Дискуссии о том, что есть прогресс науки — добро или зло — ведутся со времен Аристотеля (IV век до н. э.). Средневековая инквизиция решала этот вопрос радикально, деятели новейшей истории более лояльны к ученым. В 1868-м году Альфред Нобель получил патент на динамит — смесь нитроглицерина с его абсорбентами. Предполагалось, что так будет лучше взрывать горные породы. Оказалось, применений новшеству можно найти больше. А что, было бы лучше, если бы в арсенале горных инженеров остались кирка и заступ?
Недавно сеть, как говорят в таких случаях, взорвалась новостью о том, что два хакера — Чарли Миллер и Крис Валасек — взяли под виртуальный контроль автомобиль «Jeep Cherokee» 2014-го года выпуска. Взломав бортовую систему «UConnect», они на расстоянии делали звук радиоприемника невыносимо громким, включали «дворники», крутили руль, отключали тормозную систему и глушили двигатель. Хорошо, что акция была согласована с хозяином автомобиля. Будь такая машина, например, у президента Джона Кеннеди, никакого Ли Освальда в Далласе не потребовалось бы. Кстати, вина морского пехотинца доподлинно не доказана. А в случае «радиоуправляемой» машины и доказывать было бы нечего.
Почему трюк Миллера и Валасека стал возможным? Войдя в состав итальянского концерна Fiat, американская компания «Chrysler» получила доступ к системе «UConnect», которая обеспечивает интерактивные функции бортового компьютера. Какие именно — хакеры показали во всей красе. Наука привела «железного коня на смену крестьянской лошадке». В современных автомобилях органы управления физически не связаны с исполняющими устройствами. Например, вращение руля обрабатывается системой стабилизации с учётом скорости, качества покрытия и давления в шинах. Всем командует бортовой компьютер, а «UConnect» через сотовую сеть обеспечивает удалённое управление.
Беда в том, что права доступа в такие сети не проверяются никак. То есть — никакой авторизации. Для удаленного подключения к автомобилю достаточно знать только IP-адрес. При этом «UConnect» управляет машиной гораздо «больше», чем водитель — во всяком случае, имеет для этого больше возможностей. Но любая авария, спровоцированная хакерской атакой, будет на совести как раз водителя, потому что будет выглядеть, как его ошибка. Другими словами — давайте откажемся от удобств ради безопасности? Вернем в салон кассетные магнитолы и рычаги переключения передач с розочкой в прозрачном стекле на ручке?
Чуть выше было сказано, что для входа в мобильную сеть управления авто не нужна авторизация. Это не совсем так. Минимальная авторизация в наличии — ключ от машины. И это первый фактор аутентификации — «то, что у меня есть». А виртуальная составляющая оставляет, мягко говоря, желать лучшего. Бортовой софт производители сделали как дань моде, совершенно не озаботившись его защитой. На кону, между прочим, жизни водителя и пассажиров, ведь всегда может найтись «шутник», которому они станут не угодны. Для повышения защиты на порядок нужно не так много — хотя бы второй фактор аутентификации: «то, что я знаю». В современном мире это делается просто — с помощью токена (гаджета, генерирующего одноразовый пароль).
Компаниями , основной специализацией которых является двухфакторная аутентификация, к числу которых принадлежит и Protectimus, были разработаны самые разнообразные типы токенов — от аппаратных в форме брелока до программных в виде приложений на смартфоны, планшеты, часы. А теперь представьте, что токен — это автомобиль. Точнее — его бортовой компьютер, конечно. Смена пароля происходит в течение нескольких минут, этого достаточно, чтобы открыть машину (образно — применить многоразовый пароль в виде автомобильного ключа) и запустить двигатель. Причем панель ввода одноразового пароля (он появляется после открытия двери) может отображаться на отдельном индикаторе, рядом с кнопкой «старт». Вводим пароль через дисплей в бортовой компьютер и получаем защищенный доступ в систему. Естественно, что преступник, завладевший ключом, все равно угонит машину. Но управлять ею на расстоянии хакеры уже не смогут. Если злодей разобьется по пути, то исключительно по собственной инициативе и справедливостью божьей.
Как видим, такое достаточно простое, но эффективное решение, как двухфакторная аутентификация, может не только сохранить жизнь водителя и пассажиров, но и спасти авторитет науки. Ее прогресс нам еще пригодится для добрых дел.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!