בתעשיית הרכב מדברים על “האינטרנט של כלי רכב” (IoV), רשת שיכולה לעזור לכלי רכב לזהות חסימות כביש, פקקי תנועה והולכי רגל. היא יכולה לעזור עם מיקום הרכב על הכביש
מאת”ז רייצ’ל מדהרסט, ראש קורס ומרצה בכירה באבטחת סייבר, NCSA, אוניברסיטת דרום ויילס
יש הרבה דיבורים בתעשיית הרכב על “האינטרנט של כלי רכב” (IoV). המונח מתאר רשת של מכוניות וכלי רכב אחרים שיכולים להחליף נתונים באינטרנט בניסיון להפוך תחבורה לאוטונומית, בטוחה ויעילה יותר.
IoV יכולה לעזור לכלי רכב לזהות חסימות כביש, פקקי תנועה והולכי רגל. היא יכולה לעזור עם מיקום הרכב על הכביש, בפוטנציה לאפשר להם להיות ללא נהג, ולספק אבחנות קלות יותר של תקלות. זה כבר קורה במידה מסוימת עם כבישים חכמים, שם הטכנולוגיה משמשת לניהול תנועה בכביש מהיר באופן היעיל ביותר.
IoV מתוחכמת יותר תדרוש עוד חיישנים, תוכנה וטכנולוגיה אחרת שיותקנו בכלי הרכב ובתשתית הכבישים הסובבים. מכוניות כבר מכילות יותר מערכות אלקטרוניות מאי פעם, ממצלמות וחיבורי טלפון סלולרי עד מערכות מולטימדיה.
עם זאת, חלק ממערכות אלה עשויות גם להפוך את כלי הרכב שלנו פגיעים לגניבה ולהתקפה זדונית, של פושעים המזהים ומנצלים את פרצות האבטחה בטכנולוגיה החדשה הזו. למעשה, זה כבר קורה.
עקיפת אבטחה
מפתחות חכמים אמורים להגן על כלי רכב מודרניים מפני גניבה. לחיצה על כפתור במפתח משביתה את הנטרול (התקן אלקטרוני המונע התנעת הרכב ללא מפתח), מה שמאפשר לנהוג ברכב.
אבל דרך ידועה היטב לעקוף זאת דורשת כלי ממסר ידני שמטעה את הרכב לחשוב שהמפתח החכם קרוב יותר משהוא באמת.
לשם כך יש צורך בשני אנשים שעובדים יחד, אחד עומד ליד הרכב והשני קרוב למקום שבו המפתח נמצא באמת, כמו מחוץ לבית בעליו. האדם ליד הבית משתמש בכלי שיכול לקלוט את האות מהמפתח ואז להעביר אותו לרכב.
ציוד ממסר לביצוע סוג זה של גניבה אפשר למצוא באינטרנט תמורת פחות מ-100 ליש”ט (כ-450 שקל), כאשר הניסיונות נעשים לעתים קרובות בלילה. כדי להגן מפניהם, אפשר לשים מפתחות מכונית בשקיות או בכלובי פאראדיי שחוסמים כל אות הנפלט מהמפתחות.
עם זאת, קיימת שיטה מתקדמת יותר לתקיפת כלי רכב והשימוש בה גובר או עולה. היא ידועה בשם “התקפת CAN (Controller Area Network)”, ופועלת על-ידי יצירת חיבור ישיר למערכת התקשורת הפנימית של הרכב, ערוץ CAN.
הנתיב העיקרי לערוץ CAN הוא מתחת לרכב, לכן פושעים מנסים לגשת אליו דרך האורות בחזית המכונית. כדי לעשות זאת, יש למשוך את הפגוש כך שניתן יהיה להחדיר CAN למערכת המנוע.
אז הגנבים יכולים לשלוח הודעות מזויפות שמטעות את הרכב לחשוב שהן המפתח החכם ולנטרל את הנטרול. ברגע שהם השיגו גישה לרכב, הם יכולים להתניע את המנוע ולנהוג ברכב.
גישת אפס אמון
בשל האפשרות למגפה פוטנציאלית בגניבות רכב, יצרניות מנסות למצוא דרכים חדשות להתגבר על הפרצה האחרונה הזאת במהירות האפשרית.
אסטרטגיה אחת כוללת אי-אמון בהודעות כלשהן שהרכב מקבל, המכונה “גישת אפס אמון”. במקום זאת, הודעות אלה חייבות להישלח לקבל אימות מבעל הרכב. דרך אחת לעשות זאת היא על-ידי התקנת מודול אבטחה חומרתי ברכב, שעובד על-ידי יצירת מפתחות קריפטוגרפיים שמאפשרים הצפנה ופענוח נתונים, יצירה ואימות חתימות דיגיטליות בהודעות.
מנגנון זה מיושם בהדרגה על-ידי תעשיית הרכב במכוניות חדשות. עם זאת, זה אינו מעשי לשלב אותו בכלי רכב קיימים בשל זמן ועלות, כך שרבות מהמכוניות בכביש נשארות פגיעות להתקפת החדרת CAN.
התקפות על מערכת מולטימדיה
שיקול אבטחה נוסף עבור כלי רכב מודרניים הוא מערכת המחשב המובנית, המכונה גם “מערכת מולטימדיה”. ההתגוננות מפני פגיעה הפוטנציאלית של מערכת זו לעתים קרובות מוזנחת, על אף שיכולה להיות לה השלכות קטסטרופליות על הנהג.
דוגמה אחת היא היכולת של תוקפים להשתמש ב”ביצוע קוד מרוחק” כדי להעביר קוד זדוני למערכת המחשב של הרכב. במקרה אחד שדווח בארה”ב, מערכת המולטימדיה שימשה כנקודת כניסה עבור התוקפים, שדרכה הם יכלו לשתול קוד משלהם. לאחר מכן הם שלחו פקודות לרכיבים הפיזיים של המכוניות, כמו המנוע והגלגלים.
ברור שלהתקפה כזו יש הפוטנציאל להשפיע על תפקוד הרכב. היא עלולה לגרום לתאונה – זה לא רק עניין של הגנה על הנתונים האישיים הכלולים במערכת המולטימדיה. התקפות מסוג זה יכולות לנצל פרצות אבטחה רבות כמו דפדפן האינטרנט של הרכב, דונגלים USB שמחוברים אליו, תוכנה שצריכה להתעדכן כדי להגן מפני התקפות ידועות וסיסמאות חלשות.
לכן, כל נהגי הרכב עם מערכת מולטימדיה צריכים להבין היטב מנגנוני אבטחה בסיסיים שיכולים להגן עליהם מניסיונות פריצה.
האפשרות של מגפה של גניבות רכב ותביעות ביטוח בגלל התקפות CAN לבדן היא מטרידה. חייב להיות איזון בין היתרונות של אינטרנט בכלי הרכב, כמו נהיגה בטוחה יותר לבין יכולת משופרת להשיב מכוניות לאחר שנגנבו, עם הסיכונים הפוטנציאליים הללו.
עוד בנושא באתר הידען:
