Blaue RC LKW Auto (Radio-fernbedienung auto)

Blauer RC-LKW-Wagen (Funkgesteuertes Auto) на асфальте. Offroad-Авто. Шляпа Dieses Spielzeug etwas Staub von spielenden Kindern.

Funksteuerung 4×4 Auto

Ein ferngesteuertes Auto im Gelände, um die ganze Öffentlichkeit zu genießen

Handgefertigte ferngesteuerte Auto -Design

Steuerungsjoystick der Neuen Generation und elektronisches Autospielzeug auf weißem Hintergrund.

Nahaufnahme намекает на Modellauto isoliert auf weißem Hintergrund.

Radio regulierbare Off-Road-Rennen

Baby Mädchen, das Geschwindigkeitsrennen RC Auto Off Road Buggy spielzeugauto

Spielzeugauto im Gelände

Автосимвол. внедорожник, кроссовер. Силуэт Шварце. Seitenansicht….

Junge, die ein ferngesteuertes Auto spielt, das im Freien auf. ..

Verspielte Babykinder, die ferngesteuert Off-Road-Highspeed-Sport-

Funksteuerung-8

RC нитро-багги с аксессуарами

Nahaufnahme des ferngesteuerten Oldtimermodells, das auf dem Bürge

Buggy-Symbol. Силуэт Шварце. Seitenansicht. Kleines Sport…

Stellen Sie Mikrowelle, Smartphone, Multimedia-Box und TV-Box…

geländewagen Ferngesteuertes Auto

Stellen Sie isometrische Linee Smart Tv, Badezimmerwaage,…

Set Isometrische Lineie Wasserkocher, Smartphone, TV и…

Set Line Antenne, Kühlschrank, Wasserkocher, Smartphone, Auto,…

Амброне, Франкрайх — 19. Октябрь 2014: Ferngesteuertes Auto mit Allradantrieb (4×4) и Funk. «Summit» LKW-Modell, Maßstab 1:10, фон Traxxas. Auto klettern Holz Baumstamm im Kies des Weges mitten in der Natur der Region Rhône-Alpes во Франции. Traxxas ist ein berühmter und führender Automodellbauer, der 1986 gegründet wurde.

Set Fernbedienung, Prozessor mit Mikroschaltungen CPU und Drohne…

Setzen Sie Drohne fliegen, Drucker, Tischlampe und Multimedia. ..

Geländewagen Ferngesteuertes Auto

Амброне, Франция — 19 октября 2014 г.: Ferngesteuertes Auto mit Allradantrieb (4×4) und Funk. «Summit» LKW-Modell, Maßstab 1:10, фон Traxxas. Auto klettern Holz Baumstamm im Kies des Weges mitten in der Natur der Region Rhône-Alpes во Франции. Traxxas ist ein berühmter und führender Automodellbauer, der 1986 gegrunde wurde.

Набор Lieferlastwagen, Fernbedienung, Drohnenflug, Lager, Heizkörper

Set-Line Multimedia- und TV-Box, Computermaus, Antenne und. ..

Stellen Sie isometrische Line Mikrofon, Smartphone, Multimedia… Mond-Rover

Набор Kaffeemaschine, Steckdose, Mikrofon, Roboter-Staubsauger,…

Set Haus, Multimedia und TV-Box, Tischlampe und Radio-Symbol….

Set Glühbirne, Drohne fliegen, Armbanduhr, Kaffeemaschine,. ..

Stellen Sie die Linie Straßenlaterne, Multimedia- und TV-Box und…

Geländewagen Ferngesteuertes Auto

Set Line Überwachungskamera, Steckdose, Multimedia- und TV-Box…

Набор линий смартфон, ноутбук, мультимедиа и ТВ-бокс и маршрутизатор Wi-

Set Linee Meteorologie Thermometer, Prozessor mit…

Radio regulierbare Autounfall

Set Spielzeugflugzeug, Smart TV, Roller Scooter und Bootssymbol….

Set-Line Fernbedienung, Personenwaage, Server, Daten, Webhosting,

Set Line Kaffeemaschine, Router und Wi-Fi-Signal, Fernbedienung. ..

Fernbedienung Racer Jungen

Set line Überwachungskamera, Personenwaage, Steckdose,…

Stellen Sie Fernbedienung, Wasserhahn, Laptop, Server, Daten,…

Fernbedienung einstellen Wasserhahn Laptop Server Daten Web Hosting Drucker Steckdose Auto und Tastatur Symbol. Вектор.

Spinnerei ferngesteuertes Auto

Funkgesteuertes Auto wirft im Moment der Bewegung Sand

Set Line Mikrowellenherd, Server, Daten, Webhosting, Multimedia-…

Set-Line Mikrowelle, Server, Daten, Webhosting, Multimedia- und TV -Коробка и Штекер. Vorlage für Business-Infografiken. Вектор.

Set-Line-Mikrofon, Haus, Blinkersirene, Armbanduhr, Washmaschine,

Set line Mikrofon Haus Blinker Sirene Armbanduhr Waschmaschine Überwachungskamera Lieferung Frachtwagen und Fernbedienung Symbol. Вектор.

Set Line Überwachungskamera, Heizkörper, Fernbedienung,…

Kopfhörer, Auto, Wasserhahn und Fernbedienungssymbol einstellen….

Ferngesteuertes Modell ralley Auto

Set-Line Steckdose, Drucker, Liefer-LKW, Mikrofon, Sicheres…

Linee einstellen Steckdose Drucker Lieferung Frachtwagen Mikrofon Sicheres Комбинация маршрутизатора и Wi-Fi-сигнала, вкуса и символа усилителя. Вектор.

Set-Linie Überwachungskamera, Roboter-Staubsauger, Smartphone,…

Set line Überwachungskamera Roboterstaubsauger Smartphone Radio Lieferung Frachtwagen Auto Flasher Sirene und Multimedia und TV Box Symbol. Вектор.

Stellen Sie Mikrowelle, Lager, Drucker und Multimedia und TV-Box…

Stellen Sie Mikrowelle, Lager, Drucker und Multimedia und TV-Box. Vorlage für Business-Infografiken. Вектор.

Fernbedienung Hobby Jungen

Ein Junge mit einem RC-Controller auf einer Rennstrecke.

Stellen Sie die die die die die mi etrische Linie Tastatur, Smart TV, Haus und…

Legen Sie die die isometrische Tastatur, den Smart TV, das Haus- und Grafiktablettsymbol фест. Вектор.

Set line Roboter-Staubsauger, Kopfhörer, Glühbirne, Stecker,… -Lautsprecher-Символ. Вектор.

Set Warehouse, Grafiktablett, Smart Sensor, Kopfhörer,. ..

Satellitenfernsehen Gericht in Африка, лагерь, кемпинг, Африка

Auf einem abgelegenen Campingplatz im afrikanischen Busch hält eine Satellitenfernsehschüssel die Camper in Kontakt mit der Welt.

Set Line Stereo-Lautsprecher, Drucker, Grafiktablett, Steckdose,…

Set-Line Stereo-Lautsprecher Drucker Grafiktablett Steckdose Meteorologie-Thermometer Fernbedienung Kaffemaschine und Kopfhörer-Symbol. Вектор.

Наблюдайте, как хакеры удаленно убивают джип на шоссе — со мной в нем

Неприятно взломать тормоза вашего двухтонного внедорожника,

, когда вы паркуетесь перед канавой.

Ладно, держись крепче.

Подожди.

О, черт*.

Это то, что я узнал

от Чарли Миллера и Криса Валасека,

пары хакеров, которые потратили последний год

на разработку программного обеспечения

, которое может беспроводным образом саботировать этот Jeep Cherokee 2014 года.

Ничего не менялось.

К нему не подключены устройства,

, но, как и многие тысячи джипов по всему миру,

его можно удаленно взломать через Интернет,

через сотовую связь с его развлекательной системой,

, которая позволит кому-то управлять его рулевым управлением,

его трансмиссией и даже его тормозами.

Чтобы продемонстрировать это, я собираюсь сыграть

в качестве сегодняшнего манекена для краш-тестов и проехать на нем по шоссе,

здесь, в Сент-Луисе, в то время как Чарли и Крис

угонят его цифровые системы из дома Чарли, за много миль отсюда. .

Они не сказали мне, что они планировали,

но они заверили меня

что ничего опасного для жизни не будет.

Помни, Энди, что бы ни случилось, не паникуй.

[Энди] Я не в первый раз веду машину

, когда ее атакуют эти два хакера,

, но в 2013 году они были на заднем сиденье

и их ноутбуки были подключены к машине

через порт на приборной панели.

Теперь они отправляют такие же атаки удаленно

, и я понятия не имею, что они могут сделать.

Он едет так быстро, как я его видел, так что.

Сначала мы направим на него вентилятор.

[Чарли] Да, давайте включим вентилятор

и посмотрим, заметит ли он вообще.

Хорошо.

Что-то только что включило все вентиляторы, кондиционеры и прочее.

Я этого не делал.

Все началось с малого.

Боже мой!

На приборной панели только что появилась фотография Чарли и Криса в спортивных костюмах

.

Но когда я ехал по шоссе,

дела становились неприятными

и очень шумными.

(громкий рэп)

Отлично.

Я не могу отказаться.

Круто.

Теперь работает кондиционер,

музыка гремит, и я ничего не вижу

из-за гребаной жидкости для стеклоочистителя.

Ладно, делай.

Сделай это.

Заглушить двигатель.

Мы сейчас заглушим двигатель.

Там написано ParkSense.

Ф*.

Вообще-то я не могу разогнаться.

Я надавил на газ, но джип стал ползти.

Там написано 43 мили в час, но я не еду так быстро.

Я включил аварийную сигнализацию,

, но я все еще застрял в правом ряду,

без обочины, на которую можно было бы сбежать.

Ребята, я застрял на трассе.

Что он сказал?

Не знаю. Я думаю, он паникует.

Он не сможет нас услышать по этому радио.

Это так громко.

Ребята, мне нужно, чтобы ускоритель снова заработал.

Ускоритель не работает.

Это не сработает.

Ты обречен.

Серьезно, это чертовски опасно.

Мне нужно переехать.

Вы должны выключить машину.

Хорошо.

[Чарли] Теперь можно идти.

(грузовик дважды гудит)

[Чарли] Проехал полуприцеп.

Хорошо. Я остановлюсь,

, потому что у меня посттравматический стресс.

Чарли и Крис протестировали только

весь спектр своих атак на Jeep Cherokee,

, но они говорят, что сотни тысяч

последних моделей автомобилей Chrysler могут быть уязвимы

через функцию под названием Uconnect,

подключенный к Интернету компьютер на приборной панели

, известный как его головное устройство.

Головные устройства этих автомобилей предоставляют определенную услугу

что, наверное, не хотели.

Он позволяет вам делать такие вещи, как запрос информации,

, например, GPS или VIN, или всевозможные другие вещи

, но он также позволяет вам просто запускать команды.

Вы должны сначала проникнуть в машину удаленно,

по сотовой сети, а затем переместиться сбоку,

, если вы хотите делать такие вещи, как отправка сообщений CAN.

Это сообщения, которые мы можем использовать

для управления такими вещами, как рулевое управление,

либо стеклоочистители, либо тормоза.

Они планируют выпустить часть своего эксплойта с кодом

на ежегодной хакерской конференции Black Hat в следующем месяце.

Они также предупредили Chrysler,

, который выпускает патч безопасности.

Говорят, что нужно сделать гораздо больше

для защиты нового поколения автомобилей

, которые все чаще подключаются к Интернету

и потенциально могут быть взломаны.

Вы, ребята, практически остановили эту машину

, пока я ехал по шоссе,

, за что я, возможно, никогда тебя не прощу.

Это был просто эксперимент.

Как вы думаете, что может быть в худшем случае?

Мы хотели указать, показать, что эта атака

имеет серьезные последствия для этой машины.

Мы напали на вас,

, но сделали это максимально безопасно.

Очевидно, мы не хотели, чтобы вы пострадали.

Вот почему мы работаем, чтобы убедиться, что

что мы выясним уязвимости, слабости,

исправим их.

Нас всего двое парней с одной машиной.

Мы не можем смотреть каждую машину.

Мы хотим опубликовать эту информацию

, потому что больше таких людей, как мы, должны быть сосредоточены на этой проблеме

.

После трюка на шоссе,

Крис и Чарли все еще хотели

показать мне пару других трюков.

Скорость ниже определенной,

они могут управлять джипом,

пока он едет задним ходом,

открывать его замки, возиться со спидометром,

и, конечно же, отключать тормоза.

Ладно, держись крепче.

Подожди.

Ах, с*.

[Крис] Он не выберется из этого.

[Чарли] Ты так не думаешь?

[Крис] Мы собираемся немного поднажать.

[Чарли] Вот как водят машину на Среднем Западе.

Жители Нью-Йорка не знают, как это сделать.

Хакеры дистанционно убивают джип на шоссе — со мной в нем

Энди Гринберг

Служба безопасности

21 июля 2015 г. 6:00 утра

Я ехал со скоростью 70 миль в час по окраине центра Сент-Луиса подвиг начал закрепляться.

Я ехал со скоростью 70 миль в час по окраине центра Сент-Луиса, когда эксплойт начал действовать.

Хотя я не прикасался к приборной панели, вентиляционные отверстия в Jeep Cherokee начали выдувать холодный воздух на максимальной мощности, охлаждая пот на моей спине через встроенную систему климат-контроля. Затем радио переключилось на местную хип-хоп станцию ​​и начало реветь Skee-lo на полную громкость. Я повернул ручку управления влево и нажал кнопку питания, но безрезультатно. Затем включились стеклоочистители, и жидкость для стеклоочистителей замутила стекло.

Пока я пытался справиться со всем этим, на цифровом дисплее автомобиля появилось изображение двух хакеров, выполняющих эти трюки: Чарли Миллера и Криса Валасека, одетых в свои фирменные спортивные костюмы. Приятное прикосновение, подумал я.

Странное поведение джипа не было полной неожиданностью. Я приехал в Сент-Луис, чтобы стать цифровым манекеном Миллера и Валасека для проведения краш-тестов, добровольным субъектом, на котором они могли протестировать исследование по взлому автомобилей, которое они проводили в прошлом году. Результатом их работы стала техника взлома, которую индустрия безопасности называет эксплойтом нулевого дня, которая может атаковать Jeep Cherokee и дать злоумышленнику беспроводной контроль через Интернет над любым из тысяч автомобилей. Их код — кошмар автопроизводителя: программное обеспечение, которое позволяет хакерам отправлять команды через развлекательную систему Jeep на его приборную панель, рулевое управление, тормоза и трансмиссию — и все это с ноутбука, который может находиться в любой точке страны.

