هفت نکته در مورد هک کردن خودرو

هفت نکته در مورد هک کردن خودرو

بااینکه هک کردن خودرو امری بعید به نظر می‌رسد اما در زمان وقوع این نوع حوادث سروصدا زیادی در اخبارها ایجاد می‌کند و توجه عموم را به خود جلب می‌کند. در اینجا نکات ذیل را در مورد این پدیده بیان می‌شود.

1. اولین خودروها حدود 5 سال پیش هک شدند
درحالی‌که هک کردن خودرو تیتر اخبارهای امروزه هستند آنها به آسیب‌پذیری‌های 5 سال پیش مرتبط می‌شوند. در سال 2010 یک گروه محقق از دانشگاه‌های واشنگتن و سان دیگو کالیفرنیا (Washington & San Diego California) گزارش دادند که می‌توانند از طریق چندین آسیب‌پذیری الکترونیکی کنترل یک خودرو را به دست بگیرند.

این مطالعه بیان داشت که با مجهز شدن خودروها به تکنولوژی بیشتر و بیشتر، مجرمین سایبری می‌توانند که کنترل تقریباً هر نوع واحد کنترل الکترونیک را به دست بگیرند و از آن برای دور زدن تعداد وسیعی از سیستم‌های ضروری امنیتی استفاده کنند.

در این مستند آمده است که محققین چگونه کنترل خودروهای در حال آزمایش را به دست آورده و قادر بودند که رادیو را کنترل کرده و موتور و ترمزها را غیرفعال کنند. نوع خودرو مورد آزمایش یک Chevy Impala 2009 از شرکت General Motors نامیده شد.

2. اشکالات امنیتی باعث برگشت خوردن خودرو در ابعاد وسیع می‌گردد
در اوایل سال 2015 دو محقق آمریکایی آسیب اساسی یک Cherokee Jeep 2014 را آشکار کرده و هک کردن خودرو را به سطوحی جدید سوق دادند. دو محقق آمریکایی بانام‌های (Charlie Miller و Chris Valasek) از آسیب موجود در این خودرو برای به کنترل درآوردن سیستم رادیویی خودرو استفاده کردند.

آنها سیستم تهویه مطبوع، رادیو، ترمزها و موتور خودرو را از راه دور کنترل نموده و باوجود یک خبرنگار داخل آن خودرو را متوقف نمودند. درنتیجه این هک شرکت Fiat Chrysler دستور فراخان 1.4 میلیون دلاری را برای خودروهای جیپ، دوج و کرایسلر در کشور امریکا صادر نمود تا نرم‌افزار این اتومبیل‌ها را به‌روزرسانی نماید.

انتخاب این خودرو به محققین بهترین فرصت نمایش یک هک از راه دور را می‌داد و آنها قادر به ارسال پیام‌هایی بودند که به حریم شخصی راننده تجاوز می‌کرد و اجرا اعمال فیزیکی از طرف حمله‌کننده امکان‌پذیر بود.

3. اجزا خودرو نیز آسیب‌پذیر می‌باشند
نیاز در حال افزایش خودروهای متصل سوا لات متعددی در مورد عواقب امنیتی مرتبط با این توسعه را به وجود آورده است اما باید توجه داشت که اجزا خودرو به‌تنهایی نیز می‌توانند آسیب‌پذیر باشند.

یک مطالعه نشان می‌دهد که مجرمین سایبری قادر هستند که وسایل امنیتی الکترونیک را غیرفعال کنند و بدون نیاز به یک کلید معتبر با آن رانندگی کنند.
یکی از نگرانی‌های بزرگ در خودروهای بدون کلید وجود مکانیزم های ضعیف رمزنگاری است که مطابقت با خطرات هک و امنیت امروزی ندارد. دیگر نگرانی حافظه‌های فلاش عیب شناسی داخل خودرو (OBD (On Board Diagnostics) USB sticks)

است که برای ثبت عادت‌های رانندگی نصب‌شده‌اند اما از امنیت کافی برخوردار نیستند. در این حافظه‌ها هیچ به‌روزرسانی، احراز هویت، boot شدن امن و غیره وجود ندارد.

4. خطر از طرف کارکنان و عوامل داخلی
در هر کسب‌وکار یا سازمانی کارمندان ناراضی یا دلخور می‌توانند ریسک امنیت اطلاعات ایجاد کنند. شرکت فروش خودرو Texas Auto Center در سال 2010 با چنین موردی مواجه شد.

یکی از کارمندان سابق این شرکت از سیستم فعال‌سازی آنلاین و راه دور خودروها سوءاستفاده کرده و حدود 100 خودرو را دست‌کاری کرده یا از کار انداخت. رانندگانی که این خودروها را خریداری کرده بودند گزارش دادند که ماشین‌ها کار نمی‌کردند و یا آلارم ماشین‌ها نیمه‌شب به صدا درمی‌آمد.

