Mặt trái của những chiếc xe hiện đại: Tấn công hệ thống và rò rỉ dữ liệu

Giống như một cơn thủy triều đến không thể ngăn chặn, kết nối đã lặng lẽ tràn ngập những chiếc ô tô mà chúng tôi rất thích lái.

Trong chưa đầy một thập kỷ, các cơ chế hỗ trợ người lái tuyệt vời và hệ thống thông tin giải trí bắt buộc đã tràn vào bảng điều khiển của nhiều mẫu xe hơi phổ biến để bán ngày nay. Và chúng ta chỉ mới bắt đầu xu hướng này. Kết nối, ứng dụng, tích hợp điện thoại thông minh và lái xe tự động đang ngày càng tiến lên, đưa chúng ta tới việc sử dụng rộng rãi các phương tiện không người lái, chỉ cách đây vài năm.

Khi những phát triển này mở ra, các ngành công nghiệp ô tô và công nghệ – cũng như các cơ quan quản lý nhà nước và liên bang – đang tranh giành để hiểu đầy đủ và giải quyết các mối lo ngại về an toàn và quyền riêng tư mới phát hiện. Stacy Janes, kiến ​​trúc sư an ninh của bộ phận giao thông kết nối của Irdeto, một trong những mối đe dọa đối với những chiếc xe được kết nối ngày nay và cả những chiếc xe tự lái trong tương lai nhà cung cấp phần mềm chống vi phạm bản quyền.

Trong tương lai, những chiếc xe được kết nối sẽ ngày càng đưa ra quyết định sinh tử về các vật thể và các hệ thống kỹ thuật số khác mà chúng có thể cảm nhận được ở gần đó, đồng thời thu thập và lưu trữ các kho dữ liệu cá nhân và hoạt động có thể kiếm tiền.

Bryson Bort, giám đốc điều hành của Scythe , một nhà cung cấp các công cụ kiểm tra bút có trụ sở tại Arlington, Virginia , cho biết, thách thức ở cấp độ cao là Rủi ro tiềm ẩn là một hệ thống không cần phải bị xâm phạm trực tiếp để ảnh hưởng đến việc ra quyết định của nó. Có thể ảnh hưởng đến dữ liệu mà chiếc xe đang thu thập.

Như đã nói: rác vào, rác ra. Trong bối cảnh dữ liệu liên tục và xe thông minh, đó là sự an toàn của hành khách trên đường dây.

Các thách thức bảo mật và riêng tư cốt lõi là rất khó khăn. Một mức độ tin cậy khả thi phải được thiết lập giữa nhiều hệ thống được kết nối mạnh mẽ thu thập sóng thần dữ liệu nhạy cảm. Thật thú vị, đó là cùng một ngưỡng của niềm tin phải được đáp ứng để mang lại nền kinh tế Internet of Things vừa chớm nở.

Đổi mới gấp đôi

Những chiếc xe hiện đại dựa vào một ngân hàng thiết bị điện toán đang phát triển gọi là bộ điều khiển điện tử hay ECU , được liên kết với nhau để kiểm soát phanh, tăng tốc, lái, hiệu suất động cơ, khóa cửa, kiểm soát khí hậu, điều hướng và thông tin giải trí.

Vào năm 2003, một mô hình của Toyota Prius đã xuất hiện với tính năng hỗ trợ đỗ xe song song tự động. Ford và BMW phải mất sáu năm để đưa ra một cái gì đó tương tự. Và sau đó tốc độ đổi mới chuyển sang thiết bị cao. Ngày nay, hệ thống hỗ trợ đỗ xe , hướng dẫn làn đường và tránh va chạm là phổ biến.

Các mô hình xe hơi đang tăng lên đều đặn lên quy mô tự chủ từ 0 đến 5 của Hiệp hội kỹ sư ô tô . Hầu hết các xe ô tô ngày nay đều ở cấp độ 0 – được trang bị hệ thống tự động có thể gửi cảnh báo và tạm thời can thiệp nhưng không thể tự điều khiển phương tiện. Nhưng ngày càng có nhiều mẫu xe được phân phối ở cấp 2, trong đó các hệ thống tự động đôi khi có thể đảm nhận việc điều khiển, tăng tốc và phanh, mặc dù người lái phải sẵn sàng can thiệp.

Audi A8 2019 đã đạt đến cấp độ 3, tại đó người lái có thể chuyển hướng sự chú ý của mình sang một nhiệm vụ không lái xe trong một số trường hợp nhất định; ví dụ như khi đi qua đường cao tốc. A8 được trang bị 24 cảm biến video, radar, âm thanh và laser hoạt động cùng nhau để điều khiển xe tự động, ở tốc độ thấp, trên đường với các rào cản vật lý ngăn cách giao thông sắp tới.

Xe cấp 5 – trong đó việc lái xe của con người đã được loại bỏ hoàn toàn – có thể đến ngay sau năm 2020. Trong khi đó, các điều khiển hỗ trợ máy tính đang trở nên phổ biến hơn ngay cả khi các hệ thống thông tin giải trí đang được nâng cấp liên tục. Khi sự kết nối của ô tô ngày càng sâu rộng, ranh giới giữa hệ thống lái xe tự trị và dịch vụ thông tin giải trí trên xe hơi đang bị xóa nhòa và chúng ta thấy sự đánh đổi quá quen thuộc – an ninh và quyền riêng tư so với chức năng và sự tiện lợi.

Rusty Carter, phó chủ tịch quản lý sản phẩm tại Arxan Technologies , một nhà cung cấp hệ thống bảo mật ứng dụng có trụ sở tại San Francisco, cho biết với ngành công nghiệp ô tô.

An toàn đầu tiên và quan trọng nhất

Đã hơn ba năm kể từ khi các nhà nghiên cứu Charlie Miller và Chris Valasek từ xa hack chiếc xe Jeep Cherokee của họ như một thử nghiệm. Sử dụng một máy tính xách tay và ngồi 10 dặm xa xôi, bộ đôi nắm quyền kiểm soát của màn hình hiển thị kỹ thuật số, tham gia vào hệ thống phanh, cắt truyền tải và giết chết động cơ.

Kể từ vụ hack xe Jeep, đã có một số trường hợp tin tặc vượt qua khóa cửa điện tử của những chiếc ô tô đang đỗ. Nhưng việc hack các phương tiện di chuyển chủ yếu được thực hiện bởi các nhà nghiên cứu trong các thiết lập có kiểm soát. Trong khi đó, một ngành công nghiệp khởi nghiệp và các nhà cung cấp bảo mật công nghệ được thành lập đã cắt xén để tập trung vào việc đảm bảo các nền tảng ECU mở rộng quản lý các phương tiện hiện đại. Chúng bao gồm Irdeto, Arxan, Scythe và Thinci, một El Dorado Hills, California dựa trên nền tảng phát triển điều khiển phương tiện thế hệ tiếp theo.

Chủ tịch Thinci Dinakar Munagala dự đoán rằng các phương tiện được kết nối sẽ ngày càng khai thác các bản cập nhật bảo trì trên không, cũng như chuyển thông tin về cơ sở hạ tầng đường bộ và các phương tiện gần đó cho các nhà cung cấp dịch vụ sau thị trường. Munagala cho biết các ngành công nghiệp ô tô và công nghệ nhận ra rằng họ phải đạt được các tiêu chuẩn nhất định về bảo mật và quyền riêng tư để kiếm tiền hoàn toàn từ nguồn dữ liệu cá nhân và hoạt động này, được thu thập trong thời gian thực.

Sự phức tạp của phần mềm tăng lên, bề mặt tấn công vượt ra ngoài chiếc xe, theo ông Mun Munala. Sử dụng các hệ thống tự trị có thể làm tăng đáng kể hậu quả của bất kỳ cuộc tấn công nào, vì vậy an ninh phải mở rộng ra ngoài việc bảo vệ phương tiện.

Tất nhiên, an toàn là tối quan trọng, và liệu có bất kỳ thành phần điện tử nào có thể tự mình thất bại – hay theo lệnh của một tin tặc độc hại – theo cách có khả năng thảm khốc. Do sự phức tạp gia tăng của các hệ thống được kết nối, giải pháp sẽ không đơn giản như, bắt buộc phải thắt dây an toàn hoặc túi khí.

