Читаем Автоутопия. Будущее машин полностью

Этичный хакер держит в руках печатную плату из автомобиля Tesla. Он постарается выявить уязвимости и проникнуть в систему безопасности, обнаружив так называемую поверхность атаки.

Я встретился с Кеном Манро из Pen Test Partners – в этой организации работают одни из лучших этичных хакеров Великобритании. Этичные хакеры – люди, которые используют свои навыки не для того, чтобы совершать преступления и творить хаос, а для того, чтобы выявлять уязвимости системы ради всеобщего блага. Кена особенно интересует безопасность автомобилей. Когда я приехал, его коллеги занимались деталями Tesla, которые оказались разбросаны повсюду. У хакеров были осциллографы, ноутбуки и множество других устройств. Кто-то был занят тем, что подсоединял тонкие провода к печатной плате, которая обычно находится внутри приборной панели Tesla. Человек пытался понять, где проходят незашифрованные цифровые сигналы и что они могут сказать о безопасности машины.

Исторически сложилось так, что компании обеспечивали безопасность автомобилей скорее физическими способами – с помощью установки более сложных замков. Но чем больше в машинах стало появляться встроенных систем, тем острее вставал вопрос защиты от взлома. Манро с неодобрением смотрит на последние события, которые произошли в отрасли, и приводит в пример взлом транспондера Megamos. Группа исследователей из Бирмингемского университета и нидерландского Университета Неймегена обнаружили способ использовать транспондеры для получения доступа ко всем автомобилям концерна Volkswagen. Из-за этого машины оставались полностью без защиты.

«Когда исследователи сообщили VW о проблеме и о возможном решении, автопроизводитель вместо переговоров обязал специалистов подписать соглашение о неразглашении: судебный запрет не позволил им распространить информацию», – замечает Манро. Руководство VW решило промолчать и не делать открытие достоянием общественности. Вместо этого они незаметно обновляли автомобили, когда те проходили обслуживание. Процесс «мягкого» отзыва занял около двух лет. В течение этого времени тысячи и тысячи машин оставались уязвимыми.

Манро также подверг критике руководство компании Jeep из-за того, каким образом они пытались решить проблему: «Их так называемое решение заключалось в том, что они отправили клиентам флешки… Такой принцип, когда флешка отправляется владельцу машины и тот сам обновляет ПО, создает еще больше угроз. Мошеннику нужно лишь разослать свои флешки. Не сомневайтесь, кто-нибудь из них смог бы подделать письмо, которое сопровождает посылку. А владельцы с радостью бы установили не то обновление для системы автомобиля».

Общее количество уязвимых мест программной среды хакеры называют поверхностью атаки. Такие поверхности у современных автомобилей становятся все уязвимее и уязвимее. Одна из причин состоит в том, что электроника даже новых машин была разработана в прошлом веке. Она основывается на сети контролеров, сокращенно CAN (от англ. Controller Area Network). Сеть разработали специалисты компании Bosch в 1980-х годах. Первым серийным автомобилем, в котором появилась CAN, стал Mercedes S-класса W140 1990 года. Сеть обеспечивает передачу сообщений и соединяет между собой электронные контрольные устройства машины, которые отвечают абсолютно за все – от управления двигателем и аудиосистемой до открытия окон, включения фар и поддержания движения в выбранном ряду. Это надежная технология, но ее разработали еще до появления интернета, поэтому она подвержена угрозе атаки. Так как она выполняет главную роль, ее уязвимость создает риск для большого количества важных систем. А растущее число автомобилей, которые могут звонить домой и выходить в интернет, лишь увеличивает беспокойство.

С апреля 2018 года каждый автомобиль, проданный в Европейском союзе, должен быть оснащен системой eCall. Машина должна быть подключена к интернету, чтобы в случае аварии или другого чрезвычайного происшествия передать информацию о местонахождении автомобиля аварийным службам. Стоит хакеру проникнуть в систему, и он устроит хаос. К примеру, если в электромобиле включить на ночь обогрев, он разрядит аккумуляторы. Есть вариант и пострашнее: включив музыку на полную громкость, можно напугать водителя настолько, что он потеряет контроль над машиной, пока движется по шоссе. Вариантов масса.

Пока что лучшая модель безопасности и способы обновления принадлежат Tesla. Подключенный автомобиль, чей производитель заботится о безопасности, можно обновить дистанционно без поездок к дилеру. Манро считает так: «Обновление программного обеспечения решает почти все проблемы безопасности. Не все, но большую часть. Вот где крайне важно иметь надежную беспроводную платформу для обновлений. Именно к этому сейчас и стремится большинство производителей. Тогда в случае обнаружения проблемы они не станут отзывать тысячи автомобилей, ведь это обойдется в миллионы фунтов. Вместо этого они установят обновление за ночь».