80% автовладельцев беспокоятся о возможном взломе авто хакерами

Хакеры могут взломать новый государственный QR-код для водителей

Приложение «Госуслуги.Авто» может стать легкой мишенью хакерских атак, обнаружил председатель экспертного совета при Генеральной прокуратуре, директор АНО «Информационная культура» Иван Бегтин. Это приложение разработано Минцифры для того, чтобы автомобилисты предъявляли инспекторам ДПС документы на машину в электронном виде. По словам Бегтина, эта программа создана на цифровом репозитории (хранилище баз данных) Artifactory версии 3.5.1 шестилетней давности, к защите которого у специалистов по кибербезопасности есть много вопросов.

«За время существования этого софта в нем было обнаружено более 30 опасных уязвимостей для взлома. Факт того, что при разработке государственного мобильного приложения использовалось небезопасное программное обеспечение, очень тревожен», — отметил в беседе с «Газетой.Ru» специалист по кибербезопасности Бегтин.

По его словам, программное обеспечение для этого приложения создано за рубежом, что вызывает опасения в связи с взятым курсом правительства на импортозамещение.

О рисках работы репозитория Atrifactory говорят и другие эксперты. Так, специалист по кибербезопасности одной из ведущих IT-компаний России, работающих с госсектором, подтвердил «Газете.Ru», что старая версия репозитория потенциально уязвима для «Госуслуги.Авто».

«Приложение может быть без особого труда взломано хакерами», — сообщил собеседник.

Пользователи не в курсе

Помимо слабой защищенности «Госуслуги.Авто» от кибератак, претензии экспертов вызывает и предусмотренная в нем возможность передачи личных данных автомобилистов третьим лицам. По словам Ивана Бегтина, в пользовательском соглашении ничего не сказано о передаче данных пользователя третьей стороне и юридически это никак не оформлено.

«Приложение «Госуслуги.Авто» содержит код, который относится к Российскому союзу автостраховщиков (РСА), в нем прошито взаимодействие с серверами этой организации. Непонятно, как будут использовать данные водителей страховые компании», — отметил директор АНО «Информационная культура».

В министерстве цифрового развития соглашаются, что их программа будет взаимодействовать со страховщиками, но подчеркивают, что это произойдет позднее в рамках расширения услуг.

«До запуска нового сервиса оформления европротокола передача данных из мобильного приложения «Госуслуги.Авто» в информационную систему РСА будет невозможна», — заверили «Газету.Ru» в пресс-службе Минцифры.

В РСА также отметили, что сейчас обмена данными между «Госуслуги.Авто» и АИС ОСАГО нет. Страховщики и Минцифры надеются в скором времени запустить с помощью приложения оформление европротокола без выезда сотрудников ГИБДД на место аварий, поэтому и предусмотрена интеграция с базой РСА. Это реализуют через модуль SDK (Software Development Kit), который будет интегрирован в приложение в последующих обновлениях.

Слабая защищенность приложения Минцифры от взлома может привести к утечке личных данных автомобилистов в такие серые зоны всемирной сети, как даркнет, считает депутат Госдумы Вячеслав Лысаков, соответственно, профайлами водителей смогут воспользоваться злоумышленники. Цифровизация различных сфер жизни идет слишком активно и не учитывает возможные негативные последствия перевода документов и процедур в электронный формат, указывает парламентарий.

«Перед тем как вводить тот или иной новый цифровой сервис, государству следует максимально обезопасить граждан от несанкционированного доступа к их личным данным.

Попав в руки мошенников, информация об автомобиле, водительском удостоверении, штрафах и прочем может обернуться против граждан. Притом что они добровольно загружают эти данные в приложение», — полагает Лысаков.

Утечка персональных данных водителей — уже очень большая проблема, констатирует координатор движения «Синие Ведерки» Петр Шкуматов.

«Самое страшное, что данные водителей уже сейчас есть в даркнете. Неофициально их можно приобрести и сейчас. Просто появится еще один канал утечки», — заявил правозащитник в беседе с корреспондентом «Газеты.Ru».

