A Trend Micro szerint egy szimpla patch nem segít; újra kell(ene) gondolni a hálózaton lógó eszközök koncepcióját.

Számos előnye mellett egy komoly hátránnyal is rendelkeznek a csatlakozott autók – vagyis azok a járművek, amik folyamatosan hálózati kapcsolatban vannak. Az elektromos rendszereikre egyre inkább támaszkodó, azokat kívülről is vezérelhető mivoltuk mind komolyabb támadási veszélyeket rejtenek magukban.

A Trend Micro számolt be nemrég arról a hibáról, mely meggátolhatja ezeknek a járműveknek az elterjedését. Az IT-biztonsággal foglalkozó vállalat szerint ugyanis a gépkocsik és utasaikat megóvni hivatott védelmi rendszereik felett engedély nélkül át lehet venni az ellenőrzést. Így nem csupán közlekedési balesetet okozhatnak a rosszindulatú támadók, de az emberek testi épségét, életét óvó megoldásokat – például a légzsákokat – is kikapcsolhatják.

Védhetetlen támadás

Minden idők egyik legveszélyesebb sebezhetőségét fedezte fel a Trend Micro, azt állítva, hogy a fenyegetés ellenére tulajdonképpen örülnünk kellene annak, hogy ráakadtunk. A probléma felismerésével ugyanis lehetőségünk nyílik tenni ellene valamit még azelőtt, hogy a rosszfiúk vennék kezükbe az irányítást.

A támadás jelenleg „védhetetlen” a modern autóbiztonsági technológiákkal és teljes eltüntetése széles körű, alapvető változásokat igényelne a gépjárművek és hálózati eszközeik gyártása során alkalmazott szabványok és módszerek tekintetében, foglalta össze a Trend Micro. Lesújtó megállapítása szerint egy visszahívási program vagy egy menet közben való frissítés nem tudja igazán kezelni a veszélyhelyzetet. A vállalat állítja, hogy egy teljes generációváltásra van szüksége az egyre inkább okossá váló autóknak ahhoz, hogy biztonsággal eltűnjön a fenyegetés az életünkből.

A elárulták, hogy a támadással gyakorlatilag észrevehetetlenül tilthatók le egyes eszközök – például a légzsákok, parkolást segítő érzékelők, aktív védelmi rendszerek stb. Állításuk szerint még a legmodernebb biztonsági eljárások sem képesek érzékelni ezeket a beavatkozásokat.

Minden gyártó érintett

Az igazán rémisztő azonban az, hogy a Trend Micro bevallotta: az általuk – biztonságos körülmények között – kipróbált támadásról kiderült: gyártófüggetlen. Két éve egy ehhez hasonló esemény miatt volt kénytelen a Chrysler 1,4 millió Jeepet visszahívni.

Amint arról mi is írtunk 2015-ben, a Jeep Cherokee-ban a Wired újságírója ült, és a hackerek is csak demózni akarták, mi mindent művelhetnek a Fiat Chrysler (FCA) járműveire telepített Uconnect rendszerrel. Ennek ellenére a kísérlet olyan hatásosra sikerült, hogy a kipróbált tesztalany, Andy Greenberg – aki korábban már részt vett hasonló kísérletekben – saját bevallása szerint menet közben felhívta az informatikusokat, és könyörgött nekik, hogy fejezzék be a bemutatót.

A Jeepet most is az a két biztonsági kutató, Charlie Miller és Chris Valasek vette gondjaiba, akik ezelőtt egy Toyota Prius és egy Ford Escape modellen is bemutattak néhány lehetséges támadást. Ezúttal az óránként 70 mérföldes (kb. 100 kilométeres) sebességgel haladó Cherokee internetre csatlakozó rendszerében használtak ki egy sebezhetőséget, hogy egy sor gonosz trükköt követően végül egy árokba vezessék a két tonnás utcai terepjárót.

Yes, you can

Szemben azonban a Jeepet érintő hackkel, ezúttal egy szoftveres upgrade nem jelent kielégítő megoldást, állítják a Trend Micro emberei. A hiba ugyanis nem az autókban, hanem az úgynevezett Controller Area Networkben (CAN) van. Ez a szabvány abból a célból született meg, hogy host számítógép nélküli kommunikációt biztosítson a mikrovezérlők és az egyéb eszközök között.

A Bosch által 1983-ban fejleszteni kezdett CAN azonban még egy olyan korban készült, amikor az önvezető, vagy legalábbis okosautók még a fasorban sem voltak, és így a biztonsági szempontok sem játszhattak különös szerepet. Mára viszont egyre inkább terjedőben vannak; a fejlett közlekedési járműveket gyártó cégek pedig többek között a CAN-re támaszkodva nyújtják termékeik szolgáltatásait. A hálózati standard megváltoztatására nincsen lehetőségük, csupán a támadás bekövetkeztének megnehezítése végett tehetnek lépéseket.

A végső megoldás a CAN újragondolása, felkarolása és végül alkalmazása lenne. Ehhez azonban az okosautók egy új generációjának kell megjelennie, állítják a Trend Micro kutatói.

Biztonság

New York-i kísérlet az automatizált rendszerek elszámoltatására

A nagyváros munkacsoportot állított fel a közigazgatásban működő algoritmusok társadalmi hatásainak vizsgálatára.
 
A felhő terjedése nem lassítja a vállalati szerverközpontok növekedését. Érdemes azonban elgondolkodni azon, hogy milyen felhő- és milyen adatközponti stratégiákra van szükség.

a melléklet támogatója az Aruba Cloud

Hirdetés

Miért nehéz munkaerőt találni az adatközpontokba?

Kevés a magasan képzett, szabad munkaerő; és más tényezők is megnehezítik a megfelelő létszámú szakembergárda alkalmazását.

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.