Otomotiv Endüstrisi Yazılımları Tehdit Altında: Siber Suçlular Aracınızın Kontrolünü Ele Geçirebilir

Dijital yazılımlar, artık her modern otomobilin ayrılmaz bir parçası: Motorun sağlıklı çalışmasından tutun da lastiklerin hava basıncına kadar pek çok önemli ayrıntı, bilgisayar yazılımları tarafından kontrol ediliyor. Çoğu sürücü bunun farkında değil ancak kullandıkları otomobil aynı zamanda bir bilgisayar: Kaputun altında, NASA’nın Ay’a insan indirmek için kullandığından çok daha güçlü bir bilgisayar bulunuyor. Bu durumun pek çok avantajı var, örneğin araçta bir arıza gerçekleştiğinde nedenini bulmak saniyeler sürüyor. Ancak bilgisayar yazılımlarıyla dolu bir aracı kullanmanın bazı dezavantajları da var: Bu yazılımlar, diğer herhangi bir program gibi hack edilebiliyor.

Hacker’ların otomotiv endüstrisini hedef almaya ilk olarak 2010 yılında başladığını söyleyebiliriz. Bu dönemdeki amaç, sürücülere araçlarının “kilitli” özelliklerini açma şansı tanımaktı. Diğer bir deyişle, araçları üçüncü kişiler değil, bizzat sahipleri “kırıyordu”. Düzinelerce web sitesi ve forumdan basit yazılımlar indirip araç bilgisayarına bağlayarak örneğin birkaç beygir gücü daha kazanmak veya turbo özelliğini daha verimli çalıştırmak mümkündü. Bu yazılımlar halen oldukça popüler: Türkiye’deki hemen her sanayi sitesinde bu işlere meraklı ustalar bulabilirsiniz.

Ancak günümüzdeki otomotiv endüstrisi hack’leri bu kadar masum değil ve araç sahiplerine yönelik de hazırlanmıyor. Otomobiller artık Wi-Fi bağlantılara ve anahtarsız çalıştırma sistemlerine sahip. Doğru araçlarla, bir otomobile uzaktan bağlanıp kontrolü ele geçirmek mümkün. Üstelik bu açıkların büyük bir bölümüne halen çözüm bulunabilmiş değil. Bu makalede, hem otomotiv endüstrisi yazılımlarına yönelik tehditlerden ve hem de VPN indir yönteminin bir çözüm olup olamayacağından bahsedeceğiz.

Araçlara Nasıl Uzaktan Bağlanıyorlar?

Otomobillerde kullanılan dijital altyapıyı iki kategoriye ayırarak inceleyebiliriz. İlk kategoriye ECU (Electronic Control Unit – Elektronik Kontrol Ünitesi) deniyor ve milyonlarca satırdan oluşan bilgisayar kodunun donanıma gömülmesinden oluşuyor. Aracınızın yakıt tasarrufu yapmasını, viraj denge sistemini devreye sokmasını, hatta ABS frenleri kontrol etmesini sağlayan bir sistem bu ve doğru şekilde çalışması için düzinelerce sistemin birbiriyle haberleşmesi gerekiyor. Örneğin kontağı çevirdiğinizde, ateşleme sisteminin motor kontrol birimiyle haberleşmesi ve aracı çalıştıracak ateşlemeyi doğru anda gerçekleştirmesi lazım: Bu iletişim hızlı, güvenli ve sağlıklı bir şekilde yapılmazsa, aracınız çalışmayacaktır.

ECU birimlerinin birbirleriyle haberleşmesini sağlayan protokole CAN (Controller Area Network) adı veriliyor. Bunu kapalı bir LAN sistemine benzetmek mümkün: Bir otomobilde düzinelerce ECU birimi mevcut ve birbirileriyle nasıl haberleşeceklerini ve örneğin hangi mesajların önceliğe sahip olduğunu CAN belirliyor. Yukarıda internetten indirdiğiniz programlarla birkaç beygir gücü daha elde edebileceğinizde bahsetmiştik: Bu programların aslında yaptığı şey, CAN protokolüne müdahale ederek örneğin turbo sistemine farklı mesajların gitmesini sağlamak: Bu sayede o ek beygir güçleri kazanılabiliyor.

Normalde, CAN protokolüne dışarıdan müdahale etmek çok zor zira araca doğrudan erişiminiz olması gerekiyor. Yani motor çalışırken kaputu açmalı ve kablolarla doğrudan araç bilgisayarının Serial BUS çıkışına bağlanmalısınız: Tahmin edebileceğiniz gibi, bu pek de “gizlice” yapılabilecek bir iş değil. Ancak modern otomobiller artık kablosuz bağlantılara, GPS sistemlerine ve radyo frekanslı iletişime sahipler: Bunların her biri, CAN protokolüne ve dolayısıyla ECU birimlerine dışarıdan erişmek için bir giriş noktası yerine geçebiliyor.

Hacker’lar Aracınıza Nasıl Saldırabilir?

Hacker’ların hareket halindeki aracınıza dahi uzaktan erişmesini sağlayacak yöntemlerden bazıları şunlar:

• Sadece 32 dolar karşılığında satılan “RollJam” adındaki bir programla aracınızın anahtarsız çalıştırma sistemine erişebilir ve kullandığınız sinyali taklit ederek kapıları açıp motoru çalıştırabilirler. Bu sistem aslında kısa mesafeli bir radyo alıcısından başka bir şey değil ve ilgili sinyali taklit etmek oldukça kolay.
• TPMS mesajlarını okuyabilirler. TPMS, “lastik basıncı izleme sistemi” (tire pressure monitoring system) özelliğinin kısaltılmış hali ve birbiriyle kablosuz haberleşen ECU birimlerinden oluşuyor. Lastik bölgesindeki sensörler, topladıkları veriyi iletirken kablosuz bir sinyal kullanıyor ve doğru araçlarla bu sinyali yakalayıp değiştirmek mümkün. Aracın beynine iletilen sinyale lastiklerin tamamen inmiş olduğu bilgisini eklerseniz, motor anında duracaktır: Bu açık, ciddi bir güvenlik riski barındırıyor. Sinyali yakalamak için araca 40 metre mesafede olmak yeterli, yani bunu yapan kişi birkaç sokak ötede bile olabilir.
• Araç uygulamalarını hack’leyebilirler. Artık otomobillerin büyük bir kısmı Android veya iOS sistemleriyle doğrudan entegre olabilen bir altyapıya sahip. Hatta bu altyapıların kendileri genellikle Android tabanlı oluyor. Bluetooth ve Wi-Fi gibi kablosuz teknolojiler bu altyapılar tarafından destekleniyor ve bunlara dışarıdan müdahale etmek o kadar da zor bir iş değil: Kablosuz bağlantılarınızın kontrolünü ele geçiren bir saldırgan, aracınızın en önemli özelliklerini de kontrol edebilmeye başlıyor. Hatta sadece aracınızı değil, ona bağlı cihazlarınızın (örneğin telefonunuzun) kontrolünü de ele geçirebiliyor.

VPN İndir Bir Çözüm Olabilir Mi?

VPN, kablolu ve kablosuz ağ bağlantılarını şifreleyerek güvence altına alan bir teknoloji ve otomotiv endüstrisi yazılımlarının bazı açıklarını kapatmak için de kullanılabilir. Anahtarsız çalıştırma sistemi ve TPMS mesajları gibi açıklar için yapılabilecek pek bir şey yok: Otomotiv üreticilerinin kullandıkları teknolojileri değiştirmeleri gerekiyor. Ancak en azından araç içinden kurduğunuz kablosuz internet bağlantılarını VPN indir yöntemiyle güvence altına alarak potansiyel giriş noktalarından birini kapatabilirsiniz. VPN kullanmak, aracınızın dış dünyayla kurduğu internet bağlantısını güvence altına alacak ve kırılmasını engelleyecektir. Android veya iOS üzerinde çalışabilen VPN uygulamalarına sahip bir servis kullanarak bunu kolayca yapabilirsiniz.