Hlavní obsah

Další slabina internetu věcí: průmyslové vozíky a dodávky lze ovládnout přes telematickou jednotku

Novinky, Jan Potůček, eset.cz

Velmi nebezpečnou chybu u průmyslových vozíků, dodávek a autobusů napojených na internet věcí objevil bezpečnostní expert Jose Carlos Norte. Zjistil, že vozy napojené na vyhledávač Shodan používaný pro internet věcí, které jsou vybaveny telematickou jednotkou TGU a modemem pro připojení k internetu obvykle, používají veřejnou IP adresu a nejsou zajištěny heslem.

Foto: wikimedia.org

Ilustrační obrázek.

Článek

„Existují tisíce TGU připojených k internetu, ke kterým se lze dostat bez ověření,“ varuje Norte.

Ovládnout takové vozidlo podle něj může i člověk, který je jen trochu technicky zdatný. Stačí si prostudovat návody jednotek TGU, které jsou volně k dispozici na internetu a ovládnout centrální sběrnici dat CAN-Bus. Hacker tak může velice jednoduše získat kontrolu nad řízením nebo monitorovat pohyb vozu, měnit jeho rychlost, trasu nebo nastavit oblast, již nesmí dopravní prostředek opustit (tzv. geo-fence).

Kritickým místem jsou smartboxy

„Prostřednictvím TGU se lze dostat k zapalování auta, k baterii... Teoreticky lze provést takové věci, které jen při pomyšlení na následky děsí...“ napsal Jose Carlos Norte na svém webu, kde zveřejnil ukázku, jak se lze takového průmyslového vozítka napojeného na internet zmocnit. Sám se podle svých slov neodvážil vyzkoušet takový útok v praxi a nedoporučuje to ani čtenářům svojí stránky. Chtěl pouze upozornit na bezpečnostní problém.

„Jednou z velmi zajímavých jednotek, ke které se lze snadno připojit přes internet, je smartbox c4max. Při zkušebním skenování jsem takto zachytil 733 volně přístupných zařízení, a to ještě nemusela být úplně všechna,“ podotkl Norte.

Všechna zařízení c4max, která namátkově objevil, nebyla chráněna heslem a neexistovala u nich žádná jistota, že se k nim nepřipojí nežádoucí osoba. Vyhledávač Shodan pro internet věcí je totiž také volně dostupný a využívat ho může prakticky kdokoli.

Hackeři dokáží vypnout i brzdy

Kybernetické útoky se ale nemusí vyhnout ani osobním automobilům, které využívají některou z jednotek připojených k internetu. Jak loni v létě prokázali Chris Valasek a Charlie Miller, kteří pracovali pro automobilku Chrystler, prostřednictvím jednotky UConnect lze do automobilu dostat škodlivý software, jehož prostřednictvím je možné postupně ovládnout jednotlivé funkce automobilu.

V tomto případě šlo o Jeep Cherokee, který zkušebně řídil novinář Andy Greenberg v St. Louis, zatímco „hackeři“ jeho auto ovládali z Pittsburgu. Nejprve mu začali měnit hlasitost u autorádia, spouštět stěrače a měnit fotografii na displeji vozu.

Zásadní okamžik ale přišel na dálnici, kde novinář zcela ztratil kontrolu nad motorem, který mu zhasl v úseku bez odstavného pruhu, takže zůstal stát přímo v koloně aut a kamionů. Za chvíli auto samo nastartovalo a Greenberg odbočil na nejbližší parkoviště. Tam však nedokázal zaparkovat, protože Valasek s Millerem mu na dálku odpojili brzdy.

I když Greenberg šlapal na brzdový pedál, auto sjelo z parkoviště do zatravněného příkopu. „Hackeři“ připustili, že dokáží ovládnout i samotné řízení, v době zveřejnění pokusu ale zvládli jen couvání. Mechanismus softwarového ovládání klasického řízení by si podle nich vyžádal další měsíce práce.

Kybernetické útoky na automobily, ale i železnici nebo letadla mohou mít katastrofální následky.
Petr Šnajdr, bezpečnostní expert společnosti ESET

„Pro dodavatele bezpečnostních řešení bude internet věcí stále větší výzvou. Zdaleka se totiž neomezí pouze na domácnosti. Technologie se neustále vylepšují a právě doprava musí být zabezpečena co nejlépe, protože kybernetické útoky na automobily, ale i železnici nebo letadla mohou mít katastrofální následky,“ varuje Petr Šnajdr, bezpečnostní expert společnosti ESET.

Je přeci jenom rozdíl, pokud vám hacker ukradne heslo k e-mailové schránce nebo profilu na sociální síti, nebo zda vám v plné rychlosti na dálnici odpojí brzdy u auta. V takovém případě totiž jde už o život.

Reklama

Související témata:

Výběr článků

Načítám