קידמה בסיכון גבוה: פירצת אבטחה ברכבי Jeep חדשים מעניקה לכל אחד את היכולת הפוטנציאלית להשבית אותם מכל מקום דרך הרשת, וגורמת לחברת האם פיאט-קרייזלר לבצע ריקול ענק ל-1.4 מיליון מכוניות
כולנו יודעים שהמכוניות העדכניות שלנו הן חכמות יותר מאי פעם בעבר. רובן המוחלט מגיע עם מחשב מרכזי שיודע לשלוט ולבקר על רבים מהמאפיינים והפרמטרים שלהן, ובחלקן תמצאו גם מערכות חכמות להתראה מפני ומניעה של תאונות, ואפילו חיבור מובנה לרשת האינטרנט לצורך עדכון וטיוב, שיתוף מידע מועיל וכדומה. אז מתי בדיוק 'חכם' הופך ליותר מדי חכם? כבר עכשיו, מסתבר.
לפני כמה ימים חשף והדגים כתב האתר Wired, בסיועם של מומחי אבטחה מטוויטר ומחברה בשם IOActive, פירצת אבטחה חמורה ברכביו של הקונצרן פיאט-קרייזלר, ובפרט בדגמי ה-Grand Cherokee הפופולריים והעדכניים של תת המותג Jeep – שבמסגרתה ניתן להשתלט על כלל מערכות הרכב מרחוק דרך כל מחשב שהוא, ואפילו למנוע מהבלמים לעבוד או להשבית את המכונית לגמרי.
מיותר להסביר את החומרה והסכנה שבמצב זה – הרכבים החכמים המחוברים לרשת הפכו למעשה למחשב לכל דבר ועניין, וכפי שכבר נוכחנו לדעת יותר מדי פעמים בעבר, כל מחשב נמצא בסכנה מתמדת לפריצה, נזק והשתלטות מצד גורמים זרים. קצת קשה להאמין כי זהו המצב כבר היום, אך כל העניין נשמע כמו התגשמות של תסריטי אקשן הוליוודיים, בהם האקרים מרושעים גורמים לתאונות שרשרת המוניות לאחר השתלטות על מערכות של מכוניות או מערכות רמזורים.
חשיפתה של הפירצה המלחיצה היכתה גלים ברחבי הרשת, ואילצה את פיאט-קרייזלר להכריז על ריקול (החזרת רכבים לסוכנויות ומוסכים לצורך תיקון על חשבון החברה) ענק של לא פחות מ-1.4 מיליון רכבים מדגמי דודג', קרייזלר וג'יפ, בארצות הברית בלבד, כאשר לא מן הנמנע שברחבי העולם מסתובבים עוד שלל רכבים מדגמים אלו או דגמים דומים אשר רגישים בדיוק לאותה פירצה, ומהווים מעין "פצצת זמן" מתקתקת (בייחוד לאחר שעצם קיום הבעיה נחשף ברבים).
הריקול הזה מהווה 'פלסטר' מקומי שאולי ירגיע חלק מהצרכנים, אך עצם העובדה שבחברה זקוקים להחזיר את כלל הרכבים אל המוסך לצורך ביצוע התיקון ממחישה כי לא מדובר כאן על איזה באג תמים לכאורה, אלא על פער ממשי בתכנון קרבי המערכת המקוונת של הרכבים האלה (שעונה לשם uConnect), ובתכנון מערכת האבטחה וההגנה, אם יש כזאת, שאמורה למנוע מצבים אלו בדיוק.
כמה עוד מכוניות 'חכמות' מפיאט-קרייזלר ומיצרניות אחרות מתגלגלות להן ברחבי הגלובוס בימים אלו, כשהן מצוייד בפער או פערים כלשהם שעשויים לאפשר פגיעה בלתי צפויה בהם באמצעים פשוטים יחסית? נראה כי אין לנו ברירה אלא להתחיל לתהות ואולי גם לדאוג מהעניין הזה.
קישורים נוספים
- מקור לידיעה 1
- מקור לידיעה 2
- מכונית העתיד של פורד ואינטל – עתיד המכוניות החכמות?
- מרצדס הדגימה מכונית אוטונומית ברחובות גרמניה
- בינבה, הדור הבא: גוגל חושפת גירסה סופית של הרכב האוטונומי שלה
- מכונית הרולס-רויס שמעבירה הילוכים לבדה בעזרת GPS
- צפו: המכונית של Volvo מוצאת חניה בכוחות עצמה
- טסלה D: רכב חשמלי עם "נהג אוטומטי" ו-690 כוחות סוס
- רכב הקונספט החדש של יגואר – כמו בתוך משחק וידאו
- מיטב החידושים הטכנולוגיים: תחום הרכבים
מיותר להתקין מחשב אישי מובנה ברכב ולחבר אותו לאינטרנט, זה לא נותן שום תועלת, זה פשוט הופך את הרכב למסוכן לנסיעה על הכביש.
נמאס לי מכל המכשירים החכמים אלו.
שטויות. זה הדבר הכי הגיוני.
מה שלא הגיוני זה לחבר אותו למערכת ששולטת גם על מערכות הניהוג.
אנשים השתגעו בהגזמה… כלכליסט האמינו לבבלט של מומחים בגרוש שאמרו להם ש"כל רכב עם OBD-II באותה סכנה"… זה הדבר הכי רחוק שאפשרי. תחשבו על רכב מ 96, הם באמת חושבים שמישהו יטרח ליצר פלאג שיחבר את היציאה הזו לאינטרנט, ועוד יצליח לעשות משהו עם מחשב הרכב הזה?
שירגעו.
http://www.calcalist.co.il/local/articles/0,7340,L-3665346,00.html
url]http://www.calcalist.co.il/local/articles/0,7340,L-3665346,00.html[/url]
[COLOR="silver"]- – – תגובה אוחדה: – – -[/COLOR]
ועוד דבר, שאנשים שכחו. צריך לברר מחדש את ה IP הסלולרי שמקבל הרכב מחדש בכל התנעה! זה אפילו לא לעשות משהו עם סמארטפון עם אפליקציות שמתחברות בכל פעם עם איזשהו מזהה קבוע… סתם משהו רנדומלי לחלוטין, שמצריך בירור בכל פעם. לא עקבתי אחרי הכתבה של Wired, אבל די ברור שהיתה להם גישה או שהבחור נתן להם את ה IP לאחר ההתנעה.
שטויות. זה הדבר הכי הגיוני.
מה שלא הגיוני זה לחבר אותו למערכת ששולטת גם על מערכות הניהוג.
אנשים השתגעו בהגזמה… כלכליסט האמינו לבבלט של מומחים בגרוש שאמרו להם ש"כל רכב עם OBD-II באותה סכנה"… זה הדבר הכי רחוק שאפשרי. תחשבו על רכב מ 96, הם באמת חושבים שמישהו יטרח ליצר פלאג שיחבר את היציאה הזו לאינטרנט, ועוד יצליח לעשות משהו עם מחשב הרכב הזה?
שירגעו.
ועוד דבר, שאנשים שכחו. צריך לברר מחדש את ה IP הסלולרי שמקבל הרכב מחדש בכל התנעה! זה אפילו לא לעשות משהו עם סמארטפון עם אפליקציות שמתחברות בכל פעם עם איזשהו מזהה קבוע... סתם משהו רנדומלי לחלוטין, שמצריך בירור בכל פעם. לא עקבתי אחרי הכתבה של Wired, אבל די ברור שהיתה להם גישה או שהבחור נתן להם את ה IP לאחר ההתנעה.
באמת? למצוא IP זו הבעיה הכי גדולה?
קרייסלר עושים ריקול לכמעט מליון וחצי מכוניות:
http://www.bbc.com/news/technology-33650491
m1ke, הנה, אתגר:
שתף אותנו איך מוצאים את IP של רכב אקראי. לפחות כיוון מחשבה.
לא אמרתי שזו "בעיה גדולה". אני מניח שעבור אותם חוקרים זו היתה החוליה החלשה… מה שאמרתי שזה הרבה פחות מסוכן ממה שעשו את זה, בין השאר מכיוון שה IP רנדומלי.
בדיוק באותה צורה שבה מוצאים בוטים עבור בוטנטים – סורקים טווחי אי פי ומחפשים עבור אותו פורט פתוח שמחכה לפריצה. ברגע שהמחשב נגוע, משתילים רכיב תוכנה אשר "מתקשר הביתה" כל פרק זמן מסוים. והנה לך בוטנט.
@m1ke, זה סוגי הדברים שגורמים לך להיתפס והדבר האחרון שחוקרי אבטחה יעשו.
מי דיבר על חוקרי אבטחה?
כל פעילות של "סריקה" כזאת ניתן לבצע באמצעות כמויות של מחשבים ביתיים מודבקים, ולא עולים על מי שולח את הפקודה
אם הבאג מאפשר לסובב את ההגה פשוט על ידיי שליחת משהוא לכתובת ה IP זה לא "חור אבטחה", זאת דלת אחורית לשמה. אם כן, אני חושב שאיתור כתובת ה IP לא יהיה אתגר בשביל מי שהזמין דלת אחרית כזאת
אם הבאג אינו כזה חמור, זה אומר שנדרשת התערבות ראשונית כלשהיא במחשב כמו התקנה של משהוא מרחוק עליו. ברגע שניתן להתקין עליו משהוא, המשהוא יכול גם לדווח מעצמו מה כתובת ה IP למי ששלח אותו
חוץ מזה מי אמר שייתפסו על רכב אקראי ?.
למה לא לעשות את זה לרכב של אישיות חשובה ?.
פשוט הדור הבא של ההתנקשויות.
לחכות בסבלנות עד שהרכב, עם האישיות, יעבור ליד איזה תהום לתת ס"מ לכיוון התהום והנה לך תאונה טרגית.
בתור אחד שעובד עם אחת המחלקות שמפתחות את ההגנות….הבעיה קצת שונה ממה שנראה לכם…כשתכננו את המערכות של הרכב…לא חשבו על הגנה.
היום יש רכבים עם מערכת מולטימדיה מובנית שמציגה נתונים מהמנוע….מסתבר שברוב המקרים התקשורת היא דו כיוונית ללא שום הגנה באמצע.
עכשיו…לקחו את הנושא צעד קדימה, הוסיפו לאותה מערכת BT ואינטרנט ומה שקורה ברגע שפורצים למערכת – יש גישה לשאר הרכב…והכי חשוב למערכת הESP שיש לה גישה להכל – להגה, לברייקסים, לגז וכו'.
הציגו בפנינו הדגמה של השתלטות על רכב דרך הBT של המערכת מולטימדיה.
הסבירו גם שרוב המערכות של הרכב, אם לא כולן רוכבות על BUS משותף, ללא שום הצפנה, ללא הגנות וכו', וגם שהפרוטוקולי תקשורת שבשימוש ישנים מאוד (למשל הפרוטוקול שהחיישן של הברייקסים "מדבר" עם המחשב של הרכב) ובסיסיים מאוד.
URL="http://www.media.chrysle
ברור שלא חשבו.
מראה כמה הם חושבים שכל זה מדע בדיוני שרק חנוני על מתרגשים יותר מדי.. אני חושב שאם לא היה את הסיפור הגדול על הסוויצ'ים של GM לפני כשנה וחצי, הם אפילו לא היו טורחים לבצע recall.
חכה ..
צריך שאנשים יתחילו לאבד את החיים שלהם..
(כמו תמיד)
זה כבר דפוק אפילו לא בקטע של אבטחה….
תקלה תמימה כלשהיא (לא בזדון) במערכת מולטימדיה והיא קיצרה את ה bus או מציפה אותו, אז גם יתר המערכות ברכב לא יכולות לתקשר ????
מוזר שאין הפרדה מוחלטת בין המולטימדיה והמערכות הקריטיות ברכב.
גימל…זה מעבר לכך….מערכת מולטימדיה זה עוד דבר שניתן לשלוט עליו בצורה יותר פשוטה.
ככל שהרכב יקר יותר ככה יש בו רכיבים חדשים שגורמים לו להיות חשוף יותר….למשל מערכת ניטור מרחוק.
אגב,
סיפור מעניין – קוצבי לב….כדי לעדכן נתונים בקוצב לב יש צורך להיות עם אביזר מתאים במרחק של כמספר ס"מ מהבנאדם….אין שום הצפנה או דרישה למפתח.
אם יש לך את הכלי המתאים – ואתה מעוניין להתנקש במישהו עם קוצב לב, כל מה שעליך לעשות זה להיצמד חזה לחזה (תאפסן את האביזר הנדרש בג'קט לצורך העניין).
יש לי רעיון לסטארטאפ !.
אפילו שניים !.
עכשיו, רק חסרים לי איזה 10 מיליון ש"ח. מישהו תורם ?.