Угон авто через Bluetooth: «умный» Nissan Leaf оказался под прицелом хакеров
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин напоминает о необходимости комплексного подхода к кибербезопасности, особенно в контексте развития «умных» устройств и Интернета вещей.
Атака начинается со взлома медиасистемы автомобиля через Bluetooth-соединение. Далее, используя ошибки в архитектуре системы, хакеры могут получить доступ к функциям управления, таким как открытие дверей, включение фар и даже управление рулевым колесом.
«Как и многие подобные истории, взлом умных автомобилей Nissan начинается с известной уязвимости, причём такой, которая напрямую к управлению автомобилем отношения не имеет – автомобиль мог прекрасно ездить и без этой развлекательной системы, — комментирует Сергей Полунин. — В нашем случае это медиасистема, а именно Bluetooth-подключение. Затем, используя промахи в архитектуре, злоумышленник может добраться и до управления самим автомобилем – открывать двери, включать фары и даже позиционировать руль. Здесь напрашивается логичное решение – давайте позволим автомобилю быть автомобилем. Но поскольку этого не произойдёт, то нужно думать, как хотя бы минимизировать последствия».
Киберэксперт отмечает, существуют проверенные методы для повышения безопасности разработки программного обеспечения.
«Практика безопасной разработки, когда безопасность кода проверяется на каждом этапе – от хранения до исполнения, позволяет минимизировать появление подобных новостей. Причём зачастую, чтобы не стать жертвой атак на цепочки поставки, достаточно выстроить инфраструктуру разработки должным образом – внедрить систему сбора событий вроде Ankey SIEM NG или анализ уязвимостей с помощью Efros DefOps. По крайней мере, в этом случае можно исключить вредоносное воздействие на сам процесс создания программных продуктов», - сказал Сергей Полунин.
