0:00
0:00
Civilizace19. 5. 20135 minut

Za volantem hacker

Počítačoví piráti mohou napadnout váš automobil - třeba pomocí notebooku či chytrého telefonu

Astronaut

66 R21 profimedia Autor: Respekt
66 R21 profimedia • Autor: Respekt
Na dálku dnes hackeři dovedou zaútočit na osobní počítač, mobilní telefon nebo například „chytrý“ elektroměr. Jak je tomu ale s kybernetickou bezpečností jednoho z nejvýznamnějších technických prostředků naší civilizace – automobilu? Mohli by útočníci způsobit třeba vážnou dopravní nehodu? Odpovědět se pokusili odborníci ze dvou amerických univerzit spolupracující v organizaci CAESS (Center for Automotive Embedded Systems Security – Centrum pro bezpečnost systémů integrovaných v automobilech).

Moderní auta skrývají pod kapotou čím dál více počítačů – několik desítek výpočetních jednotek s procesory, jež řídí například vstřikování paliva, ovládají protiskluzové funkce a brání zablokování kol při brzdění. Jednotlivé procesory je třeba propojit, k tomu by však bylo potřeba příliš mnoho kabeláže. Proto se v USA a Evropské unii používá v automobilech tzv. CAN sběrnice, na níž jsou elektronická zařízení připojena a jejímž prostřednictvím komunikují mezi sebou. Do této sběrnice připojují pracovníci autoservisů svoje diagnostické nástroje. A právě ona je zranitelným „nervovým centrem“ automobilu.

↓ INZERCE

Jestliže do ní místo pracovníka autoservisu pronikne hacker, má vyhráno. Výzkumníci z CAESS poslali do CAN sběrnice škodlivý software nazvaný CarShark. Výsledky jsou zneklidňující: brzdy přestaly fungovat, systém auta vůbec nepoznal, jakou silou řidič sešlápl pedál. Jeden simulovaný útok nazvaný „sebezničení“ vyžadoval méně než dvě stě řádek kódu (celkem běží v počítačových systémech auta kód o rozsahu desítek milionů řádek). Program odstartoval odpočítávání na palubní desce trvající šedesát vteřin, doprovázené zvukovými efekty. V posledních vteřinách zatroubil klakson, a když hodiny doběhly k nule, motor utichl a dveře se zablokovaly.

Tímto způsobem by hackeři teoreticky mohli způsobit dopravní nehodu. Museli by ale mít přímý fyzický kontakt s automobilem. Lze si představit, že by si našli spojence v autoservisu a ti by do sběrnice zavedli škodlivý kód. Je to ovšem poněkud těžkopádný způsob sabotáže. Jednodušší by pak už bylo třeba fyzicky poškodit brzdy.

Výzkumníci z CAESS zmiňují několik dalších bran útoku. Hackeři by třeba mohli napadnout zábavní systém auta, stačilo by jim vypálit CD se škodlivým kódem a po vložení do přehrávače by auto bylo infikováno. Vůz je možné ovládnout též na dálku, prostřednictvím bezdrátových technologií, jako je Bluetooth. Ten se používá také pro připojení mobilního telefonu k automobilu pro handsfree telefonování a jeho prostřednictvím se dá dostat i do zmíněné sběrnice.

Motor ztichl a dveře se zablokovaly – stačilo 200 řádek škodlivého kódu. Jiný útok vyřadil brzdy.

Pro připojení mobilního zařízení je nutné zadat PIN kód. Výzkumníci však do blízkosti auta umístili notebook, který jej prolomil a nepozorovaně se na automobil napojil. Nalezení správné kombinace PIN kódu ale trvalo hodiny a počítač se musel nacházet v blízkosti auta – ani tato technika tedy není zrovna praktická. Útoky se nicméně dají provádět také z větší vzdálenosti. Moderní auto umí prostřednictvím své telematické jednotky (umožňuje přístup k mobilním sítím a k signálu GPS, komunikuje mimo jiné přes Bluetooth) po nehodě zavolat pomoc. Pokud vlastník nahlásí krádež auta, může výrobce pomocí telematické jednotky vůz na dálku zabrzdit. Výzkumníci objevili v jejím zabezpečení chybu a zjistili, jak pomocí ní auto napadnout z jakéhokoli telefonu na světě.

Škodlivý software lze zakódovat dokonce i do zvukového souboru. Výzkumníci jednoduše položili sluchátka iPodu na mikrofon telefonu, který byl spojený s automobilem, zrádnou zvukovou sekvenci přehráli a pronikli tak do CAN sběrnice. Cestu k automobilu pak měli volnou.

Autoři zprávy CAESS se obávají nejen individuálních útoků, v budoucnu podle nich můžeme být svědky též masových akcí jako v případě virů šířených internetem. Hacker by například mohl na dálku napadnout několik stovek aut, nechat si od nich poslat GPS souřadnice a identifikační číslo vozu, poté na dálku otevřít dveře a vůz nechat ukrást. Další možností je odposlouchávání hovoru v kabině z mikrofonu, jenž se běžně používá pro handsfree telefonování.

Jakub Jiříček z antivirové společnosti Symantec ale i tyto scénáře považuje v mnoha případech za příliš krkolomné. „Cena za podobné útoky by v některých případech byla příliš vysoká v porovnání s tím, čeho by útočníci dosáhli,“ říká. Zatím není zaznamenaný ani jeden případ kybernetického útoku na automobil, ačkoli na internetu se dají nalézt návody, jak auto „hackovat“. Zpráva CAESS se tak spíše snaží upozornit na potenciální rizika a inspirovat automobilky k tomu, aby svoje vozy lépe zabezpečily.

Podle společnosti AVG, která se zabývá kybernetickou bezpečností, se však situace může brzy změnit. Počítače se v autech používají čím dál více, a výrobci se dokonce snaží některé funkce automobilů přenést na internet do „datových oblak“. Vozy s internetovým připojením už jsou dostupné na trhu, má jej například Mercedes C-Class. Automobil připojený k internetu může sám odhalit poruchu a odeslat do servisu zprávu, že potřebuje přednostní opravu. Zároveň ale přenášení některých funkcí na internet zvyšuje riziko útoku a rozšiřuje hackerům pole působnosti.


Pokud jste v článku našli chybu, napište nám prosím na [email protected].