Dupnutí na brzdu 3 500 librového Fordu Escape (1589 kg), který odmítne zastavit – či třebas jenom zpomalit – vytváří unikátní pocit úzkosti. V takovém případě to rovněž vytvoří zvuk hlubokého zaúpění, jako by někde pod šasi SUV řval rozzuřený buvol. Čím více jsem dupal na pedál, tím hlasitější úpění vycházelo – spolu s potěšeným chechtotem těch dvou hackerů, co seděli za mnou na zadních sedadlech. Naštěstí se tohle všechno odehrávalo při rychlosti méně než 5 mil za hodinu.
A tak se Escape jen vhrnul do 6 stop vysokého bejlí rostoucího na opuštěném parkovišti u South Bend, Ind., přilehlého k někdejšímu nákupnímu středisku, které Charlie Miller a Chris Valasek vybrali jako testovací prostor pro experimenty toho dne, pár z nichž je zobrazeno na videu níže. (Když přišel Miller na ten trik s vyřazením brzd, tak se tolik neradoval: Rodinný vůz mu proletěl garáží, přičemž rozdrtil sekačku na trávu a způsobil škodu za 150 dolarů na zadní stěně.
„Oukej, teď už ti brzdy zase fungují,“ říká Miller ťukající do MacBooku, počítače připojeného kabelem k nenápadnému datovému portu u parkovací brzdy. Vycouval jsem z té lebedy a obezřetně to auto zastavil. „Když ztratíte víru, že auto udělá to, co jste mu řekli, že má udělat,“ dodává poté, co jsme se z SUV vyhrnuli, „tak to opravdu změní celý váš postoj k tomu, jak věci fungují.“
To, že auto není prostě mašina ze skla a oceli, nýbrž počítačová síť, do které se lze prohackovat, je faktem, nad nímž Miller a Valasek strávili poslední rok při pokusech to předvádět. Miller je 40-letý bezpečnostní inženýru u Twitteru a Valasek 31-letý ředitel bezpečnostního zpravodajství u konzultantské IOActive ze Seattlu, a ti loni na podzim obdrželi grand něco přes 80 000 dolarů od výzkumného orgánu šílených vědců z Pentagonu známého jako Defense Advanced Projects Agency (DARPA), aby se dopídili bezpečnostní zranitelnosti automobilů.
Tohle duo plánuje uvolnit svá zjištění a ten útočný software, který vyvinuli, nejlépe příští měsíc na konferenci hackerů Defcon v Las Vegas, jak říkají, aby pomohli dalším výzkumníkům odhalit a odstranit bezpečnostní problémy automobilního průmyslu ještě, než se pod kapoty nic netušících řidičů dostanou zlovolní hackeři. Potřeba tohle přezkoumávat roste s tím, jak jsou auta čím dál automatizovanější a připojená k Internetu, a ten problém se zdaleka netýká jen Toyoty a Fordu. Prakticky každý americký výrobce aut teď už nabízí mobilní služby nebo síť Wi-Fi jako OnStar od General Motors, Safaty Connect od Toyoty a SYNC od Forda. Obchodní skupina mobilního průmyslu GSMA odhaduje dnešní výnosy z bezdrátových zařízení v autech na 2,5 miliardy dolarů a podle projekcí by se tohle číslo mělo do roku 2025 zdesetinásobit. Bez lepší bezpečnosti je tohle všechno potenciálně zranitelné a výrobci aut tento problém nadále drží pod pokličkou nebo jej bagatelizují.
Když jsem tak jezdil déle než hodinu s jejich vozidly, Miller a Valasek mi ukazovali, že provedli dostatečný reverzní inženýring softwaru v Escape a v Toyota Prius (oba modely z roku 2010), aby předvedli sadu ošklivých překvapení: všechno od nepříjemností jako nekontrolovatelného spouštění houkačky až po vážná ohrožení jako dupání na brzdu Priusu při vysoké rychlosti. Vyslali ze svých laptopů příkazy, které vyřadili posilovač řízení, zmátly GPS a z měření rychlosti a počítače kilometrů udělali patologické lháře. Nakonec mě nasměrovali mimo venkovskou cestu, když Valasek předvedl, že by mohl násilně při jakékoliv rychlosti cuknout volantem Priusu, což hrozilo, že nás pošle do kukuřičného pole nebo nasměruje do srážky. „Představ si, že si jedeš po dálnici 80 mil (130 km/h),“ říká Valasek. „Tak vletíš do auta vedle nebo do protijedoucího provozu. To pak bude ošklivé.“
Mluvčí Forda říká, že společnost bere hackery „velice vážně“, ale co se týče Toyoty, ti říkají, že na ně triky Millera a Valaska moc dojem nedělají: Skutečné hackování aut, argumentuje bezpečnostní manager této společnosti John Hanson, by nemělo zapotřebí se fyzicky do cílového auta vmontovat. „Ohniskem našeho zájmu, a to i u celého automobilového průmyslu, je zabránit hackování přes vzdálená bezdrátová zařízení mimo vozidlo,“ píše v e-mailu s dodatkem, že inženýři Toyoty svá vozidla proti bezdrátovým útokům testují. „Věříme, že naše systémy jsou robustní a bezpečné.“
Anatomie hackování do auta: Jen s laptopem připojeným k diagnostickému portu, Valasek a Miller přetvořili nevinný Prius na nejhorší projížďku parkovištěm na světě. Tady je to, co s tím mohou dělat.
Ale práce Millera a Valaska předpokládala fyzický přístup k počítačům vozu záměrně: Získat bezdrátový přístup k síti ve voze, to je už stará novinka. Tým výzkumníků na University of Washington a University of California, San Diego experimentoval se sedanem nejmenované společnosti už v roce 2010, aby zjistili, že mohou bezdrátově proniknout do těch samých kritických systémů, na které se zaměřili Miller a Valasek pomocí mobilního připojení jako OnStar, přes Bloetooth štěnice, darebácky provedené aplikace v Androidu, které se připojily k síti ve voze z řidičova chytrého telefonu nebo i přes zlovolný audio-soubor na CD stereosystému v autě. „Tito akademici ukázali, že můžete dosáhnout dálkového spouštění kódu,“ říká Valasek hackerským žargonem, aby dosáhli možnosti spouštět provozní příkazy v systému. „My jsme ukázali, že můžete udělat spoustu také šílených věcí, jakmile se dostanete dovnitř.“
Jeden z profesorů UCSD zapojených do těchto raných testů Stefan Savage tvrdil, že bezdrátové hackování zůstává možné a má dopad na celý průmysl: Ač ty útoky na řídící systémy se budou muset ještě vystopovat i jinde než v laboratoři, tak výrobci prostě svůj software plně bezpečný nemají, říká. „Ta zranitelnost, kterou jsme zjistili, byla stejného druhu, jaká existovala u PC od počátku 90. let do jejich poloviny, kdy se počítače poprvé připojovaly k Internetu,“ říká Savage.
Zatímco se auta blíží ke splnění snu Googlu o robotech vozících pasažéry, tak se zároveň více jejich schopností stává potenciálně hacknutelných. Miller a Valasek např. využili funkcí automatického parkování u Toyoty a Fordu, aby unesli vlastní řízení těchto vozidel. Vůz jako Mercedes Benz S-Class 2014, který může vyjednávat s dopravními světly nebo jezdit podle vedení, aniž by se do toho bylo nutno vkládat, může hackerům nabídnout ještě více napadnutelných bodů, říká analytik Gartner Group Thilo Koslowski. „Čím méně je zapojen řidič, tím je větší potenciál pro průšvih, když do toho proniknou zlí lidé,“ říká.
Mezi tím Miller a Valasek argumentují, že nejlepším způsobem, jak tlačit na automobilové společnosti, aby své produkty zabezpečily, je ukazovat, jak přesně z nich jde udělat mnohatunové střely na kolech. Lepší, když už teď zažijeme paniku z digitálně uneseného SUV, než až ho bude mít pod kontrolou zlovolný útočník. „Když je jediným způsobem, jak vaše auta ochránit před havárií, v tom, že o tom nebude nikdo mluvit,“ říká Miller, „tak to v žádném případě zabezpečeni nejste.“
Překlad: Miroslav Pavlíček
Zdroj: forbes.com
