foto: Shutterstock

Na naše auta si dovolují kyberzločinci. Už víme, co nás ochrání

Věci chytřetéma 7 a více min čtení

Celkem 80 institucí dokončilo práci na normě, která bude říkat automobilkám, proč a jak by měly řešit útoky hackerů. Chytré vozy totiž už dávno nejsou doménou luxusních značek, jejich dostupnost je stále větší. „Auta jsou dnes v zásadě počítače na kolech,“ přibližuje Vít Šembera, bezpečnostní expert ze společnosti Trend Micro, která se mimo jiné kyberbezpečností vozů zabývá.

Líbí se vám článek? Sdílejte ho:

Celkem 80 institucí dokončilo práci na normě, která bude říkat automobilkám, proč a jak by měly řešit útoky hackerů. Chytré vozy totiž už dávno nejsou doménou luxusních značek, jejich dostupnost je stále větší. „Auta jsou dnes v zásadě počítače na kolech,“ přibližuje Vít Šembera, bezpečnostní expert ze společnosti Trend Micro, která se mimo jiné kyberbezpečností vozů zabývá.

Související článek

Kdy nastane čas propojených automobilů?

Automobilový průmysl právě prochází obrovskými změnami. Auta se z původních, výhradně – nebo alespoň převážně – mechanických strojů stávají výrobky, ve kterých hraje stále větší roli elektronika a komunikace. A nejde přitom jen o zábavní systém, i když jeho kvalita je pro řadu zájemců o koupi důležitější než výkon motoru nebo zavěšení zadní nápravy.

Nejde o zbytečné úvahy. Odborníci ve světě už roky ukazují, do jaké míry a jak snadno můžou na dálku převzít nad autem kontrolu.

Pokaždé když se experti zkusí dostat do nějakého vozu s robustnějším softwarem, skončí to stejně: výpisem desítek slabých míst, kudy jde do systému proniknout a odkud lze případně auto do určité míry ovládat.

Nejznámější takové plánované a zároveň testovací útoky jsou dlouhé roky staré. Hned několik jich mají na svědomí dva američtí kyberspecialisté, Charlie Miller a Chris Valasek. Poprvé si obranyschopnost automobilu veřejně vyzkoušeli v roce 2013. Když se do něj tehdy chtěli dostat, museli sedět přímo ve voze a spojit se s ním přes kabely.

Pak ale zapracovali na vlastním softwaru a o rok později to už zvládli z domova. Na dálku několika kilometrů a velmi přesvědčivě.

Během domluveného testu ujistili řidiče vozu Jeep Cherokee, že nebudou dělat nic, co by ohrožovalo jeho život – nicméně testy jako vzdálené spouštění klimatizace, posílání obrázků na panel, hlasitá hudba bez možnosti ovládání a spouštění stěračů během jízdy na dálnici jako bezpečné nevyhodnotil ani sám figurant. Stejně tak ale byli Miller a Valasek schopni převzít kontrolu nad volantem, brzdami i převodovkou. Na dálku zamknout auto, ukazovat nesmyslné údaje na tachometru a znemožnit řidiči brzdit i přidávat plyn. Tedy kompletně auto ovládat.

Zdaleka nejde o jednu značku. Podobné připravené útoky se vedly třeba na Teslu, Hondu, Ford i Toyotu. Útok na Cherokee se stal zhruba před pěti lety, a pokud se dodnes něco změnilo, tak jen to, že aut náchylných k napadení je daleko víc.

Tísňové volání jako začátek propojení

Zjednodušeně se dá říct, že čím víc toho dokáže zábavní systém automobilů, tím spíš je napadnutelný. A takové systémy jsou stále větším standardem. „Před 10 lety byl podíl elektroniky a softwaru na ceně vozu řádově kolem 10, 15 procent. Dnes je to 40 až 50. A očekává se, že brzy to bude minimálně 60 procent ceny vozu,“ popisuje Vít Šembera. Software vozu ale neslouží jen k zábavě. Auta jsou „připojená“ do sítě proto, aby monitorovala stav na silnicích, pohyb chodců, vysílala signály nouze, analyzovala výstupy senzorů a zpracovávala data v řídicích jednotkách. Trh takových elektronických řídicích jednotek měl v roce 2017 hodnotu 65 miliard dolarů. Od té doby měl vzrůst asi na 95 miliard.

