Темой 46-го всемирного экономического форума в Давосе стала «Четвертая индустриальная революция» — смена технологического уклада, способная кардинально изменить существующие экономические и социальные реалии. Интернет всего (как более широкое видение Интернета вещей, IoT), киберфизические системы, межмашинное взаимодействие (M2M), умные города — ключевые понятия и тренд будущей экосистемы цифровой экономики.
Одним из краеугольных камней грядущих изменений и технологией, наиболее явственно и наглядно демонстрирующей глубину перемен, является умный транспорт. Самоуправляемые, собранные в единую сеть, обменивающиеся информацией о дорожно-транспортной ситуации с управляющим центром и друг с другом автомобили, полностью изменят и систему перевозки пассажиров, и логистические схемы.
В статье будут рассмотрены существующие примеры и потенциальные уязвимости умного транспорта, опасности, связанные с возможностями удаленного управления и перехватом телеметрии, и прочие риски.
Современный автомобиль уже может называться умным. Активный круиз-контроль, слежение за дорожными знаками и разметкой — технологии, применяемые автопроизводителями все более массово, а не только на своих флагманах, демонстрирующих эти возможности. Даже на относительно бюджетном авто сегодня можно встретить функции интеллектуальной парковки. Все эти функции стали доступны в том числе потому, что абсолютное большинство автомобилей уже не имеет физической связи между органами управления и, условно, колесами (а также коробкой, тормозной системой и пр.). Теперь руль и педали — это интерфейс бортового компьютера, который непосредственно и управляет автомобилем. Результат — гигабайты кода, отвечающего за логику управления и анализ телеметрии от различных датчиков.
До недавних пор потенциальные риски проникновения в бортовое оборудование не слишком тревожили автопроизводителей и общественность, т. к. далеко не ко всем системам можно было подключиться удаленно.
Однако ситуация меняется. Сейчас существует множество противоугонных комплексов и систем комфортного пользования, предоставляющих удаленный доступ к важным функциям автомобиля. Известны случаи компрометации подобных систем [1], что потенциально представляет серьезный материальный ущерб. Год назад в системе бесключевого доступа и запуска Land Rover была обнаружена уязвимость, которая приводила к самопроизвольному отпиранию дверей [2]. И это только верхушка айсберга.
В том же 2015-м эксперты по безопасности Чарли Миллер и Крис Валасек продемонстрировали возможность удаленного взлома автомобиля Jeep Cherokee [3]. Сначала они получили доступ к мультимедийной системе, взломав ее Wi-Fi, но не остановились на этом. Они использовали сеть сотовой связи, к которой подключен компьютер автомобиля, и в которую удалось попасть используя фемтосоту. Просканировав IP-адреса и перехватив определенные вызовы, о которых они узнали при взломе Wi-Fi, специалисты нашли все машины с установленным компьютером. После этого вычислили конкретный автомобиль по GPS-трекеру. Несмотря на то, что мультимедийная система и блоки управления (ECU) формально не связаны, на практике удалось найти уязвимость, позволяющую получить доступ к CAN-шине. И после перепрошивки компьютера они смогли управлять системами автомобиля.
Взломанный Jeep Cherokee
Продемонстрированный специалистами взлом хоть и интересен, но причину проблемы легко исправить: достаточно полностью изолировать подключенный к сети мультимедийный сервис от управляющих систем автомобиля. Миссия не выглядит невыполнимой даже несмотря на то, что растет количество функций, доступ к которым предоставляется через единый интерфейс с развлекательной системой (один условный тачскрин, на котором можно и громкость музыки отрегулировать, и подогрев сидений включить).
Но с развитием концепции автопилотируемых и подключенных к единой информационной сети автомобилей проблема встает в полный рост. По оценкам авторитетного издания Gartner, к 2020 году количество «подключенных» автомобилей превысит четверть миллиарда [4]. И речь идет не только об информационно-развлекательной сети. Умные машины будут передавать телеметрию, данные о местоположении, различную сервисную информацию в единые управляющие центры и сервисные службы автопроизводителей.