Можно ли взломать смартфон: 5 самых распространенных уловок хакеров

Многие боятся, что их смартфон может быть взломан. И в этом нет ничего постыдного. Суровая правда заключается в том, что взломать можно любой телефон. Но как? Мы расскажем о пяти самых распространенных уловках, которые используют хакеры для взлома, и как можно защитить свой смартфон.

1. Программное обеспечение для взлома

Как ни печально это признавать, но существует специальная программа для взлома Android и других мобильных устройств. Это самый популярный метод, используемый хакерами для получения информации с телефона.

Взломщики могут легко купить подобное программное обеспечение. К тому же, на просторах интернета довольно легко найти даже бесплатные варианты таких приложений, если знать, где искать.Например, это может быть шпионское приложение, которое устанавливается на телефон жертвы. Конечно, не всем хакерам необходимо физически контактировать с телефоном, чтобы установить программу для взлома, но в некоторых случаях это необходимо.

Существует два типа вредоносных программ, которые используют хакеры:

  • Кейлоггинг – это подход, который включает загрузку шпионского приложения для получения данных с телефона перед шифрованием. Этот тип программного обеспечения можно использовать, только лишь получив физический доступ к телефону.
  • Троян – это тип вредоносного ПО для извлечения важных данных, которое может быть замаскировано в вашем телефоне. Ему будет доступно все, что есть в вашем смартфоне: данные для входа в ваши учетные записи, информация о банковской карте и любая другая личная. В этом случае физический контакт со смартфоном не требуется. Чтобы установить вредоносные программы, хакеры используют обман и копии популярных сайтов, чтобы заставить вас ввести свои данные (фишинг) или скачать и установить вредоносную программу.

2. Фишинг

Фишинг – второй по популярности метод, используемый хакерами. В этом случае они выдают себя за компанию или доверенное лицо, чтобы выудить у вас конфиденциальные данные: отправляют коды подтверждения, изображения и сообщения, которые имитируют месседжи знакомых вам компаний и сайтов. Чаще всего встречаются в электронной письмах и смс-сообщениях и содержат вредоносные ссылки. При нажатии на них вы подвергаете свой смартфон опасности: хакеры могут взломать ваш телефон, потому что переходя по ссылке вы можете скачать вирус или вредоносное ПО.

3. Взлом SIM-карты

Взлом сим-карты, а точнее замены, производится методом фишинга: хакер связывается с вашим оператором связи, притворяется вами и просит заменить SIM-карту. Как только провайдер отправляет злоумышленнику новую симку, старая деактивируется, и ваш номер больше вам не принадлежит. Это означает, что в этот момент взломщик перехватил ваши телефонные звонки, сообщения и все аккаунты, привязанные к этому номеру.

Таким способом хакеры взломали сим-карту генерального директора Twitter и популярной блогерши Инстасамки.

4. Взлом Bluetooth

Кроме перечисленных выше программ и уловок, существует ПО для поиска уязвимых мобильных устройств с работающим Bluetooth-соединением. Эти тип взлома возможен, когда хакер находится в зоне досягаемости вашего телефона. Чаще всего это происходит в густонаселенных районах. Когда хакеры подключены к вашему Bluetooth, у них есть доступ ко всей информации, но только пока телефон находится в пределах досягаемости злоумышленника.

5. Взлом с помощью номера телефона

Это самый сложный и редкий способ взлома. Чтобы иметь возможность взлома с помощью номера телефона, хакер должен иметь доступ к SS7 (Сигнализационная система 7). Это протокол соединения сетей сотовых телефонов друг с другом, который содержит информацию о записи звонков, содержании сообщений и местоположении устройства. Но защита этой системы находится на очень высоком уровне, поэтому очень маловероятно, что хакеры воспользуются этим способом для взлома.

Читайте также  Что делать в случае дорожно-транспортного происшествия?

