A mainstream médiában eléggé leegyszerűsítve és túldramatizálva járta be a világot a hír: két hacker “kikapcsolta” egy új autó fékjét, leállította a motorját a távolból, egy laptopról. Rettegjen mindenki: ebben a szép új világban hiába vesz minket körül tucatnyi légzsák a kocsiban, egy gonosz merénylő vagy akár egy unalomból szemétkedő idióta távirányítású autót csinálhat a kocsinkból bármikor, és simán lelökhet minket az útról, belevezethet egy kamionba, mintha csak egy számítógépes játékkal szórakozna.

A Jeep Cherokeet Charlie Miller és kollégája, Chris Valasek valóban alaposan meghülyítette. Az autó mobilnettel kapcsolódott a hálózatra, ami jól jöhet, ha segélyhívást kell indítani, vagy a gyártó a távolból frissítene egy szoftvert, de a nyitott adatkapcsolat a gyártó által nyitva hagyott biztonsági réssel lehetőséget adott egy kis zsiványkodásra is. Az információs biztonságtechnikai szakemberek leállították a motort a sztrádán, elindították az ablakmosót, és ami a legnagyobb port kavarta: a féket is üzemképtelenné tették. (A kísérletről írt újságcikk a Wired magazinban ide kattintva olvasható, angolul.) A cikk hatására persze az egész világ felkapta a fejét: úristen, a mitikus “gonosz hacker” egy laptoppal oda visz minket, ahova akar! De persze erről azért nincs szó.

A Fiat-Chrysler nagyon megszívta

Részint a Jeep-eltérítős kísérlet vezetett oda, hogy a Fiat-Chrysler Automotive konszern az amerikai közlekedési hatóságtól (NHTSA) rekordösszegű, 105 millió dolláros büntetést kapott, amiért nem vette kellően komolyan az autóinál feltárt biztonsági kockázatokat. (Persze nem csak ez az egy ügy borította ki a hatóságot, összesen 23,11 millió kocsit érintő visszahívással volt elégedetlen a hivatal.) Az FCA az NHTSA döntésének hatására elismerte felelősségét, és intézkedett a látványos hackerakciókban feltárt biztonsági rés betöméséhez szükséges szoftverfrissítések mielőbbi lefuttatásáról érintett autóiban.

Távirányítós autókban ülünk?

Nyilván nem. A modern autókat irányító tucatnyi számítógép átprogramozása, illetve egyes szubrutinjainak elindítása nem megy hollywoodi egyszerűséggel, komoly felkészültségre kell szert tennünk, amíg “kikapcsolhatjuk a féket”. Mi is sokat morfondíroztunk a szerkesztőségben, hogy mit jelenthet ez a fékkikapcsolás a valóságban.

Azért nem így kell elképzelni a modern autókat

A fékpedál minden jelenlegi autóban közvetlenül is hat a fékekre. Vannak ugyan autók, amelyek az olyan biztonsági vagy kényelmi funkciók megvalósításához, mint a követőradaros tempomat vagy az automatikus vészfékezés, képesek önállóan, a pedál taposása nélkül is lassítani különböző aktuátorok működtetésével, de ettől még a fékpedál igenis kötelező érvénnyel kapcsolatban van a munkahengerekkel. Az úgynevezett brake-by-wire, azaz a fékezést kizárólag elektronikus vezérléssel megvalósító technológia kísérleti autókban működik, de egyelőre egyetlen közúton futó szériaautóra nem engedélyeztek ilyet.

Arra gondoltunk, hogy esetleg az ABS vezérlésébe lehetne belenyúlni. A blokkolásgátló ugye egy bizonyos sebesség alatt kikapcsol, mert ha nem tenné, a kocsi sosem állna meg teljesen; talán ha ezt a határsebességet átírnánk, képes lenne úgy árokba gurulni az autó, ahogy a videón tette:

Viszont az ABS önálló modul, fix programmal, nemigen lehet átprogramozni valamiféle mobilnetes adatkapcsolati úton, legfeljebb EPROM-cserével. Vagy mégis?

Így “kapcsolták ki” a féket

Egy kicsit feltúrtam az internetet, és meg is találtam az egyik biztonságtechnikai szakember (a médiában hacker) e-mail címét. Írtam neki, másnap jött is a válasz:

It’s a diagnostic routine used by mechanics to bleed the brakes. Which we talked about in our previous research. http://illmatics.com/car_hacking.pdf

Vagyis elindítottak egy diagnosztikai programot, amely a fékek légtelenítésére szolgál, márpedig ezalatt a kocsit tényleg nem lehet állóra fékezni. Ez a program viszont csak nagyon kis sebességnél, 5-10 km/h alatt indítható el, és elég erős berregéssel jár a fékek irányából: ezzel a módszerrel nehezen lehetne terrorcselekményt elkövetni egy nem teljesen süket autós ellen.

Rettegjünk vagy ne?

Eleve ne rettegünk, ha autónk nem lóg a neten – nem elég a hackernek a laptop az eltérítéshez, az is kell, hogy a kocsi online legyen, márpedig Magyarországon egyelőre ugyancsak gyerekcipőben jár az autók hálózatra kötése. Ha mégis van egy SIM kártya a kocsinkban, vagy megengedtük neki, hogy használja mobilunk adatkapcsolatát, retteghetünk. De csak akkor, ha eddig is folyamatosan rettegtünk autóvezetés közben attól, hogy durrdefektet kapunk, begurul a vizespalack a fékpedál alá, vezérműszíj- vagy láncszakadás miatt egy pillanat alatt beáll a motor, esetleg a szerpentinen lefelé jövünk rá, hogy James Bond vagyunk, és a főgonosz az éjjel elvágta a fékcsövet.

Olyan komoly szinten veszélyessé tenni az autónkat, mint a fenti forgatókönyvekben vázoltam, egyelőre semmilyen hacker nem tudja. Ha pedig egy-egy alrendszert ki- vagy be kapcsol is menet közben programozásban profi ellenségünk, még mindig marad lehetőségük cselekedni, feltéve, hogy nem esünk pánikba.

A rögzítőfék akkor is működik, ha az üzemi fék kipurcant, még a mai motoros kézifékek is használhatók menet közben lassításra, megállásra, ha folyamatosan húzzuk/nyomjuk a kapcsolót. Kézi váltós autót a motorfékkel, visszaváltogatva is hatásosan lassíthatunk, automatánál is megvan a lehetőség a kézi visszaváltásra. A motort pedig a nyomógombos indítású kocsikban is bármikor le tudjuk állítani, ha kell, a gomb hosszabb ideig tartó nyomva tartásával (sőt, az emlékezetes gázpedál-beragadós eset óta a legtöbb típusban a gomb ész nélkül való összevissza nyomkodásával is).

Aki képes nyugodt maradni, az irányítása alól részlegesen kikerült kocsiban is megtalálja a megoldást a biztonságos megállásra és kiszállásra. Aki pedig nem, az gondoljon arra, hogy bár láthatóan lehetséges bizonyos szinten megbolondítani az elektronikával telezsúfolt modern kocsikat, nem túl valószínű, hogy egy ennyire körülményes módszerrel akarna bárki is kitolni vele. Az autónkban dolgozó tucatnyi mikroszámítógép működésének alapos megismerése és rafinált átprogramozása helyett sokkal egyszerűbb a jól bevált hagyományos módszerekkel kinyírni valakit. Vagy, ha már mindenképp valami modern fenyegetéstől szeretnénk félni, érdemes megtekinteni ezt a videót, 2:00-tól indul az érdemi rész: