אבטחת התקשורת בין הרכב לשאר העולם (V2X) היא דבר שחייבים ליישם אותו כדי למנוע מהאקרים להשתלט על מכוניות. כך אמר קלאוס ריינמות’, מנהל חטיבת הרכב ב-NXP במסגרת כנס DevelopEX2015 שהתקיים בשבוע שעבר.
אבטחת התקשורת בין הרכב לשאר העולם (V2X) היא דבר שחייבים ליישם אותו כדי למנוע מהאקרים להשתלט על מכוניות. כך אמר קלאוס ריינמות’, מנהל חטיבת הרכב ב-NXP במסגרת כנס DevelopEX2015 שהתקיים בשבוע שעבר.
“בשנת 2020 יהיו בעולם החכם שלנו 50 מיליארד מכשירים מקושרים. חלק ניכר מהם יהיה בכלי רכב: תעודת זיהוי אוטומטית לרכב, רשת תוך רכבית, מערכת בידור, מערכת גישה לרכב, מערכות התראה. EPassport, Smart eID כרטיס בריאות, לוחיות זיהוי אלקטרוניות, חיישנים לאבטחת נתבי גישה וסייבר, בקרת גישה, אבטחה משודרגת, קישוריות Smart eID, תאורת LED חכמה. כמו כן ניתן יהיה לבצע טרנזקציות מובייל מהרכב, לנטר אחר שרשרת האספקה של רכיביו, קוראי תגי RFID, חברות במועדון נאמנות, כרטיסי אשראי מאובטחים. הרכב יהווה צומת לרשתות IOT שיהוו את המכונית המקושרת.”
“בכל כלי רכב יהיה מחשב מרושת, והוא יכיל עד 100 ECU ו-150 חיישנים, מחובר באמצעות קילומטרים של כבלים ויכיל 100 מיליון שורות קוד. המכונית תקושר יותר ויותר לעולם החיצון – למכוניות אחרות, למכשירים אישיים, לשירותי תמיכה וטיפולים שישבו בענן.”
“ואולם כל הדברים הללו יהפכו את המכונית החכמה מטרה נוחה להאקרים. לפניהם בעצם מחשב גדול שיש בו נתונים פרטיים. הוא מכיל ממשקים חיצוניים ופנימיים, ממשקים חוטיים ואלחוטיים. הרכב המקושר פגיע מאוד – הוא מכיל מספר הולך וגדל של צמתים, תכונות מתקדמות, נתונים בעלי “ערך רב, מערכת איחסון למידע, אפשרויות דיאגונסטיקה, קישור לענן”
יכולות התקיפה הן רבות ומגוונות, החל מחדירה פיזית ועד למתקפה מרחוק. כדי לבצע מתקפה כזו על ההאקר לאתר פגיעויות במעבדי ה-ECU, בפרט ב-ECU בעלי יכולת גישה מרחוק, ניצול הפגיעיות יאפשר להאקר לקבל גישה מלאה ל-ECU. דרכו ההאקרים יכולים לתקוף ECU-ים אחרים. באמצעות המעבדים שהשליטה שלהם בידיו הוא יוכל לבסוף להשיג שליטה מלאה על הרכב.”
יש חשש שהדבר יתבצע בקנה מידה גדול. כמו בשאר התחומים גם תהליך ההאקינג עבר אוטומציה – קטעי קוד וכלים מתפרסמים באיטרנט וכי ניתן לבצע את התקיפה מרחוק. התרחיש הגרוע ביותר הוא השתלטות על צי שלם או על אף על כל המכוניות מדגם מסויים.”
“פריצות פיזיות יהיו מסובכות יותר .הם ידרשו ידע מעמיק, יכולת גישה פיזית, ביצוע הנדסה לאחור. יש להקדיש תשומת לב מיוחדת לממשקים אלחוטיים, שיותקנו ב-75% מהמכוניות שיהיו מחוברות לאינטרנט בשנת 2020 ממשקים אלחוטיים יאפשרו לתוקף יכולת תקיפה אנונימית עם פחות סיכון לתוקף, הרבה אנשים יכולים לבצע נסיונות פריצה בעלות נמוכה, יותר מכוניות ישפעו וההאקרים יוכלו להרוויח יותר.”
“פריצה מודוליV2X תאפשר לתוקפים לגנוב את זהות הנהג, לאתר במעבד ובמערכת האיחסון אחר מפתחות פרטיים, יכולת לבצע BOOT וביצוע פעולות במחשב. לדוגמה האם אחרים יכלים לתקוף מכונית בעת הנהיגה?”
ולפיכך נדרשת דרגה גבוהה של אנונימיות (הסתרת הזהות) כדי למנוע מעקב.
“מערכת האבטחה צריכה לבדוק האם המסרים לא שונו בדרך, האם הם מגיעים ממכונית א’? האם אני יכול לסמוך על מכונית א’. נדרשים מערכות אימות הן למכונית והן למסרים כדי למנוע הפרעה של התעבורה ברשת או התחזות. ”
המסקנות אותם מסיק ריינמות’ הן: תקשורת V2X היא איפוא האתגר הגדול ביותר; מערכת V2X מאובטחת דורשת אמון; יש צורך ברכיבי שבבים עמידים בפני נסיונות הונאה כדי להתמודד עם מתקפות מתוחכמות; יש צורך לפתח מערכים של מפתחות אמינים לרכב. כל המערכות הללו צריכות להיות מוכחות ומאושרות.
תחום בקרי האבטחה הוא נגזרת של תעשיית הכרטיסים החכמים ויש צורך בגישה גמישה שץגרום להשפעה מינימלית על הארכיטקטורות הקיימות. הוסיף ריינמות’.
3 תגובות
אסף
זה אכן קרה בארה”ב לפני כחצי שנה, ודווקא באוטו כמו שלי! האקרים הצליחו להשתלט על ג’יפ צ’רוקי רגיל – השתלטו על הרדיו, מערכת המיזוג, הבלמים, הגז ועל הגיר. אני חושב שהם גם יכלו לשלוט הל ההגה – כי הוא גם חשמלי ברכב הזה.
הנה קישור – https://blog.kaspersky.com/remote-car-hack/9395/
@אסף – החשש הוא שברגע שאתה מאפשר לקלוט מידע, אתה עלול להשאיר פרצות שיאפשרו להאקרים להשתלט על הרכב, גם אם לא היתה כוונה לאפשר שליטה כזו.
למה בכלל לאפשר התחברות למכונית מרחוק?
אפשר לשדר ולקלוט מידע ללא יכולת שליטה מרחוק, שישאירו את יכולת השליטה רק דרך כבל.