Transcription

Cześć! Podczas tegorocznej edycji Chaos Computer Club wiele interesujących wystąpień prowadzonych było jedynie po niemiecku. Niestety. No ale synek ze Śląska do sobie z tym rada, ja. Gołym biorze, gołym biorze! Choć nie ukrywam, z góry przepraszam, jak coś zgubię w tłumaczeniu. Jedną z takich prezentacji było wystąpienie hakera Flipke oraz dziennikarza śledczego Michaela Keila pod tytułem Wir wissen, wo dein Auto steht, co można przetłumaczyć jako Wiemy, gdzie zaparkowałeś samochód. Co warto podkreślić, luki w zabezpieczeniach, o których będzie dziś mowa, zostały odkryte przez anonimowego sygnalistę, który nie chciał ujawniać swojej tożsamości. A Flipke z Michaelem po prostu je zweryfikowali, zgłosili w odpowiednie miejsca i finalnie zaprezentowali. A w centrum całej tej afery, do czego chyba jesteśmy już przyzwyczajeni, stoi Volkswagen. Zapraszam. Tytułem wstępu. Jeśli ktoś nie śledzi branży automotive wcale, a wcale, grupa Volkswagena to największy biznes w całych Niemczech. Posiadają oni w swoim portfolio, poza oczywiście Volkswagenem, także Skodę, Seata oraz Audi i cała ta awantura dotyczy wszystkich wspomnianych marek, choć w różnym stopniu. Taka agregacja wielu znaczków na masce w obrębie koncernu oznacza ogromne realne oszczędności, bo stworzenie od podstaw całkowicie nowego modelu samochodu to jakieś bajońskie sumy idące w miliardy dolarów. Dlatego producenci tworzą całe platformy, takie bazy, na podstawie których po bardzo niewielkich modyfikacjach można wstawić do sprzedaży więcej niż jeden model. No i jak mamy kilka marek, to z danej platformy może skorzystać każda z nich, więc koszty projektu rozkładają się na jeszcze więcej różnych modeli, co znacznie, ale to znacznie ogranicza wszystkie koszty związane z projektowaniem. Dlatego Volkswagen Golf, Skoda Octavia, Seat Leon czy Audi A3 są ze sobą na tyle mocno spokrewnione, że śmiało można nazwać je bliźniętami. Bo, owszem, różnią się światłami, zderzakami, częścią elementów wnętrza czy po prostu jakością użytych materiałów, ale pod maską często są identyczne lub przynajmniej prawie identyczne. Niesie to jednak za sobą daleko idące konsekwencje dla bezpieczeństwa takich platform. Znalezienie błędów czy podatności w jednym z modeli przenosi się często praktycznie jeden do jednego na wiele innych, istotnie zwiększając tym samym siłę rażenia takiego odkrycia. A gdyby tego jeszcze było mało, w przypadku samochodów elektrycznych problem ten mocno się pogłębia, bo różnic pomiędzy elektrykami jest zdecydowanie mniej i pojedyncze platformy wykorzystywane są znacznie szerzej. W grupie Volkswagena takim złotym dzieckiem jest platforma MEB, Modular E-Entrypes Baukasten, na bazie której powstaje zdecydowana większość elektryków koncernu, a nawet sprzedano ją konkurencji – Fordowi. Ale popularność to nie jedyny problem. Dzisiejsze samochody, nie tylko zresztą te elektryczne, są na stałe podłączone do sieci. Na szeroką skalę zaczęło się to od e-cola, który od 2018 roku jest już wymagany we wszystkich nowo homologowanych samochodach na terenie Unii Europejskiej. Co to takiego? A no, każda nowa fura ma wbudowany modem telefoniczny i kartę SIM. Gdyby coś się wydarzyło, nie wiem, doszłoby do jakiegoś wypadku albo zasłabnięcia kierowcy, to samochód może, albo na nasze żądanie, albo nawet w niektórych sytuacjach samodzielnie, zadzwonić na numer alarmowy. Wraz z automatycznym raportowaniem lokalizacji pomaga to w szybkim dojeździe służb ratunkowych na miejsce zdarzenia. Umożliwia też niestety śledzenie pojazdu, w którym jest zamontowany, o ile oczywiście ma ktoś dostęp do stacji bazowych telefonii komórkowej. Tylko, że e-cola jest z nami już od dawna, a technologia idzie do przodu. I teraz można śledzić nie tylko łatwiej, ale też dokładniej. Bo pojawiają się inne rozwiązania, które można w ciekawy sposób wykorzystać, również nie do końca zgodnie z planowanym przez producenta przeznaczeniem. Mamy przecież różne aplikacje do obsługi swojego auta. I Volkswagen nie gęś, też są Apkem A. Tak jak u konkurencji, można za jej pomocą otworzyć, uruchomić, przypomnieć sobie gdzie aktualnie jest zaparkowane, sprawdzić poziom baterii, czy nagrzać wnętrze w zimowy poranek przed wyjściem z domu. Ogólnie, wygoda. Cały ten system przygotowała firma Caryat, która jest po prostu jedną ze spółek zależnych od Volkswagena, do której wydzielono większość zadań związanych z rozwojem oprogramowania. Oczywiście, aby dbać o stałe podnoszenie jakości swoich usług, Volkswagen oraz Caryat zbierają dość sporo różnorakich danych o swoich użytkownikach. Nic dziwnego w dzisiejszych czasach. Deklarują jednak, że aby nie narażać nikogo na ewentualne szkody związane z wyciekami danych, są one anonimizowane. No, zobaczymy. Bo w toku analiz szybko okazało się, że rzeczywistość wygląda nieco inaczej od tej deklarowanej przez firmę. Zupełnie jak w przypadku testów na zgodność z normami emisji spalin. Rzeczona aplikacja potrzebuje oczywiście całej serwerowej strony sprawiającej, że sprawdzając coś na swoim telefonie, mamy połączenie do swojego samochodu. Nie była ona jednak zbyt dobrze zabezpieczona. Korzystała m.in. z javowego springa, czyli dzieła samego szatana w szczycie swojej formy. Dziurawy jest on straszliwie i w sumie chyba nikt poważny już z niego nie korzysta. Nikt poza volkswagenem. Luki w springu pozwoliły na dobranie się do ich API i pobranie z serwerów danych, które nie powinny być dostępne z zewnątrz. Jak choćby do pliku zrzutu zawartości sterty hipdampa, w którym ogólnie jest masa śmieci generowanych przez działające oprogramowanie, ale znaleźć można w nim też często różne ciekawostki. Np. klucze uwierzytelniające do firmowych instancji AWS. Znaleziono tam też dane opisane jako ClientID oraz ClientSecret, czyli klucze wykorzystywane do uwierzytelniania użytkowników usługi. System ten, a konkretniej to jego API, posiadało jeszcze jedną ciekawą cechę. Na podany mu identyfikator użytkownika odpowiadało tokenem, którego można było użyć w celu dalszego uwierzytelniania. W dużym uproszczeniu oznaczało to, że wystarczyło znać czyjś identyfikator, aby się pod niego podszyć. A to dawało dostęp do zgromadzonych w systemie danych dotyczących konkretnego użytkownika. Mowa o jego nazwie, mailu czy telefonie. Przypięty też był do niego przeważnie pojazd, do którego danych również uzyskiwało się w ten sposób wgląd. Można było poznać jego win, markę, model czy aktualny status baterii, przebieg itd. Ogólnie sporo ciekawostek statystycznych dało się z tego wyciągnąć, jak choćby to, że ludzie ignorują powiadomienia, że ich samochód może zaraz spłonąć. Bo komunikat taki wyświetlił się łącznie na przestrzeni kilku lat setek tysięcy użytkowników i jeszcze większych setek tysięcy pojazdów 45 razy, ale dotyczyło to tylko 11 samochodów. Także komuś wyświetlał się wielokrotnie, ale jakoś nie przeraziło to kierowcy. Nic też nie wskazuje na to, że do pożarów rzeczywiście doszło, bo dane o temperaturze baterii przeczą tej tezie. No ale zabawa zabawą, ciekawostki ciekawostkami, ale to wcale nie był koniec odkryć. Jak w sumie każdy biznes, tak i Volkswagen zbierał zdecydowanie więcej danych, niż było to konieczne do zapewnienia działania usługi. Co z RODO nie jest zbyt zgodne i szybko się to na nich zamściło. Bo mowa jest o danych dotyczących lokalizacji wszystkich pojazdów. Co istotne, dane te nie były bezpośrednio powiązane z konkretnym kontem użytkownika, znajdowały się tak jakby w odrębnym systemie, co miało gwarantować ich anonimowość. Spoiler, nie gwarantują, ale o tym za chwilę. Teraz garść statystyk. Z systemów firmy udało się wyciągnąć niezabezpieczone dane 600 tysięcy użytkowników oraz 800 tysięcy samochodów. Łącznie wygenerowały one przez ponad rok jakieś 900 milionów par koordynatów GPS, a dane te ważyły jakieś 10 terabajtów. To całkiem sporo, nie powiem. Znaleziono też ciekawy błąd, albo bardziej nieścisłość. Bo zgodnie z polityką prywatności koncernu, dane dotyczące lokalizacji, jeśli mają już być przechowywane i przetwarzane, to powinny zostać nieco popsute. Odcina się im końcówki koordynatów, co istotnie zmniejsza ich dokładność. Do jakichś około 10 kilometrów. Nadal może to naruszać czyjąś prywatność, ale czyni deanonimizację konkretnego użytkownika trochę trudniejszą. No i o ile dane zbierane przez Audi i Skody rzeczywiście poddawane były takiej obróbce, o tyle Volkswageny i Seaty pomijały ten krok, co pozwalało odczytać ich położenie z dokładnością do 10 centymetrów, co umożliwia stwierdzenie, na której konkretnie płycie chodnikowej zostały zaparkowane. Badacze postanowili nanieść wszystkie te dane na mapę i wygląda ona dość przerażająco. Szczególnie, że nie są to po prostu pojedyncze punkty, a można z wykorzystaniem tych informacji odtworzyć poszczególne trasy pokonane przez konkretny pojazd. Okej, nie dowiemy się z systemu Volkswagena, do kogo on należy, bo dane te nie są ze sobą powiązane, ale to wcale nie jest konieczne, aby kogoś zdeanonimizować. No bo jeśli ktoś mieszka w miejscu, gdzie stężenie elektryków koncernu jest niewielkie, to ewentualna korelacja jego tras w konkretnych godzinach do pracy często będzie w stanie już dokładnie powiedzieć nam, który pojazd na mapie do niego należy. A to pozwala wyciągnąć już daleko idące wnioski. Jak wygląda jego grafik? Czy pojechał akurat na wakacje? Gdzie robi zakupy? W jakie miejsca jeździ po drodze z pracy do domu? To szczególnie łatwe i jeszcze niebezpieczniejsze w przypadku osób publicznych, różnych polityków czy po prostu miłośników wrzucania całego swojego życia do mediów społecznościowych. Można tak ustalić, gdzie jeżdżą dziennikarze, aby porozmawiać ze swoimi już nie tak anonimowymi źródłami. Do kogo jeżdżą adwokaci? Kto odwiedza budynki rządowe czy ambasady? Jak po miastach porusza się policja i inne służby? Całą sprawę opisał też Spiegel i przytoczył nawet kilka ustalonych w ten sposób ciekawostek. Ustalili oni, kto dowozi catering policji czy kto świadczy usługi dla niemieckiego prezydenta. Tak, prezydenta. Też go mają, a nie jedynie kanclerza. W takich danych widać bardzo, bardzo dużo. Na przykład, kto przyjeżdża do amerykańskiej bazy wojskowej w Ramsztajn, kto pracuje dla wojskowych służb wywiadowczych czy w rosyjskiej ambasadzie. Bo jak widać, wszyscy chcą teraz być eko. Pod lupę wzięto przede wszystkim podróże polityków, aby na ich przykładzie pokazać, że można śledzić każdy ich ruch w czasie rzeczywistym. Można było choćby wiedzieć, kiedy dokładnie burmistrzyni Tosztet, małego niemieckiego miasteczka, gdzieś pomiędzy Hamburgiem a Bremen, jeździ na fizjoterapię. Odkryto też sekretny oddział Volkswagena w Szwecji, służący do testów pojazdów w niskich temperaturach, korelując dane lokalizacyjne z danymi dotyczącymi temperatury baterii. Chcecie sami do nich zerknąć? No to mam złą wiadomość. Choć w sumie to dobrą. Badacze zdecydowali, że nie opublikują tych danych z powodów etycznych, ponieważ narażałoby to na potencjalną utratę prywatności masę ludzi. Zresztą deklarują też, że po przeprowadzeniu wszystkich tych analiz zostały one trwale usunięte, aby nigdy więcej nie kusiło ich, aby do nich zajrzeć. Badacze oczywiście przeszli przez proces Responsible Disclosure i wypowiadali się o nim w sumie w superlatywach. Dlaczego? Bo Volkswagen to nie newag i nie musieli rozmawiać z próbującymi ich pozwać prawnikami, a po prostu z inżynierami i innymi technikami, jak naprawić napotkany problem. Cóż, chwała im za to, oby każda firma zachowywała się w ten sposób. No i trzymam kciuki, aby to się nie zmieniło. Szczególnie, że dział prawny niemieckiego giganta do małych pewnie nie należy. Ale w beczce miodu jest niestety też sporo dziegciu. Volkswagen mimo zgłoszenia zapomniał zablokować zewnętrzny dostęp do plików oraz wcale nie zaczął przycinać danych z lokalizacji. W dodatku poświadczenia umożliwiające dostęp do systemów badaczom, pomimo deklaracji, że zostały zablokowane, nadal działały. Konieczne było wielokrotne przypominanie i wskazywanie wszystkich błędów palcem. W oficjalnej odpowiedzi do mediów firma schowała nieco głowę w piasek i stwierdziła, że złamano ich systemy w sposób niesamowicie wyrafinowany. I konieczne do tego było przejście wielu, wielu etapów, co zwyczajnie nie wygląda na prawdziwe stwierdzenie, bo tak na dobrą sprawę wystarczył jeden get. To trochę jak w tym dowcipie z pralką i jedną śrubką. Owszem, wystarczyło ją dokręcić, ale ktoś najpierw 20 lat poświęcił na to, aby wiedzieć, którą. Poinformowano też wszystkie możliwe służby, szczególnie specjalne i te, których dane operacyjne w ten sposób można było pozyskać. Sprawa dotyczy w teorii całego świata, ale w praktyce zdecydowana większość pojazdów znajdowała się w Europie, z czego znów większość w Niemczech. Ale nas to też dotyczy, nie jesteśmy na tych mapach całkowicie Białą Wyspą. Dajcie znać w komentarzach, kto z polskich polityków porusza się elektrycznym samochodem należącym do koncernu WAGA. Może warto wysłać im ten film, aby lepiej zrozumieli, dlaczego warto dbać o prywatność obywateli. Zbieranie, przechowywanie i przetwarzanie tylu informacji powinno być całkowicie zakazane lub chociaż w najgorszym przypadku powinny być one przechowywane jak najkrócej i w odpowiedzialny sposób. A nie tak, jak zrobili to Niemcy. Bo to prywatność powinna być domyślnym wyborem, a niezgoda na zbieranie tylu wrażliwych informacji. Niestety zbieranie takich danych bardzo, ale to bardzo kusi. Bo w dzisiejszym świecie najcenniejszą walutą jest właśnie informacja. Tak w celu ich dalszej odsprzedaży, jak i na potrzeby wewnętrznych analiz. Pozwala to przecież wiedzieć, gdzie budować ładowarki, czy szacować, gdzie mieszkają ludzie o konkretnym statusie, aby następnie pokazywać im spersonalizowane reklamy, wciskać ubezpieczenia czy, gdy będzie czas kampanii wyborczej, łatwiej na nich wpłynąć, bo przecież będą lepiej sprofilowani. Na szczęście nic nie wskazuje na to, żeby do danych tych dostęp uzyskał ktoś poza badaczami. Co robić i jak żyć? Jeśli tworzysz politykę prywatności dla swojej usługi, to rób to nie po to, żeby tylko była, ale przede wszystkim po to, żeby się do niej stosować. Kiedy deklarujesz, że zbierane dane lokalizacyjne będą miały dokładność rzędu 10 km, to dobrze byłoby zagwarantować i dopilnować, aby nie dało się na ich podstawie ustalić, czy parkując tyłem dotknąłeś słupka na środku parkingu. Szczególnie, że dane lokalizacyjne o tak wysokiej dokładności mogą potencjalnie naruszać prawa podstawowe, czyli ujawniać historię medyczną, poglądy polityczne czy wierzenia. A to naraża na niemiłą rozmowę z Urzędem Ochrony Danych Osobowych. Czy Volkswagen jest w swoich działaniach osamotniony? Oczywiście, że nie. Podobna historia, choć na znacznie mniejszą skalę, spotkała niedawno Toyota. Na szczęście dla nas tylko w Japonii. Wiele modeli Kia dało się zdalnie otworzyć, a nawet uruchomić, znając jedynie ich win, który przecież można z zewnątrz łatwo odczytać, bo jest nabity w widocznym miejscu na podszybiu. Dobitnie pokazuje to, że cyberbezpieczeństwo w branży automotive powinno stanowić zdecydowanie wyższy priorytet niż obecnie. No i to też trochę smutne, bo pokazuje nie tylko, że Europie słabo idzie pogoń za oprogramowaniem konkurencji, ale w dodatku mimo silnego uregulowania rynku, co czasem próbuje się pokazywać jako zaletę, to właśnie firma z Europy dała sobie te dane ukraść. Ciężko w takich realiach próbować wciąż udawać, że odgrywa się rolę lidera rynku. Znasz dobrze niemiecki? Polecam obejrzeć tę prezentację w oryginale, bo sporo treści oraz technicznych detali zgubiło się na pewno w tłumaczeniu. Jak wyłapiesz jakieś błędy, to daj proszę znać w komentarzach. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia!