Η πειρατεία των οχημάτων έχει ήδη δεκαπενταετή γενεαλογία. Αν και υπάρχουν τουλάχιστον 36 εκατομμύρια οχήματα στο δρόμο που ήδη συνδέονται με το διαδίκτυο, οι κατασκευαστές φαίνεται να έχουν μάθει ελάχιστα από τις μεγαλύτερες κρίσεις ασφάλειας της εποχής του Διαδικτύου. Η Cybersecurity είναι, για άλλη μια φορά, μια βουλωμένη επίγνωση και όχι αναπόσπαστο μέρος της μηχανικής ενός διασυνδεδεμένου οχήματος.

Οι χάκερ ξεκίνησαν γύρω στο 2002, στοχεύοντας σε τεχνολογίες διαχείρισης μηχανών που ελέγχουν τους υπερσυμπιεστές και τα μπεκ ψεκασμού καυσίμου. Το 2005, η Trifinite έδειξε τη χρήση Bluetooth για να παρακολουθήσει κρυφά ή να μεταδώσει ακουστικά σήματα στο αυτοκίνητο. Το 2007, η εταιρεία Inverse Path του Ηνωμένου Βασιλείου έδειξε πώς οι χάκερ θα μπορούσαν να θέσουν σε κίνδυνο την ακεραιότητα των συστημάτων πλοήγησης στο αυτοκίνητο, στέλνοντας ψεύτικες ενημερώσεις κυκλοφορίας μέσω του FM, προκαλώντας την ανακατανομή των αυτοκινήτων.

Το 2010, ο πειραματισμός ξεπεράστηκε από δραματικές παρεμβάσεις που θα μπορούσαν να επηρεάσουν την κινητικότητα του ίδιου του αυτοκινήτου. Στο Τέξας, ένας δυσαρεστημένος πρώην υπάλληλος αντιπροσωπείας αυτοκινήτων χρησιμοποίησε κλεμμένα διαπιστευτήρια για να αποκτήσει πρόσβαση σε μια κονσόλα ακινητοποίησης οχημάτων μέσω διαδικτύου και άρχισε συστηματικά να «τρυπώνει» τα αυτοκίνητα που είχε πουλήσει ο πρώην εργοδότης του.

Θα μπορούσε να υποστηριχθεί ότι αυτή η απομακρυσμένη επίθεση βασιζόταν σε σύστημα ακινητοποίησης μετά την αγορά (που εφαρμόστηκε για να «ενθαρρύνει» τους τελευταίους πληρωτές να βήξουν) και ως εκ τούτου δεν μπορεί να αποδοθεί άμεσα ως αδυναμία των συνδεδεμένων οχημάτων.

Οι απομακρυσμένες αμυχές γίνονται πραγματικότητα

Ωστόσο, κανένα τέτοιο επιχείρημα δεν εφαρμόστηκε το 2015 όταν οι Charlie Miller και Chris Valasek ήταν σε θέση να διοικούν εξ αποστάσεως ένα Jeep Cherokee που οδηγούσε στον δημόσιο αυτοκινητόδρομο. Αξιοποιώντας μια ευαισθησία μηδενικών ημερών στο λογισμικό ψυχαγωγίας του οχήματος, κατάφεραν να αναλάβουν τις λειτουργίες του ταμπλό, το τιμόνι, τα φρένα και τη μετάδοση.

Δύο χρόνια αργότερα, οι Miller και Valasek είχαν εξευγενίσει την έρευνά τους μέχρι το σημείο όπου ήταν σε θέση να αποκτήσουν πλήρη έλεγχο του οχήματος, παρακάμπτοντας τους περιορισμένους μηχανισμούς ψηφιακής ασφάλειας και διόρθωσης σφαλμάτων, χτύπησαν τα φρένα, επιταχύνθηκαν και γύρισε τροχό σε οποιαδήποτε ταχύτητα.