Чтобы лучше смоделировать опыт вождения автомобиля, когда его угоняет невидимая виртуальная сила, Миллер и Валасек отказались сообщить мне заранее, какие виды атак они планируют запустить с ноутбука Миллера в его доме в 10 милях к западу. Вместо этого они просто заверили меня, что не сделают ничего опасного для жизни. Потом мне сказали выехать на джипе на шоссе. «Помни, Энди, — сказал Миллер через динамик моего айфона как раз перед тем, как я выехал на въезд на межштатную автомагистраль 64, — что бы ни случилось, не паникуй». ¹

Самые популярные

Чарли Миллер (слева), исследователь безопасности в Twitter, и Крис Валасек, директор по безопасности автомобилей, выявили уязвимости в автомобильной безопасности. взламывая автомобили удаленно, управляя различными элементами управления автомобилями, от громкости радио до тормозов. Снято в среду, 1 июля 2015 года в Ладью, штат Миссури (Фото © Уитни Кертис для WIRED. com) Уитни Кертис для WIRED

Пока двое хакеров дистанционно играли с кондиционером, радио и стеклоочистителями, я мысленно поздравлял себя с храбростью, проявленной под давлением. Вот когда они прервали передачу.

У меня сразу перестал работать ускоритель. Пока я лихорадочно нажимал на педаль и смотрел, как растут обороты, джип потерял половину своей скорости, а затем замедлился до ползания. Это произошло как раз в тот момент, когда я достиг длинного путепровода, где не было обочины, по которой можно было бы сбежать. Эксперимент перестал быть веселым.

В этот момент автомагистраль между штатами начала подниматься вверх, так что джип потерял еще большую скорость и едва пополз вперед. Машины выстраивались за моим бампером, прежде чем обогнать меня, сигналя. В зеркало заднего вида я увидел приближающийся 18-колесный автомобиль. Я надеялся, что его водитель тоже меня увидел и понял, что я парализован на шоссе.

«Ты обречен!» — закричал Валасек, но я не мог разобрать его криков из-за грохота радио, которое теперь качало Канье Уэста. Полуприцеп маячил в зеркале, приближаясь к моему обездвиженному джипу.

Я последовал совету Миллера: не паниковал. Однако я отбросил всякое подобие храбрости, схватил свой iPhone липким кулаком и умолял хакеров остановить его.

Беспроводные угонщики автомобилей

Это был не первый раз, когда Миллер и Валасек сажали меня за руль взломанного автомобиля. Летом 2013 года я вел Ford Escape и Toyota Prius по Саут-Бенду, штат Индиана, по парковке, пока они сидели на заднем сиденье со своими ноутбуками, гогоча, отключая мои тормоза, сигналя, дергая ремень безопасности, и забрал руль. «Когда вы теряете веру в то, что машина будет делать то, что вы ей говорите, — заметил в то время Миллер, — это действительно меняет все ваше представление о том, как эта штука работает». Однако в то время их взломы имели утешительное ограничение: компьютер злоумышленника был подключен к бортовому диагностическому порту автомобиля, функция, которая обычно дает специалистам по ремонту доступ к информации об электронных системах автомобиля.

Всего два года спустя об этом угоне стало известно по радио. Миллер и Валасек планируют опубликовать часть своего эксплоита в Интернете, приурочив его к выступлению на конференции по безопасности Black Hat в Лас-Вегасе в следующем месяце. Это последнее из серии разоблачений двух хакеров, которые напугали автомобильную промышленность и даже помогли вдохновить на принятие законодательства; Как стало известно WIRED, сенаторы Эд Марки и Ричард Блюменталь планируют представить сегодня законопроект об автомобильной безопасности, чтобы установить новые стандарты цифровой безопасности для легковых и грузовых автомобилей, что впервые возникло, когда Марки обратил внимание на работу Миллера и Валасека в 2013 году9.0003

Самые популярные

В качестве противоядия от автоматического взлома счет как нельзя более своевременен. Инструменты атаки, разработанные Миллером и Валасеком, могут удаленно активировать больше, чем трюки с приборной панелью и коробкой передач, которые они использовали против меня на шоссе. Они продемонстрировали столько же в тот же день, что и мой травматический опыт на И-64; Едва избежав смерти от полуприцепа, мне удалось скатить хромой джип по съезду, снова включить трансмиссию, выключив и включив зажигание, и найти пустырь, где я мог спокойно продолжить эксперимент.

Полный арсенал Миллера и Валасека включает в себя функции, которые на более низких скоростях полностью глушат двигатель, резко включают тормоза или полностью отключают их. Самый тревожный маневр произошел, когда они отключили тормоза джипа, оставив меня лихорадочно давить на педаль, когда 2-тонный внедорожник неконтролируемо скользил в кювет. Исследователи говорят, что они работают над совершенствованием рулевого управления — на данный момент они могут угнать руль только тогда, когда джип движется задним ходом. Их хак также позволяет осуществлять наблюдение: они могут отслеживать GPS-координаты целевого джипа, измерять его скорость и даже ставить метки на карте, чтобы проследить его маршрут.

