Motoryzacja przyszłości. Kradzież samochodu w rękach hakera
2023-06-14 10:38
Samochody czy dane kierowców, co chcą kraść cyberprzestępcy? © pixabay.com
Samochody, które niegdyś były jedynie bohaterami futurystycznej kinematografii, stają się standardem. To efekt zacieśniającego się mariażu motoryzacji i najnowszych technologii. Naszpikowane do granic możliwości elektroniką pojazdy stanowią niestety bardzo łakomy kąsek dla cyberprzestępców. I wprawdzie producenci samochodów robią, co mogą, aby zminimalizować zagrożenia, to jednak hakerzy również nie próżnują. Jakich cyberzagrożeń może spodziewać się miłośnik najbardziej nowoczesnej motoryzacji?
Przeczytaj także: Cyberprzestępczość: aresztowania twórców złośliwego oprogramowania
Z tego tekstu dowiesz się m.in.:
- Jak przedstawia się krajobraz cyberzagrożeń wymierzonych w motoryzację?
- Kto oprócz kierowców znajduje się na celowniku hakerów?
- Czego dowodzi przypadek Ferrari NV?
fot. pixabay.com
Samochody czy dane kierowców, co chcą kraść cyberprzestępcy?
Koncerny samochodowe od wielu lat intensywnie rozwijają nowe rozwiązania z pogranicza motoryzacji i IT, wręcz prześcigając się w innowacjach. Niestety im bardziej nowatorskie rozwiązanie, tym większe także ryzyko błędów, które mogą zdemaskować hakerzy. O ile w kwestii bezpieczeństwa użytkowników producenci samochodów nie mogą iść na kompromis, o tyle bezpieczeństwo ich danych bywa niestety czasem zaniedbywane. Można zaryzykować stwierdzenie, że technologiczne przyspieszenie w motoryzacji wciąż często odbywa się bez hamulców bezpieczeństwa IT. Tymczasem potencjalnych mechanizmów ataków jest sporo – komentuje Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET.
Kierunek 1: cyber-kradzież samochodu?
Dyskusja na temat hackowania samochodów trwa od wielu lat. Już na starcie mariażu motoryzacji z IT specjaliści ds. cyberbezpieczeństwa przestrzegali, że rozwiązania takie jak elektroniczne kluczyki czy aplikacje zintegrowane z silnikiem pokładowym pojazdów mogą być dogodnymi „punktami wejścia” dla cyberprzestępców. Jednym z pierwszych koncernów, który potraktował te zagrożenia poważnie była Tesla, która już dawno temu rozwinęła swój program tzw. bug bounty – zachęcający etycznych hakerów do łamania swoich systemów i wykrywania podatności nowych modeli w zamian za wysokie nagrody pieniężne.
Szerokim echem w branży i mediach odbił się także eksperyment, jaki przeprowadzili w 2015 roku specjaliści ds. zabezpieczeń Charlie Miller oraz Chris Valasek. Udało im się przedostać do systemu audio samochodu kierowanego przez dziennikarza Wired, Andy’ego Greenberga i przejąć kontrolę m.in. nad klimatyzacją, hamulcami i układem kierowniczym. Ten przykład przyczynił się do poprawy zabezpieczeń marki Jeep. Niemal dekadę później wciąż jednak słyszymy cyklicznie nie tylko o kolejnych atakach typu car hacking, ale także o kolejnych podatnościach wykrywanych przez specjalistów ds. cyberbezpieczeństwa i tzw. etycznych hakerów w nowych modelach uznanych marek. To zagrożenie zdecydowanie nie odeszło do lamusa.
Kierunek 2: nadużycia danych kierowców?
Nowoczesne pojazdy zbierają coraz więcej danych o użytkownikach: gdzie i kiedy jeżdżą, gdzie się zatrzymują, kiedy tankują pojazd, czy jeżdżą zgodnie z ograniczeniami prędkości itp. Wszystkie te informacje mogą zostać użyte przeciwko kierowcom np. jeśli dojdzie do wycieku i wpadną w niepowołane ręce. Dlatego eksperci podkreślają, że wiarę w nowe technologie warto uzupełnić ostrożnością i dobrymi praktykami, takimi jak monitorowanie aktualności oprogramowania na urządzeniach, którym umożliwiamy dostęp do komputera pokładowego pojazdu i uważna kontrola stanu zabezpieczeń podczas przeglądów. Należy także zwracać uwagę na wszelkie podejrzane, nieprzewidziane sytuacje, takie jak samoistne włączanie się radia czy wycieraczek. Mogą świadczyć o próbie ataku.
Przetwarzanie danych osobowych w ruchu samochodowym to także dziedzina, która podlega od dłuższego czasu zaawansowanym regulacjom prawnym, m.in. z zakresu RODO. Mimo tego, nie tylko użytkownicy, ale także dostawcy systemów oraz producenci samochodów popełniają jeszcze w tej kwestii nierzadko błędy. Niektóre z nich są proceduralne, inne – mogą doprowadzić do naruszenia bezpieczeństwa danych kierowców. Przykładowo w ubiegłym roku w Dolnej Saksonii nałożono karę na Volkswagen A.G. który, w ramach testów nowego systemu wspomagającego dla kierowców, zbierał dane za pośrednictwem wyposażonego w czujniki pojazdu testowego. Sąd uznał, że odbywało się to niezgodnie z zasadami RODO i nie dopełniono szeregu niezbędnych formalności. Dodatkowego kontekstu kwestii przetwarzania danych osobowych użytkowników pojazdów dodaje dyskusja na temat celowości i zasad dostępu do takich danych podmiotom zewnętrznym, takim jak np. ubezpieczyciele.
Kierunek 3: ataki na koncerny przetwarzające informacje?
Na celowniku cyberprzestępców znajdują się nie tylko kierowcy, ale także same koncerny samochodowe. Nigdy wcześniej w historii, producenci samochodów nie przechowywali i nie przetwarzali tak wielu szczegółowych danych swoich klientów. To informacje, które hakerzy mogą, np. sprzedawać następnie w darknecie. Zyskują one zdecydowanie na atrakcyjności w połączeniu z wiedzą, iż dotyczą ludzi o określonym potencjale finansowym, np. takich, których stać na pojazdy będące wyznacznikiem pewnego statusu.
Mechanizm takiego ataku wykorzystali niedawno m.in. cyberprzestępcy biorący na celownik koncern Ferrari podczas ataku typu ransomware. W marcu 2023 Ferrari NV, spółka macierzysta producenta luksusowych samochodów z siedzibą w Maranello, podała do publicznej wiadomości informacje o tym, że padła ofiarą ataku. Cyberprzestępcy zwrócili się do niej z żądaniem okupu w zamian za wykradzione dane klientów. Firma przeprosiła poszkodowanych, informując jednocześnie, że faktycznie wykradziono informacje takie jak imiona, nazwiska, adresy, adresy e-mail i numery telefonów, ale nie dane finansowe, szczegóły dotyczące transakcji czy inne wrażliwe informacje. Koncern zadeklarował, że nie wchodzi w żadną komunikację z cyberprzestępcami i koncentruje się na wzmocnieniu systemów IT, aby zapobiec takim sytuacjom w przyszłości.
Hakerzy o złych intencjach mogą wyrządzić wiele szkód nawet ułamkiem danych, które wyciekły. Często nie zdajemy sobie sprawy ze znaczenia skradzionych informacji i tego, co można z nimi zrobić. Warto mieć świadomość, że nawet szczątkowe informacje, jeśli zostaną użyte w połączeniu z innymi, mogą stać się wartościowym materiałem dla przestępców działających w darknecie i na czarnym rynku obrotu danymi. Cyberprzestępcy mogą np. sprytnie i szybko tworzyć komunikaty phishingowe skierowane do osób, których dane wyciekły, aby w razie potrzeby wydobyć jeszcze więcej informacji. Informacja o statusie majątkowym ofiar także może mieć dla nich dużą wartość i otworzyć kolejne możliwości wyrafinowanych ataków – podsumowuje Kamil Sadkowski.
Przeczytaj także:
Phishing: uwaga na próbne cyberataki
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)