30. 3. 2016 15:00 | Roman Chlupatý

Lesk a bída chytrých automobilů: Pokrok ve jménu (ne)bezpečí

Automobily se stále více podobají chytrým telefonům. Jejich majitelům se díky tomu v případě nouze dostane rychle pomoci a pasažérům zábavy. Odvrácenou stranou mince pokroku je hrozba, že cestující může – a bude – někdo špiclovat, případně že se do systému někdo nabourá a posádce způsobí nepříjemnosti. Podrobnosti v pořadu Alter Eko na Rádiu ZET probírali partner ve forenzní agentuře Surveilligence Ján Lalka a bezpečnostní konzultant z AEC Martin Klubal.

Ján Lalka: Řízení aut je stále více automatizované. Počítače hrají významnější roli nejen v komfortu cestování, ale i řízení jako takového. Někteří výrobci, třeba Chrysler, mluví o tom, že chtějí mít z auta chytrý telefon. Kam až to povede?

Martin Klubal: Mně to přirovnání ke smartphonům připadá velice trefné, protože chytré automobily, které přicházejí na trh, nejsou nic jiného. Jsou to velké stroje, které jsou s pomocí malé krabičky připojeny do GSM sítě a do datové sítě. Mají cestujícím zajistit zábavu a komfort, už to nejsou ta klasická auta umožňující jen přepravit se z bodu A do bodu B. Má to být i zábava. Kromě toho, že výrobci do vozů přidávají audiovizuální centra, máme možnost se s auty propojit a komunikovat. Každá novinka ale přináší riziko, takže to, že jsme připojeni do GSM sítě nebo na internet, znamená i jistou hrozbu, a ne malou. Jako vždy v podobných případech je to o srovnání toho, co nám daná technologie dává, a toho, co jsme jí ochotni obětovat.

Ján Lalka: Co je v případě chytrých automobilů oním rizikem?

Martin Klubal: Nemyslím si, že se dočkáme nějakého masivního hackování automobilů. Už proto, že případní útočníci, takzvaní black hat hackers, se spíše zaměřují na akce, které jim vygenerují peníze, což – alespoň za stávající situace – není případ aut. To ale neznamená, že větší nebo menší rizika neexistují. Automobily jsou přeplněné elektronikou, čemuž příliš nefandím. Měl jsem například auto, kde se dveře otevíraly pomocí tlačítka; když se vybila baterie, neotevřely se. A to je jen začátek. Když si uvědomíte, že jste připojení k internetu, a mohou na vás tedy útočit lidé na druhé straně planety, musí být jasné, jaké riziko to s sebou nese.

Ján Lalka: Zhruba před rokem se objevila zpráva, že se dva hackeři dostali do Jeepu Cherokee. Ovládli nejen mediální systém, ale i převodovku, pohrávali si s brzdovým systémem a tak dále. Je něco podobného "laboratorní testování", nebo se blíží stav, kdy bude takovýto hacking velice nepříjemnou, ale bohužel celkem standardní realitou?

Martin Klubal: Díky zmíněnému případu jsme si uvědomili, že věc, kterou jsme bezstarostně používali desítky let, se může stát nástrojem v rukou cizích lidí. Je to podobné jako s telefony – dříve jsme v kapse nosili hloupé přístroje, které v podstatě neuměly nic jiného, jen telefonovat a posílat textovky. Časem telefony získaly přívlastek chytré, což neznamená nic jiného, než že u sebe nosíme počítače stlačené do malé krabičky. A s inteligencí těchto krabiček přišly i útoky. Stejné to bude u automobilů. Většina z nás teď má hloupé automobily, kde útoky nehrozí, v budoucnu nicméně bude tato hrozba běžnou součástí našich životů.

Ján Lalka: Jak pravděpodobné jsou útoky na dnes běžně prodávané typy vozů?

Martin Klubal: V současnosti jsou auta běžně připojena do GSM sítě, takže můžete komunikovat s operátorem, ale nejsou připojena do sítě datové, nemají vlastní IP adresu, tedy jedinečný identifikátor. Jejich zranitelnost a napadnutelnost proto není tak velká, útočník by totiž nejdříve musel útok vést přes mobilního operátora, až poté by se mohl dostat k vašemu vozu. Zmíněný útok na Jeep Cherokee byl revoluční v tom, že šlo o nový typ útoku. Došlo k fatálnímu podcenění ze strany programátorů, kteří spoléhali na to, že IP adresa vozu nebude odhalena, že útočníci nezjistí, že daná adresa patří automobilu. To je naprosto špatný předpoklad. Dnes existují nástroje, které dokáží prohledat během deseti minut celý internet, a zároveň existují databáze, které shromažďují různé zdroje napříč internetem a lze v nich vyhledávat. Lze například zadat, že chcete najít všechny IP adresy, které patří serverům, automobilům, větrným elektrárnám a podobně.

Ján Lalka: Existuje dnes v komunitě zlých (black hat) hackerů nějaká soustředěná snaha vyhledávat slabá místa ovládacích systémů aut nebo jiných druhů dopravních prostředků?

Martin Klubal: V Česku se tato komunita na dopravu zaměřuje jen okrajově. Jsou známé případy, kdy útočníci sklápěli železniční závory na přejezdech, což není nic komplikovaného, protože k tomu nedochází bezdrátově. Co se týče domácích útoků týkajících se dopravy, je například známo, že česká hackerská komunita jezdí v českých vlacích zadarmo, a to od doby, kdy České dráhy začaly využívat elektronické jízdenky, aniž by měly dobře zabezpečený systém. Ve světě jsou podobné případy zajímavější, v porovnání s českým rybníčkem nebezpečnější. Jsou známé případy útoků na auta, dálniční informační tabule a kamery a podobně, což může vyústit i v ohrožení zdraví a životů.