Энди Гринберг/WIRED

Все это возможно только потому, что Chrysler, как и практически все автопроизводители, делает все возможное, чтобы превратить современный автомобиль в смартфон. Uconnect, подключенная к Интернету компьютерная функция в сотнях тысяч автомобилей, внедорожников и грузовиков Fiat Chrysler, управляет развлечениями и навигацией автомобиля, позволяет совершать телефонные звонки и даже предлагает точку доступа Wi-Fi. И благодаря одному уязвимому элементу, который Миллер и Валасек не узнают до их разговора о Black Hat, сотовая связь Uconnect также позволяет любому, кто знает IP-адрес автомобиля, получить доступ из любой точки страны. «С точки зрения злоумышленника это очень удобная уязвимость, — говорит Миллер.

С этой точки входа атака Миллера и Валасека разворачивается на соседний чип в головном устройстве автомобиля — аппаратное обеспечение его развлекательной системы — молча перезаписывая прошивку чипа, чтобы внедрить свой код. Эта переписанная прошивка способна отправлять команды через внутреннюю компьютерную сеть автомобиля, известную как шина CAN, на его физические компоненты, такие как двигатель и колеса. Миллер и Валасек говорят, что атака на развлекательную систему работает на любом автомобиле Chrysler с Uconnect с конца 2013 года, всего 2014 года и начала 2015 года. , на Jeep Cherokee, хотя они считают, что большинство их атак можно настроить для работы с любым автомобилем Chrysler с уязвимым головным устройством Uconnect. Им еще предстоит удаленно взламывать машины других марок и моделей.

Самый популярный

После того, как исследователи раскроют подробности своей работы в Вегасе, только две вещи не позволят их инструменту совершить волну атак на джипы по всему миру. Во-первых, они планируют исключить часть атаки, которая перезаписывает прошивку чипа; хакерам, которые пойдут по их стопам, придется реконструировать этот элемент, процесс, на который у Миллера и Валасека ушли месяцы. Но код, который они публикуют, позволит использовать многие трюки с приборной панелью, которые они продемонстрировали на мне, а также GPS-отслеживание.

Во-вторых, Миллер и Валасек делились своими исследованиями с Chrysler в течение почти девяти месяцев, что позволило компании незаметно выпустить патч перед конференцией Black Hat. 16 июля владельцы автомобилей с функцией Uconnect были уведомлены об исправлении в сообщении на веб-сайте Chrysler, в котором не было никаких подробностей или подтверждений исследований Миллера и Валасека. «[Fiat Chrysler Automobiles] имеет программу постоянного тестирования систем автомобилей для выявления уязвимостей и разработки решений», — говорится в заявлении представителя Chrysler, направленном WIRED. «FCA стремится предоставлять клиентам последние обновления программного обеспечения для защиты транспортных средств от любой потенциальной уязвимости».

К сожалению, исправление Chrysler должно быть установлено вручную с помощью USB-накопителя или механиком дилерского центра. (Загрузите обновление здесь.) Это означает, что многие, если не большинство уязвимых джипов, скорее всего, останутся уязвимыми.

В ответ на вопросы WIRED компания Chrysler заявила, что «оценивает» работу Миллера и Валасека. Но компания также с подозрением отнеслась к своему решению опубликовать часть своего эксплойта. «Ни при каких обстоятельствах FCA не оправдывает и не считает уместным раскрывать «информацию с практическими рекомендациями», которая потенциально может способствовать или помочь хакерам получить несанкционированный и незаконный доступ к системам автомобиля», — говорится в заявлении компании. «Мы ценим вклад защитников кибербезопасности в расширение понимания отрасли потенциальных уязвимостей. Однако мы предупреждаем защитников, что в стремлении к повышению общественной безопасности они на самом деле не ставят под угрозу общественную безопасность».

Два исследователя говорят, что даже если их код упрощает атаку хакеров-злоумышленников на непропатченные джипы, выпуск, тем не менее, оправдан, поскольку он позволяет проверить их работу с помощью экспертной оценки. Это также посылает сигнал: автопроизводители должны нести ответственность за цифровую безопасность своих автомобилей. «Если потребители не осознают, что это проблема, они должны начать жаловаться автопроизводителям», — говорит Миллер. «Возможно, это ошибка программного обеспечения, которая, скорее всего, кого-то убьет».

На самом деле, Миллер и Валасек не первые, кто взломал машину через Интернет. В 2011 году группа исследователей из Вашингтонского и Калифорнийского университетов в Сан-Диего показала, что они могут отключать замки и тормоза седана по беспроводной связи. Но эти ученые заняли более сдержанную позицию, держа в секрете личность взломанного автомобиля и делясь подробностями эксплойта только с автопроизводителями.

Миллер и Валасек представляют второй акт в рутине «хороший полицейский/плохой полицейский». Автопроизводители, которые не прислушались к вежливым предупреждениям в 2011 году, теперь столкнулись с возможностью публичного сброса недостатков безопасности своих автомобилей. Результатом может быть отзыв продуктов или даже гражданские иски, говорит профессор компьютерных наук Калифорнийского университета в Сан-Диего Стефан Сэвидж, который работал над исследованием 2011 года. «Представьте, что вы идете против адвоката по коллективному иску после того, как Anonymous решили, что было бы забавно закидать кирпичами все Jeep Cherokees в Калифорнии», — говорит Сэвидж. ²

Самый популярный

Для автомобильной промышленности и ее сторожевых псов, другими словами, они могут быть полным предупреждением перед выпуском Миллера и Валасека. дневная атака. «Регуляторы и индустрия больше не могут рассчитывать на то, что код эксплойта не появится в открытом доступе», — говорит Сэвидж. «Они думали, что это не непосредственная опасность, с которой вам нужно иметь дело. Это скрытое предположение теперь мертво».

471 000 Hackable Automobiles

Чарли Миллер, исследователь безопасности в Twitter, и Крис Валасек, директор по исследованиям безопасности транспортных средств в IOActive, выявили уязвимости безопасности в автомобилях, взламывая автомобили удаленно, контролируя различные элементы управления автомобилями по радио. громкости к тормозам. Снято в среду, 1 июля 2015 года в Ладью, штат Миссури. (Фото © Уитни Кертис для WIRED.com) Уитни Кертис для WIRED

Интернет для пострадавших.

Компьютеры Uconnect подключены к Интернету через сотовую сеть Sprint, и только другие устройства Sprint могут общаться с ними. Итак, у Миллера есть дешевый телефон Kyocera Android, подключенный к его потрепанному MacBook. Он использует одноразовый телефон в качестве точки доступа Wi-Fi, выискивая цели, используя его узкую полосу пропускания 3G.

На экране ноутбука отображается набор GPS-координат, а также идентификационный номер автомобиля, марка, модель и IP-адрес. Это Додж Рэм. Миллер вводит свои GPS-координаты в Google Maps, чтобы показать, что он едет по шоссе в Тексаркане, штат Техас. Он продолжает сканировать, и следующее транспортное средство, которое появляется на его экране, — это Jeep Cherokee, который едет по клеверному шоссе между Сан-Диего и Анахаймом, штат Калифорния. Затем он находит Dodge Durango, который едет по сельской дороге где-то на Верхнем полуострове Мичигана. Когда я прошу его продолжить сканирование, он колеблется. Видя фактические, нанесенные на карту местоположения машин этих ничего не подозревающих незнакомцев — и зная, что каждая из них уязвима для их удаленной атаки — выбивает его из колеи.

Когда Миллер и Валасек впервые обнаружили уязвимость Uconnect, они думали, что она может позволить проводить атаки только по прямому каналу Wi-Fi, ограничивая радиус действия несколькими десятками метров. Когда ранее этим летом они обнаружили уязвимость Uconnect для сотовой связи, они все еще думали, что она может работать только на транспортных средствах, подключенных к той же сотовой вышке, что и их сканирующий телефон, что ограничивает дальность атаки до нескольких десятков миль. Но быстро выяснилось, что и это не предел. «Когда я увидел, что мы можем делать это где угодно, через Интернет, я пришел в ярость, — говорит Валасек. «Я был напуган. Это было похоже на то, черт возьми, это машина на шоссе посреди страны. Взлом автомобилей стал настоящим, прямо тогда».

Самый популярный

Этот момент стал кульминацией почти трехлетней работы. Осенью 2012 года Миллер, исследователь безопасности Twitter и бывший хакер АНБ, и Валасек, директор по исследованиям безопасности транспортных средств в консалтинговой компании IOActive, были вдохновлены исследованием UCSD и Вашингтонского университета подать заявку на взлом автомобиля. исследовательский грант от Darpa. На полученные 80 000 долларов они купили Toyota Prius и Ford Escape. В течение следующего года они разбирали автомобили на части в цифровом и физическом виде, разрабатывая схемы их электронных блоков управления или ECU — компьютеров, которые управляют практически каждым компонентом современного автомобиля, — и учились говорить по сетевому протоколу CAN, который ими управляет. .

Когда в 2013 году на хакерской конференции DefCon они продемонстрировали проводную атаку на эти автомобили, Toyota, Ford и другие представители автомобильной промышленности преуменьшили значение своей работы, указав, что для взлома требовался физический доступ к транспортные средства. Toyota, в частности, утверждала, что ее системы «надежны и защищены» от беспроводных атак. «У нас не было нужного влияния на производителей, — говорит Миллер. Чтобы привлечь их внимание, им нужно найти способ удаленно взломать автомобиль.

ЧАРЛИ МИЛЛЕРЧарли Миллер, исследователь безопасности в Твиттере, и Крис Валасек, директор по исследованиям безопасности транспортных средств в IOActive, выявили уязвимости безопасности в автомобилях, удаленно взламывая машины, контролируя различные элементы управления автомобилями от громкости радио до тормозов. . Снято в среду, 1 июля 2015 года в Ладью, штат Миссури (Фото © Уитни Кертис для WIRED.com) Уитни Кертис для WIRED

Итак, в следующем году они подписались на аккаунты механиков на сайтах всех крупных автопроизводителей и скачали десятки технических руководств и электрических схем автомобилей. Используя эти характеристики, они оценили 24 автомобиля, внедорожника и грузовика по трем факторам, которые, по их мнению, могут определять их уязвимость для хакеров: сколько и какие типы радиоприемников подключали системы автомобиля к Интернету; были ли компьютеры, подключенные к Интернету, должным образом изолированы от критических систем вождения, и имели ли эти критические системы «киберфизические» компоненты — могли ли цифровые команды вызывать физические действия, такие как поворот руля или активация тормозов.

Основываясь на этом исследовании, они оценили Jeep Cherokee как модель, наиболее поддающуюся взлому. У Cadillac Escalade и Infiniti Q50 дела обстояли не намного лучше; Миллер и Валасек поставили их на второе и третье место по уязвимости. Когда WIRED сообщил Infiniti, что по крайней мере одно из предупреждений Миллера и Валасека подтвердилось, компания ответила заявлением, что ее инженеры «с нетерпением ждут результатов этого [нового] ​​исследования» и «продолжат интегрировать функции безопасности в наши продукты». средства защиты от кибератак». Cadillac подчеркнул в письменном заявлении, что компания выпустила новый Escalade после последнего исследования Миллера и Валасека, но что кибербезопасность — это «развивающаяся область, в которой мы выделяем больше ресурсов и инструментов», включая недавний наем главного сотрудника по кибербезопасности продукта. .

Самые популярные

После того, как Миллер и Валасек решили сосредоточиться на Jeep Cherokee в 2014 году, им потребовался еще один год, чтобы доказать, что их охота за уязвимостями, которые можно взломать . Только в июне Валасек отдал команду со своего ноутбука в Питтсбурге и включил дворники джипа на подъездной дорожке Миллера в Сент-Луисе.

С тех пор Миллер несколько раз сканировал сеть Sprint в поисках уязвимых автомобилей и записывал их идентификационные номера. Подключив эти данные к алгоритму, который иногда используется для маркировки и отслеживания диких животных, чтобы оценить размер их популяции, он подсчитал, что на дорогах находится до 471 000 автомобилей с уязвимыми системами Uconnect.

Определить машину, принадлежащую конкретному человеку, непросто. Сканирование Миллера и Валасека показывает случайные VIN, IP-адреса и GPS-координаты. Маловероятно найти конкретный автомобиль жертвы из тысяч из-за медленного и случайного зондирования одного телефона с поддержкой Sprint. Но достаточное количество телефонов, сканирующих вместе, говорит Миллер, может позволить найти человека и нацелиться на него. Хуже того, предполагает он, опытный хакер может захватить группу головных устройств Uconnect и использовать их для выполнения дополнительных сканирований — как и в случае любой коллекции угнанных компьютеров — перебрасываясь с одной приборной панели на другую по сети Sprint. Результатом станет автомобильный ботнет с беспроводным управлением, охватывающий сотни тысяч автомобилей.

«Всем критикам 2013 года, которые говорили, что наша работа не считается, потому что мы были подключены к приборной панели, — говорит Валасек, — ну, и что теперь?»

КРИС ВАЛАСЕК Чарли Миллер, исследователь безопасности в Twitter, и Крис Валасек, директор по исследованиям безопасности транспортных средств в IOActive, выявили уязвимости безопасности в автомобилях, взламывая машины удаленно, контролируя различные элементы управления автомобилями от громкости радио до звука. тормоза. Снято в среду, 1 июля 2015 года в Ладью, штат Миссури (Фото © Уитни Кертис для WIRED.com) Уитни Кертис для WIRED

Конгресс берется за взлом автомобилей

Теперь автомобильная промышленность должна выполнять негламурную, непрерывную работу по фактической защите автомобилей от хакеров. И Вашингтон, возможно, собирается форсировать этот вопрос.

Сегодня вечером сенаторы Марки и Блюменталь намерены обнародовать новый закон, направленный на ужесточение защиты автомобилей от хакеров. Законопроект (который, по утверждению представителя Марки, не был приурочен к этой истории) призывает Национальную администрацию безопасности дорожного движения и Федеральную торговую комиссию установить новые стандарты безопасности и создать систему оценки конфиденциальности и безопасности для потребителей. «Контролируемые демонстрации показывают, как страшно было бы, если бы хакер получил контроль над автомобилем», — написал Марки в заявлении для WIRED. «Водителям не нужно выбирать между подключением к сети и защитой… Нам нужны четкие правила дорожного движения, которые защищают автомобили от хакеров, а американские семьи — от средств отслеживания данных».

Самые популярные

Марки много лет пристально следил за исследованиями Миллера и Валасека. Ссылаясь на их исследование и хакерскую демонстрацию, финансируемую Darpa в 2013 году, он отправил письмо 20 автопроизводителям, попросив их ответить на ряд вопросов об их методах обеспечения безопасности. Ответы, опубликованные в феврале, показывают то, что Марки описывает как «явное отсутствие надлежащих мер безопасности для защиты водителей от хакеров, которые могут получить контроль над транспортным средством». Все 16 ответивших автопроизводителей подтвердили, что практически каждый автомобиль, который они продают, имеет какое-либо беспроводное соединение, включая Bluetooth, Wi-Fi, сотовую связь и радио. (Марки не раскрыл индивидуальные ответы автопроизводителей.) Только семь компаний заявили, что они наняли независимые охранные фирмы для проверки цифровой безопасности своих автомобилей. Только двое заявили, что в их автомобилях есть системы мониторинга, которые проверяют их сети CAN на наличие вредоносных цифровых команд.

