Επίδειξη χάκινγκ σε αυτοκίνητα ενώπιον χάκερ και δημοσίευση λευκής βίβλου

Έρευνα σε βάθος για την ευκολία με την οποία θα μπορούσε μη εξουσιοδοτημένος χρήστης να αλλάξει το λογισμικό σε βασικό τμήμα του ηλεκτρονικού εξοπλισμού των σύγχρονων αυτοκινήτων διενεργούσαν επί εννέα μήνες μελετητές ειδικοί σε θέματα ασφάλειας πληροφοριακών συστημάτων, σε ένα έργο που συγχρηματοδοτήθηκε από την αμερικανική κυβέρνηση (U.S Defense Advanced Research Projects Agency). Η λευκή βίβλος του χάκινγκ στα σύγχρονα αυτοκίνητα, έκτασης 100 σελίδων, θα παρουσιαστεί στο συνέδριο χάκινγκ Def Con που λαμβάνει χώρα στο Λας Βέγκας στις 1-3 Αυγούστου 2013.

Ο Chris Valasek (επικεφαλής ασφάλειας στην IOActive) και ο Charlie Miller (που επιμελείται τα θέματα ασφάλειας στο Twitter) εντόπισαν αδυναμίες στην ηλεκτρονική μονάδα επεξεργασίας (EPU) κάθε οχήματος, ένα σύστημα που έχει καταστεί υποχρεωτικό στα αυτοκίνητα που κυκλοφορούν στις ΗΠΑ από το 1996. Η παρουσίαση θα γίνει στo συνέδριο Def Con στο Λας Βέγκας ενώπιον των λεγόμενων white hat hacker, δηλαδή ερευνητών που επιχειρούν εισβολές σε πληροφοριακά συστήματα και δίκτυα για να εντοπίσουν τα κενά στην ασφάλειά τους και ενημερώνουν κατά προτεραιότητα τις εταιρείες ανάπτυξης τα συστήματα των οποίων αποδεικνύονται επισφαλή. Στην συνέχεια, μπορεί να δημοσιοποιήσουν τα ευρήματά τους.


O Chris Valasek έχει δημοσιεύσει στο blog του ένα σύντομο βίντεο -με τον κωμικό τίτλο Mario Cart Prius- στο οποίο επιδεικνύει το κατόρθωμά του

Το πρακτορείο Reuters μεταδίδει πως, οι Valasek και Miller κατάφεραν να κάνουν ένα Toyota Prius (που τρέχει το λογισμικό Safety Connect) να φρενάρει απότομα με 130 χλμ. την ώρα, να στρέψουν απότομα το τιμόνι του και να επιταχύνουν το όχημα. Η επέμβαση στο τιμόνι αυτού αλλά και ενός ακόμα αυτοκινήτου έγινε με χάκινγκ στο σύστημα υποβοήθησης του παρκαρίσματος (Park Assist) που κάνει το όχημα να κινείται με χαμηλή ταχύτητα προς τα πίσω. Επίσης, σε ένα Ford Escape (μοντέλο 2010 με το λογισμικό Ford SYNC) κατάφεραν να απενεργοποιήσουν πλήρως τα φρένα όταν το όχημα κινείται με πολύ χαμηλή ταχύτητα, ώστε να μην σταματάει όση πίεση κι αν ασκεί ο οδηγός στο πετάλι.


Οι ερευνητές έδειξαν τι κατάφεραν να κάνουν στο δημοσιογράφο του περιοδικού Forbes Andy Greenberg και κατέγραψαν την εμπειρία σε βίντεο

Πάντως, οι πολύμηνες προσπάθειες των ερευνητών έγιναν ενώ οι ερευνητές ήταν μέσα στα αυτοκίνητα, όχι από απόσταση.
Μιλώντας στο securityweek.com, οι Valasek και Miller είπαν πως χρειάστηκαν εννέα μήνες μελέτης για να μάθουν τα μυστικά λειτουργίας κάποιων υποσυστημάτων και τώρα μαθαίνουν πιο γρήγορα. Ωστόσο, δηλώνουν στο γαλλικό πρακτορείο AFP πως όποιος μπορεί να έχει φυσική πρόσβαση σε αυτό το τμήμα του εξοπλισμού του αυτοκινήτου -που τοποθετείται κάτω από το τιμόνι- όπως για παράδειγμα ένας παρκαδόρος, θα μπορούσε να κάνει το χάκινγκ, γράφοντας νέο κώδικα πάνω στον υπάρχοντα (overwrite).

Μελέτες για το λογισμικό στο αυτοκίνητα έχουν ήδη διεξαχθεί και αυτή των Valasek και Miller δεν είναι η πρώτη. Ωστόσο, διεξάγονται και τηρούνται με μεγάλη μυστικότητα, αφού αφορούν στην ανθρώπινη ζωή. Ομάδα ακαδημαϊκών έδειξε το 2011 πως μπορεί κανείς να εκμεταλλευτεί την τεχνολογία ασύρματης επικοινωνίας μικρής εμβέλειας, το γνωστό Bluetooth αλλά και άλλα συστήματα ασύρματης επικοινωνίας για να «μολύνουν» τα συστήματα οχημάτων. H εργασία τους κέρδισε την προσοχή των αρμόδιων κυβερνητικών οργάνων και η υπηρεσία ασφάλειας της κυκλοφορίας των οχημάτων στις εθνικές λεωφόρους ξεκίνησε πρόγραμμα έρευνας για θέματα κυβερνοασφάλειας για τα αυτοκίνητα.

Εν τω μεταξύ, Ευρωπαίοι επιστήμονες επρόκειτο να παρουσιάσουν στα μέσα Αυγούστου στην Ουάσινγκτον έρευνα για το χάκινγκ της σύγχρονης ηλεκτρονικής κλειδαριάς πολυτελών οχημάτων, όπως Porsche, Audi, Bentley και Lamborghini. Ωστόσο, βρετανικό δικαστήριο ανταποκρίθηκε σε αίτημα της Volkswagen AG και εξέδωσε περιοριστική εντολή που απαγορεύει την δημοσίευση της μελέτης των Flavio D. Garcia του Πανεπιστημίου του Μπίρμιγχαμ και Roel Verdult και Baris Ege του Radboud University Nijmegen στην Ολλανδία και την παρουσίαση στο συνέδριο Usenix,
όπως μεταδίδει το πρακτορείο Reuters. Πηγή: in.gr