Technologie
Bezpieczeństwo pojazdów. Nastolatek z Niemiec przejął kontrolę nad pojazdami Tesli
David Colombo, 19-letni specjalista ds. cyberbezpieczeństwa z Niemiec, przejął kontrolę nad ponad 25 samochodami marki Tesla z 13 krajów, bez wiedzy ich właścicieli. Na szczęście lukę w działaniu oprogramowania wykryła osoba, która na co dzień zajmuje się kwestiami bezpieczeństwa, a nie cyberprzestępca. Jednak wydarzenie to rozpaliło na nowo dyskusję nad bezpieczeństwem nowoczesnych pojazdów.
19-letni badacz cyberbezpieczeństwa z Niemiec, przypadkiem dokonał największego odkrycia w swojej karierze. Zauważył, że oprogramowanie w sieci firmy ujawniało wszystkie dane dotyczące pojazdu dyrektora ds. technologii Tesla Inc. Obejmowały pełną historię tego, gdzie jechał jego samochód i dokładną lokalizację pojazdu w danym momencie.
Gdy David Colombo zagłębił się w tym temacie, to zdał sobie sprawę, że może przekazywać polecenia pojazdom Tesli, których właściciele korzystali z programu. Ta zdolność umożliwiła mu przejęcie niektórych funkcji w tych samochodach, w tym otwieranie i zamykanie drzwi, podkręcanie muzyki i wyłączanie funkcji bezpieczeństwa. Nastolatek był w stanie podać dokładną lokalizację każdego samochodu i wyłączyć wszelkie zabezpieczenia. Nie mógł jednak przejąć sterowania samochodem, hamowania czy wykonać innych manewrów.
Punkt zwrotny w cyberbezpieczeństwie pojazdów
Swoje odkrycie Colombo opublikował na Twitterze i wywołało ono gorącą dyskusję w internecie, podając jego przejęcie Tesli jako najnowszy przykład ryzyka włamania związanego z tak zwanym Internetem Rzeczy, gdzie każdy produkt jest obecnie połączony z Internetem. Młody haker nie był w stanie kierować zhakowanymi samochodami Tesli, jednak - jak zaznaczają specjaliści - bez problemu mógłby je ukraść, gdyby znajdował się w ich pobliżu. „To precedens, który zmieni wymogi bezpieczeństwa pojazdów” - twierdzą eksperci firmy Check Point. Ich zdaniem wydarzenie to może być punktem zwrotnym dla bezpieczeństwa cybernetycznego samochodów.
„Fakt, że młody niemiecki haker, był w stanie włamać się do wielu samochodów Tesli, wywołuje szok w przemyśle motoryzacyjnym i budzi obawy o to, czy niezidentyfikowana osoba może dziś przejąć stery naszego pojazdu np. przy prędkości powyżej 100 km/h. Choć nie było to realne zagrożenie, to przypadek ten jest wart szczególnej uwagi” - komnetuje Lotem Finkelsteen, szef działu wywiadu i badań nad zagrożeniami w Check Point Software Technologies.
Jak zhakować nowoczesny pojazd? To prostsze niż się wydaje
Niemiecki ekspert potwierdził, że właściciele pojazdów nie mają pojęcia o tym, że ktoś przejął kontrolę nad ich samochodami. Nastolatek nie zdradził, w jaki sposób udało mu się tego dokonać, ale podkreślił, że nie jest to wina producenta, lecz właścicieli samochodów Tesla. Oznacza to, że oprogramowanie aut jest w pełni sprawne, tylko właściciele popełniają błędy, przez które dostęp do ich samochodów jest możliwy. Zdaniem Colombo, nie jest to strukturalna luka w Tesli, a właściciele samochodów powinni być w stanie zablokować jego dostęp.
Czytaj też
Jednak ekspert firmy Check Point Software Technologies kwestionuje ten wniosek. Zastanawia się nad tym, czy powinniśmy oczekiwać od użytkowników, że będą znali konfigurację oprogramowania tak złożonego i wysoce zaawansowanego technicznie produktu, jakim jest tak nowoczesny pojazd?
„Z pewnością samochody powinny być odpowiednio zabezpieczone już od momentu zakupu. Kierowca jednocześnie nie powinien mieć możliwości zezwolenia na zdalny dostęp do swojego pojazdu ani przez określone działanie, ani przez jego brak” - tłumaczy. Lotem Finkelsteen zwraca uwagę, że przyjęcie założenia, iż włamanie było spowodowane winą właścicieli, powoduje, że w przyszłości będziemy musieli brać na siebie dużą część odpowiedzialności za zabezpieczenie naszych pojazdów.
„Użytkownicy oczekują, że producenci zapewnią im w pełni bezpieczny pojazd, lecz doświadczenie z cyberprzestrzeni podpowiada, że nie jest to coś, co można zagwarantować w 100 proc. To powoduje, że będziemy musieli przyjąć bardziej praktyczne podejście, by zapewnić ochronę przed cyberatakami wobec naszych samochodów” - dodaje ekspert.
Nastoletni fan Tesli wywołał ogólnoświatowe poruszenie
Jak podaje serwis Bloomberg.com, młody Niemiec powiedział, że skontaktował się już z nim członek zespołu bezpieczeństwa firmy i podzielił się z nim swoimi odkryciami. Rzecznik amerykańskiej Narodowej Administracji Bezpieczeństwa Ruchu Drogowego odezwał się do Tesli w tej sprawie i ustalono, że zespół techniczny agencji ds. cyberbezpieczeństwa pomoże w ocenie i przeglądzie informacji dostarczonych przez Davida.
Sam Colombo dostarczył im zrzuty ekranu i inne dokumenty szczegółowo opisujące jego odkrycia i identyfikujące producenta oprogramowania innej firmy, którego dotyczy problem, ale poprosił Bloomberga, aby nie publikował szczegółów, ponieważ błędy, które znalazł nie zostały jeszcze naprawione.
Czytaj też
To nie pierwszy raz, kiedy ujawniono potencjalnie poważne luki w zabezpieczeniach związane z samochodami podłączonymi do Internetu. 7 lat temu, para specjalistów od bezpieczeństwa ujawniła atak, w którym zdalnie przejęli kontrolę nad Jeepem Cherokee. Zgasili silnik, gdy dziennikarz „Wired" prowadził ten pojazd z prędkością prawie 115 km na godzinę autostradą w USA.
Z powodu wad systemów informatycznych podłączonych do internetu, producent samochodów wycofał wtedy prawie półtora miliona samochodów i ciężarówek tej marki. Było to pierwsze wycofanie samochodu z rynku spowodowane obawami o cyberbezpieczeństwo. Od tego czasu pojawiło się jednak wiele innych zagrożeń hakerskich, które są możliwe dzięki rozwiniętej elektronice, coraz częściej dodawanej do wyposażenia nowoczesnych samochodów.
Kim jest Colombo cyberbezpieczeństwa?
David Colombo, fan Tesli, który wywołał to całe zamieszanie, pochodzi z bawarskiego miasteczka Dinkelsbühl. Kodowanie pochłonęło go, gdy miał 13 lat, a jego matka zachorowała na raka piersi i chciał jej pomóc. Niestety zmarła w następnym roku.
Znudzony szkołą nastolatek powiedział, że gdy miał 15 lat, wraz z ojcem złożyli petycję do rządu, aby pozwolił mu chodzić do niej tylko dwa dni w tygodniu, a resztę czasu spędzać na rozwijaniu swoich umiejętności w zakresie cyberbezpieczeństwa i budowaniu firmy konsultingowej, którą nazwał Colombo Technology. Dostał zgodę na taki tryb nauki.
Od tego czasu David brał udział w kilku programach, w których firmy płacą niezależnym badaczom bezpieczeństwa za błędy znalezione w ich produktach i był konsultantem, pomagając firmom w ocenie ich bezpieczeństwa.
Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.