Сэвидж из UCSD говорит, что урок исследования Миллера и Валасека состоит не в том, что джипы или любое другое транспортное средство особенно уязвимы, а в том, что практически любое современное транспортное средство может быть уязвимым. «Я не думаю, что сегодня существуют качественные различия в безопасности между автомобилями, — говорит он. «Европейцы немного впереди. Японцы немного позади. Но в целом это то, чем все еще занимаются».

Уитни Кертис для WIRED

Помимо беспроводных взломов, используемых ворами для открытия дверей автомобилей, была задокументирована только одна злонамеренная атака со взломом автомобилей: в 2010 году недовольный сотрудник в Остине, штат Техас, использовал систему удаленного отключения, предназначенную для обеспечения своевременных платежей за автомобиль, чтобы заблокировать более 100 автомобилей. Но возможности реального взлома автомобилей только выросли, поскольку автопроизводители добавляют беспроводные соединения во внутренние сети автомобилей. Uconnect — это всего лишь одна из дюжины телематических систем, включая GM Onstar, Lexus Enform, Toyota Safety Connect, Hyundai Bluelink и Infiniti Connection.

Самые популярные

Фактически, автопроизводители думают о своей цифровой безопасности больше, чем когда-либо прежде, говорит Джош Корман, соучредитель организации I Am the Cavalry, занимающейся индустрией безопасности. защита будущих целей Интернета вещей, таких как автомобили и медицинские устройства. По словам Кормана, благодаря письму Марки и еще одному набору вопросов, направленных автопроизводителям комитетом Палаты представителей по энергетике и торговле в мае, Детройт уже несколько месяцев знает, что вступают в силу правила безопасности автомобилей.

Но Корман предупреждает, что одни и те же автопроизводители были больше сосредоточены на конкуренции друг с другом в установке новых подключенных к Интернету сотовых услуг для развлечений, навигации и безопасности. (Платежи за эти услуги также обеспечивают неплохой ежемесячный доход.) В результате у компаний появляется стимул добавлять функции с поддержкой Интернета, но не защищать их от цифровых атак. «Они ухудшаются быстрее, чем выздоравливают», — говорит он. «Если на внедрение новой функции, которую можно взломать, уходит год, то на ее защиту у них уходит от четырех до пяти лет».

Группа Кормана посетила мероприятия автомобильной промышленности, чтобы выдвинуть пять рекомендаций: более безопасная конструкция для уменьшения точек атаки, стороннее тестирование, внутренние системы мониторинга, сегментированная архитектура для ограничения ущерба от любого успешного проникновения и такое же программное обеспечение безопасности с поддержкой Интернета. обновления, которые сейчас получают ПК. Последний из них, в частности, уже завоевывает популярность; В марте Ford объявил о переходе на беспроводные обновления, а в январе BMW использовала беспроводные обновления для исправления взломанной уязвимости в дверных замках.

Корман говорит, что автопроизводителям нужно дружить с хакерами, которые выявляют недостатки, а не бояться их или вызывать у них неприязнь — точно так же, как такие компании, как Microsoft, эволюционировали от угроз хакерам судебными исками к приглашению их на конференции по безопасности и выплате им «награды за обнаружение ошибок» за раскрытие информации о безопасности. уязвимости. Для технологических компаний, по словам Кормана, «это просвещение заняло от 15 до 20 лет». Автопром не может позволить себе так долго. «Учитывая, что моя машина может навредить мне и моей семье, — говорит он, — я хочу, чтобы просветление произошло через три-пять лет, тем более что последствия неудачи — плоть и кровь».

Когда я ехал на джипе обратно к дому Миллера из центра Сент-Луиса, идея взлома автомобиля едва ли казалась угрозой, которая появится через три-пять лет. На самом деле, это казалось делом нескольких секунд; Я чувствовал уязвимость машины, мучительную возможность того, что Миллер и Валасек могут снова перерезать нити марионетки в любой момент.

Хакеры с ножницами соглашаются. «Мы заглушили ваш двигатель — вам сигналила большая машина из-за того, что мы сделали на нашем диване», — говорит Миллер, как будто мне нужно было напоминание. «Это то, о чем годами беспокоится каждый, кто думает о безопасности автомобиля. Это реальность».

Обновление 3:30 24.07.2015 : Chrysler отозвал 1,4 миллиона автомобилей в результате исследования Миллера и Валасека. Компания также заблокировала беспроводную атаку на сеть Sprint, чтобы защитить автомобили с уязвимым программным обеспечением.

¹ Исправление 10:45 21.07.2015 : В более ранней версии истории говорилось, что демонстрация взлома имела место на межштатной автомагистрали 40, хотя на самом деле это была трасса 40, которая в Сент-Луисе совпадает с межштатной автомагистралью.