Хакер #305. Многошаговые SQL-инъекции
Специалистов по безопасности просят проверить, насколько надёжно защищён автомобильный компьютер седана Tesla Model S.
Участвовать в конкурсе приглашают всех, кто придёт на хакерскую конференцию SyScan (Пекин, 16-17 июля 2014 года). Прямо в выставочном зале поставят экземпляр Model S и несколько компьютеров. Наверное, можно использовать собственное оборудование. Правила соревнования пока не объявлены, всё это похоже на какую-то импровизацию с элементами шоу.
Так или иначе, но впервые в истории объявлен официальный конкурс на поиск уязвимостей в автомобиле. Поскольку современный автомобиль более чем наполовину (по стоимости) состоит из электроники и программного обеспечения, то пришло время искать баги и здесь.
Независимые эксперты уже неоднократно высказывались, что от подобных конкурсов больше вреда, чем пользы. Ну сколько человек примет участие в соревновании? Лишь немногие, кто придёт на конференцию. В случае, если они не найдут уязвимостей, компания-производитель получит дешёвый пиар и сделает ложное предположение, что её продукт безопасен для использования. Даже если что-нибудь найдут, производитель всё равно получит дешёвый пиар: сообщит об устранении бага и, опять же, сделает ложное предположение, что в продукте нет уязвимостей.
Но даже если и так, то известным автомобильным хакерам Чарли Миллеру и Крису Валасеку есть смысл срочно собираться в Пекин. Похоже, эти парни могут взломать любой автомобиль.
Подключиться к Tesla Model S проще, чем к другим машинам, потому что здесь внутренняя электроника объединена в локальную сеть Ethernet, а автомобильный компьютер работает под Ubuntu.