ที่มา
http://www.manager.co.th/CyberBiz/ViewNews.aspx?NewsID=9560000093052 2 เซียนซอฟต์แวร์คอมพิวเตอร์ชื่อดังชาวอเมริกันประกาศพร้อมเผยแพร่รายละเอียดและเทคนิกการเจาะระบบควบคุมรถยนต์ทั้ง Toyota Prius (โตโยต้า พรีอุส) และ Ford Escape (ฟอร์ด เอสเคป) ความยาว 100 หน้ากระดาษ ระบุพบวิธีทำให้รถทั้ง 2 รุ่นสามารถเบรก-หมุนพวงมาลัย-เร่งเครื่องยนต์ได้อัตโนมัติโดยที่ผู้ใช้ไม่รู้ตัว ด้านผู้ผลิตรถเผยได้รับทราบปัญหาและช่องโหว่ของซอฟต์แวร์ในรถยนต์แล้ว และกำลังอยู่ระหว่างการแก้ไข
แม้การเจาะระบบควบคุมรถยนต์จะไม่ใช่เรื่องใหม่ แต่ข่าวคราวความเคลื่อนไหวใหม่เรื่องการเจาะระบบรถยนต์มักจะได้รับความสนใจในวงกว้าง โดยเฉพาะกรณีล่าสุดที่นักแฮกอย่าง Charlie Miller (ชาร์ลี มิลเลอร์) และ Chris Valasek (คริส วาลาเสก) ซึ่งอาจจะเบื่อกับการค้นหาข้อบกพร่องในซอฟต์แวร์คอมพิวเตอร์จากไมโครซอฟท์และแอปเปิล ประกาศว่าสามารถพบช่องโหว่ที่ผู้ไม่ประสงค์ดีอาจเจาะเข้าไปดัดแปลงระบบจนทำให้เกิดอุบัติเหตุแก่ผู้ขับรถโดยไม่รู้ตัว
Charlie Miller และ Chris Valasek เป็นนักเจาะระบบฝ่ายดีหรือ white hats ที่ได้รับทุนจากรัฐบาลสหรัฐฯ เพื่อทำการศึกษาค้นหาข้อบกพร่องของซอฟต์แวร์ก่อนที่นักแฮกฝ่ายร้าย หรือ black hats จะพบก่อนและกอบโกยหรือสร้างความเสียหายจากช่องโหว่นั้น รายงานล่าสุดระบุว่า ทั้ง 2 เซียนมีกำหนดเผยแพร่ซอฟต์แวร์ที่สร้างเพื่อการเจาะระบบรถยนต์ที่งานประชุมนักเจาะระบบ Def Con ที่ลาสเวกัสช่วงสัปดาห์ต้นเดือนสิงหาคม 2556 เพื่อให้กลุ่มนักเจาะระบบได้ร่วมมือกันเฝ้าระวังความปลอดภัยบนระบบซอฟต์แวร์รถยนต์
เซียนซอฟต์แวร์ทั้งคู่ระบุว่าสามารถค้นพบวิธีที่ทำให้ Toyota Prius สามารถเบรกทันทีที่เครื่องยนต์ถูกเร่งถึงระดับ 80 ไมล์ต่อชั่วโมง ไม่เพียงเบรก นักเจาะระบบยังสามารถบังคับให้พวงมาลัยรถหมุนหรือเร่งเครื่องยนต์โดยที่ผู้ใช้ไม่รู้ตัวด้วย
เหนืออื่นใด ช่องโหว่นี้ทำให้นักเจาะระบบสามารถปิดการทำงานของระบบเบรกในรถ Ford Escape ที่กำลังขับเคลื่อนด้วยความเร็วต่ำพิเศษ จุดนี้จะทำให้รถยังเคลื่อนตัวต่อไปไม่ว่าผู้ขับจะเหยียบเบรกแล้วก็ตาม ซึ่งถือเป็นสภาพที่อันตรายมากหากผู้ขับขี่ต้องการชะลอรถเพื่อหลบฝูงชน แต่พบว่ารถไม่สามารถหยุดได้
สิ่งที่ทำให้ 2 เซียนไอทีสามารถเจาะระบบควบคุมรถเหล่านี้คือช่องโหว่บนระบบโปรแกรมฝังตัวซึ่งถูกติดตั้งในระบบเครือข่ายควบคุมรถยนต์ เบื้องต้นทั้งคู่ใช้คอมพิวเตอร์แล็ปท็อปเชื่อมต่อโดยตรงกับเครือข่ายคอมพิวเตอร์ของรถยนต์ โดยระบุว่าจะไม่เผยแพร่ข้อมูลวิธีการเจาะระบบรถจากระยะไกล ซึ่งมีโอกาสถูกนำไปต่อยอดเป็นอาชญากรรมในอนาคต
Valasek หนึ่งในเซียนไอทีที่สามารถค้นพบช่องโหว่นี้มีดีกรีเป็นผู้อำนวยการฝ่ายระบบรักษาความปลอดภัยอัจฉริยะของบริษัท IOActive ซึ่งรู้กันดีว่าเป็นผู้รับหน้าที่ค้นหาข้อบกพร่องในซอฟต์แวร์ Windows ให้ไมโครซอฟท์ โดย Valasek คาดว่าการเปิดเผยข้อมูลครั้งนี้จะช่วยให้นักแฮกฝ่ายดีสามารถค้นหาช่องโหว่อื่นในรถยนต์เพื่อแก้ปัญหาต่อไป
ด้าน Miller วิศวกรฝ่ายรักษาความปลอดภัยของ Twitter ซึ่งเป็นที่รู้จักดีในฐานะผู้ทำวิจัยเรื่องการเจาะระบบร้าน App Store (แอปสโตร์) ของแอปเปิล ให้สัมภาษณ์ว่าตัวเขาเชื่อมั่นในสายตาของนักวิจัยเรื่องความปลอดภัยคอมพิวเตอร์ 100 คน มากกว่าการทดสอบภายในของ Ford และ Toyota เอง
เรื่องนี้ประชาสัมพันธ์ของโตโยต้า มอเตอร์ คอร์ป (Toyota Motor Corp) ระบุว่าบริษัทกำลังเร่งตรวจสอบปัญหาที่เกิดขึ้น พร้อมกับมีการลงทุนมากมายเพื่อการรักษาความปลอดภัยของระบบอิเล็กทรอนิกส์ในรถยนต์ โดยยอมรับว่ารถโตโยต้ายังคงมีข้อบกพร่องเหลืออยู่ เช่นเดียวกับผู้ผลิตรถยนต์รายอื่นๆ
เช่นเดียวกับโฆษกของฟอร์ด มอเตอร์ (Ford Motor Co) ซึ่งยืนยันว่าฟอร์ดได้ลงทุนกับการวิจัยและพัฒนาระบบรักษาความปลอดภัยของรถยนต์มหาศาล ขณะเดียวกัน การเจาะระบบรถยนต์ที่พบนั้นยังมีความเสี่ยงต่ำ เนื่องจากผู้เจาะระบบจะต้องเปิดประตูรถและเข้าไปติดตั้งคอมพิวเตอร์ภายในรถยนต์ โดยไม่สามารถตั้งค่าโจมตีจากระยะไกลผ่านเครือข่ายอินเทอร์เน็ต ทั้งหมดนี้ทำให้ช่องโหว่นี้ยังไม่มีความเสี่ยงในระดับวงกว้าง
อย่างไรก็ตาม การประกาศครั้งนี้ถือเป็นการสร้างความตื่นตัวกับวงการรักษาความปลอดภัยในรถยนต์มาก โดยหลายฝ่ายมองว่าถึงเวลาแล้วที่ทุกฝ่ายจะต้องร่วมมือป้องกันความเสียหายที่อาจเกิดขึ้นในภายหลัง จุดนี้ทั้ง Miller และ Valasek ระบุว่าทั้ง 2 ไม่ทำการวิจัยการเจาะระบบจากระยะไกล เนื่องจากงานวิจัยดังกล่าวเคยมีการศึกษามาแล้วเมื่อปี 2011 (แต่ไม่มีการเปิดเผยผลการศึกษาต่อสาธารณชน) โดยเป็นการศึกษาหาโอกาสที่รถจะถูกเจาะระบบผ่านเครือข่ายอินเทอร์เน็ตไร้สายอย่างบลูทูธ (Bluetooth)
ในมุมของรัฐบาลอเมริกัน สำนักงานรักษาความปลอดภัยบนทางหลวงสหรัฐฯ หรือ The National Highway Traffic Safety Administration นั้นเริ่มต้นดำเนินโครงการวิจัยด้านไซเบอร์ซีเคียวริตีในรถยนต์แล้ว คาดว่าจะมีการขยายผลต่อเนื่องในอีกหลายประเทศ
สำหรับยุโรป การเปิดเผยผลการศึกษาข้อบกพร่องในระบบรถยนต์นั้นนำไปสู่คดีความมากมาย ตัวอย่างเช่นกลุ่มนักวิทยาศาสตร์คอมพิวเตอร์ที่มีกำหนดสาธิตการเจาะระบบรถหรูอย่างรถพอร์ช (Porsche), ออดี้ (Audi), เบนท์ลีย์ (Bentley) และลัมบอร์กินี (Lamborghini) ในงานประชุม Usenix ที่วอชิงตันช่วงกลางเดือนสิงหาคมนี้ จำเป็นต้องยกเลิกกำหนดการไปเพราะคำสั่งศาลที่ค่ายรถอย่างโฟลค์ (Volkswagen AG) ขอให้ศาลอังกฤษคุ้มครองไม่ให้มีการเผยแพร่ช่องโหว่นี้แก่สาธารณชน โดยนักวิจัย Flavio D. Garcia แห่งมหาวิทยาลัยเบอร์มิงแฮม, Roel Verdult และ Baris Ege แห่งมหาวิทยาลัย Radboud University Nijmegen ในเนเธอร์แลนด์
ทั้งหมดนี้โฆษกของ 3 นักวิจัยระบุว่า แม้จะไม่มีการสาธิตช่องโหว่นี้ในงานประชุม แต่ทั้ง 2 มหาวิทยาลัยจะยังคงตีพิมพ์เผยแพร่งานวิจัยนี้ระหว่างการรอพิจารณาคดี ขณะที่โฆษกของ Volkswagen ปฏิเสธที่จะให้ความเห็นใดๆ
