Ekstern hacking er nå en realitet | doug nykommer

Inntil nå ble demonstrasjoner av bilhakk bare gjort mens sikkerhetsforskere var kablet til et kjøretøys elektriske system. Det var bare ett dokumentert tilfelle i ekte verden av hacking til ekstern bil i 2010, men det var en innsidejobb av en misfornøyd ansatt av en bilforhandler, som muret over 100 biler ved å dra nytte av teknologi designet for å muliggjøre fjernoverføring.

Tidligere denne uken viste to sikkerhetsforskere som har utsatt tilknyttede bilsikkerheter noe for et korstog på dramatisk og noe farlig måte hvordan de klarte å fjerne deaktivere kritiske systemer fra en Jeep Cherokee fra 2014 mens kjøretøyet lå på en St. Louis motorvei. Charlie Miller, en sikkerhetsforsker på Twitter, og Chris Valasek, direktør for sikkerhetsforskning på kjøretøyer i IOActive, kom overskrifter for to år siden ved å vise hvordan de kunne tøffe hornet, spenne sikkerhetsbeltene, drepe bremsene og kontrollere rattet til en Ford Escape og Toyota Prius fra baksetet ved hjelp av bærbare datamaskiner og en fysisk forbindelse til kjøretøyene.

Deres oppfølging, nok en gang med skribent Andy Greenberg ved rattet, var ment å skremme bilfirmaer og bileiere ved å bevise at kjøretøyer kan fjernes hacking for å forårsake ødeleggelser på motorveien. Mens de satt i Millers kjeller kilometer unna, brukte paret en sikkerhetssårbarhet i kjøretøyets Uconnect infotainment-system for å sprenge vekselstrømmen, stille inn på en hip-hop radiostasjon og sveve stereoanlegget, slå på vindusviskeren og skiven og legge ut en snarky bilde på i-dash-visningen av seg selv i matchende banedrakter.

For å kjøre hjem sitt poeng om sårbarhetene til moderne tilkoblede biler, deaktiverte de transmisjonen, og fikk Jeep til å miste akselerasjonen på motorveien, med en semi peiling på den. Senere, på en parkeringsplass, deaktiverte de også jeepens bremser, og fikk den til å gli ned i en grøft med Greenberg ved rattet.

Å skremme bilprodusenter til handling

Hvis å lese dette skremmer deg, er det nettopp poenget med parets utnyttelser. Mer spesifikt håper de å skremme publikum og i sin tur støte bilprodusenter til handling mot nett-sikkerhet. Deres siste publisitetsstunt er et forspill til å presentere deres ekstern hacking-forskning på sikkerhetskonferansen Black Hat i Las Vegas neste måned, uten å avsløre detaljene for ondsinnede hackere. Miller og Valasek varslet også Fiat Chrysler Automobiles for måneder siden, slik at bilprodusenten kunne utstede en lapp for alle berørte Uconnect-systemer - så mange som 471.000 Chrysler-, Dodge-, Jeep- og Ram-biler utstyrt med 8, 4-tommers U-Connect berøringsskjermsystem.

Miller og Valasek løftet innsatsen og gikk fjernt i deres bilhakkarbeid, som er finansiert av et tilskudd til Defense Advanced Research Projects Agency (DARPA), fordi demonstrasjonen deres for to år siden "ikke hadde innvirkning med produsentene som vi ønsket, "Fortalte Miller Wired . Mange mennesker som er involvert i bilindustrien (inkludert din virkelig) stilte spørsmål ved om et eksternt bilhack kunne fullføres, og nå har Miller og Valasek fjernet enhver tvil.

Miller og Valaseks nyere arbeid er ikke det eneste tilfellet av ekstern bilhopping. Denne uken fant forskere i England en vei inn i en bils elektronikk gjennom Digital Audio Broadcasting (DAB) radiofunksjonen som ofte brukes i Europa og Asia, og som kan tillate en hacker å sende ondsinnet kode for å overta et infotainment-system. BBC rapporterte at "en angriper kunne bruke den som en måte å kontrollere mer kritiske systemer, inkludert styring og bremsing." Og i februar fant den tyske ekvivalenten til Auto Club en sikkerhetsfeil i noen BMW-biler som kunne tillate hackere å fjerne låsen fra dørene, og BMW sendte umiddelbart ut en over-the-air (OTA) programvareoppdatering for å løse sårbarheten.

Midlertidige tiltak som OTA-oppdateringer blir mer vanlig, som Tesla har vist, og bilprodusentene har prøvd å ligge foran bilen-hacking-trusselen ved å ansette dedikerte sikkerhetseksperter. Industrigrupper dannet også nylig et nytt konsortium kalt Auto Information Sharing Advisory Center (ISAC) for å bekjempe cybertrusler.

Det er for øyeblikket ikke mye insentiv for hackere å målrette biler, utover å trekke av ondsinnede pranks. "Gitt motivasjonen fra de fleste hackere, er sjansen for veldig liten, " observerte Damon McCoy, en assisterende professor i informatikk ved George Mason University og en forsker for bilsikkerhet. Og Valasek sa "det tar mye tid på ferdigheter og penger" å hente det han og Miller oppnådde.

Trusselen om bilhakk er blitt sammenlignet med det begynnende Internett for 20 år siden, da datamaskiner først begynte å bli koblet og Black Hats begynte å avsløre og utnytte sårbarheter. Selskaper som Microsoft på sin side ble tvunget til å gå på defensivt og utstede sikkerhetsoppdateringer og til og med belønne nerder som avdekket en sårbarhet med "bug-bounties."

Men det er ikke 1995, og hackere er mer rikholdige og mer sofistikerte, og det kan være flere tilkoblede biler på veien nå som de ble koblet til datamaskiner for to tiår siden. Den siste runden med bilhakk hever innsatsen betydelig. - Dette er hva alle som tenker på bilsikkerhet har bekymret seg i årevis, sa Miller. "Dette er en realitet."