17:01
18/3/2010

Nastolatek z Teksasu włamał się do systemów informatycznych jednego z dealerów samochodowych i za ich pomocą przeprogramował i unieruchomił ponad 100 aut. Zmienił także nazwiska ich właścieli na pseudonimy znanych raperów. Wyjące klaksony, unieruchomione silniki, zdenerowani właściciele. Jak to się stało?

Zdalne unieruchomienie samochodu

Atak był możliwy, ponieważ dealer wyposażał sprzedawane przez siebie samochody w system umożliwiający ich zdalne zablokowanie (Webtech Plus).

Mój samochód nie działa!

System składa się z systemu komputerowego w którym bezprzewodowo meldują się samochody, a raczej małe czarne pudełeczka w nich zainstalowane. Jesli podczas połączenia z centralą samochód otrzyma informację, że jego właściciel zalega z ratami lub samochód został zgłoszony jako skradziony, aktywuje się funkcja unieruchamiająca auto.

“Hackowanie samochodów” — jak to możliwe?

Samochodowy włamywacz, 20 letni Omar Ramos-Lopez wcześniej pracował u dealera do którego systemów informatycznych się włamał.

  • Dlaczego doszło do ataku?
    Motywem była zemsta, Omar został zwolniony z pracy na miesiąc przed atakiem.
  • Dlaczgo atak się powiódł?
    Bo Omar znał hasło kolegi z pracy i zalogował się z domu na jego konto.
  • Dlaczego udało się go złapać?
    Bo nie skorzystał z rady agenta ABW i nie stunelował się przez Chiny, więc zdradził go adres IP.

 

Zobaczcie relacje TV:

Wielkie WTF?

W całej sprawie zaskakuje mnie kilka rzeczy:

Primo, media nazywają tego wandala hackerem… Ciekawe kiedy oszustów na Allegro zacznie nazywać się hackerami, tylko dlatego, że posłużyli się komputerem do popełnienia przestępstwa?

Secundo, właściciele samochodów, którym Omar zrobił kuku nie wiedzieli co się dzieje. Co jest? Nie czytają umów? Większość nawet nie zdawała sobie sprawy, że “zasila” ze swojego akumulatora samochdowego backdoora… Szczęśliwie twórcy systemu unieruchamiającego nie zrobili security faila: system nie zadziała jeśli samochód jest w ruchu. To dobrze, bo mielibyśmy sytuację odwrotną do problemów Toyoty.

Tertio, atak był możliwy, ponieważ Omar znał hasło do systemu… Tak więc taki z niego hacker, jak z ./kodzika exploit… Kiedy pracodawcy nauczą się, że po zwolnieniu administratora (pracownika komputera) nie wystarczy zmienić tylko i wyłącznie jego hasła? Wypadałoby zmienić także inne, które może znać…

Polacy wolą tramwaje

…i po czwarte (jak mawiał mój nauczyciel fizyki ;-) to Omar jest cieniastem w obliczu polskiego 14-latka, który wykolejał tramwaje za pomocą domowej roboty pilota do przestawiania zwrotnic…

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Ludzka ignorancja, a często głupota nie jest znana od dziś. Fakt nazywania przez media każdego hackerem bywa, nawet nie tyle co irytujący, co dołujący, że nikt nie pokusi się, aby tak naprawdę dowiedzieć się, kim jest hacker.
    Co do sytuacji? Cóż za głupotę się płaci tak samo jak za ignorancję.

    • Może dlatego, że artykuł w którym nazwano kogoś hackerem, choć nim w rzeczywistości nie jest (tylko np. zna czyjeś hasło i z niego korzysta do nielegalnych celów) bardziej ciekawi odbiorców, dzięki czemu media więcej zarabiają?

  2. A po co się “dowiadowywać” kim on jest, ten cały hacker? Większości publikatorów zależy na taniej sensacji, nie na rzetelności. Odnośnie poziomu wiedzy nt. bezpieczeństwa IT u pracodawców czy firmowych adminów – podejrzewam że, jak w każdym innym fachu, jest ona na poziomie minimum wystarczającego do wykonywania codziennych obowiązków. Czytanie (a raczej nieczytanie) zawieranych umów to już temat – rzeka…

  3. @Piotr Bujok: ale kto jest głupi – klienci nie czytający umów? Czy dealer samochodowy, że nie zmienił haseł? Że teraz ten dealer sprzeda mniej albo zbankrutuje, albo będzie płacił odszkodowania? Masz jakieś historyczne dane uprawopodniające, że tak się to skończy? Czy tylko, że miał dzień urwania głowy z wyłączaniem blokad 100 klientom? Nie mam jak mierzyć reputację na tysiące kilometrów w Teksasie, niketórzy to by się cieszyli, że dostali dwa linki z wired.com. Naprawdę nie jest dla mnie jasne, że jak się robi press release “100 klientów zrobionych w konia”, to się nie pozyskuje więcej nowych klientów z 300 milionowego narodu – powinno być to oczywiste?

