name | autoweek.cz
Automobilky stále podceňují riziko hackerů
10.08.2015 | Vladimír Rybecký | Aktuality
Setkání Black Hat, uspořádané v Las Vegas v rámci konference DefCon, přineslo varování pro automobilky. Známý hacker Chris Valasek zde prohlásil, že je směšné tvrzení automobilek, že jsou jejich systémy chráněny před vnějšími útoky.
Šestidenní konference věnovaná hackingu byla do značné míry zaměřena na rizika týkající se automobilů. Specialisté z celého světa se zde zabývali zranitelností softwaru.
První auto „hacknuté“ na dálku
Chris Valasek a Charlie Miller jsou uznávanými specialisty na proniknutí do elektronických systémů automobilů. Pravidelně předvádějí, jak lze zdánlivě dobré zabezpečení elektronických systémů automobilů prolomit. Před třemi roky předvedli, jak prostřednictvím notebooku ze zadního sedadla ovládají brzdy auta, mění jeho rychlost a zcela jej vypnou. Dokázali i upravit charakteristiku řízení zásahem do posilovače řízení. Tehdy to automobiloví experti brali jako neškodnou studentskou zábavu.
Jenže jejich poslední ukázka vedla k tomu, že koncern Fiat Chrysler Automobiles (FCA) musí v rámci svolávací akce nainstalovat nový software do 1,4 milionu vozidel. Valasek s Millerem totiž po několikaměsíční práci předvedli, jak lze v Jeepu Cherokee na dálku přes satelitní digitální rádio (DAB) brzdit, měnit rychlost, ovládat klimatizaci a samozřejmě přeladit rádio. Činili tak z místnosti vzdálené 15 km od vozu. Takto na dálku to zatím ještě nikdo nedokázal.
„Automobilky tvrdí, že jejich vozy jsou stále bezpečnější a že usilovně pracují na jejich ochraně. Ale z pohledu těch, kteří jsou obeznámeni s prací s daty a softwarem, je to špatné. Musejí přestat tvrdit, že tyto systémy nelze hacknout. To je směšné tvrzení. Uvědomte si, že každé vaše zařízení lze ovládnout,“ říká Valasek, který je ředitelem poradenské firmy IOActive ze Seattlu.
Žádné auto není bezpečné
Jejich kolega Samy Kamkar předvedl, jak prostřednictvím infosystému GM OnStar pronikne do palubní elektroniky Chevroletu Volt a nastartuje motor vozu. Přitom jen o pár dní dřív v souvislosti se zveřejněním hacknutí Jeepu Cherokee vicepresident GM Mark Reuss prohlásil, že na zabezpečení systémů ve svých vozech General Motors spolupracuje s americkou armádou a společností Boeing. Zdá se, že to není dobré vysvědčení pro specialisty US Army.
Tesla Motors je automobilkou založenou počítačovými experty ze Silicon Valley. Vozy Tesla mají elektrický pohon a jsou vybaveny ještě větším počtem elektronických řídicích systémů, než běžná auta. Šéf Tesly Elon Musk si ale riziko narušení systémů dobře uvědomuje. Proto před rokem při setkání Black Hat vyzval 20 až 30 nejlepších hackerů, aby mu pomohli najít slabiny systému jeho vozu.
Kevin Mahaffey z firmy Lookout, věnující se kyberbezpečnosti, a výzkumník firmy Cloudflare Marc Rogers se rozhodli proniknout do systémů vozu Tesla, protože ty jsou pokládané za nejlépe chráněné. Na konferenci ohlásili, že se jim podařilo získat kontrolu nad vozem Tesla Model S a při jízdě malou rychlostí 8 km/h vypnuli jeho systémy. Všechny displeje potemněly, přestalo hrát rádio a ruční brzda vůz zastavila. Při rychlosti nad 8 km/h dokázali zařadit neutrál. Řízení ale v obou případech zůstalo plně funkční. Jenže Mahaffey a Rogers to dokázali až poté, co svůj laptop připojili k vozu. Marc Rogers také konstatoval, že to, co se jim podařilo s vozem Tesla, je v přímém kontrastu s tím, co bylo možné v případě Jeepu Cherokee: „Je patrné, že u Tesly přemýšlejí o tom, co by se mohlo stát a navrhují svá auta tak, aby nemohlo dojít ke katastrofě.“
Auta jako otevřené dveře do bytu
Případ Jeepu Cherokee ukazuje na rostoucí riziko spojené s moderními automobily. S tím, jak se rozšiřují možnosti výměny informací on-line a vozidla jsou už trvale připojena k vnějším sítím, samozřejmě roste nebezpečí ohrožení podobně, jako u našich domácích nebo firemních počítačů. V případě automobilů je tento problém ovšem mnohem závažnější. U automobilů ale nejde jen o problém spojený s jednotlivými vozidly, ale s celými sítěmi komunikujícími s nimi.
