Сел я как-то у огня перед камином и открыл увесистый кожаный сверток, который достал из машины. Ее я купил накануне и, хотя понимал, что с момента приобретения предыдущей машиной технологии не стояли на месте, оказался не готов к тому, как много перемен произошло всего за несколько лет.
Внутри свертка был комплект инструкций, одна из которых, толщиной в два пальца, была посвящена некоему понятию, которое производитель автомобиля, компания Mercedes Benz, назвал COMAND — да, именно в таком варианте написания.
Я пролистал страницы и вскоре поймал себя на мысли, что читаю о климатических картах в реальном времени, дополненных радиолокационными спутниковыми изображениями. Мне дали возможность прочитать текущие отзывы о ресторанах в сервисе Yelp. А позвони я на нужный номер, компания могла бы разблокировать мою машину или даже прислать помощь в случае аварии. Все это примеры новых возможностей, о существовании которых я не подозревал — по крайней мере, не ожидал, что они достигнут такого уровня.
Затем я подумал об автомобиле своей жены, тоже немецкой модели, и вспомнил, что у этой машины аналогичные возможности, причем в ее случае в авто даже встроили возможность удаленного программирования навигации.
Однако этими возможностями могут похвастать не только немецкие, и даже не только европейские, автомобили. Судя по последней информации в СМИ, американские, японские и итальянские модели обладают схожими функциями связи, а значит, они несут в себе те же риски для кибербезопасности — в некоторых случаях эти риски достигают неслыханной степени.
«Машине марки Nissan Leaf для авторизации нужен только VIN-код (vehicle identification number, идентификационный номер транспортного средства)», — говорит Крэйг Янг, специалист по вопросам безопасности фирмы Tripwire. Янг отмечает, что VIN-код виден снаружи автомобиля, так что любой может его найти и, установив мобильное приложение для Leaf, может управлять некоторыми функциями автомобиля.
Как утверждает Янг, для того, чтобы кто-то мог взломать машину марки Leaf, сначала нужно установить специальное мобильное приложение. Но как только это будет сделано, любой сможет посылать запросы к авто или просматривать информацию о нем. «Пока управлять можно только кондиционером, — говорит он, — но можно также узнать некоторые сведения о машине, в частности уровень заряда и состояние аккумулятора, логин владельца, перечень поездок и время их совершения, а также эффективность приводов».
Янг считает, что с помощью полученной таким образом информации можно легко вычислить вероятное время, когда владельца не будет дома. По его словам, несмотря на то, что перехватить управление машиной извне нельзя, можно включить кондиционер и таким образом разрядить батарею, поставив водителя в затруднительное положение.
Все это примеры проблем безопасности при взаимодействии с Интернетом вещей. «Автомобили по своей сути являются большими IoT-устройствами», — говорит Крэйг Смит, автор готовящейся к публикации книги «Руководство для автомобильных хакеров», в которой он описывает, как обнаружить уязвимости, и помогает понять, как в машине работают системы обработки и передачи по сети данных. Смит рассказывает, что на протяжении многих лет сотрудничал с производителями авто, помогая им устранять дыры в безопасности.
Как пояснил Смит, проблема, по сути, заключается в том, что по аналогии с множеством других IoT-устройств компьютеры, которыми оборудованы автомобили, разработаны исходя из принципа, что они являются внутренними устройствами и ни к чему не подключены. Но теперь-то они подключены, и проектировщикам неизбежно придется это учитывать.
«Теперь они справляются с этим лучше, чем тогда, когда я начинал, — отмечает Смит. — Они серьезно относятся к безопасности».
К сожалению, не все спокойно в IoT-королевстве. «Масса наиболее опасных уязвимостей, как правило, таится в беспроводной связи, — пояснил Смит. — Обычно там не так много препятствий для входа в защищенную систему».
Я подумал о своей машине, купленной всего два дня назад, и о том, как она может получать данные метеолокатора и читать отзывы с Yelp. Смит говорит, что самые серьезные уязвимости базируются вокруг мобильной связи и прочих видов беспроводных соединений. К беспроводной связи также могут относиться бортовые точки доступа Wi-Fi и бортовые диагностические системы. Хорошо хоть, что большинство автомобильных компаний имеют некоторое представление о безопасности.
«Я вижу, что в автоиндустрии стали чаще проводить моделирование рисков», — делится Смит. К сожалению, каких-либо эффективных мер по защите своей безопасности владельцы и водители подключенных машин предпринять не могут, так как никаких антивирусов или ПО для борьбы с вредоносными программами для автомобилей просто не существует. С другой стороны, некоторые автопроизводители все же уделяют этой проблеме внимание и даже предлагают обновления своего программного обеспечения по беспроводной связи.
Я вспомнил беседу с одной сотрудницей из службы технической поддержки моего автомобиля. «Вам нужно съездить к местному дилеру и обновить ПО вашей машины», — сказала она тогда. Она проверяла сведения о моей машине в Интернете и, видимо, что-то ей не понравилось в результатах. В случае с другими поставщиками машин, в частности, машин марки Tesla, обновления автоматически загружаются в компьютер автомобиля, если рядом доступна Wi-Fi-сеть.
Смит говорит, что автомобили, так же, как и другие устройства в Интернете вещей, можно сделать намного безопаснее. «Без стандартов безопасности многого не добьешься», — отметил он. Проблема в основном состоит в том, что ребята, разрабатывающие различные системы для автомобилей, не привыкли придавать большого значения безопасности. «Они воображали транспортное средство защищенным устройством, — говорит Смит. — Они исходили из того, что мобильной сети можно доверять в плане безопасности».
Смит агитирует за открытость со стороны производителей автомобилей, поясняя, что разрешив любому желающему свободный доступ к исходному коду, автомобильные системы, скорее всего, можно сделать более безопасными, так как возрастет вероятность, что кто-то заметит проблемы. Он привел в пример компанию Tesla, которая запустила проект HackerOne, позволяющий владельцам машин и исследователям сообщить компании о наличии очевидных дыр в безопасности.
Смит рассказал, что «компания General Motors внедряет процесс выявления уязвимостей», в ходе которого поощряется обнаружение дыр в системе безопасности компании. Он также посоветовал обратить внимание на сайт Open Garages (открытые СТО), на котором специалисты по безопасности автомобилей и IoT-устройств обсуждают уязвимости и способы их устранения.
Смит также заявил, что компаниям следует занять более открытую позицию, хотя бы потому, что так будет проще обнаружить и исправить проблемы.