Ενώ οι Miller και Valasek δεν πραγματοποίησαν αυτές τις δευτερεύουσες επιθέσεις εξ αποστάσεως, επικεντρώνοντας τις επιθέσεις τους σε ένα φορητό υπολογιστή συνδεδεμένο απευθείας στο δίκτυο του Controller Area (γνωστός και ως CAN bus) μέσα στο όχημα, οι προηγούμενες έρευνές τους δείχνουν ότι αυτό παραμένει μια πιθανότητα.

Τα πλήρως αυτόνομα οχήματα δεν έχουν ακόμη λάβει άδεια για την πλειοψηφία των οδικών δικτύων παγκοσμίως και η συνδεδεμένη αυτοκινητοβιομηχανία εξακολουθεί να είναι στα αρχικά στάδια. Τι σημαίνει λοιπόν αυτή η έρευνα και οι συναφείς ευπάθειες και εκμεταλλεύσεις για το μέλλον μας;

Ακόμη και το 2015, οι Miller και Valasek ήταν σε θέση να εντοπίσουν από απόσταση 471.000 Jeep Cherokees στο δρόμο, όποιοι από αυτούς θεωρητικά θα μπορούσαν να χειριστούν ψηφιακά. Οι εκτιμήσεις για τα ποσοστά υιοθεσίας πλήρως αυτόνομων οχημάτων ποικίλλουν, αλλά μια μελέτη από την BCG εκτιμά ότι μέχρι το 2035, περισσότερα από 12 εκατομμύρια πλήρως αυτόνομες μονάδες θα μπορούσαν να πωληθούν ετησίως σε όλο τον κόσμο, μαζί με άλλα 18 εκατομμύρια ημιαυτόνομες μονάδες που συγκεντρώνουν το 25% αγορά νέων αυτοκινήτων.

Οι σημερινές τεχνολογίες δεν ταιριάζουν στο μέλλον

Ζούμε ήδη σε έναν κόσμο όπου κάθε εταιρεία είναι πλέον μια εταιρεία λογισμικού σε κάποιο βαθμό. Είτε πρόκειται για την εφοδιαστική, την υγειονομική περίθαλψη, τη γεωργία ή την αυτοκινητοβιομηχανία, τα προϊόντα τους και τα συναφή οικοσυστήματα έχουν ήδη εξαιρετικά ψηφιακό χαρακτήρα, οδηγούνται από το λογισμικό και διασυνδέονται.

Δυστυχώς, πολλοί παραδοσιακοί κατασκευαστές, αν και έχουν υψηλή εξειδίκευση στους τομείς της εμπειρογνωμοσύνης τους, προηγουμένως δεν έπρεπε να εξετάσουν την ψηφιακή ασφάλεια στη φάση σχεδιασμού τους. Η παραδοσιακή τεχνολογία αυτοκινήτου μπορεί να διασυνδέθηκε διακριτικά εσωτερικά, αλλά οποιαδήποτε σημαντική ανταλλαγή δεδομένων πραγματοποιήθηκε μέσω της ενσωματωμένης θύρας διάγνωσης.

Κατά συνέπεια, τα επίπεδα ασφάλειας που ενσωματώνεται σήμερα στην τεχνολογία CAN bus είναι υποτυπώδη στην καλύτερη περίπτωση και εύκολα ξεπεραστούν. Η έρευνα έχει ήδη δείξει ότι τα ελαττώματα στην αρχιτεκτονική διαύλου CAN είναι τόσο θεμελιώδη ώστε να μπορούν να αντιμετωπιστούν πλήρως μόνο μέσω μιας ενημέρωσης του προτύπου αρχιτεκτονικής CAN.

Το μέλλον των αυτόνομων οχημάτων βασίζεται σε μια εκθετικά αυξανόμενη συνδεσιμότητα. Οι μεταδόσεις οχήματος-οχήματος (V2V) επιτρέπουν τη δημιουργία ad-hoc ασύρματων δικτύων στα οδικά οχήματα που ανταλλάσσουν δεδομένα οδικής κυκλοφορίας και κυκλοφορίας, για παράδειγμα.

Με τον ίδιο τρόπο που το Ίντερνετ των πραγμάτων (IoT) γρήγορα έδωσε τη θέση του στο Internet του Everything (IoE), το V2V έχει ήδη αντικατασταθεί από το V2X ή το όχημα σε όλα.

Περιλαμβάνει τα V2V, V2I (Vehicle to Infrastructure), V2P (Vehicle to Pedestrian), V2D (Vehicle to Device) και V2G (Vehicle to Grid) - και μπορείτε να περιμένετε να συνεχιστεί η επέκταση αυτής της λίστας ακρωνυμίων.

Με επιπλέον συνδεσιμότητα έρχονται περισσότερες γραμμές κώδικα και με περισσότερες γραμμές κώδικα υπάρχουν περισσότερες ευπάθειες. Αυτό το αναπτυσσόμενο οικοσύστημα σημαίνει περισσότερες αρθρώσεις για ασφαλή και πιο πιθανά σημεία κακόβουλης πρόσβασης.

Μελλοντικές επιθέσεις, υπεράσπιση της υπεράσπισης

Εάν σκέφτεστε ότι οι εγκληματίες του κυβερνοχώρου παρακινούνται από χρήματα και δεν μπορείτε να δείτε γιατί θα ήταν κίνητρα να επιτεθούν σε οχήματα, θα σας αφήσω με δύο σενάρια.

Το πρώτο, και ίσως το πιο γνωστό, είναι το ransomware για τα αυτοκίνητα. Φανταστείτε το ξεκλείδωμα του οχήματός σας το πρωί και δώστε εντολή στον ψηφιακό σας βοηθό να σας παραδώσει στην εργασία. Αντί να σας υποδεχτεί ο οικείος ψηφιακός persona, σας καλωσορίζουμε αντ 'αυτού από μια απαίτηση λύτρας: "Εάν θέλετε ποτέ να οδηγήσετε αυτό το αυτοκίνητο, στείλτε και πάλι 1 CrypCoin σε ... Κάθε προσπάθεια να καταργήσετε αυτό το ransomware θα οδηγήσει στη συγκόλληση του μπλοκ κινητήρα σας".

Σε ένα πολύ πιο ύπουλο σενάριο, εξετάστε το σημερινό ευνοούμενο όπλο τρομοκρατικών ομάδων. Θα μπορούσα να κάνω μια ισχυρή υπόθεση για να είναι οχήματα, όπως μαρτυρούν οι πρόσφατες επιθέσεις στο Λονδίνο, τη Νέα Υόρκη, τη Νίκαια και τη Βαρκελώνη.

Φανταστείτε ένα μελλοντικό στόλο αυτόνομων οχημάτων, όλοι οι οποίοι μοιράζονται μια κοινή, ευπρόσιτη ευπάθεια, στους δρόμους μας. Οι αισθητήρες επί των οχημάτων θα μπορούσαν να χρησιμοποιηθούν για τον εντοπισμό στόχων και οι επικοινωνίες τους V2V να ανατραπούν για να λειτουργήσουν ως συντονισμένη ομάδα - ενώ ο επιτιθέμενος λειτουργεί όλα από χιλιάδες μίλια μακριά.

Είναι επιτακτική ανάγκη οι οργανώσεις στον κυβερνοχώρο και οι ερευνητές να συνεργάζονται στενά με την αυτοκινητοβιομηχανία για να τους βοηθήσουν να γεφυρώσουν το χάσμα των δεξιοτήτων - για να μην αναφέρουμε την έλλειψη δεξιοτήτων στον κυβερνοχώρο - να διασφαλίσουμε ότι η ασφάλεια στην αυτόνομη εποχή των οχημάτων δεν είναι βουλωμένη, σε.

Πρέπει να μάθουμε τα πολύτιμα διδάγματα που μας διδάσκει το διαδίκτυο σήμερα. Η ταχεία καινοτομία και η υιοθεσία - χωρίς σκέψη για την ασφάλεια - παρέχει ένα εύφορο έδαφος αναπαραγωγής για εγκληματικές πράξεις και κακομεταχείριση.