20 otomobil üreticisinin sorgulanması ardından, ABD'li senatör Ed Markey tarafından otomobillerin iç güvenliği ve ne kadar kişisel veri depoladıkları hakkında yayınlanan rapora göre, sonuçlar pek de iç açıcı değil.
Kısaca söylemek gerekirse, günümüzdeki otomobillerde bulunan bilgi sistemleri ve hatta bilgisayarlar, kablosuz bir şekilde ele geçirilebiliyor. Fiziksel bir temas gerekmemesi, genellikle olayın gerçekleşmesinin ardından geride bir iz kalmaması anlamına da geliyor.
Kötü amaçlı yazılımlarla araçların kapılarının açılması veya nerede bulunduğunuz ve ne kadar hız yaptığınız gibi verilerin depolanması mümkün. Pek çok modeldeki verilerin şifrelenmemiş olması da toplanan bu verilerin kolaylıkla okunabilmesi demek.
Söylenene göre, motorların çalışmasını sağlayan veya direksiyon ve frenlerin bağlantısını sağlayan sistemler gibi önemli noktalar, genel sistemden ayrılmış ve daha güvenli oluyorlar. Ancak bu, kişisel veriler toplayan sistemlerin güvensiz olduğu gerçeğini değiştirmiyor.
Markey'nin söylediği üzere, günümüzde araçlarımız ile daha bağlantılı bir hale gelmekteyiz ve yeni teknolojileri giderek daha fazla kullanıyoruz. Ancak otomobil üreticileri, bizleri siber saldırılara karşı korumak adına üzerilerine düşen görevi yapmıyorlar. Bu yüzden de siber uzmanlar ile araç üreticilerinin beraber çalışarak günümüz araçlarını daha güvenli bir hale getirmeye çalışmaları gerekmekte.
Devamı, haberimizin ikinci sayfasında...
Neredeyse hepsi savunmasız!
Markey'nin raporuna ve yolladığı mektuplara cevap veren 17 firmanın (Tesla, Aston Martin ve Lamborghini cevap vermeyen firmalar) çoğu, 2014 modellerinde yoğun bir şekilde bilgisayar sistemleri kullanıyordu ve bazı modellerde kullanılan elektronik kontrol ünitelerinin (ECU'ların) sayısı 50'ye kadar çıkabilmekte.
Mektuplara cevap veren firmalar ise BMW, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen (Audi ile beraber) ve Volvo.
6 sayfalık raporda belirtildiğine göre; 2014'te üretilen araçların yüzde 90'ında bir çeşit kablosuz ağ bulunmakta. Ama sadece altı otomobil üreticisinin araçlarında bir güvenlik yazılımı (güvenilmeyen kaynaklardan gelen bağlantıları engelleyen güvenlik duvarları) var. Sadece beşi kablosuz erişim noktalarını şifre, şifreleme veya sadece aracın içerisindeki cihazların bağlantısına izin veren yakınlık algılayıcıları (teoride) ile güvenceye almış durumda. Ve son olarak da sadece iki firmanın ürettiği modellerde, kötü amaçlı bir saldırının gerçekleşmesi durumunda üreticiye anında haber verme seçeneği bulunuyor. Diğer araçlar, bir saldırının bildirilmesi için bir sonraki servis süresini beklemek zorunda.
Danışılan güvenlik uzmanlarının söylediğine göre, motorlar hariç tüm araçlar, daha önce yayınlanan yöntemler ile hack'lenebilir konumda. Var olan güvenlik sistemleri ise, en iyi durumdayken bile çok "basit" kalıyor ve işini biraz bilen bir hacker'ı durduracak seviyede değiller.
İşlerin mahremiyet kısmına bakıldığında ise... Otomobil üreticilerinin 2014 modellerinin tamamı, müşterilerinden bazı bilgiler toplamakta. Bunların yüzde 25'i araçta saklanırken, yarısı firma sunucularına geri gidiyor ve bir durumda da bu verilerin 10 yıl boyunca saklandığı gözüküyor.
Bu veri toplama işlemi, kullanıcı için zorunlu ve genellikle ya araç satın alma anlaşmasında ya da kullanım kılavuzunda belirtilmekte. Üreticilerin sadece ikisi, araçlarında bu verilerin bir kısmını silme imkanı sunan sistemler olduğunu söylemekte.
Rapora genel anlamda bakıldığında, otomobil bilgisayarlarının güvenliği konusunda ne kadar eksiğimiz olduğunu net bir şekilde ortada.