Související článek

C-Roads: čekají nás opravdu chytré silnice

Projekt C-Roads, tedy chytrá komunikace mezi auty, dopravní infrastrukturou a dalšími účastníky silničního provozu, úspěšně vstupuje do další přípravné fáze. V rámci Česka se na něm aktivně podílí i mobilní operátor T-Mobile.

Normy na systémy v autech se přitom doteď zabývaly jejich funkčností spíš než bezpečností. Nejvýznamnější nařízení posledních let v oblasti softwaru byl takzvaný eCall, který po řadě odkladů Evropská unie zavedla v roce 2018. Jde o možnost tísňového volání, která při závažné nehodě automaticky vůz propojí s operátory linky 112 a odesílá přitom ihned datový soubor s informací, o jaký vůz jde, kolik bezpečnostních pásů bylo ve chvíli havárie zapnuto, ale třeba i polohu vozu.

Jenže to ve skutečnosti znamená, že minimálně od zmíněného roku je každý automobil připojený SIM kartou k síti. A to taky otevírá dveře možnému zneužití.

Sbírejte data, a ta pak opravdu řešte

Normu s názvem ISO 21434 poslední dva roky připomínkovaly stovky lidí: evropská i americká organizace vydávající normy pro automobilový průmysl, výrobci, dodavatelé i univerzity. Teď už je hotová, zatím se ale podle ní nikdo řídit nemusí. Podle plánů ale Evropská komise příští rok na jejím základě vytvoří legislativní rámec. Povinný bude pro automobilový průmysl zřejmě od roku 2024.

Podle ní mají automobilky, jejich dodavatelé i další organizace zjišťovat, jak zabezpečená jejich auta proti kyberhrozbám jsou. Budou sbírat informace, sdílet je a domýšlet si potenciální hrozby, kterým vozy můžou čelit. Tedy zajišťovat analýzy zranitelnosti a dělat z nich závěry, případně na jejich základě zavádět nová opatření.

Související článek

I čeští teologové hledají řešení etiky provozu autonomních vozidel

Analýzu etiky provozu autonomních vozidel, společný projekt výzkumného týmu z Jihočeské univerzity v Českých Budějovicích, Akademie věd ČR a Univerzity Karlovy, podpořila 4,5 miliony korun ze státních prostředků i Technologická agentura ČR. Jde o světově unikátní projekt; řešení eticky konfliktních situací zatím žádný výrobce nemá k dispozici.

Kromě toho chce norma po výrobcích třeba i to, aby se starali o aktualizaci softwaru automobilů. Teď k ní dochází jen v případě, že jejich majitel narazí na nějaký problém funkčnosti a je ochotný vůz nechat v servisu alespoň den. Klasicky tak většina aut nemá nejnovější verzi softwaru několik let.

Reakce na kyberútok má mimochodem zahrnovat i informování všech zúčastněných stran, ale kromě nich třeba i oddělení, která se ve firmě zabývají vztahy se zákazníky a prodeji. Cílem totiž je, aby za ně automobilky měly určitou zodpovědnost.

Proč je to tak zajímavé? Doteď totiž není jasné, kdo by měl vlastně za velmi reálné nebezpečí napadení vozu na dálku převzít zodpovědnost. Pokud se vám hacker „vloupá“ do telefonu, jen málokoho napadne chtít nějakou nápravu po výrobci přístroje. Ale u automobilu se víceméně předpokládá, že výrobce někde udělal chybu, kterou by měl taky řešit. Tedy alespoň většinou.

Tak třeba BMW – značka, u které hledá zranitelnosti Vít Šembera – k tomu prý přistupuje velmi aktivně. „Má program pro výzkumníky, kteří tyto zranitelnosti řeší. Jenže jsou známé i případy jiných automobilek, které postupují opačně. Například jedna, která objevila problém založený na zranitelnosti centrálního dálkového odemykání vozu. Spočíval ve špatně zvoleném algoritmu, špatné volbě komunikačního protokolu. Nechala si soudním nařízením zakázat zveřejnění jakékoliv informace o existenci této zranitelnosti. Jenže tím, že znemožňují výzkumníkům zveřejnit výsledky výzkumu, zranitelnost nezmizí. Neznamená to, že možní útočníci na ni nezávisle nepřijdou. Výrobce se tím jen snaží oddálit skutečnost, že musí chyby opravit,“ myslí si Šembera.

Svolávání milionů vozidel

Na takové proniknutí do vozu přitom není z pohledu útočníka potřeba žádné zvláštní vybavení ani velká snaha. Na druhou stranu, zabezpečení proti možným útočníkům je velmi drahé.

Související článek

Ústí nad Labem začne testovat auta bez řidiče připojená přes 5G

V Ústí nad Labem začnou testovat autonomní vozidla připojená přes síť 5G. Auta bez řidiče umožní plynulejší provoz a sníží počet nehod způsobených lidskou nepozorností. Autonomní vozidlo nebude nikdy unavené a nebude porušovat dopravní předpisy.

„Takto kupříkladu převzali etičtí hackeři kontrolu nad informačním systémem v elektrickém vozidle. Během hackerské soutěže zneužili zranitelnost ve webovém prohlížeči v automobilu, takže výrobce musel vydat aktualizaci softwaru, aby problém vyřešil. Při podobném útoku etických hackerů našla čínská bezpečnostní společnost v roce 2018 celkem 14 zranitelných oblastí ve vozidlech evropského prémiového výrobce. Jiná globální automobilka zas musela v roce 2015 svolat zhruba 1,4 milionu vozidel v rámci jednoho z vůbec prvních případů, který se týkal rizik kybernetické bezpečnosti v automobilovém průmyslu. Dopad takového svolání byl značný, možné náklady na výrobce se podle našich výpočtů dostaly na skoro 600 milionů dolarů,“ popisují Johannes Deichmann a Benjamin Klein z konzultační společnosti McKinsey.

Totiž: když chcete opravit chybu v telefonu, pošlete prostě zákazníkům novou verzi softwaru, která se během pár minut, kdy telefon nepoužíváte, sama nahraje. Jenže u auta to tak jednoduché není. Je třeba do vozu přenést takový objem dat, že s dnešními technologiemi to podle Šembery na dálku v zásadě nejde. „Je v něm mnohem víc softwaru než třeba v počítači. Update trvá mnohem déle – alespoň hodiny. A ještě je tu riziko, že když to nedopadne dobře, nebude fungovat. Jednotlivé díly navíc musí být testované na úrovni systému, aby spolu komunikovaly správně. Nelze aktualizovat jednu řídicí jednotku, je třeba to udělat pro všechny propojené. A dnes jsou ve vozidlech stovky řídicích jednotek,“ popisuje.

Ovšem na rozdíl od mobilu, televize nebo routeru producenti aut nejsou v první řadě výrobci elektroniky. V automobilovém průmyslu ji dodávají subdodavatelé, a někdy ještě jejich subdodavatelé. Jakmile proto vyjde najevo problém, je náročné objevit, kde přesně vlastně je a kdo za něj může.

Související článek

Musk slibuje plně autonomní Teslu do konce roku

Na Světové konferenci umělé inteligence v Šanghaji prohlásil Elon Musk prostřednictvím videohovoru, že plně automatickou Teslu představí „velmi brzy“. Poté dokonce specifikoval, že má být hotová už na konci tohoto roku. Jsou to jen plané sliby, nebo se opravdu dočkáme?

A podle Šembery je jen štěstí, že v napadení aut útočníci zatím nevidí možnost, jak ve velkém vytěžit peníze. „To se ale může rychle změnit. Může nastat scénář podobný situaci, kdy vám zablokují telefon a chtějí ‚výpalné‘. Stejně můžou zablokovat vozidlo. A jeho hodnota je proti mobilnímu telefonu řádově vyšší,“ nastiňuje Šembera.

Líbí se vám článek? Sdílejte ho:
link odkaz
Reklama