Na ile realny jest masowy car hacking?

Mateusz Chodakowski
Mateusz Chodakowski
19.04.2017

Wyświetlany w kinach za Oceanem od ubiegłego piątku, blockbuster The Fate of the Furious (polski tytuł: Szybcy i Wściekli 8) kreuje przerażającą wizję przejęcia zdalnej kontroli nad nowoczesnymi samochodami. Na pytanie na ile realny jest śmiercionośny car hacking odpowiadał  Adam Boulton, CTO BlackBerry Technology Solutions. Duchem obecny był Chris Taylor, menadżer produktu w QNX.

Na początku pragnę ostrzec, że niektóre zdania można uznać za spoilery filmu, który grają już także nasze kina. Nie ujawnię jednak niczego po za tym co wiemy z oficjalnego trailera, także zdecydujcie sami czy „możecie” czytać dalej. Moje sumienie pozostaje czyste 🙂

Jason Middleton, dziennikarz telewizyjny, radiowy, wydawca i publicysta w wywiadzie opublikowanym na blogu BlackBerry zapytał ekspertów kanadyjskiej firmy o to czy scenariusz filmu jest możliwy do odtworzenia w rzeczywistości.

Seria Szybkich i Wściekłych, filmów ociekających akcją i kipiących adrenaliną podlaną wysokooktanową benzyną przez lata dostarczała niebywałej rozrywki fanom motoryzacji, ale do tej pory nie stawiała pod znakiem zapytania fundamentalnej kwestii naszego bezpieczeństwa. Oczywiście, nielegalne, uliczne wyścigi nigdy nie były bezpieczne dla osób postronnych, ale czy znalezienie się przypadkowej osoby na trasie 400 metrowej gonitwy jest równie prawdopodobne jak padnięcie ofiarą zmasowanego ataku hakerskiego na wszystkie pojazdy znajdujące się w promieniu 3 kilometrów od komputera cyberprzestępcy?

W jednej ze scen, która jest obecna także w zwiastunie, główny czarny charakter najnowszej odsłony „Szybkich”, grana przez Charlize Theron bohaterka, Cipher zwraca się do obecnego w pomieszczeniu hakera: „Ile samochodów w promieniu 3 kilometrów mamy pod kontrolą?”. Pada odpowiedź: „Tysiąc”. Kilka kliknięć klawiatury później, faktycznie samochody stają się zależne od grupy szaleńców. Czy to w ogóle możliwe?

Adam Boulton: Nie. Posiadanie pełnej kontroli nad tysiącem samochodów na takim poziomie i w takim ujęciu jak w filmie wykracza po za realizm. Gdyby to miało mieć naprawdę miejsce, trzeba by zbudować samochodowy botnet, który wymagałby najpierw zainfekowania każdego samochodu złośliwym oprogramowaniem. O sofcie, którego używają przestępcy można by chyba nakręcić cały kolejny film. Musi być naprawdę potężny skoro za jego pomocą da się sterować nawet atomową łodzią podwodną!

Jason: Kiedy Cipher przejmuje kontrolę nad pozbawionymi kierowców samochodami wypowiada zdanie: „niech spadną z nieba”. Kilka chwil później, pojazdy zaparkowane na wielopoziomowym parkingu same podążają na krawędź budynku i wypadają na ulicę. Jak mógłby wyglądać taki scenariusz?

 

Adam: Oczywiście wkrótce nadejdą czasy, gdy siedząc jeszcze w biurze, połączę się ze swoim samochodem i „poproszę go” aby przyjechał po mnie do pracy. Ale coś takiego będzie wymagało uwierzytelnienia. W filmie pomija się cały ten proces nie zwracając uwagi na różne, stosowane poziomy zabezpieczeń. Rzecz jasna w przyszłości zapomnimy już o obecnych dziś hasłach. Zaprzęgniemy do pracy PKI (Public Key Infrastructure – Infrastruktura klucza publicznego*), dzięki czemu takie, bezpiecznie zadanie będziemy mogli wykonywać.

Jason: Zatem czy producenci samochodów montują systemy zapobiegające użyciu pojazdów jako zdalnie sterowanej broni?

Adam: Jak najbardziej. Wiele osób boi się tego, że auta wypowiedzą im posłuszeństwo. Ale takim wydarzeniom zapobiega właśnie nasza bezpieczna platforma QNX, wspomniana wcześniej technologia oparta o PKI oraz inne narzędzia, które mamy do dyspozycji. Wspieramy się wzajemnie, poczynając od zabezpieczonego na wielu płaszczyznach OSu, poprzez szeroką gamę narzędzi oraz katalogu najlepszych praktyk i doświadczeń BlackBerry. To wszystko razem stawia nas na pierwszym miejscu w dziedzinie bezpieczeństwa. Filmowa Cipher musiałaby zatem próbować swoich sił na autach niezabezpieczonych przez BlackBerry, podobnie zresztą jak w rzeczywistości dzieje się na rynku urządzeń przenośnych.

Jason: Nawiązując jeszcze szerzej do sfery Internetu Rzeczy, grupa hakerów przejmuje także kontrolę na ogromną liczbą kamer, znów za naciśnięciem przycisku. Jak bardzo coś podobnego jest prawdopodobne?

Adam: To ten stary filmowy numer, prawda? Cofnijmy się jednak do momentu, w którym pierwszy raz widzimy, że bohaterka dysponuje oprogramowaniem, dzięki którym może zawładnąć praktycznie wszystkim. Zwykle tego typu przejęcie zarezerwowane jest dla trzyliterowych rządowych lub policyjnych agencji. Jednakże zdarzały się przypadki, że tego typu ataki dokonywane przez badaczy kwestii bezpieczeństwa okazywały skuteczne i to może budzić niepokój.

Jason: Jeszcze jedno pytanie dotyczące zabezpieczeń. W filmie jest scena, w której bohaterowie muszą uzyskać dostęp do jednej z placówek, ale aby uzyskać dostęp, dwie różne osoby muszą potwierdzić swoją tożsamość. Przypomina to stosowany przez BlackBerry Hardware Root of Trust, w którym to dwa zaufane podmioty, cyfrowo podpisują sprzęt, na którym działa oprogramowanie.

Adam: To prawda. Sporo technologii, którą można zobaczyć na ekranie istnieje naprawdę. Po prostu występują w innej formie i niekiedy w innej fazie rozwoju. Posiadanie prywatnego klucza do podpisywania i autoryzacji obszarów, do których tylko my mamy dostęp – to jest możliwe już teraz. Ale możemy też generować klucze publiczne i podpisywać nimi certyfikaty. Ale jedynym sposobem by tego dokonać jest zautoryzowanie się oryginalnym, prywatnym kluczem. To także dziś wykonalne. Otaczamy się dzisiaj wieloma technologiami uwierzytelniania, także stworzenie dwuosobowego systemu bezpieczeństwa staje się coraz częściej wykorzystywane zarówno przez jednostki rządowe jak i sektor prywatny.

Jason: Dziękuję za rozmowę.

 

*PKI – Kryptosystem składający się ze zbioru osób, polityk, procedur, systemów usług uwierzytelniania, szyfrowania, i in., oparty na integralności i niezaprzeczalności tożsamości potwierdzanej za pośrednictwem kryptografii i certyfikatów elektronicznych

 

źródło: blogs.blackberry.com