. Sie haben zuvor gezeigt, wie man ein Auto »in Besitz nimmt" und seine Bremsen mit direktem Zugang zum Bordsystem aushebelt (dh indem man einen Laptop an das Armaturenbrett anschließt). Bei aller Gefahr war es unpraktisch, worauf die Autohersteller sich beeilten, darauf hinzuweisen. Die Erfahrung deutete jedoch bereits auf eine sehr reale Einbruchmöglichkeit hin.

Jetzt haben sie gezeigt, wie man den Jeep (streng aus der Ferne) «knallt», was bereits eine laute und beängstigende Nachricht ist.

Andy Greenberg von Wired beschrieb die ganze Tortur, die er freiwillig durchgemacht hatte, bunt genug:

"... Obwohl ich das Armaturenbrett nicht berührte, begannen die Klimaanlagengitter im Jeep Cherokee mit dem maximalen Wert kalte Luft in den Innenraum zu pumpen und den Schweiß auf meinem Rücken mit einem Klimasystem zu kühlen. Dann wechselte das Radio zu einer lokalen Hip-Hop-Station und fing an, Skee-lo bei voller Lautstärke auszuschalten. Ich drehte den Regler scharf nach links und drückte den Netzschalter, aber ohne Erfolg. Dann schalteten sich die Scheibenwischer ein und der Scheibenwischer spritzte auf das Glas.

Während ich versuchte, mit all dem fertig zu werden, erschien das digitale Display der Maschine mit einem Bild von zwei Hackern, die all diese Tricks mit mir führten: Charlie Miller und Chris Valasek in ihren Markentrachtanzügen.»

Weiter behauptet Greenberg, dass die Herren Miller und Valasek einen Zero-Day-Exploit für den Jeep Cherokee entwickelt haben, der «Angreifern die drahtlose Steuerung über das Internet von Tausenden von Autos dieser Marke bietet». Geschriebenen Code Journalist nannte den «Alptraum der Autobauer», so wie er erlaubte es Angreifern, Befehle über das Multimedia-System Jeep, «komprimierende Funktion Armaturenbrett, Lenkung, Bremsen und Antriebsstrang, und das alles mit einem Laptop, der möglicherweise überhaupt am anderen Ende des Landes».

Sind die Funktionen des Armaturenbretts mit dem Entertainment-System ohne Isolierung dazwischen «gepaart"? Lob an den Hersteller für die klügste Herangehensweise an Sicherheit.

Was den »Albtraum eines Autoherstellers" betrifft, ist es mehr und mehr wie der Albtraum eines Fahrers, der Herr Greenberg überlebte, als sein Getriebe direkt auf der Autobahn aus der Ferne abgeschaltet wurde. Sein Leben war nicht bedroht, aber er war sicherlich nicht glücklich.

Die aktuelle Frage ist wiederum, wie es überhaupt dazu kam, dass das «sekundäre», unkritische Infotainment-System so eng mit den «primären», absolut lebenswichtigen Funktionen des Armaturenbretts integriert wurde. Diese Systeme sind einfach nicht voneinander isoliert, und in der Tat ist es möglich, mit der Maschine alles aus der Ferne zu tun: Alles, was Angreifer dazu benötigen, heißt es in dem Wired—Artikel, ist die IP-Adresse des Autos zu kennen.

«All dies ist nur möglich, weil Chrysler, wie fast alle Autohersteller, Schwierigkeiten hat, ein modernes Auto in ein Smartphone zu verwandeln», schreibt Greenberg. Und nach dem, was er erlebt hat, ist seine Wutanfälle erklärbar.

Haben wir nicht gewarnt?

Ehrlich gesagt, es ist lange her, dass es dazu gekommen ist. Eugene Kaspersky, der kürzlich seine Gedanken zu diesem Thema geteilt hat (werfen Sie einen Blick), sagte, er habe 2002 «Witze» über die Möglichkeit gemacht, ein Auto zu hacken. Im Jahr 2015 wurde es Realität.

"... Einige Autohersteller hängen ein Controller–Netzwerk an CAN an — ein Bordkommunikationssystem, das den Datenaustausch zwischen verschiedenen Geräten verbindet und regelt - KB immer mehr Controller, ohne sich um grundlegende Sicherheitsvorschriften zu kümmern. An einem und demselben Bus, der keine Zutrittskontrolle beinhaltet, hängt ein ganzes internes Kontrollsystem für alle."", schreibt Kaspersky.

CAN wurde vor 30 Jahren entwickelt und hat keine integrierten Sicherheitsfunktionen. Und ja, sie ist jetzt mit dem Internet verbunden, ohne «Autorität zu teilen».

Gibt es eine Antwort auf die Frage «Warum?» Es gibt sogar zwei von ihnen: einfach und komplex.

Die einfache Antwort ist "Marketing". Kompliziert sei die »Konsequenz der allgemeinen Geschäftslogik".

Diese Logik schreibt Folgendes vor: "Wir müssen der Konkurrenz voraus sein, also lassen Sie uns dieses neue Automodell noch attraktiver machen. Wie? Lassen Sie uns es mit Elektronik füllen und es intelligent nennen.»

Als nächstes kommt das Marketing: "Hey! Wir haben ein Angebot für Sie - ein Auto, das so intelligent ist, dass es Befehle von Ihrem Smartphone aus befolgt.»

Und die Person, die dieses «intelligente» Auto gekauft hat, denkt: "Wow! Ich habe eine Maschine, die mit dem Internet verbunden ist. Toll!»

Es wird jedoch nicht mehr cool, denn jetzt ist ein Remote–Hack möglich - nur ein Geschenk für Angreifer und ein Traum von Entführern und viel ernsteren Kriminellen. Denn das Hauptproblem ist so alt wie die Welt: Das Autobahnsystem auf dem Weg zu einer «sicherheitsorientierten Entwicklung».

Unter den Autoherstellern ist die Meinung über die Autonomie der Technologie verbreitet - es scheint, als ob niemand Lust oder Gehirn hat, in die elektronische Füllung des Autos einzusteigen. Kaspersky schreibt und fügt hinzu, dass das allgegenwärtige Rennen dazu führt, dass die Funktionalität ohne Rücksicht auf die Sicherheit rücksichtslos erhöht wird.

Ja, genauso ist es mit einer anderen kritischen Infrastruktur, und Autos können auch getrost als «kritische Infrastruktur» bezeichnet werden: Das Leben der Menschen hängt davon ab, wie sicher sie sind und wie sicher sie sind.

Und es ist ein Fehler zu behaupten, dass die Bordsysteme eines modernen Autos selbst auch ohne Internetverbindung zuverlässig sind. Sie sind leider nicht zuverlässig.

Ich habe kürzlich von einem Unfall gelesen, bei dem der Fahrer fast ums Leben kam, weil der Airbag nicht funktionierte. Und es hat nicht funktioniert, wie Vertreter des Autoherstellers zunächst erklärten, weil das Bordsystem «eine solche Entscheidung getroffen hat». Die Entscheidung, ob der Airbag ausgelöst wird, wird auf der Grundlage verschiedener Faktoren getroffen, um mögliche Schäden zu minimieren (in einigen Situationen können die Airbags dem Fahrer zusätzliche Verletzungen zufügen). Und in diesem speziellen Fall wurde festgestellt, dass der Airbag nicht weggeworfen werden sollte. Ob es fehlgeschlagen war oder nicht, wird sich wahrscheinlich später herausstellen. Aber wie auch immer, der Satz «Das System hat beschlossen, die Airbags nicht zu öffnen» klingt etwas ... beängstigend, oder?

Der Exploit ermöglichte es Hackern, die Kontrolle über alle Systeme des Fahrzeugs aus der Ferne abzufangen.

Die Autohersteller haben erkannt, dass es ein Problem gibt, und mit ihnen scheint es auch der Gesetzgeber zu tun zu haben. Andy Greenberg von Wired schrieb, dass es Miller und Valasek gelungen sei, die Industrie «zu erschrecken» und die Gesetzgeber «zu inspirieren». In den USA wird ein neuer Gesetzentwurf entwickelt und vorbereitet, der Autos verpflichtet, bestimmte Standards für den Schutz vor digitalen Angriffen und die Wahrung der Privatsphäre zu erfüllen. Ich möchte glauben, dass andere Länder ihrem Beispiel folgen werden.

Die gesamte Autoindustrie ist jetzt auf die Ohren gestoßen. Die Allianz der US-Autohersteller kündigte die Gründung einer Denkfabrik der Kommunikation, um mit Cyber-Bedrohungen und Schwachstellen in der Elektronik-und Automotive-Netzwerken.

Die Autohersteller selbst müssen den Ansatz für die Entwicklung moderner High-Tech-Geräte ändern. Wie wir oben geschrieben haben, muss Sicherheit an erster Stelle stehen. Sie sollte ab dem Zeitpunkt der Konstruktion berücksichtigt werden und nicht später hinzugefügt werden (wenn überhaupt). Es ist der einzige Weg, senken das Risiko für KFZ-Systeme, als auch für andere Elemente zivile kritische Infrastrukturen, die hoch genug ist und ohne extra schwelgen киберугрозам wie zum Beispiel im Fall von Remote-Einbruch Jeep.