Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Вести
11 мар
2017
 
 

Новите автомобилни технологии отварят врати за атаки на ЦРУ

Експерти по сигурността не са изненадани от информацията за хакнати смарт автомобили в документите, пуснати от Wikileaks.

1359 прочитания, 0 коментара

Разкритията на Wikileaks, че ЦРУ е проучвало хакването на компютърните контролни системи в автомобилите, би трябвало да разтревожи потребителите, особено след като все повече коли и камиони излизат от поточните линии с автономни функции.

Експерти по сигурността не са изненадани от информацията за хакнати смарт автомобили в документите, пуснати от Wikileaks.

„Смятам, че има основателна причина за тревога, свързана с всички компютри, добавяни към колите, каза Кит Уолш, адвокат на групата за защита на личната неприкосновеност Фондация „Електронни граници“ (Electronic Frontier Foundation - EFF). - Няма причина ЦРУ или други разузнавателни агенции или зложелатели да не могат да използват тези уязвимости, за да навредят на хора.“ Според него рискът е по-голям, ако се доверявате на самоуправляваща се кола.

Прочетете още: WikiLeaks ще помага на ИТ фирмите да обезоръжат хакерите на ЦРУ

Тази седмица WikiLeaks публикува над 8700 документа, за които твърди, че са взети от Център за кибер разузнаване на ЦРУ. Някои от изтеклите документи подсказват, че разузнавателната агенция е търсила начин да използва уязвимости в смартфони, смарт телевизори и автомобилни компютърни системи.

„През октомври 2014 г. ЦРУ се е опитвало да заради контролните системи, използвани от модерните автомобили и камиони, твърдят от Wikileaks. - Целта на подобен контрол не е уточнена, но би позволила на ЦРУ да организира почти неоткриваеми убийства.“

WikiLeaks даде линк и към бележки от вътрешна среща през 2014 г., изброяващи „потенциалните области за бъдещи мисии“ на отдела за вградени устройства на ЦРУ. Бележките включват препратки към „Vehicle Systems“ и „QNX“, като последното е автомобилната софтуерна платформа на Blackberry за телематика и вградени инфоразвлекателни системи (IVI).

Все по-често автомобилните производители внедряват QNX. През 2016 г. например Ford обяви, че се отказва от Microsoft като платформа за системата си SYNC и преминава към QNX. Новата версия на Ford SYNC 3 използва QNX и бе инсталирана в новите модели миналото лято.

Автомобилните производители осигуриха възможност за отдалечено обновяване на софтуера в колите, което пък позволява качването на зловреден код във вградените системи.

Ролята на правителството е да защитава американците, да проучва уязвими места в сигурността и да известява производителите на продукти за потенциалните вреди, а не да ги използва, казва Уолш.

През 2014 г. администрацията на Обама увери американците, че политиката, наречена „Vulnerability Equities Process“ (VEP), би попречила на федералните служби да скрият големи пропуски в сигурността от компаниите, засегнати от тях, особено онези, които могат да навредят на потребителите. Всяка „дупка“ в сигурността, която е била използвана от агенциите за сигурност, би трябвало да е само в интерес на националната отбрана.

„Агенциите би трябвало да разкриват уязвимостите, така че компаниите да ги поправят и да осигурят безопасност на американците. Това е пример за огромна агенция, която не следва тези правила и оставя хората изложени на риск, казва Уолш. - Виждали сме това и преди от щатското правителство“, добавя той.

През миналата година група, нарекла се „Сенчестите братя“, разкри хакерски инструментариум, за който се предполага, че е на Националната агенция по сигурност. Той е проектира да прониква зад мрежовите защитни стени. В документите имаше и информация за няколко дотогава неизвестни дупки в сигурността, познати като „уязвимости от нулевия ден“. Според статия в Reuters, инструментариумът на NSA е бил създаден да използва уязвимости в масово използвани мрежови продукти на Cisco и Fortinet.

В момента решението за това дали да се скрие или да се разкрие уязвимост теоретично се управлява от VEP, но тъй като правилата не са подписани от правителството, те са „беззъби“, пишат в блога си от Фондация EFF.

Специалистът по криптография Брус Шнайър каза, че е нужна правителствена регулация. „Това е огромен проблем, заяви той. - Тези неща засягат целия свят по доста директен физически начин и ще причинят вреди на личната неприкосновеност и на живота.“

Той добави, че не се съмнява, че ЦРУ е използвало уязвимостите „от нулевия ден“ като средство за шпиониране и убийство на врагове.

„Смятам, че най-лошото нещо е, че то демонстрира, точно както и Сенчестите братя казаха, че уверенията на администрацията на Обама, че за VEP приоритет е отбраната, са лъжа“, заяви Шнайър.

Според в. Washington Post, целта на хакерските усилия на ЦРУ, разкрити от Wikileaks, не може да бъде проверена от независим източник, а агенцията отказа да потвърди подобни действия.

Автомобилната киберсигурност вече е сред топ приоритетите на автомобилните производители и регулатори след няколко случая на „бели“ хаквания, които доказаха, че колите могат да бъдат прихванати и контролирани отдалечено.

Модерната кола има дузина компютри и до 100 милиона реда код, като на всеки 1000 линии код има поне 15 бъга, които са потенциални „врати“ за бъдещи хакери, твърдят от Navigant Research.

Тъй като повечето модели вече са снабдени с клетъчна, Wi-Fi и Bluetooth свързаност, експертите твърдят, че те са станали още по-уязвими за хакерите, които могат отдалечено да получат достъп или чрез устройства за безжично подслушване, или през интернет.

До 2020 г. по пътищата ще има над 250 млн. безжично „свързани“ коли, според прогнозите на Gartner.

През 2015 г. например специалистите по сигурност Чарли Милър и Крис Валасек си сътрудничиха със сп. Wired, за да демонстрират, че могат отдалечено да проникват и да контролират развлекателната система и други по-важни функции на Jeep Cherokee.

И двамата хакери са много опитни изследователи на ИТ сигурността. Милър е бивш хакер от NSA и изследовател на сигурността, работещ за Twitter; Валасек е директор по проучване на сигурността в консултантската фирма IOActive.

Тази хакерска демонстрация се отрази на Fiat Chrysler Automobiles (FCA), седмият в света автомобилен производител, който изпрати искане за връщане на повече от 1,4 милиона коли, за да поправи дупката в софтуера, позволила на хакерите да получат достъп до важните функции.

На базата на предишно поведение „зловредните“ хакери обикновено не проникват в компютърна система, за да навредят директно на хората, а целта им е да получат финансови облаги, заяви Уолш. Така че ако ЦРУ е проучвала начини да хакне автомобилни системи, то това не е с тази типична цел. „Идеята, че можете чрез хакване на колата да убиете някого, се разнася не само в шпионските филми от доста време. Но доколкото аз знам, нямаме никакво потвърждение, че някой, който би искал да го направи, е намерил точно този начин“, добави Уолш.

Computerworld, САЩ

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ


Слайдшоу
ИНТЕРВЮ
Стандартизирането към добрите практики на ITIL: приоритет за VIVACOMСтандартизирането към добрите практики на ITIL: приоритет за VIVACOM

Разговор с Росен Тончев, новият директор на дирекция „Информационни технологии“ на телекомуникационния оператор.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас