„Tesla“ transporto priemonių inžinerijos viceprezidentas Larsas Moravy šią savaitę Senato komitetui sakė, kad niekas niekada nuotoliniu būdu nekontroliavo „Tesla“ transporto priemonių. Šis teiginys neatitinka istorijos faktų.
Tiesą sakant, vienas įsilaužėlis kartą įgijo viso Tesla laivyno kontrolę.
Antradienį Senato prekybos komiteto posėdyje dėl autonominių transporto priemonių Moravy buvo paklaustas apie kibernetinio saugumo problemas. Jo atsakymas buvo nedviprasmiškas:
„Mūsų sistemoje yra daug saugumo sluoksnių. Mūsų vairavimo valdikliai yra įtaisytame centriniame sluoksnyje, kurio negalima pasiekti iš transporto priemonės išorės.”
Paspaudus toliau, Moravy pasakė:
„Norint atsakyti į jūsų klausimą, ar kas nors sugebėjo perimti mūsų transporto priemonių valdymą, atsakymas yra tiesiog ne.
Yra tik viena problema: tai nėra tikslu.
Didysis Tesla įsilaužimas
Iki šios dienos, po dešimtmečio pranešimų Electrek, „The Big Tesla Hack“ tebėra viena beprotiškiausių istorijų, kurias kada nors parašiau.
2017 m. saugumo tyrinėtojas Jasonas Hughesas (Tesla bendruomenėje žinomas kaip WK057) atrado pažeidžiamumų grandinę, suteikusią jam prieigą prie „Mothership“ – Tesla centrinio serverio, naudojamo bendrauti su visu jos laivynu.
Kaip tuo metu pranešėme, Hughesas galėjo autentifikuoti kaip bet kuri transporto priemonė Tesla parke, naudodama tik VIN numerį. Jis turėjo prieigą prie vietos duomenų, transporto priemonės informacijos ir, svarbiausia, galimybę siųsti komandas bet kuriai kelyje esančiai Teslai.
Siekdamas parodyti rimtumą, Hughesas paprašė „Tesla“ programinės įrangos saugumo vadovo Aarono Sigelio duoti jam netoliese esančios „Tesla“ VIN numerį. Tada Hughesas nuotoliniu būdu suaktyvino automobilio „Summon“ funkciją, perkeldamas transporto priemonę Kalifornijoje iš savo namų Šiaurės Karolinoje.
Tai buvo prieš tai, kai Tesla turėjo daugiau autonominio vairavimo galimybių, tačiau jei buvo daugiau funkcijų nei „iššaukimas“, jis techniškai galėjo pavogti transporto priemonę iš šimtų ar net tūkstančių mylių.
Tesla skyrė Hughesui specialią 50 000 USD premiją už atradimą, kelis kartus didesnę už didžiausią oficialų atlygį tuo metu, ir dirbo per naktį, kad pataisytų pažeidžiamumą.
Šis incidentas įvyko likus vos keliems mėnesiams iki to, kai generalinis direktorius Elonas Muskas užėjo į sceną Nacionalinėje valdytojų asociacijoje ir perspėjo apie „viso laivyno įsilaužimus“ kaip vieną didžiausių „Tesla“ rūpesčių, net juokaudamas apie tai, kad įsilaužėliai siunčia visas „Teslas“ į Rodo salą „kaip pokštas“.
Dabar mes žinome, kodėl jis apie tai galvojo.
Ne vienintelis kartas
2017 m. „Mothership“ įsilaužimas nebuvo pavienis įvykis. 2016 m. Keen Security Lab (Tencent) saugumo tyrinėtojai sėkmingai įsilaužė į Tesla Model S iš 12 mylių atstumo ir įgijo nuotolinį automobilio stabdžių valdymą, išnaudodami automobilio valdiklio srities tinklą (CAN magistralę).
„Tesla“ pataisė šį pažeidžiamumą per 10 dienų nuo pranešimo.
Electrek Take
Teisingai Moravy atžvilgiu, čia yra svarbus kontekstas.
Abu incidentus aptiko „baltos kepurės“ saugumo tyrinėtojai, kurie atsakingai atskleidė „Tesla“ pažeidžiamumą, o ne piktybiškai jas išnaudojo. „Tesla“ greitai išsprendė problemas ir nėra įrodymų, kad kokie nors blogi veikėjai sėkmingai perėmė „Tesla“ transporto priemonių nuotolinį valdymą „laukinėje gamtoje“.
Tačiau Moravy nesakė, kad „joks piktybinis veikėjas niekada neperėmė kontrolės“. Jis pasakė, kad „niekas to nesugebėjo“, ir tai akivaizdžiai klaidinga. Po pirmiau pateikto teiginio jis paminėjo „Tesla“ klaidų programą, tačiau nenurodė, kad nepriklausomi saugumo tyrinėtojai kelis kartus nuotoliniu būdu valdė „Tesla“ transporto priemones.
Laimei, abejoju, ar Moravy buvo prisiekęs per parodymus.
Ir vėl, kad būtų sąžininga Teslos atžvilgiu, ekspertai man pasakė, kad nuo 2017 m. Tesla žymiai pagerino savo saugumo padėtį. Bendrovė padidino maksimalų išmoką už klaidas, išplėtė savo apsaugos komandą ir dabar reguliariai dalyvauja įsilaužimo konkursuose, pvz., Pwn2Own.
Moravy parodymai buvo pateikti per posėdį, kuriame „Tesla“ ir kitos bendrovės skatina Kongresą sukurti federalinę autonominių transporto priemonių sistemą. Saugumo ir saugumo pretenzijų patikimumas yra svarbus, kai įstatymų leidėjai sprendžia, kiek priežiūros reikia šioms sistemoms.
„Tesla“ kibernetinis saugumas smarkiai pagerėjo nuo 2017 m., o bendrovė nusipelno nuopelnų už savo klaidų mažinimo programą ir reagavimą saugumo tyrinėtojams. Tačiau vadovai, liudijantys prieš Kongresą, turėtų būti tikslūs apie savo įmonės saugumo istoriją, ypač kai ši istorija jau yra vieša.
FTC: naudojame pajamas uždirbančių automobilių filialų nuorodas. Daugiau.
