"יצרניות רכב חייבות לשתף פעולה עם האקרים כדי לגלות ולחסום חולשות אבטחה בכלי רכב ובמטוסים לפני שייגרם אסון שכולנו נצטער עליו" – כך אומר דויד קולומבו, הצעיר בן ה-19 אשר פרץ לפני כחצי שנה לעשרות מכוניות טסלה 'מודל 3'.
קולומבו השתתף בכנס אקומושן בפאנל לצד מומחה אבטחת-הסייבר שייע פידמן שמנהל בישראל את כלל פעילות חקר הסייבר עבור חברת 'פורסיה' העולמית, ושניהם הזהירו מפני סיכוני אבטחה שקיימים לטענתם בכל מכוניות מודרניות. אני פגשתי את שניהם לריאיון שהותיר אותי די מוטרד לנוכח מה שנראה כמו התעלמות מכוונת של יצרניות הרכב מבעיה מסוכנת.
"יצרניות רכב מתעלמות במודע מחולשות אבטחה של כלי רכב, וזה מציב את כל המשתמשים במכוניות, ואת עוברי האורח, בסכנה רצינית מאד", אומר קולומבו. "העובדה היא שאני, ילד בן 19 עם הרבה זמן פנוי, פרצתי די בקלות ל'טסלה', אפילו לא בכוונה אלא סתם בגלל סקרנות, וכמוני יש המון האקרים בעולם שיכולים לעשות את זה".
"אני מנהל צוות פצחנים שממוקד בחשיפת חולשות אבטחה בכלי רכב במטרה לדווח עליהן", מוסיף שייע פידמן. "עד היום כבר איתרנו אלפי חולשות כאלה כמעט בכל כלי הרכב בעולם, ואלה "שערים" שדרכם יכולים פצחנים לחדור אל מערכות קריטיות במכוניות ובין השאר לשלוט בבלמים, במנוע ובהגה. אפשר לגרום לנזקים מחרידים, וכל מה שנדרש לצורך זה הוא שילוב של יכולת ומוטיבציה. לארגונים ממשלתיים ולכוחות ביטחון ברחבי העולם יש יכולות כאלה, ודיויד עבורי הוא הוכחה חיה שגם לאזרחים צעירים יש יכולת. לכן שאלת המסוגלות יורדת מהשולחן וכל מה שמפריד כרגע בין נזקי סייבר משמעותיים לבין פצחנים זאת רק המוטיבציה. אם תעשיית הרכב לא תתעשת מהר אנחנו בדרכנו לאסון".
קולומבו מספר שהוא החל לשחק עם מחשבים בגיל 10 והתגלגל לעולם הפצחנות מתוך סקרנות, בזכות הצלחות חוזרות ונשנות. "אנחנו חיים בעידן שבו כל אחד יכול ללמוד הכל בקלות באינטרנט. לא צריך ללכת לאוניברסיטה. כל מה שצריך כדי לפרוץ למערכות ממוחשבות זה מחשב נייד וזמן פנוי". לדבריו, גם לטסלה הוא בכלל לא תכננן לפרוץ אלא נקלע לסיטואציה מתוך סקרנות. "פשוט רציתי לראות איך זה עובד", הוא אומר.
קולומבו תאר בפני את אופן הפריצה ושייע מסביר אותה במונחים מקצועיים אבל לא נחזור כאן על תיאורים אלה משלוש סיבות. ראשית – טסלה טיפלה בכשל הנקודתי הזה וחסמה את הפרצה, שנית – אין צורך להכניס רעיונות שונים לאנשים, ושלישית – שייע מסביר שבעבודתו היום יומית הוא נתקל בכשלים עם פוטנציאל נזק הרבה יותר גדול. בכל מקרה הפעולות שקולומבו ביצע בוודאי לא יאמרו הרבה למי שלא מכיר את עולם הפצחנות.
עם זאת, בתשובה לשאלתי מדגישים קולומבו ופידמן שטענות של בעלי טסלה אחדים כאילו שהוא פרץ אל "תוכנת צד שלישי" ולא למערכת הקניינית של טסלה אינן נכונות – הפריצה בוצעה לתוך המערכת הקניינית של טסלה עצמה. "דוח של ממשלת ארה"ב קבע שחולשת האבטחה שחשפתי מדורגת בסיכון של 9.8 מתוך 10", אומר קולומבו, "ואם אנליסטים ממשלתיים קבעו את זה אז מדבר בעד עצמו".
"אנחנו מנסים להסביר", אומר פידמן, "שמדובר בבעיה גדולה הרבה יותר מן המקרה הבודד הזה. קיימת סכנה ברורה ומיידית שתעשיית הרכב מתעלמת ממנה ביודעין – לדעתי בגלל חשש מפני אחריות משפטית ובגלל זריקת אחריות בין יצרניות הרכב לבין ספקיות המשנה שמפתחות את הרכיבים הפיזיים ואת התוכנות. פצחנים רעים יכולים לנצל חולשות אבטחה כמעט בכל מכונית חדשה, ובכלי רכב חשמליים הסכנה גדולה במיוחד. אפשר לפרוץ אל מערכת הניהול של הסוללה החשמלית ולהפוך אותה לפצצה. ארגוני פשיעה לא צריכים יותר להסתבך עם הטמנת פצצות מתחת למכוניות של יריבים עסקיים שלהם. כל מה שהם צריכים זה לנטרל את הבלמים של מכונית נוסעת ברגע קריטי, או לגרום לסוללה של מכונית חשמלית להתלקח, וזאת עבודה שלא משריאה אחריה טביעות אצבע".
קולומבו: "חייבים להסתכל על התמונה הגדולה ולהבין שזה לא רק כלי רכב אלא ניידות באופן כללי. מכוניות, ומטוסים, ואוניות. חוקרי אבטחה מכירים היטב את הבעיה אבל בציבור הרחב לא שמים אליה לב, והמשימה שלי היא להעלות את המודעות לבעיה".
ש: אנשי טסלה שלחו לך פרחים ושמפניה כאשר פנית אליהם?
קולומבו מחייך: שמפניה הייתה יכולה להיות נחמדה, אבל לא – הם לא שלחו פרחים… אני כן ציפיתי מהם לשיחה פתוחה יותר ואולי גם לשמוע המלצות או לשתף קצת מידע. לא ציפיתי שיאמרו שהם מזמינים אותי למטה שלהם לשמפניה ולפיצה ולדבר על אבטחת סייבר וניידות".
ש: התאכזבת?
קולומבו: "לא התאכזבתי. אני יכול להבין שזאת חברה ענקית שמתנהגת כמו חברות ענק, אבל אני חושב שזה מאד מאפיין את יצרניות הרכב שאפילו לא מאפשרות כיום להאקרים לכתוב להן כדי לדווח על גילוי חולשות אבטחה. אני מצפה לסוג אחר של אינטראקציה עם חוקרי אבטחה, ובעיקר לאימוץ הקהילה על-ידי היצרניות במקום להגיב ב:"היי, תודה לך", או אפילו לא להגיב בכלל.
אנחנו צריכים להיות במצב שבו יצרניות רכב יגידו – "הי, מחקר אבטחה הוא מדהים. אנחנו באמת צריכות לבנות סביבה שבה אפשר יהיה להשתמש בידע של פצחנים במטרה לחזק ולהגן על המערכות שלנו כדי להפוך אותן לבטוחות יותר". אני חושב שזאת גם יכולה להיות יוזמה ממשלתית. למשל, גרמניה יכולה לבנות מרכז שאליו יביאו מכוניות שונות כדי שקבוצות של פצחנים יוכלו לגעת בהן פיזית בניסיון לפצח את המערכות. תנו תמורה או הכרה למי שמצליח, וכך תוכלו לבנות מערכות יותר חסינות ובטוחות".
ש: מדוע יצרניות הרכב לא פועלות?
פידמן: "תעשיית הרכב מפגרת אחרי תעשיות אחרות. אם אני מוצא חולשת אבטחה בתוכנה של חברת טכנולוגיה הם לא רק מעודדים אותי לספר להם עליה, הם גם מתגמלים אותי לכל הפחות בהכרה וממהרים לתקן את הפרצה. תעשיית הרכב סובלת מסינדרום של הטלת אחריות הדדית בין ספקיות משנה לבין יצרניות רכב, ואולי גם התעלמות. זאת תעשייה שלא רגילה לעבוד במוד שיתופי. שאר העולם הרבה יותר שיתופי.