سیستم‌های غیرفعال سازی خودرو حدود 100 سال است که اختراع‌شده‌اند و در زمان عدم پرداخت قسط خودرو فعال می‌شوند.

5. نیازی به اتصال به اینترنت نیست
در بسیاری از مواقع فرض می‌شود که خودروهای متصل به اینترنت هک می‌شوند. گزارشی از Dark Reading در اوایل سال 2015 نشان می‌دهد که می‌توان ماشین‌های غیر متصل به اینترنت را دست‌کاری نمود.

پلیس ایالت ورجیبنیا آمریکا توانسته است که خودروهای Chevrolet Impala 2012 و Ford Taurus 2013 را دست‌کاری کند.
در پروژه‌ای مستمر شرکت Mitre Corp با همکاری بخش خودرویی ایالت ویرجینیا و دانشگاه ویرجینیا، محققین دریافتند که می‌توانند از حرکت دنده‌ها از پارک به حالت رانندگی و بالا بردن دور موتور جلوگیری کنند و باعث شوند که موتور سریع‌تر کار کند یا کاملاً قطع شود.

شرکت Mitre نیز کد حمله‌ای نوشت که با آن صندوق‌عقب باز می‌شد، درب‌ها از حالت قفل خارج می‌شدند، درب سمت راننده قفل می‌شد و برف‌پاک‌کن‌ها روشن‌شده و آب‌پاش‌ها فعال می‌شدند.

این حملات به‌آسانی امکان‌پذیر نبوده و نیاز به دزدیدن سیستم‌های کامپیوتری ماشین‌های پلیس ایالتی و دزدیدن اصل خودرو را داشت. اولین حمله Mitre با استفاده از یک اپ موبایلی و اتصال یک وسیله در خودرو از طریق Bluetooth صورت گرفت.

این‌گونه حملات نیاز به دانستن از مدل وسایل الکترونیک خودرو، دسترسی فیزیکی به آن دارد ولی نیاز به اتصال اینترنتی نمی‌باشد.

6. اجرا پچ نیاز به سال‌ها کار دارد
مدیریت پچ یکی از چالش‌های بزرگ برای کارشناسان امنیت اطلاعات و توسعه‌دهندگان خودرو می‌باشد. بسیاری معتقد هستند که توسعه‌دهندگان خودرو از اهمیت این مسئله غافل می‌باشند.

بااینکه مردم بر تکنولوژی‌های جدید متکی هستند، خودروسازان در محافظت از حملات سایبری و نقض محرمانگی سهیم نبوده‌اند. بااینکه مردم به‌صورت گسترده‌تری از طریق خودرو خود متصل می‌باشند، سیستم‌های تکنولوژی و امنیت داده‌ها در اکثر مواقع محافظت نمی‌کردند.

هنوز هم 46 سال پس از پیدایش اینترنت یک سیستم پاسخ به وقایع و به‌روزرسانی جهانی و یکدست برای خودروها وجود ندارد.

7. مجرمین سایبری ممکن است خودروهای بدون سرنشین را هدف قرار دهند
مجرمین سایبری تولیدکنندگان خودرو را امروزه هدف قرار می‌دهند اما با گام برداشتن به‌سوی خودروهای بدون سرنشین و اتوماتیک حملات ممکن است افزایش یابد. تعدادی از متخصصین امنیتی خطرات خودروهای بدون راننده را مطالعه می‌کنند و برخی وجود این‌گونه خطرات را اثبات نموده‌اند.

یک دانشمند ارشد (Jonathan Petit) در شرکت نرم‌افزار امنیتی Innovation کشف کرد که یک پوینتر لیزری (Laser Pointer) می‌تواند در سیستم‌های Laser Ranging یا Lidar ، که توسط اکثر خودروهای بدون راننده برای هدایت آن استفاده می‌شود، اختلال به وجود بیاورد.

سیستم LIDAR یک نقشه سه‌بعدی به وجود می‌آورد که در آن خودرو قادر است خطرات احتمالی را با استفاده از لیزر کشف نماید. دکتر Pettit کشف کرد که در زمان استفاده از پوینتر لیزری، خودرو استنباط می‌کند که مانعی جلوی آن وجود دارد و باعث ترمز کردن آن می‌شود. اگر مجرمی چندین سیگنال مشابه را برای خودرو ارسال کند، آن اتومبیل به خاطر وجود مانع به‌صورت دائمی می‌تواند برای مدت طولانی متوقف گردد.

راه‌حل برای این موارد وجود دارد اما داشتن یک سیستم قوی که بتواند تمامی خطاها را در مقابل داده‌ها چک کند و آنها را فیلتر نماید هنوز وجود ندارد و نیاز به توسعه در این صنعت مبرم است.