القراصنة يكشفون عيوب السيارات الذكية وثغراتها

يجلس تشارلي ميلر، الذي يخرج قدميه من النافذة، على المقاعد الأمامية لسيارته "جيب كرايسلر فيات" بينما السيارة تمضي في طريقها وكأنها تسير وحدها تقريبا. فجأة، ترتطم بشيء ثم تتوقف حين يضغط كريس فالاسيك، شريكه في الأبحاث الذي يستخدم جهاز الحاسوب المحمول في الجانب الآخر من موقف السيارات، على الفرامل. ميلر وفالاسيك من قراصنة السيارات، وكانا وراء استعادة 1.4 مليون مركبة فيات كرايسلر العام الماضي بعد نشر مقال في مجلة يذكر بالتفصيل كيف تمكنا، عن بعد، من الوصول إلى جهاز الراديو في سيارة الجيب لتعطيل آلية التعشيق في السيارة وهي في الطريق. عادا إلى العمل، ليُظهرا أنه بمجرد أن يحصلا على إمكانية الوصول الفعلي لأي سيارة، يمكنهما خداعها لتزيد سرعتها، أو تستخدم الفرامل، أو تتجاهل طلبا من فرامل التوقف الطارئة. يقولان "إن شركات صناعة السيارات لا تزال غير مكترثة بأعمالهما". وأعلنا وهما يضحكان على المسرح، خلال مؤتمر الأمن الإلكتروني "بلاك هات" في لاس فيجاس هذا الشهر "كلهم يقولون إن سياراتهم لا يمكن أن تتأثر ...". في الوقت الذي يزداد فيه اتصال كثير من السيارات بشبكة الإنترنت، يتعين على شركات تصنيع السيارات معالجة المشكلات التي كانت تعانيها صناعة البرمجيات لعقود. يمكن أن يكون الاتصال من خلال أنظمة الترفيه والتسلية، أو آليات القيادة الذاتية من ذلك النوع الذي أعلن عنه الأسبوع الماضي من قبل كل من "فورد"، و"فولفو"، و"أوبر". لكن كلما ازداد اتصال المركبات، أصبحت أكثر احتمالا لأن تتعرض للمشكلات. تقول كيتي موسوريس، مؤسسة منظمة لوتا للأمن، التي تساعد الشركات والحكومات على العمل مع مختصي أمن الكمبيوتر الذين يختبرون الأنظمة من خلال إمكانية التسلل إليها، "إن هذا يعد تحديا كبيرا". وتتساءل "كيف يمكننا تأمين السيارات المتصلة في حين إننا لم نتمكن حتى الآن من إتقان عوامل الأمان في تكنولوجيا عمرها 35 عاما"؟ حقق كثير من شركات تصنيع السيارات بداية واعدة خلال العامين الماضيين. فبعضها ينتج برامج لتشجيع ذلك النوع من البحوث، كالتي أجراها ميلر وفالاسيك اللذان تم توظيفهما للعمل في مختبر السيارت ذاتية القيادة في شركة أوبر. أما الشركات الأخرى فتعمل على توظيف مزيد من مختصي الأمن التقليديين، بينما تم إطلاق منظمة لتبادل المعلومات وتشاركها في هذه الصناعة بهدف إرساء المبادئ الرئيسية المتعلقة بالأمن الإلكتروني عبر الإنترنت. لكن الوقت لا يزال مبكرا بالنسبة إلى شركات تصنيع السيارات. ولا يزال هناك تردد في تشارك صناعة السيارات مع الباحثين في مجال الأمن الإلكتروني. وسلاسل التزويد معقدة، وغالبا شركة تصنيع السيارات ليست هي المالكة للبرامج المستخدمة داخل مركباتها. في الوقت نفسه، الفترة الطويلة التي تمر بين البدء في عملية معينة وإطلاقها، تعني أنه عندما تصل السيارة إلى صالة العرض، يكون الأمن المتعلق بها قد أصبح عتيق الطراز. في مؤتمر "ديف كون"، وهو مؤتمر آخر شبيه بمؤتمر بلاك هات لكن فيه مزيدا من التدريب العملي، تمكن القراصنة من العبث بمركبات بعضهم بعضا في قرية خاصة بقرصنة السيارات. لدى صناعة الأمن الإلكتروني تاريخ طويل من تفكيك البرمجيات والأجهزة بهدف الكشف عن العيوب. و"جوجل" و"مايكروسوفت" من بين الشركات التي كافأت بمنحهم "مكافآت كبيرة مقابل اكتشاف العيوب". إنه تقليد لا يشعر قطاع صناعة السيارات بالارتياح إليه حتى الآن. أطلقت كل من "جنرال موتورز" و"فيات كرايسلر" برامج هذا العام لتشجيع إجراء البحوث. لكن السيارات الموجودة في مؤتمر ديف كون وضعت شريطا لاصقا قويا لإخفاء شعاراتها حتى تدرأ عن نفسها التعرض لإجراءات قانونية. كريج سميث، مدير البحوث في شركة رابيد 7 للأمن الإلكتروني، يدير قرية قرصنة السيارات في المؤتمر. وأصبح مهتما بالتلاعب بسيارته لسبب بريء بما فيه الكفاية: أراد تشغيل مقاطع فيديو موسيقية من خلال نظام التصفح للتخفيف من ملل الرحلة. يقول "قبل خمسة أعوام، عندما كنت تريد إظهار العيوب الأمنية أمام شركات تصنيع السيارات، كنت تحصل على رسالة من الشركة مفادها: (توقف وامتنع عن ذلك). الآن، تحسنت الأمور كثيرا". سميث هو مؤلف كتاب "مرجع قراصنة السيارات" ويدير مجموعة "الكراجات المفتوحة"، وهي مجموعة من "مختبرات بحوث المركبات" حيث يستطيع المتحمسون تبادل المعلومات وفهم آلية عمل السيارات المتصلة بالإنترنت. يقول "إن هناك اختلافات واضحة في النهج المتبع من قبل شركات صناعة السيارات المختلفة، فبعضها يعاني لأجل تقديم عنوان بريد إلكتروني للناس من أجل الإبلاغ عن العيوب، وتبدو شركات صناعة السيارات الألمانية بشكل خاص مترددة في إدارة برامج الضعف العام"، بحسب ما يقول. لكن عددا قليلا من الشركات يدرك أن مسألة الأمن لا يمكن التعامل معها وعلاجها بالطريقة نفسها التي يتم بها التعامل مع مسألة ضمان الجودة، لكنها تتطلب معركة دائمة ومستمرة ضد الخصوم النشطين الذين يبحثون عن العيوب. يقول سميث "لا يمكنك طرح أسئلة وإجابات فيما يتعلق بمصادر العيوب. حتى إن "جوجل" لم تستطع أن تتوصل إلى كيفية القيام بذلك". سلاسل التزويد المعقدة تجعل برامج الضعف العام أمرا صعبا. وتشعر شركات تصنيع السيارات بالقلق إزاء مشروعية تقديم المال للناس لقرصنة البرمجيات الخاصة بشركة أخرى، حتى إن كانت مركباتها تعتمد عليها. توصلت دراسة أجرتها على مدى ثلاث سنوات "آي أو أكتيف"، وهي شركة أمن إلكتروني أخرى، إلى أن أكثر من نصف جميع مكونات السيارات فيها مَواطن ضعف يمكن أن تسمح للقراصنة والمتسللين بالتأثير في وظائف مهمة فيها، مثل استخدام الفرامل وعملية التوجيه أثناء القيادة، مع حدوث عواقب يمكن أن تكون وخيمة. يقول كوري ثيون، الذي قاد الأبحاث "كل نظام أو مكون اختبرناه كان فيه ما لا يقل عن عيب واحد". ويضيف "في الواقع، في جميع القطاعات التي يتعامل معها عملاؤنا، كنا نعثر دائما على أحد مَواطن الضعف. هذه البحوث تبين أن القضايا منتشرة في النظام بأكمله وتؤثر في الصناعة برمتها تقريبا". ولدى السيارات ذاتية القيادة إمكانية توسيع نطاق المخاطر الأمنية. وسيكون هناك نطاق هجومي أكبر، مع طرق أكثر تؤدي إلى الوصول إلى شبكة السيارة. لكن خداع المركبات المؤتمتة بشكل كامل سيكون تحديا حقيقيا، لأنها ستعتمد على كثير من أجهزة الاستشعار، بدلا من مجرد جهاز واحد يستطيع أن يدرك أن السائق استخدم الفرامل. وحتى عندما تحدد شركات تصنيع السيارات مَواطن الضعف في المركبات، إما بواسطة الباحثين وإما من خلال موظفي الشركة نفسها، فإن عملية الإصلاح يمكن أن تستغرق وقتا طويلا، بحسب بيو وودز، نائب مدير مبادرة الإدارة الإلكترونية للمركبات لدى مجلس الأطلسي، وهو مؤسسة فكرية تبحث في الشؤون الدولية. وتصميم السيارة يستغرق عادة ما بين خمس إلى تسع سنوات، وتتم قيادتها بعد ذلك لمدة تراوح ما بين سبعة أعوام إلى 11 عاما في المتوسط. "هذه 20 عاما من الاستخدام بمجرد أن تعرف كيفية إصلاح عطل ما. هذا جنون". عندما أعلنت شركة فيات كرايسلر عن عملية الاستدعاء الضخمة في العام الماضي، طلب من الناس أخذ سياراتهم إلى وكالات السيارات لإجراء تحديث لها. والذين لم يفعلوا، كانت تُرسل لهم أداة ذاكرة "يو إس بي" لإجراء التحديث بأنفسهم. لكن لا توجد أي ضمانة بأنهم فعلوا ذلك. ويفضل كثير من تحديثات الأمن الإلكتروني تلك الأنواع التي تستطيع شركات تصنيع السيارات تنفيذها "عن بعد". يقول وودز، الذي يعتبر أيضا جزءا من "أنا سلاح الفرسان"، وهي منظمة شعبية تركز على قضايا تتعلق بالأمن الحاسوبي "عبر الهواء، قد يستغرق الأمر ستة أيام - وهذا أفضل بأضعاف مضاعفة من ست سنوات". مثل هذا الإصلاحات التي تتم عن بعد من المحتمل أن تكون حاسمة ليس فقط بالنسبة إلى شركات صناعة السيارات، بل أيضا بالنسبة إلى مزودي مصابيح الإضاءة والثلاجات ومجموعة من الأجهزة المتصلة الأخرى التي لا يعرف أي أحد بعد كيف يحافظ على أمنها، بحسب موسوريس. وتضيف "التحديثات التي تتم عبر الأثير هي التقدم الأكبر في برمجيات تحويل الأشياء إلكترونيا". وكان اللقاء الأول لهيئة تبادل المعلومات المتعلقة بالأمن الإلكتروني لشركات صناعة السيارات "هادئا جدا جدا"، وفقا لجون ألان، المدير التنفيذي لمركز التحليل وتبادل المعلومات المتعلقة بالسيارات "أوتو- إيساك" Auto-ISAC، مضيفا "إنها ليست صناعة تتكلم مع بعضها بعضا إطلاقا". واجتمعت جمعيتا شركات تصنيع السيارات، "تحالف السيارات" و"رابطة شركات تصنيع السيارات العالمية"، لتشكيل مجموعة باستخدام أنموذج "إيساك"، الذي كان يستخدم من قبل صناعات أخرى، مثل قطاع التمويل قبل عامين ونصف. ربما جاء الأمر متأخرا عن كثير من الصناعات الأخرى، لكن خلافا لتلك الصناعات، لم تكن بحاجة إلى هجوم كبير من أجل دفع شركات التصنيع إلى اتخاذ إجراءات، بحسب ألان. حاليا يقدم ألان لهم "جهودا داعمة". قبل أسبوعين فقط اجتمع كثير من شركات تصنيع السيارات وشركات التوريد التي تتعامل معها في محاولة للخروج من مشكلات مختلقة تتعلق بالأمن الإلكتروني للسيارات. وقال ألان "بحثنا في تنفيذ هجوم وهمي على السيارة، وأعددنا سيناريوهات مختلفة، أحدها مرتبط بالسلامة، وآخر يأخذ في الحسبان مسألة السلامة ويناقش ما الذي يمكن أن يحدث إذا تم استغلال سلسلة التزويد". وطريقة الاستجابة لحادثة معينة تتصدر قائمة وزارة النقل الأمريكية، بعد نشر تقرير صادر عن مكتب المساءلة الحكومي في آذار (مارس) أوصى بأن تحدد الوزارة مسؤولياتها بعد أن تتعرض السيارة للقرصنة في هجوم يطال أنظمة السلامة الحيوية. ويوافق آلان الرأي بأنه من الأهمية بمكان أن تتمكن شركات تصنيع السيارات من تحديث المركبات من على بعد، لكنه يعترف بأن هذا تحد بالنسبة إلى السيارات القديمة. ويرى "أن التحديثات التي تتم عبر الأثير لن تكون صعبة بالدرجة نفسها بالنسبة إلى المركبات في المستقبل". ويضيف "التحدي الذي تواجهه شركات التصنيع هو تلك المركبات المتصلة التي تم تصنيعها قبل عشر سنوات وفيها كثير من مَواطن الضعف. إنها ليست هواتف آيفون يمكنك التخلص منها بعد استخدامها لسنة أو سنتين".