An toàn chức năng và bảo mật tổng thể không thể được giải quyết bằng cách bổ sung một hoặc hai thành phần vào hệ thống, ông Mun Munala nói với Threatpost. Cần phải xem xét, phân tích và thực hiện trong suốt quá trình phát triển với cách tiếp cận kỹ thuật hệ thống.

Vấn đề riêng tư

Các nhà chức trách chịu trách nhiệm về an toàn công cộng là nhận thức về những mối quan tâm vừa chớm nở này.

Các cuộc thảo luận ban đầu về các quy tắc an toàn cụ thể đã bắt đầu trong Cục Quản lý An toàn Giao thông Quốc lộ, Cục Viễn thông và Thông tin Quốc gia và Ủy ban Thương mại Liên bang. Thực thi pháp luật đang rất chú ý, quá. Hai trường hợp gần đây đã được tranh luận trước khi Tòa án Tối cao Hoa Kỳ thăm dò định nghĩa về quyền riêng tư của phương tiện, khi nói đến các tìm kiếm và động kinh không hợp lý. Nhiều trường hợp như vậy chắc chắn sẽ đến.

Trong khi đó, 17 tiểu bang , cũng như Quận Columbia, đã ban hành các đạo luật giới hạn việc sử dụng thông tin được thu thập bởi các máy ghi dữ liệu sự kiện, hoặc EDR , các hộp đen được cài đặt trên tất cả các phương tiện kể từ năm 2013, thu thập dữ liệu vận hành tại thời điểm một vụ tai nạn. Giữa các ngành công nghiệp ô tô và công nghệ bao gồm tự điều chỉnh và các nhà lập pháp nhà nước bảo vệ quyền lợi của người tiêu dùng, một sự pha trộn giữa các đột phá kỹ thuật và yêu cầu của chính phủ có thể sẽ hình thành, Elizabeth Rogers, một đối tác bảo mật dữ liệu và quyền riêng tư tại Michael Best và Friedrich nói.

Một loạt dữ liệu là cần thiết để thiết kế công nghệ này, và cũng sẽ có nhiều sự nhạy cảm với các loại dữ liệu được thu thập, công cụ của Rog Rogers xây dựng. Các mức độ đồng ý của Varying nên được đưa vào thiết kế, với sự đồng ý rõ ràng là cần thiết trước khi chia sẻ dữ liệu trình điều khiển cá nhân và duy nhất của người tiêu dùng.

Mặc dù năng lực kỹ thuật có thể được kỳ vọng sẽ khiến những chiếc xe được kết nối trở nên an toàn như chúng cần, nhưng việc giải quyết những lo ngại về quyền riêng tư mọc lên như nấm sẽ gặp nhiều vấn đề hơn. Sự hấp dẫn của bộ máy kiếm tiền và bộ dữ liệu con người tuôn ra từ các phương tiện được kết nối đã khiến một số bên liên quan hành xử theo cách có khả năng khuấy động sự can thiệp của Quốc hội.

Ví dụ, USA Today tiết lộ rằng các công ty cho thuê xe thường không thể xóa thông tin nhận dạng cá nhân mà người thuê nhập vào hệ thống thông tin giải trí. Và CBS News gần đây đã báo cáo rằng các nhà sản xuất ô tô đã thử nghiệm bán lại các khối dữ liệu vị trí cho các nhà cung cấp bản đồ, đặt ra mối lo ngại của những người ủng hộ quyền riêng tư về việc bên thứ ba chuyển sang thông tin đấu giá được thu thập từ máy ảnh và cảm biến trên tàu cho những người trả giá cao nhất.

Đã có, động thái của 17 tiểu bang nhằm hạn chế sử dụng dữ liệu do EDR thu thập đang củng cố sự chỉ trích về ngành bảo hiểm tận dụng dữ liệu được thu thập bởi các phương tiện được kết nối theo cách có thể không công bằng cho từng công dân. Carter của Arsan quan sát: Bộ sưu tập, lưu trữ, sử dụng và quyền truy cập của bên thứ ba vào thông tin về hoạt động và hiệu suất của phương tiện sẽ gây ra những lo ngại về quyền riêng tư cạnh tranh với bất kỳ sử dụng tài khoản mạng xã hội hoặc tài chính nào.