  4. Dokładnie, padło “słowo klucz” – hacker – więc wszyscy [poza tymi, którzy rozróżniają te pojęcia] są zadowoleni, bo po raz kolejny można narzekać na tych “od czarnego ekranu”. Ech, co za ludzie…

  5. Jak w prasie pojawia się hasło ‘haker’ to na 99.99% mogę być pewien, że chodzi o jakiegoś nastolatka który zawirusował szkolną pracownię komputerową albo o takiego ‘Omara’ – ani jeden, ani drugi hakerem nie jest, ale za to fajnie takie hasło w tytule na pierwszej stronie się prezentuje…

    PS. Jak można dać sobie wcisnąć takiego backdoora razem z samochodem ?
    Dealerzy zmądrzeli po ‘failu’ bankowców dających kredyty bezrobotnym afro-amerykanom z najbiedniejszych dzielnic ?

  6. “Nastolatek z Teksasu”
    “20 letni Omar Ramos-Lopez”
    Tak, czepiam się :>.

  7. @Torwald nie każdy analizuje dokładnie umowę zakupu samochodu oraz umowę zakupu opcji dodatkowych. Dodatkowo taki system może być wykorzystany w dobrym celu, patrz kradzież samochodu i łapanie przestępców lub ich namierzenie. Druga kwestia to fakt, że 80% ludzi nie zdaje sobie sprawy z możliwości takich blackdoorów.

  8. Przecież każdy przestępca, który użyje komputera to hacker [: Wczoraj w MT z października 98r. przeczytałem, że hackerem był/jest także Bill Gates

    @kaarol opcja bardzo przydatna ale nie zwalnia z czytania umowy należy. Chyba z 85% ludzi tego nie robi, a potem dziwią się, że oni nie wiedzieli.

    Pozdrawiam

  9. Najbardziej przybijające jest to, że media w kółko wałkują złe nazewnictwo. Hacker to ten dobry, a włamywacz-przestępca to cracker. Hasła z Wikipedii do poczytania: “Haker_(slang_komputerowy)” i “Cracker”.

  10. Ad. Primo. Dlaczego? Bo jak by nie patrzeć znalazł lukę w zabezpieczeniach jaką był brak procedury zmian hasła. Poznał hasło i wykorzystał je. Kevin Mitnick też przede wszystkim wykorzystywał hasła wydobyte bez ingerencji w komputer. Więc czemu miano by użyć innego terminu?
    Fakt, że termin haker bardzo mocno utarł się w świadomości ludzi opisując osobę która siedzi przed ekranem i klepie w klawiaturę, żeby wykraść hasła itp.

  11. Dla scisłosci dodam, ze jest jeszcze rozróżnienie hakera i krakera (orginalnie hacker i cracker). Otóż haker pokonuje zabezpieczenia i wykrywa luki nie majac na celu popełnienia przestepstwa. Tacy ludzie mogą potem proponowac rozwiazanie znalezionego problemu. Natomiast kraker robi to co haker, ale od poczatku ma na celu wykorzystanie swojego działania do popełnienia przestepstwa. Chyba jednak poza profesjonalnymi mediami, takimi jak: Niebezpiecznik nie ma co wymagac takiego rozrózniania. Faktem jednak jest, ze nazywanie gościa, który miał hasło podane na tacy (dostał od kolegi) hakerem jest naduzyciem. Bliżej mu juz do krakera, bo popełnił przestepstwo, choć to raczej lamer, któremu nie było trudno zablokowac te samochody. Swoją droga jest to błąd w systemie IT tego salonu. Otóż zmiana danych właścicieli nie powinna być możliwa drogą zdalna bez podania SSN (Social Security number, czyli amerykańskiego peselu) a w przypadku zagranicznych klientów nie mających SSN np. numeru paszportu. W USA tylko podanie SSN (a najlepiej jeszcze zarządać potwierdzenia tozsammości np. prawem jazdy, co ciekawe w kazdym stanie wygląda ono inaczej) daje pewność, że gość nie jest wielbłądem. No i sam dostep do SSN nie powinien być zbyt łatwy (zwłaszcza zdalnie). Sam system w samochodach ma pewne plusy: blokuje skradzione wozy i dyscyplinuje niespłacających kredytu na samochód. Jednak jak zwykle najsłabszym ogniwem systemu stał się człowiek i w tym tkwi zagrozenie ze strony takich gadzetów.

