האם האקרים יכולים להשתלט על המכונית החשמלית הסינית שלכם?
האם האקרים יכולים להשתלט על המכונית החשמלית הסינית שלכם?
אחרי פיצוץ הביפרים ומכשירי הקשר של פעילי חיזבאללה נפוצו ברשת אזהרות כי מתקפת סייבר מתוחכמת עלולה להשתלט גם על הרכבים החשמליים מתוצרת סין שבידי הישראלים, לגנוב באמצעותם מידע או להשבית אותם ולגרום נזק. כלכליסט מפרק את החששות
זמן קצר אחרי המבצע שיוחס לישראל, שבמסגרתו התפוצצו מכשירי הביפר והקשר של פעילי חיזבאללה, נפוצו ברשתות החברתיות בלבנון אזהרות הקוראות ללבנונים להיפטר ממכשירי ביפר, טלפונים סלולאריים וגם... מכוניות חשמליות. ההיגיון מאחורי הקריאה הזאת ברור: במכשירי קשר, טלפונים סלולאריים וגם במכוניות יש סוללות. וסוללות עלולות להתפוצץ. אבל האם באמת ניתן לשלוט מרחוק במכונית חשמלית כך שהיא תעלה באש או תעשה תאונה?
צריך להבין, הסכנה, אם קיימת, היא היכולת "לדבר" עם הרכב דרך רשת האינטרנט. ואת זה אפשר לעשות כיום לא רק ברכב חשמלי. רוב המכוניות החדשות כיום, גם אלו שנוסעות על בנזין או דיזל, הן מכוניות מקושרות שיש להן יכולת קישוריות לאינטרנט. בקטגוריית הרכבים החשמליים כולם ללא יוצא מהכלל הם רכבים מקושרים.
ולגבי הנזק האפשרי: רכבים חשמליים מונעים בסוללות גדולות ורבות קיבולת, בדרך כלל סוללות ליתיום איון. זהו חומר דליק ביותר שהרבה יותר קשה לכבות בעירה שלו מבנזין. לפני כחודש התרחשה בדרום קוריאה שריפה בחניון תת-קרקעי, בו מכונית מרצדס חשמלית התלקחה. עקב מחסור באמצעים מתאימים לכיבוי הדליקה, 140 מכוניות נשרפו בחניון. לפי שירותי הכבאות בישראל שריפה בחניון תת-קרקעי שבוערת בעוצמה גבוהה במשך שש שעות ויותר מסוגלת להחליש יסודות של בניין ולהפוך אותו לבלתי ראוי למגורים.
מי שמעוניין להפוך מכונית לנשק יכול לעשות זאת בכמה אופנים. הראשון הוא להשתלט מרחוק על מערכות ההפעלה של הרכב, כלומר לגרום למכונית לא להגיב לפקודות של הנהג, והשני, שטרם אירע ככל הידוע, הוא באמצעות גרימת נזק לסוללה של הרכב.
הרכב החשמלי כתחנת האזנה
מעבר לכך, כיום גם ניתן להפוך רכב מקושר לרכב שהוא סוג של "תחנת האזנה", באמצעות השתלטות מרחוק על מערכות התיעוד שלו ובראשן המצלמות. משרד הביטחון כבר הכיר בבעיה הזו וברכבי ליסינג סיניים מתוצרת צ'רי אשר משמשים כיום בצה"ל, מבוצע ניטרול של מערכות המדיה של הרכב לפני שהוא נכנס לשירות.
משרד הביטחון יוצא בימים אלה למכרז חדש להצטיידות בעשרת אלפים רכבי ליסינג, כ-20% מהם צפויים להיות חשמליים. עיקרי המכרז נקבעו כבר, אבל לפי משרד הביטחון נושא אבטחת המידע של הרכבים עודנו נמצא בדיונים. בשלב זה לא ברור כיצד יפעלו אותם פרוטוקולים של אבטחת מידע, שכן לא מן הנמנע שמכונית חשמלית שהמצלמות החיצוניות שלה ינוטרלו למשל, כלל לא תוכל לנסוע, או שמערכות הבטיחות שלה לא יפעלו. מכונית שהיכולת שלה לקבל עדכונים מהרשת תיפגע, עלולה "לפספס" ריקולים נחוצים.
כיצד גורמים זדוניים מסוגלים, אם בכלל, לחדור למערכות של רכבים מקושרים ורכבים חשמליים? ראשית, תוקף פוטנציאלי יכול לנצל חולשת אבטחה של הרכב ברמת החיבור הבלתי ישיר, כלומר "לשדר" לרכב נתונים שגויים או לשבש את מערכותיו. תקיפות כאלה נקראות "תקיפות האיש שבאמצע", כלומר ה"מתווך" משתלט על התקשורת לרכב ומשבש את הנתונים. שנית, ישנו חיבור פיזי, כומר חיבור באמצעות שקע המידע (OBD) שיש בכל רכב חדש, המשמש לחיבור של מחשב חיצוני לצורך דיאגנוסטיקה. שלישית, ישנן תקיפות ברמה הגבוהה ביותר, בהן יצרן הרכב מותקף. יצרני רכב לא דיווחו עד כה על תקיפות שבוצעו במטרה לפגוע בזרימת המידע לרכבים, אך יצרנים כן הותקפו מספר פעמים בשנים האחרונות לצורך גניבת מידע.
השתלטות דרך שקע המידע
באשר לתקיפות רכבים באמצעות שקעי OBD, תקיפות כאלה התרחשו בעבר פעמים רבות, גם בישראל. רק בחודשים האחרונים נדרשה יבואנית BYD לשדרג את התוכנה באלפי רכבים שלה לאחר שגורמים ברשות הפלסטינית הצטיידו בכלי פריצה ייעודיים אשר אפשרו להם להתחבר לשקעי ה-OBD של רכבי BYD מה שאיפשר את גניבת המכונית בתוך שניות. אם פורצי רכב מצוידים במערכות פריצה המאפשרות השתלטות על רכב תוך זמן קצר מאוד למטרת רווח, מי מונע מהם להצטייד במערכות יותר מתקדמות אשר יאפשרו מעקף של מערכות שונות ברכב כדי לגרום נזק לנוסעים. נציין רק ששיטה זו דורשת פריצה פיזית של הרכב, ולכן גם במקרה הגרוע אין מדובר בפריצה המונית.
הסוגיה המשמעותית ביותר היא סוללות ליתיום איון של הרכבים החשמליים. לסוללות שאינן מתוחזקות כראוי ואינן מטופלות יש פוטנציאל להפוך לשריפות קשות לשליטה. עם זאת, שריפות בסוללות ליתיום הן נדירות, הרבה יותר משריפות במכוניות בעלות מנועי בנזין או דיזל. למכוניות חשמליות יש מספר גדול של מנגנוני הגנה המיועדים למנוע מהסוללה להתלקח, ולמעשה כדי שהסוללה תתלקח נדרשת פגיעה פיזית בסוללה.
מה שטוב לאמריקאים?
האם יש מה לחשוש מגניבת מידע באמצעות מכונית חשמלית סינית או מגרימת תאונה? אם נשאל את הממשל האמריקאי, התשובה היא כן מהדהד: לפני מספר שבועות הודיע הממשל האמריקאי כי בכוונתו לאסור על מכירת מכוניות בעלות חיבור מובנה לאינטרנט המכילות תוכנה או חומרה סינית. המשמעות היא לא רק פגיעה ביצרני רכב סיניים, אלא גם פגיעה פוטנציאלית ביצרנים שחברות האם שלהם סיניות, למשל וולוו. עם זאת, כיום בארה"ב לא משווקות כלל מכוניות סיניות.
לפי עיקרי החוק שהוצע על ידי משרד המסחר האמריקאי, קיים חשש שמא חברות סיניות ילקטו מידע על הנהגים האמריקאיים והתשתיות, לצד חשש מפני "השתלטות זרה" על בלמי הרכב.
קונים טלפון סיני אבל חוששים מהרכב החשמלי?
לממשל האמריקאי יש סיבות משלו להקשות על יצרני הרכב הסינים, כאלה שאינן קשורות כלל לסייבר, אלא בתחרות בין יצרני הרכב הגלובאליים, לכניסתם של היצרנים הסינים לאמריקה הדרומית ולדחיקת רגלי היצרנים הגרמנים. "תאוריות הקונספירציה על יצרני הרכב הסינים שיגנבו לנו מידע גובל באבסורד", הסביר לכלכליסט גורם בענף הרכב: "אנחנו לא שמענו משום לקוח על חשש מגניבת מידע, איזה מידע בדיוק יש לגנוב - מתי צריך לעשות טיפול במוסך ומתי יש לילד תור לאורטודנט? בעידן הנוכחי רוב המכוניות החדשות מקושרות והעובדה שיש בישראל מי שחושב שהסיני יגנוב לו את המידע, זאת בזמן שטסלה שהיא "אמריקאית" מצלמת כל זמן הנסיעה את סביבותיה, היא אבסורד. אם זה היה נכון, כל אזרחי מדינת ישראל צריכים גם לזרוק את הטלפונים הסיניים שלהם לפח, גם את הטלויזיות וגם את שואבי האבק".
עם זאת, לסינים כן יש מה לחפש מידע. לדברי יובל וינרב, מייסד "להבין את סין", יועץ אסטרטגי לחברות וגופים המעוניינים לפעול בסין: "לסינים יש סט של חוקים שנוגעים למידע, חוקים שנחקקו לפני כחמש שנים, ומתייחסים למידע כמשאב אסטרטגי. אפשר להסתכל על רכב כמחשב על גלגלים שיש לו מיקרופונים, מצלמות, שירותי מקום ופרטים אישיים, גם שיחות טלפון למשל נאספות שם - והמידע הזה נשמר ברכב. חברות הרכב רוצות את המידע הזה מתוך רצון לשפר את השירותים שלהן. לתחושתי לא מסתתר מאחורי איסוף המידע משהו זדוני. הן רוצות למכור מכוניות, זה מה שמעניין אותן. אבל עם זאת, צריך לזכור שכל החברות הסיניות מחויבות לפי החוק למסור לממשל את המידע שנאסף על משתמשים".
אבל וינרב מסייג: "מבחינת טרור, חוץ מלשים שכבות של הגנות סייבר שמטפלות בהתרבות הסכנות מבחוץ, אין דרך להגן טוטאלית מפני פעולות טרור. צרכן שמקבל עדכונים מהרשת לרכב, ניתן בתאוריה גם להשבית מרחוק, למשל את מערכת הקירור של הרכב, אבל זה באמת נשק יום הדין, והסיכוי שארגון טרור יצליח לבצע את זה שואף לאפס".