В начале сентября 2022 года десятки автомобилей «Яндекс.Такси» устроили затор на Кутузовском проспекте. Как выяснилось, произошло это в результате кибератаки: злоумышленники организовали массовый заказ машин на одну и ту же точку в Филях. Эта история выглядит скорее курьезной, чем пугающей, но задумайтесь вот о чем. С каждым годом в автомобилях появляется все больше телематических сервисов, многие уже имеют постоянное подключение к интернету — а это значит, что угроза со стороны хакеров тоже становится более осязаемой.
Компания Upstream, которая разработала платформу безопасной передачи данных для подключенных автомобилей, в ежегодном отчете о кибербезопасности приводит весьма тревожную статистику. С 2018 по 2021 год количество атак возросло на 225%, причем более 84% из них совершено удаленно, без физического подключения к машине.
В то же время общемировое число автомобилей с доступом в интернет к 2023 году должно вырасти до 770 млн, хотя в 2018-м их было 330 млн. А к 2024 году, по расчетам Upstream, общие потери автомобильной индустрии из-за хакерских атак могут составить $505 млрд!
В первую очередь под угрозой оказываются сами автомобили. Если раньше угонщикам нужно было физически вскрывать замки или применять «электронную удочку», перехватывая сигнал радиоключа, то теперь достаточно подключиться к машине по тому же интернет-каналу, что и пользовательское мобильное приложение, которое позволяет удаленно прогревать двигатель, отправлять в навигацию нужный маршрут, открывать двери и т.д.
Еще в 2017 году специалисты «Лаборатории Касперского» проверили на безопасность семь приложений от известных производителей. Не сообщая конкретных названий, чтобы не давать подсказок злоумышленникам, они опубликовали результаты: выяснилось, что ни в одной из программ нет серьезных механизмов защиты данных и даже логин с паролем для входа никак не зашифрованы. Иными словами, подсадив на телефон пользователя нехитрый вирус, теоретически можно получить доступ к его машине.
Тогда же, в 2017 году, Уилл Хатцер и Арджун Кумар из компании Rapid7 обнаружили уязвимость в системе Hyundai BlueLink. Оказывается, лог-файлы приложения загружались на серверы Hyundai по незащищенному протоколу и защищались одним и тем же паролем — 1986l12Ov09e. Зная его, хакеры могли расшифровать скачанные логи, достать оттуда данные для входа в приложение, а затем разблокировать двери и запустить двигатель. Корейские программисты быстро залатали прореху, но история получила широкий резонанс.
Два года подряд «добрые» хакеры из китайского ИТ-гиганта Tencent вламывались в системы Tesla, заставляя электромобили открывать и закрывать двери и багажник, моргать фарами, проигрывать музыку и даже активировать тормоза. Об уязвимостях сразу же сообщалось подопечным Илона Маска, те за пару недель разрабатывали и отправляли патчи на все автомобили, поэтому громких скандалов удалось избежать: истории предавались огласке уже после того, как софт был исправлен.
Гораздо меньше повезло в 2015 году концерну Fiat Chrysler, который был вынужден отозвать 1,4 млн автомобилей с мультимедийной системой UConnect. Хакеры Чарли Миллер и Крис Валасек сумели проникнуть в «электронные мозги» Jeep Cherokee, который принадлежал Энди Гринбергу из журнала Wired. Он согласился стать «подопытным кроликом» в смелом эксперименте: пока Энди ехал по шоссе на окраине Сент-Луиса, Чарли и Крис сидели дома с ноутбуком в 10 милях от него и искали уязвимости.
Результат вышел пугающим. Начав с безобидного баловства с климат-контролем, дворниками и радио, над которыми Гринберг полностью потерял контроль, хакеры перешли к основным органам управления. Они сумели деактивировать педаль акселератора, после чего Cherokee просто замер на дороге, создав затор. А затем настала очередь тормозов: эксперимент закончился тем, что кроссовер попросту съехал в кювет и водитель ничего не смог с этим поделать. Программисты получили доступ и к рулевому управлению, но жаловались на несовершенство собственного кода — дескать, поворачивать колеса они могли только при активации задней передачи.
В 2020 году Дэвид Коломбо, специалист по кибербезопасности из Германии, смог получить контроль более чем над 25 автомобилями Tesla по всему миру. Для этого ему понадобилось неофициальное бесплатное приложение TeslaMate, которое многие владельцы используют для доступа к скрытым функциям вроде потребления энергии и истории поездок. Не вдаваясь в технические детали, скажем, что Коломбо сумел пролезть в системы электромобилей из Европы, Великобритании, Китая и нескольких американских штатов.
Это лишь некоторые из множества публичных примеров, дающих общее представление о проблеме. В интервью Detroit Free Press руководитель израильской GuardKnox Cyber Technologies Моше Шлизель заявил следующее: «Чем сложнее система, чем глубже машина подключена к интернету, тем вы беззащитнее. Мы брали автомобили любой марки, которую вы можете вообразить, и взламывали их разными способами. Получали доступ к двигателю, рулю, тормозам, дверям, багажнику и дворникам».
И потенциальные масштабы проблемы будут только расти вместе с количеством «умных» и подключенных автомобилей на дорогах. Мы говорим «потенциальные», потому что реальные атаки киберпреступников на простых автовладельцев пока носят единичный характер (не считая угонов). А все вышеупомянутые взломы, как и многие другие, осуществлялись «белыми» хакерами, чтобы указать компаниям на слабые места.
Но это не значит, что настоящим злоумышленникам неинтересны автомобили — как раз наоборот. Хулиганы среди хакеров встречаются, но подавляющему большинству незачем сбрасывать вас в кювет: преступники ищут выгоду. И здесь главная опасность исходит от так называемого ransomware — вирусного софта, который блокирует некоторые функции или данные до тех пор, пока жертва не заплатит выкуп.
Майкл Дик, руководитель компании C2A Security, занимающейся кибербезопасностью, заявляет: «От блокировки данных на ваших компьютерах хакеры рано или поздно перейдут к автомобилям. Вы не сможете завести двигатель, пока не заплатите. И обойти это не получится — только вызывать эвакуатор и тащить машину к дилеру на полную перезаливку программного обеспечения».
Впрочем, подобных случаев с «частниками» пока не зафиксировано. А вот нападения на самих производителей уже идут! Например, в феврале 2021 года кибератаке подверглось американское подразделение Kia: хакеры из группы DoppelPaymer требовали $20 млн за возврат украденных данных. В июле того же года ransomware-вирусы от группировки Conti проникли на серверы Volkswagen и Audi. В июне 2020 года из-за хакеров приостанавливалось производство на нескольких европейских и японских заводах Honda.
Список можно продолжать: в разное время под удар попадали Toyota, Nissan, BMW, Hyundai, Ford, Peugeot… И это мы говорим только о производителях, а ведь есть еще и огромное количество поставщиков запчастей, которые также становятся жертвами атак.
Более того, зачастую именно через них хакеры проникают на серверы автомобильных компаний — ведь глобальные производственные и логистические процессы требуют такого же глобального обмена информацией. И если условная компания BMW вложила кучу денег в собственную кибербезопасность, это еще не гарантирует, что партнер, поставляющий кнопки стеклоподъемников, защищен в той же степени.
Казалось бы, какое дело простым автовладельцам до корпоративных трудностей? Но тут тоже все взаимосвязано. Любая атака, ведущая к приостановке производства, выплате выкупа и прочим неприятным последствиям, — это финансовый удар по компании, который так или иначе отразится либо на цене продукта, либо на его качестве. Или на всем сразу.
Но даже не это самое щекотливое. Мы ведь говорим об эпохе подключенных автомобилей, которые постоянно «общаются» по интернету с серверами производителей. А значит, на этих серверах есть куча персональных данных пользователей — от имени, фамилии и маршрутов поездок, сохранившихся в навигации, до информации о кредитной карте, привязанной для покупки контента через меню мультимедийки.
Иными словами, кровожадный сценарий, когда злые хакеры перехватывают управление тысячами машин, заставляют их врезаться друг в друга, давить пешеходов и падать с обрывов, технически возможен, но маловероятен — просто потому, что никому не выгоден.
А вот масштабные сливы данных, как у интернет-магазинов, служб доставки и прочих, вполне могут стать реальностью нового автомобильного времени. Эта угроза более чем реальна, но, прежде чем паниковать, спросите себя: а многое ли вы делаете для личной кибербезопасности на мобильнике или компьютере?