A Trend Micro szerint egy szimpla patch nem segít; újra kell(ene) gondolni a hálózaton lógó eszközök koncepcióját.
Hirdetés
 

Számos előnye mellett egy komoly hátránnyal is rendelkeznek a csatlakozott autók – vagyis azok a járművek, amik folyamatosan hálózati kapcsolatban vannak. Az elektromos rendszereikre egyre inkább támaszkodó, azokat kívülről is vezérelhető mivoltuk mind komolyabb támadási veszélyeket rejtenek magukban.

A Trend Micro számolt be nemrég arról a hibáról, mely meggátolhatja ezeknek a járműveknek az elterjedését. Az IT-biztonsággal foglalkozó vállalat szerint ugyanis a gépkocsik és utasaikat megóvni hivatott védelmi rendszereik felett engedély nélkül át lehet venni az ellenőrzést. Így nem csupán közlekedési balesetet okozhatnak a rosszindulatú támadók, de az emberek testi épségét, életét óvó megoldásokat – például a légzsákokat – is kikapcsolhatják.

Védhetetlen támadás

Minden idők egyik legveszélyesebb sebezhetőségét fedezte fel a Trend Micro, azt állítva, hogy a fenyegetés ellenére tulajdonképpen örülnünk kellene annak, hogy ráakadtunk. A probléma felismerésével ugyanis lehetőségünk nyílik tenni ellene valamit még azelőtt, hogy a rosszfiúk vennék kezükbe az irányítást.

A támadás jelenleg „védhetetlen” a modern autóbiztonsági technológiákkal és teljes eltüntetése széles körű, alapvető változásokat igényelne a gépjárművek és hálózati eszközeik gyártása során alkalmazott szabványok és módszerek tekintetében, foglalta össze a Trend Micro. Lesújtó megállapítása szerint egy visszahívási program vagy egy menet közben való frissítés nem tudja igazán kezelni a veszélyhelyzetet. A vállalat állítja, hogy egy teljes generációváltásra van szüksége az egyre inkább okossá váló autóknak ahhoz, hogy biztonsággal eltűnjön a fenyegetés az életünkből.

A elárulták, hogy a támadással gyakorlatilag észrevehetetlenül tilthatók le egyes eszközök – például a légzsákok, parkolást segítő érzékelők, aktív védelmi rendszerek stb. Állításuk szerint még a legmodernebb biztonsági eljárások sem képesek érzékelni ezeket a beavatkozásokat.

Minden gyártó érintett

Az igazán rémisztő azonban az, hogy a Trend Micro bevallotta: az általuk – biztonságos körülmények között – kipróbált támadásról kiderült: gyártófüggetlen. Két éve egy ehhez hasonló esemény miatt volt kénytelen a Chrysler 1,4 millió Jeepet visszahívni.

Amint arról mi is írtunk 2015-ben, a Jeep Cherokee-ban a Wired újságírója ült, és a hackerek is csak demózni akarták, mi mindent művelhetnek a Fiat Chrysler (FCA) járműveire telepített Uconnect rendszerrel. Ennek ellenére a kísérlet olyan hatásosra sikerült, hogy a kipróbált tesztalany, Andy Greenberg – aki korábban már részt vett hasonló kísérletekben – saját bevallása szerint menet közben felhívta az informatikusokat, és könyörgött nekik, hogy fejezzék be a bemutatót.

A Jeepet most is az a két biztonsági kutató, Charlie Miller és Chris Valasek vette gondjaiba, akik ezelőtt egy Toyota Prius és egy Ford Escape modellen is bemutattak néhány lehetséges támadást. Ezúttal az óránként 70 mérföldes (kb. 100 kilométeres) sebességgel haladó Cherokee internetre csatlakozó rendszerében használtak ki egy sebezhetőséget, hogy egy sor gonosz trükköt követően végül egy árokba vezessék a két tonnás utcai terepjárót.

Yes, you can

Szemben azonban a Jeepet érintő hackkel, ezúttal egy szoftveres upgrade nem jelent kielégítő megoldást, állítják a Trend Micro emberei. A hiba ugyanis nem az autókban, hanem az úgynevezett Controller Area Networkben (CAN) van. Ez a szabvány abból a célból született meg, hogy host számítógép nélküli kommunikációt biztosítson a mikrovezérlők és az egyéb eszközök között.

A Bosch által 1983-ban fejleszteni kezdett CAN azonban még egy olyan korban készült, amikor az önvezető, vagy legalábbis okosautók még a fasorban sem voltak, és így a biztonsági szempontok sem játszhattak különös szerepet. Mára viszont egyre inkább terjedőben vannak; a fejlett közlekedési járműveket gyártó cégek pedig többek között a CAN-re támaszkodva nyújtják termékeik szolgáltatásait. A hálózati standard megváltoztatására nincsen lehetőségük, csupán a támadás bekövetkeztének megnehezítése végett tehetnek lépéseket.

A végső megoldás a CAN újragondolása, felkarolása és végül alkalmazása lenne. Ehhez azonban az okosautók egy új generációjának kell megjelennie, állítják a Trend Micro kutatói.

Biztonság

Játszik a GTA V-tel? Lehet, hogy közben ön is bitcoint bányászott

Egy mod segítségével juttattak nem kívánt állományokat GTA V-öt futtató gépekre, hogy azok kriptovalutát bányásszanak a támadóknak.
 
Hirdetés

Megújult a First Class csomag – uniós adatroaming akár 70 gigabájtig

A változtatásokkal az elsősorban üzleti ügyfelek igényeire szabott ajánlat még rugalmasabb, miközben a prémium jellege is megmarad.

A technológiai fejlődés jó, csak épp még az adatvédelmi kockázatok is nőnek vele. A vállalatoknak pedig ezzel kell valamit kezdeni a változó adatkezelési szabályozás miatt. Összegyűjtöttük, mire kell figyelni.

a melléklet támogatója az Aruba Cloud

Hirdetés

A CISPE adatvédelmi magatartási kódex szerint szolgáltat az Aruba

Az Aruba Cloud minden felhőszolgáltatása megfelel azoknak az előírásoknak, amelyeket az európai felhőinfrastruktúra-szolgáltatók szakmai szövetsége adatvédelmi magatartási kódexében rögzített.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.