Примечание. Защитить системы управления автомобилем от дистанционного несанкционированного доступа можно, изолировав его внутренние сети от интернета, как изолированы авиационные сети типа AFDX. Но это сделает невозможным предотвращение правонарушений и принудительную остановку транспортных средств
[1220].
Слежка за автомобилями и перехват данных
В развитых странах внедряется все больше средств для контроля над транспортом, его перемещениями и определения связанных с ним персональных данных. Камеры безопасности дорожного движения, сканирующие номера проезжающих автомобилей, связывают эти данные с информацией из баз данных правоохранительных органов, позволяя определить местонахождение не только самого автомобиля, но и человека за рулем (если камера подключена к системе распознавания лиц). Подобные технологии могут не только приносить пользу (при обнаружении правонарушений, например превышения скорости или пересечения сплошной линии разметки), но и помогать злоумышленникам. К примеру, если сеть камер и/или связанных с ними серверов имеют бреши в системах защиты, злоумышленники могут пытаться фиксировать местонахождение автомобилей с определенными номерами в целях планирования преступлений против владельцев этих автомобилей или их имущества. В то же время преступники могут обеспечивать себе алиби, специально совершая мелкие правонарушения «на камеру» с помощью автомобиля, на самом деле находясь не за рулем, а в другом месте.
Камеры муниципальных систем видеонаблюдения также подключаются к системам распознавания лиц, что позволяет выявлять нарушителей. Уязвимости в программном обеспечении систем видеонаблюдения могут стать причиной несанкционированного подключения к ним и утечки персональных данных. Также утечка данных может произойти из-за превышения должностными лицами их полномочий. Известны случаи, когда люди, имеющие доступ к таким системам, за взятку позволяли посторонним подключаться к камерам видеонаблюдения и следить за конкретными лицами
[1221].
КЕЙС В марте 2021 г. на продажу в даркнете была выставлена база данных голландской компании RDC, предоставляющей услуги сервисного обслуживания и гаражного хранения. Утекли данные примерно 60 % клиентов компании, 7,3 млн человек. Среди данных – имена пострадавших и названия других компаний, клиентами которых они были; их домашние адреса; адреса электронной почты; номера телефонов; даты рождения; регистрационные номера, марки и модели транспортных средств
[1222],
[1223].
Но для слежки за конкретными автомобилей и лицами могут использоваться не только стационарные и мобильные камеры. Это может делать и само транспортное средство. К примеру, для электромобиля Tesla можно разработать специальное программное дополнение, превращающее его в платформу видеонаблюдения с возможностями распознавания номеров машин и лиц людей в реальном времени. Такие возможности открываются благодаря функционалу Tesla, предназначенному для решения задач беспилотного вождения и включающему в себя три встроенные камеры с почти круговым обзором, полнофункциональные API для передачи и обработки данных, режим автоматической записи со всех камер при обнаружении движения вокруг автомобиля, а также встроенный веб-браузер. В перспективе аналогичным образом можно оснастить любые IoT-устройства, обладающие возможностями видеосъемки, а также хранения и передачи на сервер видеоданных
[1224].
Кроме того, современные подключенные автомобили могут передавать данные о местонахождении, функциях двигателя и т. д. производителям или даже государственным организациям. Такие технологии передачи данных в реальном времени с 2016 г. обязательно применяются во всех электромобилях (Tesla, Volkswagen, BMW, Daimler, Ford, General Motors, Nissan, Mitsubishi и пр.), продающихся в Китае. В целях обработки огромного массива данных создан Шанхайский центр по сбору, мониторингу и исследованию открытой информации об электромобилях. Каждый из электромобилей Шанхая отображается на огромной карте в реальном времени, при этом сохраняются данные о предыдущих маршрутах всех электромобилей. Владельцев обычных автомобилей принуждают устанавливать на лобовое стекло специальные GPS-маячки, помимо прочего, передающие идентификатор, уникальный для каждого автомобиля. Правоохранительные или другие государственные органы Китая могут без судебного решения связать идентификационный номер авто с личной информацией о его владельце
[1225].
Злоумышленники могут использовать и специальную аппаратуру, которая имитирует легитимную, но оборудована функциями перехвата данных (например, записи голоса, изображения или сведений о местонахождения автомобиля). Такая аппаратура может быть замаскирована, к примеру, под автомобильное зарядное устройство
[1226] или небольшой GPS-трекер
[1227]. Злоумышленники также могут использовать вредоносный код, чтобы вмешаться в работу автомобильных устройств, например видеорегистратора либо навигатора, или даже внутренних функций и датчиков автомобиля (к примеру через интерфейс OBD
[1228]). Это может быть сделано с целью упростить угон, устроить ДТП (например, посредством MiTM-атаки перехватив и исказив данные, необходимые для работы беспилотного авто) или украсть данные (например, сведения о геопозиции авто, записи переговоров в салоне или личные фотографии и видеозаписи из мультимедийной системы).
КЕЙС Сотрудникам израильской компании Regulus Cybe, занимающейся вопросами кибербезопасности, удалось обмануть систему навигации электромобиля Tesla 3, находящегося в режиме автопилота, сбив его с курса. Исходно был намечен прямой маршрут, но электромобиль замедлил движение и свернул с дороги. Хотя для проведения эксперимента пришлось изменить стандартную комплектацию электромобиля – установить на его крышу дополнительную антенну, все же нельзя сказать, что другие средства передвижения и вообще беспилотные системы достаточно защищены. Проблема GPS-спуфинга остается актуальной, и системы спутниковой навигации требуют дополнительных мер защиты и аутентификации сигнала. Исследования компании выявили и уязвимость других систем, таких как ультразвуковые датчики, радарные системы миллиметрового волнового диапазона, лазерные радары (лидары) и датчики скорости
[1229].
