Ότι τα ηλεκτρονικά έχουν κάνει πιο σύγχρονα και ασφαλή τα αυτοκίνητα, είναι αδιαπραγμάτευτο γεγονός. Ότι το ίδιο ισχύει για την ευπάθεια στις επιθέσεις κλεφτών και κακόβουλων ενεργειών, αποτελεί αναντίρρητα δυσοίωνη πραγματικότητα...
Την έκταση της οποίας, μια εταιρία λογισμικού φανέρωσε σε ένα συνέδριο χάκερ απενεργοποιώντας 25.000 κινητήρες ταυτόχρονα!
Η επίδειξη, έλαβε μέρος στην Defcon. Την ετήσια σύναξη των χάκερ παγκοσμίως. Βέβαια δεν μιλάμε για τους επιβλαβείς χάκερ, αλλά για τους ανθρώπους και τις εταιρίες που δραστηριοποιούνται στον τομέα της κυβερνο-ασφάλειας. Η Pen Test Partners είναι μια από τις γνωστές του είδους, με έναν ερευνητή της να αναλαμβάνει την επίδειξη της αναποτελεσματικότητας ενός εκ των πιο διαδεδομένων τύπων immobilizer: του SmarTrack, από την British Global Telemetrics. Δεκάδες χιλιάδες αυτοκινήτων, ειδικά στις Η.Π.Α., διαθέτουν τηλεματικό έλεγχο, ο οποίος παρακολουθεί την πορεία και την κατάσταση του οχήματος. Αν, για παράδειγμα, εντοπίσει ενεργοποίηση αερόσακων, αντιλαμβάνεται πως πρόκειται για ατύχημα και ο χειριστής καλεί ασθενόφορο και αστυνομία, απενεργοποιώντας παράλληλα τον κινητήρα προς αποτροπή κινδύνου πυρκαγιάς. Το ίδιο κάνει και όταν αναφερθεί κλοπή.
Ο Ken Munro, σε μια τρομακτική επίδειξη της ευαλωτότητας του ανωτέρω συστήματος, έστειλε «για ύπνο» 25.000 κινητήρες μονομιάς! Με μια και μόνο εντολή, η οποία μάλιστα στάλθηκε μέσω κοινού εμπορικού web browser. Βέβαια κάτι τέτοιο θα ήταν άκρως επικίνδυνο και παράνομο να συνέβαινε στην πραγματικότητα, οπότε μιλάμε για προσομοίωση. Όμως, ρεαλιστική επίδειξη έλαβε χώρα – και μάλιστα, στην δική μας. Ο Munro χρησιμοποίησε το αυτοκίνητο ενός συναδέλφου του ως «πειραματόζωο», απενεργοποιώντας τον κινητήρα σε λιγότερο από 1 δλ. από την στιγμή που πάτησε το «Enter». O οποίος συνάδελφος βρισκόταν στην Ελλάδα, για έναν γάμο!
Όπως ήταν αναμενόμενο, η British Global Telemetrics δεν έμεινε αμέτοχη. Η ανάθεση της βελτίωσης του firewall στην Hedgehog Security, αποτελεί έμμεση παραδοχή του προβλήματος. Η έκτασή του, όμως, αμφισβητείται. Ο ιδρυτής της, Peter Bassill, δήλωσε πως 25.000 παραβιάσεις ταυτόχρονα είναι «τραβηγμένη» εκτίμηση, αν και θα μπορούσε να συμβεί. Σίγουρα -κατά τον ίδιο- ένα τέτοιο εγχείρημα, θα απαιτούσε παραπάνω μέσα από μια εντολή και έναν κοινό browser.
πηγή
Η επίδειξη, έλαβε μέρος στην Defcon. Την ετήσια σύναξη των χάκερ παγκοσμίως. Βέβαια δεν μιλάμε για τους επιβλαβείς χάκερ, αλλά για τους ανθρώπους και τις εταιρίες που δραστηριοποιούνται στον τομέα της κυβερνο-ασφάλειας. Η Pen Test Partners είναι μια από τις γνωστές του είδους, με έναν ερευνητή της να αναλαμβάνει την επίδειξη της αναποτελεσματικότητας ενός εκ των πιο διαδεδομένων τύπων immobilizer: του SmarTrack, από την British Global Telemetrics. Δεκάδες χιλιάδες αυτοκινήτων, ειδικά στις Η.Π.Α., διαθέτουν τηλεματικό έλεγχο, ο οποίος παρακολουθεί την πορεία και την κατάσταση του οχήματος. Αν, για παράδειγμα, εντοπίσει ενεργοποίηση αερόσακων, αντιλαμβάνεται πως πρόκειται για ατύχημα και ο χειριστής καλεί ασθενόφορο και αστυνομία, απενεργοποιώντας παράλληλα τον κινητήρα προς αποτροπή κινδύνου πυρκαγιάς. Το ίδιο κάνει και όταν αναφερθεί κλοπή.
Ο Ken Munro, σε μια τρομακτική επίδειξη της ευαλωτότητας του ανωτέρω συστήματος, έστειλε «για ύπνο» 25.000 κινητήρες μονομιάς! Με μια και μόνο εντολή, η οποία μάλιστα στάλθηκε μέσω κοινού εμπορικού web browser. Βέβαια κάτι τέτοιο θα ήταν άκρως επικίνδυνο και παράνομο να συνέβαινε στην πραγματικότητα, οπότε μιλάμε για προσομοίωση. Όμως, ρεαλιστική επίδειξη έλαβε χώρα – και μάλιστα, στην δική μας. Ο Munro χρησιμοποίησε το αυτοκίνητο ενός συναδέλφου του ως «πειραματόζωο», απενεργοποιώντας τον κινητήρα σε λιγότερο από 1 δλ. από την στιγμή που πάτησε το «Enter». O οποίος συνάδελφος βρισκόταν στην Ελλάδα, για έναν γάμο!
Όπως ήταν αναμενόμενο, η British Global Telemetrics δεν έμεινε αμέτοχη. Η ανάθεση της βελτίωσης του firewall στην Hedgehog Security, αποτελεί έμμεση παραδοχή του προβλήματος. Η έκτασή του, όμως, αμφισβητείται. Ο ιδρυτής της, Peter Bassill, δήλωσε πως 25.000 παραβιάσεις ταυτόχρονα είναι «τραβηγμένη» εκτίμηση, αν και θα μπορούσε να συμβεί. Σίγουρα -κατά τον ίδιο- ένα τέτοιο εγχείρημα, θα απαιτούσε παραπάνω μέσα από μια εντολή και έναν κοινό browser.
πηγή
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου