Mobilneten törhető több millió autó
Megdöbbentő következtetésre jutottak a biztonsági szakemberek az egyik legnagyobb amerikai biztosító által használt autókövető rendszer elemzésével. Az autó adatbuszára kapcsolódó, netes kapcsolattal rendelkező dongle semmilyen védelemmel nem rendelkezik, ezzel a járművet szinte bárkinek ki tudja szolgáltatni.
Tudjuk, mert mindenhonnan ez folyik: a M2M kommunikáció és a szenzoros adatok rögzítése forradalmat hoz az élet minden területén. Egyes piacokon és egyes országokban ez már mindennapi valóság, az amerikai Progressive Insurance például a sofőrök egyéni vezetési stílusa szerint árazza a biztosítás díját. Mivel az adatok birtokában hajszálpontosan meg tudja becsülni a biztosított által képviselt egyedi kockázatot, a jól viselkedő sofőrök lényegesen kevesebbet fizethetnek.
Hogyan működik?
A Progressive Insurance egy egyszerű dongle-t küld a biztosítottaknak, amelyet a gépjármű diagnosztikai portjára kell kötni, innen gyűjti ki a működésre vonatkozó adatokat az egység, majd dedikált mobilnetes kapcsolatán keresztül ezt elküldi a biztosítónak. A Snapshot alapvetően három adatot gyűjt, a megtett kilométerek számát, a durva fékezéseket és a késő éjszakai levezetett órák arányát - a biztosító ezekből viszonylag pontosan be tudja lőni a még profitábilis biztosítási díjat. A rendszer eddig bizonyított, az adatok szerint mintegy kétmillió autót biztosít már ezzel a módszerrel a Progressive Insurance.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A bökkenőt a műszaki megvalósítás jelenti. A Snapshot nevű dongle ugyanis kétirányú kommunikációt folytat mobilinterneten ahogy feltölti az adatokat a biztosító szerverére - és ez a kommunikáció a legalapvetőbb biztonsági kritériumoknak sem felel meg. Ez még nem lenne önmagában katasztrofális, bár a vezetési stílusra vonatkozó nyers adatok lenyúlása már a magánszféra komoly megsértése lenne.
Létezik a nulla biztonság
Az igazi problémát az jelenti, hogy a Snapshot által használt csatlakozó az autó elektronikáját is kinyitja a támadók előtt, az OBD-II buszon keresztül ugyanis nem csak adatok olvashatóak ki, de átvehető a kontroll az autó számos vezérlőberendezése fölött, és vezérelhető gyakorlatilag minden, az autó elektronikájára kötött periféria, a központi zártól a szervokormányig, a motorvezérlésig. A Forbes IT-blogja által megszólaltatott Corey Thuen a Digital Bond Labs munkatársa, a kutatás eredményeit pedig a beágyazott rendszerek biztonságával foglalkozó saját S4 konferenciáján fogja részleteiben is bemutatni.
Egyszerű beszerelni, egyszerű feltörni.
A Snapshot firmware-ét alaposan megvizsgáló biztonsági szakember szerint a minimalista operációs rendszer a legalapvetőbb biztonsági megfontolásokat is nélkülözi. A rendszer például nem kér digitális aláírást a saját firmware felülírásához, így egy támadó a dongle teljes vezérlését lecserélheti saját szoftverére - amely secure boot hiányában gond nélkül működni is fog. A hálózati kapcsolatot ugyanígy nem védi semmi - nincs hitelesítés sem szerveroldalon sem a mobilhálózat oldalán. Ennek fényében nem meglepő, hogy az adatkapcsolat sem biztonságos, nem védi semmilyen titkosítás. "Gyakorlatilag semmilyen biztonsági technológia nem védi" - mondja Thuen.
U-blox bázisállomások - rendelhető darabok
A támadás a fentiek fényében triviálisan kivitelezhető, csupán arra kell rávenni a Snapshotot, hogy a támadó által működtetett hamis bázisállomásra csatlakozzon fel, ezt követően a szabadon elérhető kommunikációs csatornán keresztül teljes hozzáférés nyílik a dongle rendszeréhez, és azon keresztül az autó teljes elektronikájához. A támadáshoz szükséges hordozható, notebookhoz csatlakoztatva működtethető "bázisállomás" a piacon megvásárolható, több gyártó kínálatában is szerepel ilyen eszköz. Hogy mennyire veszélyes ez? Az OBD-II szabvány Mode$08-t használva a csatlakoztatott eszközre tudja delegálni bizonyos vezérlők feladatait, beleértve a motor, a váltó vagy akár a fékek vezérlését is - a lehetőségeknek csak a képzelet szab határt.
Konklúzió: senkiháziak kezében van a popszakma
A fentiek alapján egyértelmű, hogy a Snapshot koncepciója ezer sebből vérzik. Egyrészt a dongle által használt OBD-II adatbusz teljességgel alkalmatlan erre a feladatra, hiszen az autó legmélyebb vezérléséhez enged hozzáférést, ezt még ideális biztonsági megoldások mellett sem ajánlott "kitenni a webre". A modern autókban általánosan elterjedt OBD-II egyébként roppant népszerű az autórajongók körében, a csatlakozót használva például újabb műszerek tehetőek ki a műszerfalra (turbónyomástól a pillanatnyi fogyasztásig), sőt, bizonyos egységek már mobilappra is ki tudnak küldeni adatokat az autóról.
A Snapshot által használt megoldás egyébként annak fényében különösen érthetetlen, hogy egy filléres GPS és gyorsulásmérő kombinációjával a biztosító kiolvashatná ugyanezeket az adatokat - anélkül, hogy hozzáférést követelne a rendszerbuszhoz. Maga a Snapshot egyébként az amerikai Xirgo Technologies terméke, az amerikai cég a biztosító mellett számos flottakövető és egyéb rendszer fejlesztésében vesz részt.