Увеличивающийся объем кода и усложнение логики потребует перманентного подключения к сети для получения обновлений. При наличии же подключения, уязвимость системы очевидна. Специалисты Positive Technologies Кирилл Ермаков и Дмитрий Скляров на форуме по информационной безопасности PHDays рассказывали о взломе микроконтроллера управления автомобилем (ECU) [5]. Другой пример продемонстрировал доцент университета города Хиросимы Хироюки Иноуэ [6]. Подключив к CAN-шине устройство Wi-Fi, исследователь смог взломать систему с помощью смартфона, программу для которого он написал сам. Подключившись, он смог изменять показания приборов и «играть» с системами автомобиля. Даже не вникая в логику управления, с помощью DDoS-атаки на управляющие системы ему удалось лишить автомобиль возможности движения: компьютер просто не мог обработать поток данных.
Исследовательские и опытно-конструкторские работы в области полностью беспилотных автомобилей ведут многие компании, как непосредственно автопроизводители (например, Audi, Ford) [7], так и IT-гиганты. Google активно тестирует свои беспилотные авто [8]. С 2009 года они проехали более 2 млн километров (власти Калифорнии легализовали использование автомобилей с функцией автопилота на дорогах штата в сентябре 2012 года). А в феврале 2016-го один из «гугломобилей» стал виновником ДТП [9]. В разработке не отстают и компании Samsung и Baidu [10]. В нашей стране внимание к теме беспилотного транспорта проявляется на самом высоком уровне: КамАЗ совместно с Cognitive Technologies начал разработку беспилотного грузовика [11].
Но несмотря на пристальное (как мы надеемся) внимание к безопасности, подобные системы слишком сложны, чтобы полностью исключить возможность их взлома. Тем более, что в качестве элементной базы для разработок используются существующие платформы и каналы связи.
Основными элементами подверженными угрозам взлома выступают как встроенные системы самого автомобиля, так и каналы коммуникаций, дорожная инфраструктура. Работы по обеспечению безопасности ведутся уже сегодня. Например, «Лаборатория Касперского» разрабатывает собственную операционную систему для автомобилей [12]. Intel объявил о создании наблюдательного совета в сфере автомобильной безопасности Automotive Security Review Board (ASRB) [13]. Исследования в области безопасности ведут McAfee и IET [14]. Для «общения» автомобилей между собой и с инфраструктурой прорабатываются стандарты V2V (автомобиль—автомобиль) и V2I (автомобиль—придорожная инфраструктура) [15]. Однако все это не может полностью обезопасить от угроз. Автопилотируемый транспорт — многокомпонентная система, включающая, помимо управляющего компьютера, ряд средств для ориентации, таких как радары, лидары (устройство для получения и обработки информации об удаленных объектах с помощью активных оптических систем), системы спутниковой навигации (GPS), стереокамеры, карты местности. Информация от любого из этих элементов может быть скомпрометирована.
В качестве иллюстрации перспективной схемы инфраструктуры умного транспорта интересно проанализировать концепции военной области, т. к. из нее исходят многие фундаментальные технологии современной IT-индустрии.
Схема глобальной информационной сети GIG
GIG (Global Information Grid) — глобальная информационная сеть оборонного ведомства США [16]. Концепция глобальной сети для управления войсками разрабатывается не первый год и использует в том числе существующие гражданские сети передачи данных. Основная прелесть приведенной схемы заключается в том, что каждый элемент этой концепции является объектом сети (даже у ракеты есть адрес). Несложно предположить, что подобная схема будет лежать в основе и гражданской единой системы управления транспортом.
Хотя транспорт будет лишь частью такой системы. Например, российская компания RoboCV [17] внедряет автопилотируемую складскую технику, работающую в связке со складскими программами и построенную на Ubuntu и сети Wi-Fi — и потенциально уязвимую для взлома. По всей видимости, именно подобные системы вкупе с автоматизацией грузового транспорта и станут основной точкой выхода автопилотируемого транспорта в свет. Это и понятно: грузовой транспорт является, по сути, частью производства и торговли, а логистические и транспортные компании наиболее заинтересованы в автоматизации процессов перевозки и связанных с этим возможностях оптимизации схем доставки, расчетов, снижением издержек (американский штат Невада уже дал разрешение на использование самоуправляемого грузовика фирмы Daimler на своих дорогах [18]). Можно представить всю схему, получившуюся в итоге: в складской программе «отгружают» товар, после чего автопогрузчик сам загружает фуру, которая, в свою очередь, отвозит груз к заказчику, где все повторяется в обратной последовательности. Человек полностью исключен из процесса — дивный новый мир! Однако с точки зрения ИБ подобная схема не может не вызывать по меньшей мере недоверия. Множество точек входа от складской сети предприятия до управляющей сети грузового транспорта и системы самого транспорта, управляющие центры, отслеживающие перемещения товара… А полное исключение людей из процесса не позволит узнать о взломе до тех пор, пока товар не должен будет попасть в оборот. При этом и сам автомобиль может выступить в роли взломщика: будучи инфицированным, он оказывается точкой входа в сети, к которым подключается. Фура вместе с товаром может вывезти со склада и базу данных или послужить источником заражения корпоративной сети.
Это только некоторые из потенциальных последствий. Хотя наиболее очевидные проблемы связанны с безопасностью движения (вмешательство в процесс управления), массовая автоматизация транспорта несет риск постоянного контроля за перемещением даже без взлома конечного пользователя: информацию можно будет получить в централизованных системах. Абсолютно новые возможности открываются для контрабанды. Можно в прямом смысле паразитировать на готовой инфраструктуре, используя чужой транспорт даже без ведома владельцев. Появляются новые схемы атак, заказанных конкурентами. Не говоря уже о возможности кибертерроризма и массовых атак на управляющие системы.
Идеи умного беспилотного транспорта не новы, но очевидно: их время пришло. Проводятся представительные конференции за рубежом и в нашей стране [19]. Внимание обращают и на законодательные аспекты: в США представлен проект акта, посвященного автомобильной кибербезопасности [20]. Как и любая новая масштабная технология, умный транспорт несет множество рисков, и понимание этих рисков, к счастью, есть.
Источники
- Уязвимости криптотранспондера позволяют заводить без ключа более 100 моделей машин.
- Баг в софте автомобилей Land Rover приводит к самопроизвольному отпиранию дверей.
- Hackers Remotely Kill a Jeep on the Highway—With Me in It.
- Gartner Says By 2020, a Quarter Billion Connected Vehicles Will Enable New In-Vehicle Services and Automated Driving Capabilities.
- Презентация «Как «вправить» автомобилю «мозги»».
- Toyota Corolla Hybrid Car Hacked via Smartphone.
- Audi piloted driving. Ford is testing self-driving cars in the snow, which is a really big deal.
- Google Self-Driving Car Project.
- Google says it bears 'some responsibility' after self-driving car hit bus.
- Samsung и Baidu спешат обогнать автомобили Google.
- КамАЗ начал разработку беспилотного грузовика.
- «Лаборатория Касперского» разрабатывает безопасную ОС для автомобилей.
- Intel начинает бороться за информационную безопасность автомобилей.
- McAfee Automotive Security Best Practices. IET. Automotive Cyber Security: An IET/KTN Thought Leadership Review of risk perspectives for connected vehicles.
- Vehicle-to-Vehicle/Vehicle-to-Infrastructure Control.
- Department of Defense Global Information Grid Architectural Vision Vision for a Net-Centric, Service-Oriented DoD Enterprise.
- Интеллектуальные автопилоты для складской техники
- Self-driving semi licensed to drive in Nevada.
- Саммит Automotive Cybersecurity, саммит Connected Car.
- Сенаторы представили проект акта, посвященного автомобильной кибербезопасности.