Automobilky by se konečně měly tímto problémem začít vážně zabývat. Příklad Jeepu Cherokee ukazuje, že automobilky tomuto problému věnují nedostatečnou pozornost. Problém v automobilech je skutečně vážný. Hackeři totiž mohou přes navigaci nebo zábavní systémy proniknout k životně důležitým řídicím systémům vozidla.
V rozhovoru pro agenturu Bloomberg to vysvětlil Jens Hinrichsen z nizozemského dodavatele mikročipů NXP: „Síť v automobilu je jako obytný dům - když už jste uvnitř, můžete volně procházet z pokoje do pokoje. Automobilky proto musí nainstalovat zabezpečení proti vnějším útokům tak, aby z každého pokoje udělaly nedobytný hrad. Pak budete muset otevřít speciální zámky pro zvlášť důležité oblasti.“
Kdo vlastně za zabezpečení nese odpovědnost?
Automobilový průmysl ovšem stále reaguje v zaběhnutých kolejích. Případ Jeepu se řeší jen svolávací akcí 1,4 milionu vozů a instalací nového softwaru. Mezi zákazníky firmy Harman patří i automobilky BMW, Daimler a Volvo Cars. Představitelé společnosti Harman ovšem tvrdí, že se problém týká jen vozů koncernu FCA vybavených systémem UConnect a 8,4“ displejem.
Potvrzují se tak Valasekova slova, že si automobilový průmysl stále neuvědomuje, že se jedná o systémový problém, který je potřeba začít řešit. Valasek a Miller si systém FCA vybrali jako ukázkový, ale tvrdí, že úplně stejně lze k proniknutí do systému vozidla využít jakékoliv DAB radio. Valasek a Miller nezveřejnili postup, jak se jim podařilo do systému proniknout.
"Auta jsou dnes jen o něco víc než pojízdné počítače. Znamená možnost proniknutí do jejich systémů, že bychom do nich také měli instalovat bezpečnostní software? Nebo jsou za ochranu cestujících v autech proti digitálnímu narušení odpovědné automobilky? Je to zajímavá křižovatka na digitální silnici. V budoucnu budou všechny vozy pro vnější útočníky stejně snadno dostupné, jak je elektroměr u vašeho domu,“ říká zakladatel společnosti WhiteHat Security Jeremiah Grossman.
První auto „hacknuté“ na dálku
Chris Valasek a Charlie Miller jsou uznávanými specialisty na proniknutí do elektronických systémů automobilů. Pravidelně předvádějí, jak lze zdánlivě dobré zabezpečení elektronických systémů automobilů prolomit. Před třemi roky předvedli, jak prostřednictvím notebooku ze zadního sedadla ovládají brzdy auta, mění jeho rychlost a zcela jej vypnou. Dokázali i upravit charakteristiku řízení zásahem do posilovače řízení. Tehdy to automobiloví experti brali jako neškodnou studentskou zábavu.
Jenže jejich poslední ukázka vedla k tomu, že koncern Fiat Chrysler Automobiles (FCA) musí v rámci svolávací akce nainstalovat nový software do 1,4 milionu vozidel. Valasek s Millerem totiž po několikaměsíční práci předvedli, jak lze v Jeepu Cherokee na dálku přes satelitní digitální rádio (DAB) brzdit, měnit rychlost, ovládat klimatizaci a samozřejmě přeladit rádio. Činili tak z místnosti vzdálené 15 km od vozu. Takto na dálku to zatím ještě nikdo nedokázal.
„Automobilky tvrdí, že jejich vozy jsou stále bezpečnější a že usilovně pracují na jejich ochraně. Ale z pohledu těch, kteří jsou obeznámeni s prací s daty a softwarem, je to špatné. Musejí přestat tvrdit, že tyto systémy nelze hacknout. To je směšné tvrzení. Uvědomte si, že každé vaše zařízení lze ovládnout,“ říká Valasek, který je ředitelem poradenské firmy IOActive ze Seattlu.
Žádné auto není bezpečné
Jejich kolega Samy Kamkar předvedl, jak prostřednictvím infosystému GM OnStar pronikne do palubní elektroniky Chevroletu Volt a nastartuje motor vozu. Přitom jen o pár dní dřív v souvislosti se zveřejněním hacknutí Jeepu Cherokee vicepresident GM Mark Reuss prohlásil, že na zabezpečení systémů ve svých vozech General Motors spolupracuje s americkou armádou a společností Boeing. Zdá se, že to není dobré vysvědčení pro specialisty US Army.
Tesla Motors je automobilkou založenou počítačovými experty ze Silicon Valley. Vozy Tesla mají elektrický pohon a jsou vybaveny ještě větším počtem elektronických řídicích systémů, než běžná auta. Šéf Tesly Elon Musk si ale riziko narušení systémů dobře uvědomuje. Proto před rokem při setkání Black Hat vyzval 20 až 30 nejlepších hackerů, aby mu pomohli najít slabiny systému jeho vozu.
Kevin Mahaffey z firmy Lookout, věnující se kyberbezpečnosti, a výzkumník firmy Cloudflare Marc Rogers se rozhodli proniknout do systémů vozu Tesla, protože ty jsou pokládané za nejlépe chráněné. Na konferenci ohlásili, že se jim podařilo získat kontrolu nad vozem Tesla Model S a při jízdě malou rychlostí 8 km/h vypnuli jeho systémy. Všechny displeje potemněly, přestalo hrát rádio a ruční brzda vůz zastavila. Při rychlosti nad 8 km/h dokázali zařadit neutrál. Řízení ale v obou případech zůstalo plně funkční. Jenže Mahaffey a Rogers to dokázali až poté, co svůj laptop připojili k vozu. Marc Rogers také konstatoval, že to, co se jim podařilo s vozem Tesla, je v přímém kontrastu s tím, co bylo možné v případě Jeepu Cherokee: „Je patrné, že u Tesly přemýšlejí o tom, co by se mohlo stát a navrhují svá auta tak, aby nemohlo dojít ke katastrofě.“
Auta jako otevřené dveře do bytu
Případ Jeepu Cherokee ukazuje na rostoucí riziko spojené s moderními automobily. S tím, jak se rozšiřují možnosti výměny informací on-line a vozidla jsou už trvale připojena k vnějším sítím, samozřejmě roste nebezpečí ohrožení podobně, jako u našich domácích nebo firemních počítačů. V případě automobilů je tento problém ovšem mnohem závažnější. U automobilů ale nejde jen o problém spojený s jednotlivými vozidly, ale s celými sítěmi komunikujícími s nimi.
Automobilky by se konečně měly tímto problémem začít vážně zabývat. Příklad Jeepu Cherokee ukazuje, že automobilky tomuto problému věnují nedostatečnou pozornost. Problém v automobilech je skutečně vážný. Hackeři totiž mohou přes navigaci nebo zábavní systémy proniknout k životně důležitým řídicím systémům vozidla.
V rozhovoru pro agenturu Bloomberg to vysvětlil Jens Hinrichsen z nizozemského dodavatele mikročipů NXP: „Síť v automobilu je jako obytný dům - když už jste uvnitř, můžete volně procházet z pokoje do pokoje. Automobilky proto musí nainstalovat zabezpečení proti vnějším útokům tak, aby z každého pokoje udělaly nedobytný hrad. Pak budete muset otevřít speciální zámky pro zvlášť důležité oblasti.“
Kdo vlastně za zabezpečení nese odpovědnost?
Automobilový průmysl ovšem stále reaguje v zaběhnutých kolejích. Případ Jeepu se řeší jen svolávací akcí 1,4 milionu vozů a instalací nového softwaru. Mezi zákazníky firmy Harman patří i automobilky BMW, Daimler a Volvo Cars. Představitelé společnosti Harman ovšem tvrdí, že se problém týká jen vozů koncernu FCA vybavených systémem UConnect a 8,4“ displejem.
Potvrzují se tak Valasekova slova, že si automobilový průmysl stále neuvědomuje, že se jedná o systémový problém, který je potřeba začít řešit. Valasek a Miller si systém FCA vybrali jako ukázkový, ale tvrdí, že úplně stejně lze k proniknutí do systému vozidla využít jakékoliv DAB radio. Valasek a Miller nezveřejnili postup, jak se jim podařilo do systému proniknout.
"Auta jsou dnes jen o něco víc než pojízdné počítače. Znamená možnost proniknutí do jejich systémů, že bychom do nich také měli instalovat bezpečnostní software? Nebo jsou za ochranu cestujících v autech proti digitálnímu narušení odpovědné automobilky? Je to zajímavá křižovatka na digitální silnici. V budoucnu budou všechny vozy pro vnější útočníky stejně snadno dostupné, jak je elektroměr u vašeho domu,“ říká zakladatel společnosti WhiteHat Security Jeremiah Grossman.
Další články
© 2025 autoweek.cz. Veškerá práva vyhrazena | O autoweek.cz