קולומבו: "יש לנו אפשרויות להעצים את חוקרי האבטחה ואפשר לתת להם את כלים ומשאבים שהם צריכים. אני מאתגר את תעשיית הרכב: בואו תוכיחו שהמכוניות שלכם בטוחות!
ברגע שיצרנית רכב אחת ראשונה תשתמש בעמידות הסייבר שלה כיתרון שיווקי זה יאלץ את כל האחרות לפעול באותה דרך. תדמיין שיצרנית רכב מציעה אתגר: "תפרצו למערכות שלנו ואם תצליחו להציג לנו חולשות אבטחה נעניק לכם פרס". הלקוחות שלה יבינו שזאת יצרנית בטוחה בעצמה והוא ירגיש איתה נוח. זה יגרור דרישה דומה לאבטחת סייבר גם מיצרניות אחרות. אני מאד מקווה שיצרניות הרכב יעשו את הצעד הזה.
ש: אז מה הפתרון?
קולומבו: "אנחנו צריכים להוריד את מחסומי הכניסה ולעודד את האנשים האלה (קהילת הפצחנים) ולהצית בהם תשוקה, ואז אנחנו יכולים לקבל מהם כל כך הרבה".
פידמן: "הגורם החשוב ביותר הוא שיתוף פעולה. פתרונות נקודתיים לא עובדים. יש לך יצרניות רכב שעושות חלק מהעבודה (של תכנון רכיבי המכונית – ג.מ.) וספקיות משנה שעושות חלק אחר, ואז חברת אבטחת הסייבר שלך עושה עוד משהו ברכב וכל העבודה הזאת לא מסונכרנת. כולנו צריכים לעבוד יחד לא רק במרחב הרכב אלא גם במרחב הניידות, ועדיין לא דיברנו בכלל על נושא הפרטיות. במכוניות שלנו מותקנים מיקרופונים של מערכות מולטימדיה ומאוחסן בהן מידע אישי רגיש שלנו שמסונכרן עם הטלפונים שלנו. תעשיית האלקטרוניקה משקיעה סכומי עתק בהגנת הטלפונים הניידים ותעשיית הרכב נמצאת שנות אור מאחור בתחום הזה".
חמש האגורות שלנו
עידן הקישוריות (Connectivity) – למעשה חיבור בין המכונית לרשת האינטרנט – נושא איתו בשורות נהדרות עבור המשתמשים ברכב אבל טומן בחובו לא מעט סכנות. כאשר מקשיבים לשייע פרידמן ולדויד קולומבו מאד ברור שלא מדובר ברעיון תיאורטי או במסע הפחדה אלא בסכנה ברורה ומיידית. כיום אפשר לחדור מרחוק אל מערכות המחשוב של רוב המכוניות שיוצרו בשנים האחרונות, ושייע פידמן – שהופקד על משימה כזאת בחברה שהיא ספקית-משנה לתעשיית הרכב, מעיד שהצוות שלו עשה את זה מאות פעמים אל רוב מותגי הרכב המוכרים.
יכול להיות, וכרגע אין דרך מעשית לדעת את זה, שארגונים ממשלתיים ברחבי העולם כבר השתמשו ביכולות האלה כדי לקדם את המטרות שלהם, וכמו שפרידמן אומר – המשתנה היחיד שנותר כרגע פתוח הוא שאלת המוטיבציה. פצחן רע, "כובע שחור" כפי שהם מכונים בתעשייה, מעדיף כרגע להשקיע את הזמן והיכולות שלו במקומות שמשרתים אותו כלכלית, למשל בפריצה אל מערכות כספים או אל מאגרי מידע. בפריצה לכלי רכב עדיין "אין כסף", אבל זאת לא אכסיומה. אנשים עם מוטיבציות פליליות עלולים למצוא בקרוב את הדרך להפיק תועלות מגרימת נזקים לכלי רכב ולמשתמשי הדרך, וזה עלול להיות "דיזלגייט" חדש, הרבה יותר קטלני, עבור תעשיית הרכב.
לקריאה נוספת:
צעיר בן 19 השתלט מרחוק על 25 מכוניות טסלה