1. خانه
  2. بلاگ
  3. امنیت
  4. چالش‌های محافظت از ماشین‌های بدون راننده در مقابل هکرها از نگاه متخصص اسبق امنیت Uber
چالش‌های محافظت از ماشین‌های بدون راننده در مقابل هکرها از نگاه متخصص اسبق امنیت Uber

چالش‌های محافظت از ماشین‌های بدون راننده در مقابل هکرها از نگاه متخصص اسبق امنیت Uber

4 years ago
7 دقیقه
امنیت
0
0
پوریا راشد محصل
پوریا راشد محصل

۲ سال پیش، چارلی میلر و کریس ولاسک حرکتی کردند که صنعت ماشین‌سازی را به لرزه درآورد؛ آن‌ها از طریق اینترنت، از دور یک جیپ چروکی را هک کرده و به‌کلی آن‌را از کار انداختند! از آن زمان تاکنون، این ۲ محقق امنیتی در شرکت Uber بدون هرگونه حاشیه‌ای کار کرده و به تشکلی برای ایمن‌سازی ماشین‌های خود در برابر حملاتی از قبیل آنچه نشان دادند که ممکن است اتفاق بیافتد، کمک کرده‌اند. حال، آقای میلر پس از کسب تجربه‌های فراوان در این حوزه، آماده است تا پیغامی به صنعت خودرو بدهد با این مضمون که «ایمن کردن ماشین‌ها در برابر هکرها، مسالهٔ بسیار مشکلی است و زمان آن فرا رسیده که راجع به آن به‌طور جدی فکری شود!» آنچه در این مقاله قصد داریم مورد بررسی قرار دهیم، دیدگاه‌های این محقق امنیتی در ارتباط با امنیت خودروهای به‌اصطلاح Driverless (بدون سرنشین) است. در ادامه با سکان آکادمی همراه باشید. 

چندی پیش، آقای میلر شرکت اوبر را برای قبول مسؤولیت در شرکت چینی رقیبش به‌نام Didi -که یک سازمان کرایهٔ اتومبیل تازه تاسیس است- ترک کرد. وی در اولین مصاحبهٔ خود پس از ترک اوبر، راجع به چیزهایی که در این 19 ماه کار در این شرکت یاد گرفته بود صحبت کرد با این مضمون که بحث امنیت تاکسی‌های بدون‌راننده چالشی بسیار بزرگ است و مهمترین مسالهٔ مربوط به صنعت خوردوسازی در آینده‌ای نه‌چندان دور می‌شود.

میلر هنگام کار در شرکت اوبر اجازه نداشت راجع به جزئیات تحقیقات خود صحبت کند، و یکی از دلایل پیوستنش به شرکت جدید این بوده که این کمپانی آزادانه‌تر به او اجازه‌ٔ صحبت در مورد هک کردن ماشین‌ها را می‌دهد.

به هر حال، او هشدار می‌دهد که پیش از آن‌که ماشین‌های بدون راننده وارد خیابان‌ها شوند، طراحان اتومبیل باید حتماً تمام فاکتورهایی که در یک ماشین به این قضیه مربوط می‌شود را در نظر داشته باشند. از دزدی از راه دور گرفته تا احتمالی که سرنشین بتواند از داخل ماشین آن‌را دستکاری کند. میلر که قبل از کار کردن در شرکت اوبر، ساله‌‌های زیادی را با تیم هکرهای NSA صرف کرده است می‌گوید:

مستقل شدن ماشین‌ها اگر اشتباه پیش بره، می‌تونه بزرگترین خرابکاری‌ها رو ایجاد کنه؛ ماشین‌ها به خودی‌ خود ناامن هستند حالا شما دارید تعدادی کامپیوتر و سنسور به آن‌ها اضافه می‌کنین که اوضاع رو وخیم‌تر هم می‌کنه. اگر کنترل این دستگاه‌ها به دست آدم‌های شرور بیفته، اوضاع خیلی بی‌ریخت خواهد شد.

در یک سری آزمایشات که از سال 2013 شروع شد، میلر و والاسک نشان دادند که یک هکر با یک دسترسی اینترنتی یا از طریق اتصال یک کابل به یک ماشین مانند تویوتا پریوس، فورد اسکیپ و یک جیپ چروکی، می‌تواند ناگهان ترمز گرفته یا آن‌را از کار بیندازد، فرمان را بچرخاند و یا به ماشین گاز بدهند. اما تقریباً برای شروع تمامی این نوع حملات سایبری، میلر و ولاسک مجبور به استفاده از قابلیت‌های اتوماتیک هر یک از این ماشین‌ها بودند.

آن‌ها از Collision Avoidance System (سیستم ممانعت از تصادف) تویوتا پریوس استفاده کردند تا از آن طریق، از ترمزش استفاده کنند، یا با قابلیت کنترل سرعت کروز در جیپ توانستند به ماشین گاز بدهند. برای چرخاندن فرمان جیپ، آن‌را فریب دادند تا فکر کند دارد خودش را پارک می‌کند در حالی که داشت با سرعت 120 کیلومتر در ساعت حرکت می‌کرد.

به عبارت دیگر، فنون هک کردن ماشین آن‌ها محدود به کنترل یک سری قابلیت‌های کامپیوتری ماشین می‌شد؛ حال در یک ماشین بدون‌راننده کنترل همه چیز به عهده‌ٔ کامپیوتر است به‌طوری‌که در یک ماشین بدون راننده، کامپیوتر کنترل ترمز و فرمان را با هر شدتی و در هر سرعتی به دست دارد! و این در حالی است که کامپیوترها حتی دستورات بیشتری را هم می‌توانند اجرا کنند.

یک راننده‌ٔ هوشیار می‌تواند جلوی خیلی از این حملاتی که میلر و ولاسک روی ماشین‌های قدیمی نشان دادند را بگیرد؛ اگر ترمز را بگیرد، سرعت کروز به طور آنی کاهش می‌یابد و حتی حملات به فرمان ماشین در صورتی که فرمان در دست راننده باشد، خنثی می‌شوند. اما هنگامی که راننده‌ای در خودرو وجود نداشته باشد و یا اگر هم راننده وجود داشته باشد اما فرمان و پدال ترمزی وجود نداشته باشد، قطعاً کاری از دست راننده برنخواهد آمد. وقتی راننده پشت فرمان است، اوضاع تاحدودی تحت کنترل است اما اگر شما روی صندلی عقب بنشینید، قضیه کاملا فرق می‌کند. در چنین شرایطی، این شما هستید که در اختیار ماشین می‌باشید نه ماشین در اختیار شما!

میلر اشاره می‌کند که یک ماشین بدون‌راننده که به‌عنوان تاکسی استفاده می‌شود، می‌تواند حتی مشکلات بالقوهٔ دیگری هم ایجاد کند؛ در این حالت، حتی مسافرین هم می‌توانند به‌عنوان یک خطر محسوب شوند. تحقیقات امنیتی نشان داده است که صرفاً وصل کردن یک ابزار اینترنتی کوچک به پورت OBD2 (یک پورت ساده که زیر تمام داشبوردها وجود دارد) می‌تواند فرصت یک حملهٔ خارجی را به یک هکر بدهد و موجب راه‌یابی او به سیستم‌های حساس اتومبیل شود. در سال 2015، محققین دانشگاه کالیفرنیا در سان‌دیه‌گو توانستند با یک دستگاه کوچک OBD2 که توسط شرکت‌های بیمه توزیع می‌شد، کنترل ترمز یک شورلت کوروت را به‌دست گیرند.

به گفتهٔ آقای میلر، کسی که شما لزوماً به او اعتماد ندارید قرار است برای مدتی در ماشین شما بنشیند؛ یک مسافر به‌راحتی به پورت OBD2 دسترسی دارد. او می‌تواند به‌راحتی چیزی را وارد این پورت کند و خود به‌سرعت از ماشین خارج شود و به این صورت به شبکهٔ حساس ماشین شما دسترسی پیدا کند.

مسدود کردن دائمی این پورت بر خلاف قوانین برخی کشورها است، به همین دلیل، آقای میلر به شرکت‌های کرایه اتومبیل که از ماشین بدون‌راننده استفاده می‌کنند پیشنهاد می‌کند که آن‌را با نوعی نوارچسب مقاوم بپوشانند. اما حتی با این کار هم نهایتاً چقدر می‌توان جلوی خرابکاری‌های سرنشینان را گرفت! یک فکر اساسی‌تر این است که نرم‌افزار ماشین را به گونه‌ای ایمن کنند که حتی یک هکر با وجود دسترسی فیزیکی کامل به شبکهٔ آن هم نتواند آن را هک کند. چالشی که فقط تعداد انگشت شماری از محصولات مانند آیفون یا کروم بوک می‌توانند از پس آن برایند.

تغییرات زیرساختی
میلر دلیل می‌آورد که برای حل مشکلات ماشین‌ها، لازم است تغییرات اساسی در ساختار امنیتی آن‌ها ایجاد شود؛ به‌عنوان مثال، کامپیوترهای متصل به اینترنت در آن‌ها نیاز به سیستم کدگذاری Codesigning دارد که این مقیاسی است برای اطمینان خاطر از این‌که کامپیوتر ماشین، تنها کدهای مورد اطمینانی که توسط یک فرایند رمزگذاری تاًیید شده است را اجرا می‌کند (تا امروز فقط شرکت خودروسازی تسلا راجع به این گونه کدگذاری به طور عمومی صحبت کرده است.)

علاوه بر این، شبکهٔ داخلی ماشین نیاز به بخش‌بندی و ساختار منسجم‌تری دارد به‌طوری‌که اجزای حساس اتومبیل مستقیماً از OBD2 اطاعت نکنند؛ آن‌ها باید مجهز به نوعی سیستم تشخیصی باشند که در صورت وقوع اتفاقی غیرعادی در شبکه‌ٔ داخلی ماشین، فوراً به راننده اطلاع دهند (لازم به ذکر است که میلر و ولاسک چنین وسیله‌ای را برای اولین بار طراحی کردند.) همچنین برای بازداری هکرها از پیدا کردن راه نفوذ از خارج ماشین، باید راه‌های ورودی آسیب‌پذیر که ممکن است داده‌ها را از اینترنت قبول کنند را محدود کرد.

این تغییرات پیچیده را چگونه اعمال کنند؟
شرکت‌هایی مثل Uber و Didi ماشین‌های مورد استفادهٔ خود را خودشان تولید نمی‌کنند؛ پس باید تمام این سیستم‌های امنیتی را روی ماشین‌های خریداری شده از شرکت‌های خودروسازی سوار کنند. به گفتهٔ آقای میلر، آن‌ها دارند ماشینی تهیه می‌کنند که به خودی خود تاحدی دارای آسیب‌پذیرهایی است و همچنین دارای نرم‌افزارهای بسیاری است که این شرکت‌ها کنترلی روی آن‌ها ندارند و می‌خواهند آن‌ها را ایمن‌سازی کنند و این کاری بس مشکل است.

به عبارت دیگر، حل کردن مشکلات امنیتی ماشین‌های بدون‌راننده، به همکاری و مذاکرات بیشتری بین شرکت‌ها مختلف احتیاج دارد. خوشبختانه نگرانی از هک شدن ماشین‌ها مربوط به آینده است و تاکنون هیچ موردی رسمی از ماشین‌ربایی دیجیتالی گزارش نشده است اما این بدان معنا نیست که می‌توانیم این قضیه را پشت گوش بیندازیم بلکه همین حالا بایستی دست به کار شده و قبل از این‌که ماشین‌ها اتوماتیک شوند و این مشکل نمود واقعی پیدا کند، در زمینهٔ هک خودروهای بدون‌راننده دست به تحقیقات گسترده زد.

خودرو اوبر
sokan-academy-article-category-icon امنیت
prashedm
پوریا راشد محصل
بدون بیوگرافی
کاربر میهمان

دوست گرامی شما به عنوان کاربر میهمان در سایت سکان آکادمی حضور دارید لطفاً برای ارسال دیدگاه ابتدا وارد حساب خود شوید

پیشنهادات بیشتر سکان بلاگ برای شما

sokan academy

در سکان امیدواریم بتوانیم در علاقمندسازی جوانان ایرانی به دنیای برنامه‌نویسی، که یکی از پردرآمدترین مشاغل دنیا است، تأثیری مثبت، هرچند کوچک، داشته باشیم و جایگاه کشورمان را در دورانی که تحت‌ عنوان عصر فناوری شناخته می‌شود، ارتقاء بخشیم (در همین راستا،‌ سکان آکادمی اولین سایت به زبان فارسی است که اقدام به تألیف دورهٔ آموزش برنامه‌نویسی به کودکان نموده است.) بیشتر

دسترسی سریع
درباره ما تماس با ما همکاری با ما قوانین سکان آکادمی
خدمات سکان آکادمی
آکادمی بلاگ فن واژه سکان پلاس رادیو فول استک
کلیه حقوق مادی و معنوی این وب‌سایت متعلق به شرکت نوآوری دیجیتال صدرا می باشد.
اگر login نکردی برامون ایمیلت رو بنویس: