כשלוחצים על דוושת הבלם בפורד אסקייפ, מכונית במשקל 3.5 טונות פחות או יותר, והיא מסרבת לעצור או אפילו להאט, נוצרת תחושה ייחודית של חרדה. המכונית אמנם מייצרת צליל אנחה, כמו באפלו הנוהם בשלדת הרכב מתחתינו, אך מסרבת להגיב להוראה. ככל שלחצתי חזק יותר על הדוושה, הצליל שהופק היה רועש יותר – יחד עם הפטפוט של שני ההאקרים שישבו במושב האחורי של המכונית.
מזל שכל זה קרה במהירות של 8 קמ"ש. האסקייפ חרשה באיטיות שורה של עשבים שצמחו בחניון הנטוש של קניון בסאות' בנד, אינדיאנה, אותו בחרו צ'ארלי מילר וכריס ואלאסק כשדה הניסויים שלהם היום.
רוצים להישאר מעודכנים בכל החדשות והדירוגים? הירשמו לניוזלטר של פורבס ישראל, הורידו את האפליקציה, עשו לנו לייק בפייסבוק או עקבו אחרינו בטוויטר.
"אוקיי, הבלמים שלך חזרו לעבוד", אמר מילר, וונתן הוראה במקבוק החבוט שלו, שחובר בכבל אל כניסה בלתי מורגשת ליד בלם היד. אני מתחיל בנסיעה אחורית אל מחוץ לעשבים ועוצר את המכונית. "כשאתה מאבד אמון בכך שהמכונית תעשה מה שביקשת ממנה", הוא מוסיף, "זה משנה את כל נקודת המבט שלך על האופן שבו דברים עובדים".
בשנה האחרונה מנסים ואלאסק ומילר להדגים בדיוק את הנקודה הזו – המכונית היא לא קופסה פשוטה של מתכת וזכוכית, אלא רשת מחשבים הניתנת לפריצה. מילר, מהנדס אבטחה בן 40 שעובד בטוויטר, ו-ואלאסק, מנהל תחום מודיעין אבטחה בחברת IOActive, קיבלו מלגה על סך 80 אלף דולר בסתיו האחרון מזרוע המחקרים ה"משוגעים" של הפנטגון, DARPA, בניסיון לבחון את מידת הפגיעות של המכוניות.
השניים מתכננים לפרסם את הממצאים ולחשוף את תוכנת התקיפה שפיתחו בכנס ההאקרים דפקון בלאס וגאס בחודש הבא. לדבריהם, מטרתם היא לעזור לחוקרים אחרים לגלות ולתקן את בעיות האבטחה בתעשיית הרכב, לפני שהאקרים זדוניים ייכנסו מתחת למכסה המנוע של נהגים תמימים.
ככל שהמכוניות הופכות אוטומטיות יותר ומחוברות לאינטרנט, גובר הצורך באבטחת המידע של כלי הרכב. קבוצת GSMA מעריכה שההכנסות העולמיות מחיבור אלחוטי של מכוניות הגיעו השנה ל-2.5 מיליארד דולר, וכי הסכום יוכפל פי 10 עד 2025. בלי אבטחה טובה יותר כולם יהיו פגיעים. למרות המגמה הברורה, יצרניות הרכב נשארות דוממות בנושא.
בזמן שנהגתי במכונית – יותר משעה – הוכיחו ואלאסק ומילר את הצלחתם בפירוק התוכנה של אסקייפ וטויטה פריוס, והפילו עלי שלל הפתעות לא נעימות: משינויים מרגיזים, כמו שימוש מתמשך בצופר ללא שליטה, ועד פעולות מסוכנות מאוד, כמו לחיצה פתאומית על הבלמים כשהמכונית נמצאת במהירות גבוהה.
הם שלחו פקודות שביטלו את הגה הכוח, רימו את ה-GPS ו"שיגעו" את מד המהירות. לבסוף הם כיוונו אותי אל דרך צדדית, שם הראה לי ואלאסק כיצד הוא יכול לשחק עם ההגה בכל מהירות שהיא. "תאר לך שאתה נוסע בכביש מהיר במהירות של 100 קמ"ש", אומר ואלאסק. "אתה תתנגש במכונית שלידך או בתנועה שממול".
דובר חברת פורד אמר כי החברה מתייחסת להאקרים "מאוד ברצינות". טויוטה, לעומת זאת, אמרה כי היא לא מתרשמת מהתעלולים של השניים: פריצה אמיתית למנגנון המכונית, אומר מנהל הבטיחות של החברה ג'ון הנסון, לא תדרוש חיבור פיסי למכונית היעד. "המיקוד שלנו, כמו של כל תעשיית הרכב, הוא בניסיון למנוע פריצות אלחוטיות", הוא כותב באימייל, ומוסיף כי מהנדסי טויוטה בוחנים את כלי הרכב של החברה כנגד מתקפות וירטואליות. "אנו משוכנעים כי המערכות שלנו בטוחות".
אך הייתה סיבה מאחורי ההתחברות הפיסית של ואלאסק ומילר לרכב: שליטה אלחוטית על כלי רכב היא לא רעיון חדש. קבוצת חוקרים מאוניברסיטת וושינגטון ואוניברסיטת קליפורניה גילו ב-2010 כי היא יכולה לחדור אלחוטית לאותן מערכות שוואלאסק ומילר התחברו אליהן, תוך שימוש במערכות התקשורת הסלולרית של כלי הרכב, באגים בבלוטות', אפליקציית אנדרואיד סוררת אשר הסתנכרנה עם הסמארטפון של הנהג או אפילו קובץ אודיו זדוני על דיסק בנגן המוסיקה של הרכב. "האקדמאים הראו שאפשר לקבל גישה מרוחקת להרצת קודים", אומר ואלאסק, תוך שימוש בז'רגון ההאקרים ליכולת להריץ פקודות שונות על המערכת. "אנחנו מראים שברגע שנכנסת אפשר לעשות לא מעט דברים משוגעים".
צילום מסך
אחד מהפרופסורים שהיו מעורבים בניסוי ב-2010, סטפן סאבג', טוען כי הפריצה האלחוטית עדיין אפשרית וכי היא משפיעה על תעשייה שלמה. לדבריו, העובדה שמתקפות על כלי רכב עדיין לא התרחשו מחוץ למעבדה הביאה לכך שהיצרניות פשוט לא אבטחו את התוכנה שלהן. "החולשות שמצאנו הן מהסוג שהיה קיים במחשבים האישיים באמצע שנות ה-90, כשהם התחברו לראשונה לאינטרנט", הוא אומר.
בינתיים, מילר ו-ואלאסק טוענים כי הדרך הטובה ביותר ללחוץ על יצרניות הרכב לאבטח את המוצרים שלהן היא להראות בדיוק מה אפשר לעשות כשיש גישה לרכב. עדיף לחוות עכשיו את החרדה של מיני-ואן שנחטף דיגיטלית, מאשר מאוחר יותר, כשמאחורי המתקפה עומד אדם שמעוניין לפגוע בנו. "אם הדבר היחיד שמונע ממך לעשות תאונות היום היא העובדה שאף אחד לא מדבר על זה", אומר מילר, "אז אתה לא בטוח בכל מקרה".
|
|