ИБ-исследователи с энтузиазмом приветствовали выпущенное ФБР и Национальным управлением по безопасности движения автотранспорта (National Highway Traffic Safety Administration, NHTSA) предупреждение, в котором организации уведомляют автомобильную отрасль об опасности кибератак. Но тем не менее эксперты признают, что и правительство, и отрасль должны приложить больше усилий для защиты водителей.

На прошлой неделе в совместном заявлении обе организации предупредили, что в системах умных автомобилей и подключаемых к электронному блоку управления сторонних устройств могут содержаться уязвимости. В некоторых случаях, как отметили ФБР и NHTSA, эти уязвимости могут представлять «неоправданный риск в отношении безопасности движения ввиду ряда критических факторов».

Администрация, очевидно, имела в виду атаку на автомобиль Jeep Cherokee 2014 года, которую продемонстрировали исследователи Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) в августе 2015 года. В ходе демонстрации эксперты удаленно перехватили управление машиной.

«Я удивлен, что правительство раздумывало над проблемой так долго. Это не теоретическая угроза: исследователи доказали практическую атаку более года назад», — подчеркнул Крейг Уильямс (Craig Williams), представитель исследовательской группы Talos Security Intelligence and Research Group, курируемой Cisco.

После появления эксплойта к уязвимости в системе Jeep Cherokee концерн Fiat Chrysler отозвал 1,4 млн автомобилей с рынка США. С тех пор было продемонстрировано еще несколько атак на автомобильные системы. В прошлом месяце исследователь Трой Хант (Troy Hunt) смог удаленно скомпрометировать автомобиль Nissan Leaf, применив эксплойт к уязвимости в API-интерфейсе приложения для управления некоторыми функциями автомобиля. В этом месяце IDC и ИБ-компания Veracode опубликовали отчет, согласно которому автопроизводителям понадобится три года, чтобы догнать уровень киберпреступников, потенциально способных атаковать автомобили.

ФБР и NHTSA предупредили о нескольких потенциальных уязвимостях, в том числе о баге в радиомодуле умных машин, ссылаясь на исследование Миллера — Валасека. «Хакер, подключающийся по сотовой сети к беспроводному модулю из любого места в рамках операторской сети, может эксплуатировать уязвимости через IP-протокол», — говорится в сообщении, выпущенном агентствами.

ФБР и NHTSA также обеспокоены растущим количеством сторонних устройств, подключаемых через электронный блок управления к бортовому компьютеру: «В то время как автопроизводители пытаются ограничить взаимодействие между автомобильными системами, модулями беспроводных коммуникаций и диагностическими портами, подключения со стороны сторонних устройств превращаются в порталы, через которые злоумышленники могут проникнуть внутрь и атаковать различные системы автомобиля. Сторонние устройства, интегрируемые через диагностические порты, подключают к Интернету те элементы автомобиля, для которых была изначально предусмотрена автономность. Эти устройства также могут содержать уязвимости и подвергнуть опасности кибератаки другие компоненты».

«Автомобильная отрасль находится на распутье, — признался Крис Вайсопал (Chris Wysopal), технический директор и сооснователь Veracode. — Автопроизводители и правительство должны глубоко вдохнуть и оценить реальный риск получения травм водителями умных автомобилей. Что произойдет, если на высокоскоростной магистрали кто-то взломает операционную систему автомобиля и выведет из строя тормоза? Отрасли и регуляторам нужно ответить на множество подобных вопросов».

Вайсопал признает, что выпуск подобного объявления ФБР — это хорошее начало, но при этом выражает надежду, что регуляторы задумаются о разработке стандартов физической безопасности умных автомобилей, подобных тем, которые проверяются краш-тестами. «Системы умных автомобилей должны тестироваться так же, как тестируются подушки безопасности, — в соответствии с государственными требованиями», — сказал эксперт.

Уильямс из Cisco считает, что автопроизводителям пора возглавить инициативы по обеспечению безопасности. «Я не думаю, что безопасность умных автомобилей — это нечто, что государство сможет «спустить сверху». Это то, что автопроизводители должны предусматривать с самых ранних стадий конструирования автомобилей нового поколения», — сказал Уильямс.

«Мне кажется, что проблема, стоящая перед отраслью, заключается в следующем: вендорам надо продавать автомобили по конкурентной цене, но они не закладывают в цену стоимость обслуживания, аудита и обеспечения безопасности автомобильных систем в течение нескольких лет», — добавил он.

Одна из насущных проблем, по словам Вайсопала, — это внимание к вопросам приватности. Эксперт уверен, что производители должны задавать определенные стандарты приватности и должным образом реализовывать средства безопасности для защиты данных бортовых систем. Так как система GPS-навигации фиксирует, как пользователь водит машину, на каких заправках останавливается, что слушает на развлекательной системе, судьба генерируемых таким образом данных предсказуемо вызывает беспокойство экспертов.

Категории: Главное, Уязвимости