  12. Perspektywa ‘czarnej skrzyneczki’ w samochodzie jest przerażająca. Gdyby zablokował auto w czasie jazdy autostradą? Przy prędkości 100km/h tracisz silnik, wspomaganie kierownicy i hamulców. Niech ci barierka miękka będzie…

  13. Jak ktoś ma 20 lat to nie jest nastolatkiem.
    W Polsce nastolatek to osoba w wieku 11~19, a w usa 13~19, co wynika bezpośrednio z postfiksów(naście i teen).

    Wiem, wiem, czepiam się.

  14. @kuku – gdybyś przeczytał uważnie cały tekst, to wiedziałbyś, że ‘uziemienie’ samochodu działa tylko, gdy jego prędkość = 0 km/h. Jeśli jedziesz = jesteś bezpieczny.

    @kaarol – ja nie twierdzę, że system jest zły – chodzi o jego wykorzystanie. Jak widać, nie trudno jest go nadużyć…
    A co do kradzieży, to dzisiaj wystarczy GPS/GSM jammer wetknięty w gniazdo zapalniczki i cały ten system przestaje być użyteczny (skąd złodziej będzie wiedział że coś takiego jest w kradzionym samochodzie ? Nie musi, dla świętego spokoju uruchomi jammer…)

  15. @kuku – proponuję poćwiczyć czytanie ze zrozumieniem:

    “[ciach]…system nie zadziała jeśli samochód jest w ruchu…[ciach]”

  16. Uważajcie więc koledzy, bo sytuacja dotyczy nie tylko samochodów, ale i np. telewizorów cyfrowych, tunerów (o tym zapewne wie większość abonentów platform cyfrowych). Nowe telewizory można zdalnie przeprogramować, serwisować i… uszkadzać :) Cena postępu jaką czasem przychodzi nam płacić jest dość wysoka jak na nasze warunki. Czy na pewno te wszystkie gadżety są nam niezbędne? Wydaje mi się że w pogoni za trendami dajemy sobie wmówić potrzebę posiadania wielu niepotrzebnych akcesoriów.

  17. @Torwald MareX:
    A masz co do tego pewność? Jeśli komuś uda się to obejść? Jeśli system po prostu się zepsuje? Awaria prędkościomierza? Wyobraź sobie, że musisz kogoś dostarczyć do szpitala. I co? ‘Nie zapłacił pan raty’. A żona zaczyna rodzić na tylnym fotelu. Poćwiczcie wyobraźnię – powodów dla których takie urządzenie nie powinno być w aucie jest naprawdę bardzo wiele.
    Zwracam uwagę, że w samochodzie pojawia się kolejny słaby element w kluczowym dla bezpieczeństwa użytkownika miejscu. Kolejna rzecz która albo sama może się zepsuć, albo może być zepsuta przez kogoś z premedytacją – i to właściwie bez dostępu do auta. Nie wiem jak wy, ale ja wolałbym nie mieć czegoś takiego w aucie.

  18. […] razie zagłuszał także sygnał GPS, sieci Wi-Fi, fotoradary, Bluetooth, radio i telewizję oraz piloty na podczerwień? […]

  19. […] pisaliśmy o zbuntowanym pracowniku wypożyczalni samochodowej, który zdalnie unieruchomił kilkaset aut. Teraz okazuje się, że podobnych sztuczek można dokonać z większością nowszych […]

  20. […] z pojazdami szynowymi można igrać na kilka innych sposobów, np. za pomocą pilota (podczerwień) przestawiać zwrotnice i wykolejać tramwaje — tak zrobił 14-latek z Łodzi. Zhackowana tablica pociągowa… fot. […]

  21. […] pisaliśmy o hackowaniu urządzeń elektromechanicznych (por. zatrzymywanie pociągów, sterowanie zwrotnicami tramwajowymi, hackowanie fotoradarów oraz hackowanie czytników kodów kreskowych w Leroy Merlin). A […]

  22. WTF is “wykolejował”? xD
    Nie powinno być “wykoleił”?

  23. […] jeśli atak jest przejawem głupoty jakiegoś małolata, a rząd państwa w którym mieszka nie ma o nim […]

  24. […] O zatrzymywaniu pociągów przy pomocy sygnału RADIO STOP pisaliśmy już w lipcu rok temu, wszystko wskazuje jednak na to, że obie sprawy nie są ze sobą powiązane. Wcześniej informowaliśmy także o nastolatku, który pilotem własnej konstrukcji przestawiał tramwajowe zwrotnice. […]

  25. […] tak, aby wykoleić dwuwagonowe składy (kiedy za zwrotnicą znajdzie się jeden z wagonów). Tego zresztą próbował już 14-latek z Łodzi. Można też oczywiście po prostu “trolować” w sklepach RTV, przełączając wszystkie […]

Odpowiadasz na komentarz rav

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: