อุปกรณ์อิเล็กทรอนิกส์แบบฝังจุดอ่อนของรถยนต์ยุคใหม่?

จากนี้ไป ยานพาหนะต่างๆ ต้องพึ่งพากองทหารของมินิคอมพิวเตอร์เฉพาะทาง (ECU) และบรรทัดโค้ดมากมายเหลือเฟือ ซึ่งควบคุมระบบข้อมูลและความบันเทิงตลอดจนฟังก์ชันที่สำคัญที่สุด ได้แก่ การฉีด การเบรก และในปัจจุบัน สำหรับจำนวนที่เพิ่มขึ้นเรื่อยๆ ของยานพาหนะที่มีฟังก์ชันการขับขี่หรือการช่วยจอดรถ การบังคับเลี้ยว

รถยนต์อเมริกันซึ่งส่วนใหญ่มีกระปุกเกียร์อัตโนมัตินั้นต้องใช้คอมพิวเตอร์ออนบอร์ดมากกว่ารถยนต์ในยุโรปเสียอีก การรักษาความปลอดภัยของระบบเหล่านี้ขึ้นอยู่กับความท้าทายครั้งใหญ่เหล่านี้หรือไม่?

อาถรรพ์ของการแฮ็กรถ

ไม่กี่ชั่วโมงก่อนที่เขาจะเสียชีวิตในวันที่ 18 มิถุนายน 2556 ในอุบัติเหตุทางรถยนต์สาหัส Michael Hastings นักข่าวสืบสวนชาวอเมริกันซึ่งเพื่อนของเขาอธิบายว่าเป็นคนขับที่ระมัดระวังมากบอกกับญาติและเพื่อนร่วมงานว่าเขากำลังทำเรื่องใหญ่โดยเชื่อว่าเขากำลัง เฝ้าดูและตั้งใจที่จะรักษาความรอบคอบจนกว่าการสอบสวนจะสิ้นสุด

ใช้เวลาไม่นานเว็บก็ลุกเป็นไฟและถามออกมาดังๆ ว่า รถของ Michael Hastings ซึ่งเป็น Mercedes C250 ล้ำสมัยอาจถูกแฮ็กได้หรือไม่ เมื่อถามโดย Huffington Post อดีตที่ปรึกษาพิเศษของประธานาธิบดีอเมริกัน Richard Clarke ผู้เชี่ยวชาญด้านการต่อต้านการก่อการร้ายและสงครามไซเบอร์ ยืนยันว่าองค์ประกอบที่ทราบของอุบัติเหตุคือ“เข้ากันได้กับการโจมตีทางไซเบอร์ทางรถยนต์”-

หากไม่สนับสนุนทฤษฎีการแฮ็ก คลาร์กกล่าวว่าการโจมตีดังกล่าวแทบจะเป็นไปไม่ได้เลยที่จะแสดงให้เห็น แต่นั่นก็เป็นเช่นนั้น“มีเหตุผลทุกประการที่เชื่อได้ว่าหน่วยข่าวกรองของมหาอำนาจมีความสามารถประเภทนี้ […] มีแนวโน้มที่จะสร้างความเสียหายอย่างมาก”- เมื่อถูกตั้งคำถามจากเรา ผู้ผลิต Daimler ต้องการแสดงความเสียใจต่อครอบครัวและเพื่อนของ Michael Hastings และไม่สามารถให้ความเห็นเกี่ยวกับการสอบสวนที่กำลังดำเนินอยู่ได้ จึงมั่นใจได้ว่าจะสนับสนุนตำรวจในการสร้างอุบัติเหตุขึ้นใหม่ หากมีการร้องขอเพื่อให้เกิดผลนี้ .

ช่องโหว่ที่ทราบ

การแฮ็กรถยนต์ไม่ใช่การรักษาสายลับอีกต่อไป Richard Clarke เพียงกล่าวถึงสิ่งที่ชัดเจนสำหรับทุกคนที่ติดตามการวิจัยทางวิชาการเกี่ยวกับความปลอดภัยของรถยนต์ กลุ่มนักวิจัยจากมหาวิทยาลัยวอชิงตันและแคลิฟอร์เนีย ซานดิเอโก ซึ่งรวมตัวกันภายใต้การอุปถัมภ์ของ CAESS (Center for Automotive Embedded Systems Security) เผยแพร่ผลการศึกษาสองฉบับในปี 2010 และ 2011 ระบุช่องโหว่จำนวนมากที่ส่งผลกระทบต่อรถยนต์ระดับไฮเอนด์หลายรุ่น

นักวิจัยสามารถควบคุมการทำงานที่สำคัญทั้งหมดได้โดยใช้เทคนิคมากมาย ตามที่ Aurélien Francillon อาจารย์จาก Eurecom และผู้เชี่ยวชาญด้านความปลอดภัยของระบบฝังตัวกล่าวไว้“ยิ่งเราเพิ่มฟีเจอร์และอุปกรณ์ต่างๆ มากเท่าไร เราก็จะยิ่งเพิ่มพื้นที่การโจมตีและจำนวนช่องโหว่ที่อาจเกิดขึ้นมากขึ้นเท่านั้น ระบบที่แตกต่างกันอาจถูกแบ่งพาร์ติชันและแยกออกจากกันทางกายภาพบนรถบัสที่แตกต่างกัน แต่ต้องสื่อสารกัน หากมีช่องโหว่ของซอฟต์แวร์ ผู้โจมตีสามารถย้ายจากบัสหนึ่งไปยังอีกบัสหนึ่งได้ -

ระบบมัลติมีเดีย (เครื่องเล่น MP3 ฯลฯ) อาจทำให้เกิดข้อบกพร่องที่ไม่คาดคิดได้ นักวิจัยสามารถควบคุมยานพาหนะได้โดยการฉีดมัลแวร์โดยใช้ไฟล์ WMA ที่ปนเปื้อน อุปกรณ์สื่อสารไร้สายทั้งหมด (Wi-Fi, บลูทูธ, บริการเทเลเมติกส์พร้อมการเชื่อมต่อโทรศัพท์มือถือ ฯลฯ) ถือเป็นจุดเริ่มต้นที่เป็นไปได้ ต้องขอบคุณอุปกรณ์เหล่านี้ที่สามารถควบคุมยานพาหนะได้"จากระยะไกล"โดยไม่ต้องเข้าถึงห้องโดยสารด้วยซ้ำ

เมื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ชื่อดัง Charlie Miller และ Chris Valasek ได้ทำการสาธิตการควบคุมยานพาหนะอย่างเต็มรูปแบบด้วยการเข้าถึงทางกายภาพผ่านช่องเสียบ OBD-II โดยครั้งนี้ได้เผยแพร่เทคนิคและเครื่องมือที่แม่นยำที่ใช้ การนำเสนอของพวกเขาถูกปฏิเสธโดย Black Hat ซึ่งเป็นการประชุมด้านความปลอดภัยคอมพิวเตอร์ที่มีชื่อเสียง ในที่สุดงานดังกล่าวจะเกิดขึ้นในช่วง Defcon ฉบับปี 2013

ความท้าทายใหม่

ในปัจจุบัน การโจมตีเหล่านี้จำเป็นต้องใช้ทรัพยากรจำนวนมาก แต่ผู้โจมตีที่มีอุปกรณ์ครบครันและมีแรงจูงใจซึ่งต้องการกำหนดเป้าหมายเฉพาะจะสามารถเข้าถึงได้ นอกเหนือจากการโจมตีความปลอดภัยส่วนบุคคลแล้ว ยังสามารถตรวจสอบบุคคลโดยใช้ระบบระบุตำแหน่งทางภูมิศาสตร์หรือโดยใช้ไมโครโฟนที่อยู่ในห้องโดยสารของยานพาหนะที่ติดตั้งบริการเทเลเมติกส์ที่ทันสมัย ​​เช่น ในกรณีของการดักฟังทางศาล

ขณะนี้มีอยู่ในสภาพแวดล้อมการรักษาความปลอดภัยด้านไอทีตลาดสำหรับ« หาประโยชน์ »ทำกำไรได้มาก VUPEN ซึ่งเป็นบริษัทสัญชาติฝรั่งเศส ทำการตลาดแบบ "zero-days" (ข้อบกพร่องที่ไม่ได้เผยแพร่) ซึ่งส่งผลกระทบต่อระบบที่ใช้งานและแพตช์ ซึ่งส่วนใหญ่ขายให้กับรัฐบาล โลกแห่งการทหาร และหน่วยข่าวกรอง

ข้อเสนอที่มีข้อโต้แย้งแต่ถูกกฎหมายนี้ประกอบกับตลาดมืดที่คึกคักมากเพื่อประโยชน์ของผู้กระทำผิดที่รอบคอบน้อย เช่น องค์กรอาชญากรรมหรือบริษัทที่แสวงหาความได้เปรียบทางการแข่งขันไม่ว่าจะด้วยวิธีใดก็ตาม“เราสามารถจินตนาการได้ว่าสิ่งเดียวกันนี้พัฒนาขึ้นสำหรับยานยนต์ หากมีแรงจูงใจออเรเลียน ฟรานซิลอนกล่าวหน่วยงานของรัฐที่จัดการกับความปลอดภัยของบุคคลสำคัญจะคำนึงถึงสิ่งเหล่านี้ด้วย อย่างไรก็ตาม นี่คือเกมแมวจับหนู -

แต่ความเป็นไปได้ของการโจมตีขนาดใหญ่ล่ะ? “ปัจจุบันความเสี่ยงยังต่ำเนื่องจากมีรถยนต์หลายยี่ห้อและแต่ละคันมีระบบของตัวเอง อย่างไรก็ตาม ด้วยการเกิดขึ้นของมาตรฐานใหม่ ความเสี่ยงของการโจมตีอัตโนมัติก็จะเพิ่มขึ้น ยิ่งเราเชื่อมต่อยานพาหนะเข้ากับอินเทอร์เน็ต แต่ยังเชื่อมโยงถึงกันตามที่วางแผนไว้โดยโครงการเครือข่ายยานพาหนะ (“เทคโนโลยี Car 2 Car”) ความเสี่ยงในการแพร่กระจายมัลแวร์รูปแบบ “หนอน” ก็จะยิ่งรุนแรงมากขึ้นเท่านั้น ในกรณีนี้ การโจมตีเพียงครั้งเดียวก็เพียงพอที่จะทำลายรถยนต์หลายพันคันได้ - อุปกรณ์วินิจฉัยและอัปเดตของผู้ผลิตผ่านเครือข่ายตัวแทนจำหน่าย อาจกลายเป็นพาหะของการแพร่กระจายของไวรัส ซึ่งส่งผลกระทบต่อยานพาหนะจำนวนมาก

เสียงปลุกที่หยาบคายสำหรับอุตสาหกรรม

Stefan Savage ผู้อำนวยการฝ่ายวิจัยของ CAESS บอกกับ Forbes เมื่อเร็ว ๆ นี้ว่ายานพาหนะที่ศึกษานำเสนอช่องโหว่ประเภทเดียวกันกับพีซีในช่วงกลางทศวรรษที่ 90 ในช่วงเริ่มต้นของอินเทอร์เน็ต แต่เหตุใดการรักษาความปลอดภัยของระบบฝังตัวจึงเกิดความล่าช้า?

สำหรับ Aurélien Francillon คำตอบนั้นง่ายมาก:“ผู้ผลิตขายให้กับผู้ใช้ จากมุมมองของผู้ขาย มันไม่สมเหตุสมผลเลยที่จะลงทุนเงินจำนวนมากหรือความพยายามไปกับสิ่งที่ผู้ใช้ไม่เข้าใจ การรักษาความปลอดภัยคือก“ทรัพย์สินที่ไม่มีประโยชน์ใช้สอย”เราก็ไม่อยากที่จะต้องจ่ายมัน นอกจากนี้ วงจรชีวิตของยานพาหนะยังยาวนานกว่าพีซีหรือสมาร์ทโฟนมาก ส่งผลให้มีความเฉื่อยมากขึ้น ซึ่งแตกต่างจากคำถามเกี่ยวกับความน่าเชื่อถือและความปลอดภัยส่วนบุคคล ความปลอดภัยของคอมพิวเตอร์ยังไม่เป็นจุดขายจนถึงขณะนี้ อย่างไรก็ตาม เมื่อพิจารณาจากการรายงานข่าวของสื่อเกี่ยวกับปัญหานี้เพิ่มมากขึ้นและความตระหนักรู้ของผู้ขับขี่รถยนต์ ผู้ผลิตดูเหมือนจะมีปฏิกิริยาโต้ตอบ มีความตระหนักรู้ -

Daimler หนึ่งในผู้ผลิตไม่กี่รายที่พูดถึงเรื่องนี้ อ้างว่าให้ความสำคัญกับปัญหานี้เป็นอย่างมาก:“การรักษาความปลอดภัยที่สมบูรณ์ไม่สามารถบรรลุได้ อย่างไรก็ตาม กลยุทธ์ด้านความปลอดภัยของเราจะไม่สิ้นสุดเมื่อมีการส่งมอบรถให้กับลูกค้า แต่ครอบคลุมตลอดอายุการใช้งาน หากมีการโจมตีประเภทใหม่เกิดขึ้น ซึ่งไม่สามารถตัดออกได้ เราสามารถอัปเดตยานพาหนะที่ปรับใช้ได้ตามนั้น อินเทอร์เฟซภายนอกทั้งหมด รวมถึง Bluetooth และระบบสื่อสารเทเลเมติกส์ ได้รับการทดสอบกับสถานการณ์การโจมตีที่อาจเกิดขึ้นทั้งหมด นอกจากนี้ เดมเลอร์ยังใช้ขั้นตอนการอัปเดตที่ลงนามด้วยการเข้ารหัสสำหรับยานพาหนะทุกคัน -

กลยุทธ์ในอนาคต

“เราสามารถแก้ไขจุดอ่อนได้ แต่มันก็ยังคงเป็นปูนบนขาไม้ความคิดเห็นของ Aurélien Francillonแนวทางการรักษาความปลอดภัยที่แท้จริงเริ่มต้นขึ้นเมื่อมีการพัฒนาสถาปัตยกรรม สิ่งพิมพ์ล่าสุดแสดงให้เราเห็นว่ารถยนต์บางรุ่นอาจสายไปบ้างแล้ว แต่ก็เป็นสิ่งจำเป็นสำหรับคนรุ่นต่อๆ ไป -

Raj Samani รองประธาน EMEA และ CTO ของ McAfee หนึ่งในผู้ให้บริการโซลูชันด้านความปลอดภัยที่สนใจมากขึ้นในเรื่องของระบบฝังตัว ตกลง:“การรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวนำไปใช้กับ “Internet of Things”(เทคโนโลยี « เครื่องจักร 2 เครื่อง »)เป็นสาขาที่เกิดใหม่ โดยมีอายุไม่เกิน 5 ถึง 10 ปี อุตสาหกรรมไอทีได้สอนเราว่าการรักษาความปลอดภัยเมื่อเข้าใจถึงปัญหาหลังเหตุการณ์นั้นยากเพียงใด การออกแบบการรักษาความปลอดภัยตามค่าเริ่มต้นเป็นแนวทางที่ดีที่สุด เราถือว่า “ไวท์ลิสต์” (การสร้างรายการแอปพลิเคชันที่ผ่านการตรวจสอบแล้ว) และระบบการตรวจสอบความถูกต้องที่รัดกุมเป็นโซลูชั่นที่ยอดเยี่ยม”-

ความเร่งด่วนของสถานการณ์ไม่ได้หนีรอดบริษัทต่างๆ เช่น ESCRYPT หรือ Wind River ที่เชี่ยวชาญด้านความปลอดภัยของยานพาหนะ หรือผู้เผยแพร่ระบบปฏิบัติการที่ปลอดภัย เช่น Sysgo และ Pike OS สิ่งหนึ่งที่แน่นอนก็คือ: การรักษาความปลอดภัยด้านไอทีกำลังกลายเป็นองค์ประกอบสำคัญของกลยุทธ์ของผู้ผลิตรถยนต์

🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-