Как не стать жертвой взлома телефона

Есть много разных способов, которыми хакер может проникнуть в ваш телефон и украсть личную и важную информацию. Вот несколько советов, которые помогут вам не стать жертвой взлома телефона:

1. Держите телефон в руках

Самый простой способ для хакера украсть информацию – получить к нему доступ, поэтому всегда важно держать устройство при себе. Если недавно вы находились вдали от телефона в компании незнакомых людей и теперь беспокоитесь о возможном взломе, проверьте настройки устройства и поищите странные приложения.

2. Зашифруйте свое устройство

Шифрование мобильного телефона может спасти вас от взлома и защитить ваши звонки, сообщения и важную информацию. Чтобы проверить, зашифровано ли устройство: пользователи iPhone могут войти в Touch ID и пароль, прокрутить вниз и включить защиту данных. У пользователей Android есть автоматическое шифрование.

3. Блокировка SIM-карты

Установка пароля на SIM-карту может защитить ее от взлома. Установить этот код на iPhone можно, выбрав «Настройки» > «Сотовая связь» > «PIN-код SIM-карты». Введите свой существующий PIN-код, чтобы включить блокировку.

Пользователи Android могут перейти в «Настройки» > «Экран блокировки» и «Безопасность» > «Другие настройки безопасности» > «Настроить блокировку SIM-карты». Здесь вы можете включить опцию блокировки вашей SIM-карты.

4. Отключайте Wi-Fi и Bluetooth

Хакерам довольно легко подключиться к вашему телефону с помощью Wi-Fi или Bluetooth, поэтому выключайте их, когда они не нужны. Помните, при атаке хакера вы не получите уведомление. А если вы опасаетесь взлома в общественном месте, просто выключите телефон – это исключит возможность взломать вас.

5. Используйте защиту

Установите антивирус от надежного разработчика. Он поможет защитить ваше устройство от вредоносного ПО. Когда вы установите приложение на iPhone и Android, ваш телефон будет защищен от хакеров. Современные антивирусы также помогают защитить устройство от киберугроз и выявлять вредоносные сайты, на которые лучше не переходить в целях безопасности.

Оставьте свою электронную почту и получайте самые свежие статьи из нашего блога. Подписывайтесь, чтобы ничего не пропустить

Взлом автомобиля: реальная угроза или абстрактная страшилка?

Возможность дистанционно взломать подключенный к Интернету автомобиль была доказана в 2015 году самым неопровержимым образом. Но так ли все страшно на самом деле?

Возможность дистанционно взломать подключенный к Интернету автомобиль была доказана в 2015 году самым неопровержимым образом. Однако отсутствие на улице автомобилей, которые меняют свою траекторию без участия водителя, заставляет задуматься: а правда ли эта угроза более серьезна, чем африканское экзотическое заболевание или гипотетическая возможность быть раздавленным при падении метеорита?

Судя по дискуссиям на недавно завершившейся крупнейшей в мире конференции по безопасности — RSA, ответ состоит из трех частей. Во-первых, прямо сейчас угроза минимальна. Во-вторых, она будет расти и через несколько лет станет уже весомой. В-третьих, автомобили и автомобильная индустрия устроены таким образом, что решение подобных проблем займет многие годы, может, даже десятилетия. Поэтому действовать необходимо уже сейчас. К счастью, многие в автоиндустрии это понимают.

Паниковать рано

Если вам уж очень хочется запаниковать, посмотрите видео, снятое командой журнала Wired и самыми известными автохакерами — Чарли Миллером и Крисом Валасеком.

В нем журналист Wired Энди Гринберг едет по дороге в новеньком внедорожнике Jeep, а Миллер и Валасек, сидя в сотнях километров от него, сначала дистанционно включают радио и стеклоочистители, а потом переходят к торможению и прочим демонстрациям того факта, что между рулем, педалями, колесами и тормозами давно нет прямой связи — по пути встроены многочисленные автомобильные компьютеры, которые, как выясняется, очень даже подвержены взлому.

Впрочем, провернуть подобный трюк пока что можно на очень немногих автомобилях. По данным экспертов сайта Kelley Blue Book, оглашенным на конференции RSA, средний возраст автомобиля на дорогах США составляет 11 лет, поэтому в этом условном среднем автомобиле (пока) нет ни выхода в Интернет, ни устройств, позволяющих вломиться в автомобильную сеть обмена данными при помощи технологий наподобие Bluetooth. Если проводить параллель со «смартфонами» и «тупофонами», на дорогах сейчас доминируют «тупоавтомобили», которые особо не взломаешь.

Рассказали практически все подробности того, как двое экспертов хакнули тот самый Jeep: https://t.co/Il2Et4vjlJ pic.twitter.com/8CwKDve4P2

Существенным фактором защиты пока является и разнообразие устройств и технологий, в которых надо разобраться, чтобы взломать автомобиль. Это большая и трудоемкая задача. К тому же нужно вложить деньги в автомобиль и оборудование. Те же Миллер с Валасеком изучают тему уже четыре года — и научились ломать всего несколько конкретных моделей машин.

Все дело в том, что, в отличие, скажем, от компьютеров с их доминированием всего одного типа процессоров (Intel) и полутора операционных систем (Windows и OS X), автомобильная бортовая система состоит из десятков специализированных компьютеров, общающихся между собой по общей шине CANbus.

В этом беда архитектуры — сложно навести порядок и ввести стандартизованные меры безопасности, но здесь же образуется и некоторая защита — разбираться в этом сложно и дорого.

Хакнуть химический завод — это одно, а вот что делать дальше — задача едва ли не труднее: https://t.co/ORnSkBZSeQ pic.twitter.com/fVOJsbeD9z

Расслабляться нельзя

Надеяться на то, что приведенные выше соображения будут продолжать защищать и дальше, конечно, не стоит. Число подключенных к Интернету автомобилей постоянно растет. По данным Kelley Blue Book, за последние пять лет количество моделей, подключенных по умолчанию, выросло с 2 до 151.

К тому же существуют разнообразные устройства с доступом в Интернет, которые можно установить даже на старый автомобиль, подключив их к CANbus. Например, страховые и логистические компании могут устанавливать трекеры, отслеживающие положение авто, стиль вождения и так далее. Подобные устройства тоже могут быть взломаны, и дистанционный доступ к CANbus можно получить через них.

Как современная система мониторинга поведения водителя может стать инструментом взлома автомобиля http://t.co/fENtuEC7gu

Что существенно, растет и число экспертов, заинтересованных в изучении этой проблемы. Такие проекты, как OpenGarages, собирают информацию о недорогих или бесплатных программно-аппаратных комплексах, позволяющих анализировать данные в автомобильной сети, а также вмешиваться в них. Также OpenGarages содержит контакты гаражей (в прямом смысле этого слова), владельцы которых располагают автомобилями и иной инфраструктурой для тестирования новых программ и концепций.

Самые простые железки для изучения CANbus основаны на недорогих платформах вроде Raspberry Pi или Arduino, и с их покупкой можно уложиться в сотню долларов, включая аксессуары. Приложения разной степени сырости существуют даже в open source, некоторые доступны бесплатно. Все это означает, что число найденных уязвимостей, расшифрованных протоколов управления для конкретных подсистем конкретных автомобилей, будет расти, и, вероятнее всего, как снежный ком. Злонамеренное использование этих знаний, увы, всего лишь дело времени.

Время действовать

Простого решения проблемы вроде «поставить на головную систему автомобиля антивирус» здесь нет. CANbus — это старый стандарт родом из 80-х, он позволяет любым произвольным системам в авто общаться друг с другом без аутентификации, и, чтобы что-то с этим сделать, нужно переделывать почти все подсистемы автомобиля. Вероятно, такая работа все же будет проведена, поскольку уже сегодня, несмотря на то что взломов автомобиля было примерно полтора, ущерб автопроизводителей от отзывов машин исчисляется миллионами.

Читайте также  Альтернативные виды топлива

В частности, после вышеописанного взлома Jeep автоконцерн Fiat Chrysler отозвал 1,4 млн автомобилей. Что еще более важно, согласно данным Kelley Blue Book, подавляющее большинство опрошенных (56%) считают, что защитное решение должен предоставлять именно производитель, а не сторонняя компания или автодилер.

Fiat Chrysler снова отзывает свои внедорожники Jeep Renegade, потому что ими можно удаленно управлять: https://t.co/RMCrxsDaEn

Однако производителям автомобилей (и комплектующих!) довольно сложно придумывать переделки, поскольку опыта создания систем, которые должны выдерживать недружелюбное вторжение в «мозги» автомобиля, у них маловато.

Здесь на помощь должна прийти индустрия безопасности и разработки программ, поскольку эти сложности знакомы ей по прошлому десятилетию. Проект IAmTheCavalry рекомендует принять «пятизвездную» систему безопасности, когда за каждый правильно организованный элемент системы или производственного цикла производитель и его автомобиль получают звезду. Таким образом, ключевых элементов выходит пять:

1. Безопасный процесс разработки (safety by design)

Этот принцип означает, что и процесс конструирования, и сама конструкция соответствуют фундаментальным принципам безопасности. Эти принципы: основа на стандартах, детальный контроль цепи поставщиков с целью минимизации времени устранения недочетов, систематическое уменьшение поверхности атаки и сложности атакуемого кода, независимое «недружелюбное» тестирование.

Вот написали о том, в чем суть скандала с дизельными двигателями Volkswagen: https://t.co/VUahtiDGkP pic.twitter.com/aArFO5EvVj

2. Сотрудничество со сторонними экспертами

Речь идет прежде всего о том, что исследователь, нашедший уязвимость, знает, чего ожидать, знает, к кому обратиться для информирования о своей находке, не боится за свою свободу и понимает, что его ждут признание или даже премия. Некоторые автопроизводители, например Tesla, уже начали выдавать премии за найденные уязвимости, но это, в отличие от компьютерной индустрии, пока не является стандартной и поощряемой практикой.

Немного о том, как электрокар Tesla Model S был взломан и быстренько пропатчен: https://t.co/zO9iRTAa3U pic.twitter.com/MEnMr1NMDN

3. Запись и хранение улик

Пока у автомобиля не будет «черного ящика», расследовать инциденты с подозрением на взлом будет очень сложно. Подобный ящик должен хранить в числе прочего весь обмен данными на CANbus. При этом важно учесть аспект конфиденциальности — данные не должны никуда пересылаться.

Как устроен тот самый самолетный «черный ящик» (который и не ящик, и не черный): https://t.co/YUoOvz7HWw pic.twitter.com/uYkXS8dgiC

4. Заплатки и обновления

Если ваш автомобиль оказался подвержен взлому, сегодня есть только один способ решить проблему — ехать в автосервис. Это, конечно, замедляет процесс применения обновлений и снижает процент тех, кто их вообще устанавливает. Поэтому Крейг Смит из OpenGarages рекомендует в срочном порядке создавать систему доставки обновлений «по воздуху» — как у Apple с iPhone.

Основными компонентами решения являются защищенная от злоупотреблений и взлома система обновления, наличие стандартных резонных сроков от разглашения уязвимости до появления заплатки, а также хорошо отлаженная система оповещения публики о проблемах и решениях.

5. Сегментация и изоляция

Критические и некритические подсистемы должны быть надежно разделены, чтобы взлом вторых не мог повлиять на первые. При этом нужно применять методики, гарантирующие целостность кода и обнаруживающие любые несанкционированные изменения.

К сожалению, все эти хорошие принципы в оптимистичном сценарии окажутся применены к автомобилям, разработка которых начнется через пару-тройку лет. Легко догадаться, что сами автомобили на дорогах появятся сильно позже. При этом число уязвимых машин все эти годы будет нарастать, и они будут на дорогах минимум десяток лет. Поэтому, хотя потребителям в данный момент не о чем беспокоиться, у создателей авто времени действительно осталось мало — индустрии пора действовать прямо сейчас.

Мы в «Лаборатории Касперского» тоже готовы участвовать в этом процессе и работать с рядом крупных производителей автомобилей и компонентов, чтобы помочь создавать безопасные «by design» автомобили. Наша безопасная операционная система здесь очень пригодится.