המטרה הבאה של ההאקרים: מכוניות חשמליות ועמדות הטעינה שלהן
המטרה הבאה של ההאקרים: מכוניות חשמליות ועמדות הטעינה שלהן
מחקר ישראלי חדש מדגים כיצד הפרצה הגדולה הבאה נמצאת בתשתיות הרכב החשמלי כגון עמדות הטעינה. על פי החוקרים, עד סוף יולי נצפתה עלייה של פי שלושה בשימוש בתשתיות טעינה לרכב חשמלי כווקטור תקיפה על רכבים חשמליים
המעבר לרכב חשמלי הוא בשורה חשובה לסביבה, אבל הוא גם מציב אתגרים משמעותיים: עמדות הטעינה הופכות ליעד מועדף עבור עברייני הסייבר, וכך גם ריבוי מערכות מבוססות תוכנה ברכבים. זה כבר שנים רבות שהאקרים הראו שניתן בקלות לחדור למערכות של רכבים בכל מיני שיטות כמו למשל דרך מערכות בידור. אבל כעת מחקר ישראלי חדש מדגים כיצד הפרצה הגדולה הבאה נמצאת בתשתיות הרכב החשמלי כגון עמדות הטעינה. על פי החוקרים, עד סוף יולי הנוכחי נצפתה עלייה של פי שלושה בשימוש בתשתיות טעינה לרכב חשמלי כווקטור תקיפה על רכבים חשמליים.
כאמור הסיכון של פריצות סייבר במכוניות אינו חדש. חוקרים הציגו כבר לפני שנים רבות כיצד ניתן להשתלט על רכב מרחוק ולהשבית אותו או חלק מהמערכות שלו כגון הבלמים או המנוע. אבל מאז רוב הפרצות האלה תוקנו. עם זאת כמו בכל מערכת ממוחשבת - והרכב שלנו הוא כיום מחשב עם גלגלים - פרצות מופיעות חדשות לבקרים. בין אם מדובר בעדכוני תוכנה או בשימוש במערכות חדשות שלא זיהו בהן את החולשות המובנות לפני הייצור או ההרכבה באוטו.
על פי מחקר של חברת ג'וניפר העולמי, היקף הרכבים המחוברים לאינטרנט יצמח ב-134% בין 2018 ל-2023. אם ב-2018 היו כ-330 מיליון מכוניות עם חיבור לרשת, ב-2023 מצפים לכ-775 מיליון מכוניות מחוברות בכל מיני אמצעים, כמו למשל מערכת הבידור, מערכת הניווט או מערכת השירות לקוחות. והבעיה עוד תלך ותחמיר עם הכניסה של מכוניות אוטונומיות שמתבססות על קישור מרחוק כדי לנווט בדרכים.
חוקרי חברת Upstream הישראלית שערכו את המחקר הנוכחי ניתחו כ-900 אירועי סייבר שדווחו פומבית מאז 2010 ועד 2021. על פי המספרים של האירועים נראה שתעשיית הרכב אכן נמצאת בבעיה. בין 2018 ו-2021 זינק מספר תקיפות הסייבר נגד רכבים ותשתיות תחבורה בכ-225%. בעוד תקיפות סייבר מוכרות לנו כאמצעי לגנוב נתונים, פרטים אישיים וכרטיסי אשראי או להחדיר נוזקות כופר למחשבים כדי לדרוש כסף בחזרה, במכוניות מדובר בסיכון רחב הרבה יותר. כך למשל קבוצת גנבים מתוחכמת מצאה דרך לפרוץ למערכות של רכבי יוקרה וניצלה זאת כדי לגנוב כ-25 מכוניות כאלה בלונדון בספטמבר 2021. הפרצה הייתה בשקע הדיאגנוסטיקה של הרכב ואיפשרה להתניע את הרכב בקלות בעזרת אפליקציה שחוברה לשקע ושעקפה את כל מערכות ההגנה והאזעקה המובנות.
במקרה אחר הצליחו האקרים להעתיק את אות הרדיו של שלטים לפתיחת הנעילה של מכוניות הונדה. מדובר בסדרה ארוכה של כ-21 דגמים בהם נמצאו השלטים הבעייתיים והאירוע דווח בהרחבה באתר VIce לפני כחודש. במקרה אחר הצליחו האקרים לפרוץ למערכת ההפעלה של יצרנית רכבים חשמליים מוכרת מאוד ולהסיר את הנעילה מתכונת הנהיגה האוטונומית שלה - שעליה גבתה פרמיה כדי להפעיל אותה. במקרה אחר בסין, הרשויות חקרו מקרים בהם מכוניות של יצרן אסייתי זייפו נתוני תאונות ונהיגה כגון הקילומטראז' של הרכב או המהירות נסיעה. נתונים אלו מאפשרים למשתמשים לקבל במדינה הנחות בפרמיה של הביטוח. המקרה האחרון היה האקרים שהצליחו למצוא דרך לעקוף את מגבלת מחמם הכיסאות בתשלום של ב.מ.וו עליו גבתה החברה דמי מנוי.
כדי להבין עד כמה העבריינים המודרניים מנצלים היטב את פרצות הסייבר האלה מספיק לעיין בנתונים הבאים: בחצי הראשון של 2021 נגנבו בעיר הקנדית אוקוויל (Oakville) בה כ-211 אלף תושבים בלבד, כ-124 מכוניות. מתוך הגניבות כ-66 בוצעו על ידי שימוש בשלטים פרוצים או פריצה למחשב הרכב כדי להתניע אותו. 42 מהגניבות קרו בטווח של חודש אחד - מה שעשוי להעיד על כך שכנופיית גנבי רכב עם גישה לטכנולוגיות סייבר ביצעה קמפיין בעיר. הגנבים התמקדו ברכבים יוקרתיים, רוב הגניבות בוצעו באמצע היום והסתיימו תוך דקות, בדיוק כמו בתסריט של סרט הוליוודי מוכר.
משבר השבבים העולמי גם סייע לתופעה הזו. הבעיה של יצרני הרכבים לייצר ולהשיג שבבים למכוניות שלהם הכריח אותם להשתמש בשבבים קיימים או לרכוש את המלאים אצל ספקים פחות אמינים. שבבים ישנים יותר חשופים לפרצות אבטחה שתוקנו בדגמים חדשים יותר בעוד ייצור של שבבים אצל ספקים פחות מוכרים מסוכן שכן ישנה תמיד האפשרות שהאקרים ינצלו את היצרנים וישתילו פרצות במוצרים שלהם. אם ב-2019 נמצאו כ-24 פרצות רשמיות (CVE) במערכות לרכבים, ב-2020 המספר זינק ל-33 וב-2021 ל-139.
ההאקרים גם למדו לנצל את הטכנולוגיות החדשות ולייצר סוגי תקיפות חדשות. כך למשל כל מי שרוכש רכב חשמלי כיום בישראל מחויב בהתקנה של עמדת טעינה או בשימוש בעמדות טעינה ציבוריות. לפי מחקרים חדשים בתחום בין היתר של אוניברסיטת אוקספורד, נמצא שאלה כוללות חולשות ופרצות שמאפשרות לפגוע בעמדה עצמה או ברכב המחובר אליה. למשל ניתן להשבית את העמדה באמצע טעינה או להחדיר נוזקות כופר. האירוע המתוקשר ביותר שבוצע ברוסיה על ידי תוקפים אוקראינים בפברואר 2022, ההאקרים תקפו והשביתו מספר רב של עמדות טעינה רוסיות וחסמו את השימוש בהן. באפריל השנה תקיפה דומה בוצעה נגד תחנת טעינה באי ווייט בבריטניה תוך שהוא משבית את השימוש בעמדות שלה - ההאקרים אף הקניטו והציגו פורנו לבעלי המכוניות במסכי העמדות בעודם מנסים לסדר את התקלה.
אבל גם גישה פיזית למכונית או לעמדת הטעינה כבר לא נחשבת לתנאי מוקדם לתקיפה. כיום רוב התקיפות יכולות להתבצע מרחוק כאשר התפלגות הפרצות בין כאלה הדורשות גישה פיזית לאלה שניתן לבצע מרחוק היא כחצי לכל שיטה. "ככל שכלי הרכב הופכים מחוברים יותר ומבוססי תוכנה - software-defined vehicles, הצורך בגישה פיזית אליהם למטרת תקיפה הולך ומצטמצם", מסביר לכלכליסט יואב לוי, מייסד ומנכ"ל Upstream. כיום הרגולציה על חברות הרכב או ספקיות התשתיות והרכיבים עדיין לא קיימת וזו אולי הבעיה העיקרית. החדשות הטובות הן שתחום הסייבר בתעשיית הרכב והתחבורה הופך למוחשי.
כיום חברות רבות כגון פולקסווגן שרכשה אחזקה של 40% בחברת הסייבר לרכבים סיימוטיב של יובל דיסקין ראש השב''כ לשעבר, או ענקית הרכיבים והצמיגים קונטיננטל הגרמנית שרכשה את ארגוס של עופר בן נון בכ-450 מיליון דולר, מבינות שסייבר הוא חלק מהעתיד שלהן. מחקר של סיימוטיב מיוני שעבר למשל מצא שכרבע מהמכוניות החדשות סובלות מסוג כלשהו של פרצת אבטחה. ישראל אגב, נחשבת סוג של מעצמה בתחום הזה עם חברות כגון קרמבה סקיוריטי או TowerSec שנרכשה בכ-70 מיליון דולר על ידי הרמן (כיום חברת בת של סמסונג). לא ברור כמה זמן ייקח עד שניאלץ להתקין אנטי-וירוס או פיירוול ברכב, אבל כפי שהדברים נראים כעת זה יהיה בקרוב מאוד.
