hirdetés
hirdetés

Biztonságos?

Küzdelem a közlekedési hackerek ellen

Fedélzeti számítógép, szerviz-PC, összekapcsolt közlekedési eszközök, internetre kötött szállítmányozási rendszerek – csak hogy a legismertebb érzékeny pontjait említsük a közlekedésnek, amelyek remek lehetőséget kínálnak az informatikai bűnözőknek a legkülönböző támadásokra. Lássuk, hogy veszik fel ellenük a harcot, például a budapesti BME-n! 

hirdetés

Mára az autók egyre összetettebb elektronikai eszközökkel rendelkeznek, ezeknek egy része digitális, internetre, hálózatara kapcsolt egység. Számtalan szenzor végzi a dolgát, hogy egyszerű, kényelmes és biztonságos utazást biztosítson. Egy S-Mercedesben több mint száz elektromotor felel a különböző eszközök irányításáért. 2014-ben egy szingapúri hackertalálkozón két tudós bemutatta, hogyan veszik át az irányítást egy Ford és egy Toyota felett egy egyszerű, pár ezer forintos eszközzel. Szó szerint kicsavarták a sofőr kezéből a kormánykereket menet közben, vagy épp azzal okoztak meglepetést, hogy megfeszítették a biztonsági övet, ezzel belepréselve a vezetőt az ülésbe.

Egy manchesteri biztonságtechnológiai cég, a NCC Group számos, autóba integrált szórakoztató- és infokommunikációs ezközt tesztelt az elmúlt években. Ők a rádión keresztül hatoltak be az autók navigációs rendszerébe, méghozzá a digitális műsorszóráson keresztül. Két amerikainak – még 2014-ben – sikerült mobilhálózaton keresztül átvennie az irányítást egy Jeep Cherokee fölött azzal, hogy téves adatokat küldtek az autó navigációs rendszerének. A példák sora hosszan folytatódhat, hiszen az autonóm közlekedés fejlődése a hackertámadásoknak is megágyaz, ezzel párhuzamosan pedig még inkább felerősíti a kiberfizikai rendszerek biztonsága iránti igényt. Két éve, a SyScan konferenciára azzal csábították a hackereket, hogy aki behatol a Tesla rendszerébe, helyben kap tőlük tízezer dollárt. Bár a versenyt már lezárták, idén tavaszal egy hacker bejutott a Tesla S-modell operációs rendszerébe. Ezek a példák mind azt mutatják, mennyire fontos a kiberbiztonsági technológiákba invesztálni.

Biztonsági rések, strukturális gyengeségek

Megszokottá vált az is, hogy az autószerelő ráköti a szervizszámítógépre az autónkat, hogy elvégezze a diagnosztikát, ezek az ellenőrző rendszerek pedig egy egyszerű PC-n keresztül csatlakoznak, amelybe már egy tanuló hacker is képes behatolni. 2015-ben a budapesti Kriptográfiai és Rendszerbiztonsági Laboratórium (Laboratory of Cryptography and Systems Security, CrySyS) kutatói demonstrálták, hogyan lehet egy szervizlaptopon keresztül megtámadni egy gépjármű diagnosztikai csatlakozóját, és téves információkat küldeni. „Az egyik gyártótól kaptunk egy tesztautót, amelyen nem egyszerű hibákat, hanem strukturális gyengeségeket kerestünk. Olyan biztonsági réseket, amelyeknek okozója a rendszer, éppen ezért nem javítható egyik napról a másikra. A mi csapatunk azt mutatta be, hogy az autószerviz fertőzött számítógépén keresztül hogyan módosítottuk az autó és a PC közötti kommunikációs szoftvert. Ezen elhelyeztük a saját kommunikációs eszközünket, amely lehallgatta az autó üzeneteit, majd vissza is tudtuk játszani az akár módosított parancsot is, jelentős hibákat generálva ezzel. Többek között lekapcsoltuk az utasoldali légzsákot, miközben a rendszer a lekérdezéskor azt az üzenetet továbbította, hogy a légzsákok működnek, minden rendben” – ismertette a CrySyS munkatársa, dr. Bencsáth Boldizsár, a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikusi Karának adjunktusa a már világszerte ismert demonstrációs példát.

Dr. Bencsáth Boldizsár, a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikusi Karának adjunktusa
Dr. Bencsáth Boldizsár, a Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikusi Karának adjunktusa
Jelenleg a legaktívabb kutatási területnek számít a CrySyS laboratóriumában az autóipari és iparbiztonsági rendszerek vizsgálata, és ezt már az egyetem és a tanszék is támogatja. A kormány is felismerte az autóbiztonság-iparban lévő lehetőségeket, ezért is épít Zalaegerszegen egy 250 hektáros területű járműipari tesztpályát, kifejezetten önvezető autók tesztelésére. „Egyre több a megkeresés, kezd összeállni az irány. Létezik egy együttműködésünk egy magyar vállalattal, az elektromosjármű-töltőoszlop biztonságát teszteljük. Természetesen nem életveszélyes helyzeteket okozó támadhatóságot, hanem olyan biztonsági réseket keresünk, amelyeken keresztül a támadók ki tudják kapcsolni, vagy ingyenessé tehetik az elektromos áramot” – utal dr. Bencsáth a súlyos veszteségeket okozó lehetséges hackertámadások megelőzésében végzett feladatuk sokrétűségére.

A CrySys laboratóriumában a legnagyobb kihívást az jelenti, hogy a jelenleg alkalmazásban lévő eszközök többségét úgy fejlesztették, hogy azok önmagukban is megállják a helyüket, működőképesek legyenek, de arra nem voltak felkészítve, hogy hálózatba kötve egymással kommunikáljanak, ezért sokszor nem rendelkeznek azokkal a biztonsági funkciókkal, amelyekkel az összekapcsolt rendszerek már igen. „Nehéz bemutatni, hogy milyen méretű támadási felületet adnak ezek a rendszerek. Mi már 2006-ban foglalkoztunk itt az egyetemen az autóközi kommunikáció biztonsági kérdéseivel, látható, ennek elég hosszú, 10 év volt a kifutása. 2010-től abszolút felerősödött az általános biztonsági igény, miután meghackelték az iráni atomlétesítményeket, pontosabban bejutott a Stuxnet-vírus a számítógépes rendszerükbe, méghozzá úgy, hogy a PLC-k (ipari rendszerek irányítását végző célszámítógép) működését, az azok által küldött információkat módosították.”

Magyarország a valós idejű hackertámadások világrangsorában a 43. leginkább támadott ország
Magyarország a valós idejű hackertámadások világrangsorában a 43. leginkább támadott ország

A vásárlók elvárásai és a versenyhelyzetből eredő nyomás arra ösztönözi az autógyártókat, hogy még több intelligens eszközt építsenek a járművekbe. A Chevy Volt majdnem 100 mikroprocesszort és nagyjából tízmillió sornyi kódot futtat. A gépjárműtervezés egyre inkább függ a szofisztikált elektromos rendszerektől, amelyek segítségével olyan technológiai megoldásokat tudnak létrehozni, amelyek intelligenssé, ugyanakkor sérülékennyé is teszik a közlekedési eszközöket.

A legfontosabb brandüzenet: biztonság

Egy termék esetében a biztonság nem funkcionális követelmény. Már a múlt század elején elkészültek az első tömeggyártott automobilok, de csak a hatvanas években szerelte be a Volvo az első biztonsági öveket a járművekbe. Ezzel szemben ma tíz autóból tízet azzal adnak el, hogy az a legbiztonságosabb. „Amikor egy termék elér a felnőtt életszakaszába, amikor már elterjed a világon, és megjelenik a konkurencia is, általában akkor jön csak elő a biztonság kérdése, amolyan marketingfogásként. Amikor elkezdtük használni az elektromos áramot, akkor sem tudtuk egészen pontosan, hogy milyen biztonsági lépések kellenek ahhoz, hogy ne vágjon minket agyon. Ha csak akkor vezetnénk be termékeket vagy szolgáltatásokat, amikor már teljesen ismerjük azoknak a biztonságos használatát, akkor még ma is sötétben üldögélnénk. Együtt kell élnünk azzal, hogy nem lehet rögtön az optimális szintet elérni, ugyanakkor meg kell lennie egy minimum biztonsági szintnek az elterjedéshez. A CrySyS laboratóriumában is ezen dolgozunk.”

Mivel az igény, hogy a járművek külső eszközökhöz és egymáshoz is tudjanak kapcsolódni, egyre növekszik, a régi rendszerekbe való integráció mindig hagy majd egy-két biztonsági rést. A megoldás sokáig tart, mert mire a teljesen új, biztonságos platformra épülő járművek, közlekedésirányító rendszerek elterjednek, addig a gyártóknak ki kell tapasztalniuk, hogy miként lehet biztonságossá tenni a jelenlegi rendszereket, adott esetben egy tragikus támadás vagy egy megrendelt etikus hackelés során. Az önvezető autó működéséhez szükséges technológiai elemek, úgymint a kamera, a radar, a szonár, mind-mind hozzájárulnak annak sebezhetőségéhez, és megadják a lehetőséget a hackerek számára, hogy azt tegyenek, amit csak érdekeik kívánnak. Az autógyártók is tisztában vannak a helyzet súlyosságával, a Google-nél egy csapat programozó dolgozik csak azon, hogy feltörje az önvezető autójuk szoftverét, a Volvo szintén számos fejlesztővel dolgozik együtt, hogy maximális biztonságot nyújtsanak az autóikban utazóknak. Utóbbi autógyártó azt vizionálja, hogy 2020-ra olyan autonóm autókat helyeznek majd forgalomba, amelyek utasai szinte teljesen biztonságban lesznek. A svéd autógyár be is jelentette, hogy magára vállalja a felelősséget, ha az önvezető autói kárt okoznak, de persze csak akkor, ha nem lehet bebizonyítani, hogy hackertámadás érte a közlekedési eszközt.

Trapp Henci
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés