Tento týden se na veřejnost dostala dvojice zajímavých zpráv, která
ukázala, jak je státní dohled nad čímkoli bezmocný. Předně jsme se dozveděli, že automobilka Škoda zabezpečila
tachometr u svých vozidel tak, aby nešel nastavit zpátky.
Druhou zprávou
bylo, že chiméra o autech z Německa, která nemají přetočený tachometr,
padla a ukázalo se, že třetina
vozidel má stočený tachometr - což přibližně odpovídá výskytu přetočených
tachometrů v ČR. Dopravní experti nám sice tvrdili,
že v Německu se tachometry nepřetáčejí, protože tam za to hrozí vysoké
tresty a proto je třeba je zavést i tady a dělali si z toho politickou
kariéru. Realita, jak se ukázalo, opět leží někde jinde.
Budou se po opatření Škody Auto přetáčet tachometry u Škodovek? Nepochybně
ano.
Příčinou problému není, že tachometr lze přetočit, ale nekritický přístup
zákazníků, kteří z ne zcela jasných důvodů upřednostňují co nejnižší počet
najetých kilometrů před reálným stavem vozidla. Už nyní existuje ve vozidle
dostatek znaků, které umožní zjistit jeho skutečné stáří, kromě těch notoricky
známých také například motohodiny zapsané v motorové ECU některých vozidel
s motorem TDI nebo korekční hodnoty vstřikovačů, které s časem rostou.
Jenže... z vlastní zkušenosti vím, že některým lidem se při spatření "snu
českých rodin" zatmí mozek a nevidí, neslyší, dokonce ani nechtějí vidět
a slyšet.
Opatření, které Škoda udělala, to celé poněkud zkomplikuje a přetočení
tachometru se stane méně dostupným, takže za něj koloušek (konečný zákazník
autobazaru) bude muset zaplatit víc. Sny českých rodin stejně tak nebudou
výhodnější koupě, protože na nabídce ojetých vozidel ani jejich reálném
stavu se tak jako tak nic nezmění, jen bude kupující v nějakém procentu
případů vědět, na čem je.
Nevím, jaký postup Škoda zvolila, ale pro jiné podobné způsoby zabezpečení
údajů se používají tyto postupy:
a) Uzamčení. Řídící jednotka palubní desky (minipočítač obsluhující
přístrojový panel, tedy zajišťující vizualizaci dat na přístrojové desce)
je do automobilky (servisu) dodán ve stavu, kterému budeme říkat "delivery
mode". V tomto módu panel komunikuje, lze přepsat některá jeho data, například
nahrát do něj aktuální software, nastavit tachometr nebo nakódovat imobilizér.
Po zabudování do auta se v rámci oživení systému řídící jednotka panelu
softwarově uzamkne, takže vybrané hodnoty (například tachometr) už nepůjdou
změnit. Prolomit tu ochranu je složité, ale většinou existuje cesta, jak
panel přivést zpět do "delivery mode", protože auta je třeba také opravovat
a přitom je potřeba na nich nastavit skutečnou hodnotu tachometru. Škoda
nejspíš zvolila tuto metodu, protože je jednoduchá, příslušná datová struktura
je již k dispozici a nevyžaduje to žádné velké změny.
b) Párování s jinou ECU: Řídící jednotka panelu obsahuje kus kódu, jiná
ECU v autě obsahuje druhý kus kódu a po spojení už je nejde oddělit. Podobně
funguje u některých aut imobilizér a kód dálkového ovládání, který používá
ke generování klíčů "násadu" složenou z čísla, které vznikne až po zkompletování
auta získáním údajů z motorové ECU a ECU palubní desky. Tím se mmj. zajišťuje,
aby nějaký gang nevyčetl kódy imobilizérů v továrně dodavatele a pak pomocí
nich nekradl auta. Majitelé Alfy Romeo 147 jistě pomyslí na originál rádio
od firmy Blaupunkt, které má "důmyslnou" ochranu proti krádeži spočívající
v tom, že se kamarádí s ECU motoru a nejde proto přendat do jiného auta,
musí se poslat někam do tramtárie a za 50 EUR ho zase uvedou do delivery
mode, aby se nastartovalo párování s motorovou ECU.
c) Watchdog. V řídící jednotce je tak jako tak většinou redundantní
systém nebo nějaký rovnocenný algoritmus (například inteligentní redundance
založená na monitorování provozních stavů). Nabízí se tedy řešení, že se
aktuální a dosažený stav tachometru bude zapisovat do paměti redundantního
systému a watchdog bude kontrolovat, zda je údaj v "provozní" paměti shodný.
Pokud by nebyl, vyvolá reset ECU a zkopíruje záložní paměť do té hlavní,
takže změna tachometru bude sice možná, ale bude trvat jen desetiny sekundy.
Podobně jsou chráněna bezpečnostně nebo emisně relevantní data, která nemohou
být uložena v ROM, ale vznikají až za provozu auta.
Pak existují další "nesystémové" přístupy, jak to přepsání osladit,
například příslušný údaj zašifrovat, hashovat nebo obojí najednou nebo
instalovat softwarou past, kdy se sice údaj tachometru nechá naoko změnit,
ale někam poznamená, že došlo ke změně, nebo spustí nějakou akci. V případě
Škody Auto by bylo nejlepší vypsat na maxidot text "nazdar hejle".
Tyto přístupy jsou dlouhodobě známy a k ochraně dat v řídících jednotkách,
a to nejen automobilových, se používají dlouhé roky. Je mi proto s podivem,
proč se Škoda rozhodla k ochraně tachometru až teď. Myslím, že je to čistě
komerční záležitost. Každá automobilka má zájem, aby se ojetá auta prodávala,
protože za předpokladu loajálního zákazníka jedno prodané ojeté auto znamená
jedno prodané nové auto a stáčení tachometrů je tak do jistého okamžiku
i v jejich zájmu. Na druhé straně má každá automobilka zájem na dobré reputaci
svých produktů. Protože najít v bazaru dieselovou Octavii s nepřetočeným
tachometrem je téměř nemožné, už to asi začalo dopadat na jejich prodejnost a zákazníci se začali orientovat na jiné značky, se kterými se méně švindluje a které se méně kradou (to je mmj. to, co každému radím).
Nastal nejspíš bod zlomu, kdy Škoda už nemohla tohle šméčko dál trpět.
Nevýhodou některých popsaných postupů je, že se tím zákazníkovi omezí
možnost opravit rozbitý přístrojový panel jinak než jeho výměnou za nový.
Samozřejmě se najde někdo, kdo bude tvrdit, že to nikdo normální přece
nepotřebuje opravovat - omyl, potřebuje, dělal jsem to za svůj život už
dvakrát. Divil jsem se přitom, jak snadné je tachometr přepsat, trvalo
mi to vždy jen pár minut. Ve srovnání s ochranou jiných kritických dat
v autě, která je poměrně propracovaná, to celé na mně působilo dojmem,
jako by si snad výrobce editovatelný tachometr přál.
Další nevýhodou je, že žádné opatření není definitivní a vzhledem k
existenci silné poptávky po manipulaci tachometrů se někomu dříve nebo později
podaří vyvinout postup, jak celou ochranu obejít. Například si příslušná
dílna opatří nový přístrojový panel, který je v "delivery mode", vyčte
obsah příslušné paměti, nakoupí si potřebné šváby, nahraje do nich tento
obsah, zamění jím původního švába a pak už je tam možné nastavit cokoli.
Problém není samotná možnost tachometr falšovat, ale existence nekritického zákazníka
a enormní ekonomická atraktivita takového úkonu. Všichni prostě chceme škodofku
kombi ftédéíčku fmetle po ňákým dědkovi, co má najeto maximálně 65535 km.
Pro někoho sen českých rodin, pro mně automaticky krajně podezřelé auto.
Průměrný zájemce o ojetou škodovku se také nevyznačuje oslnivou dynamikou
myšlení a straší mu v hlavě legacy škodovky (105/120/Favorit), které se
zpravidla při dosažení šestimístného proběhu rozpadly. Lid chce být klamán
a i když odhalení auta s přetočeným tachometrem je nesložitý úkon na pár
desítek minut, nevěnují tomu dostatek pozornosti, prostě jim to vyhovuje
tak jak to je a v podstatě je to širokou veřejností akceptováno. Trestních
oznámení a reklamací kvůli stočeným tachometrům je minimum (jednotlivé
případy za rok), zákazníci lustraci vozu v databázích Škody Auto nevyžadují,
nevyžadují ani bezcenné certifikáty Cebia. Kde je tedy ten problém, kromě
toho, že je to eticky vadné?
Snaha Škody má některé sympatické rysy. Například že implementovali
"ostrovní" řešení jen pro Škodu a VW to nemá. Nebo že se do toho vůbec
pustili, přestože odpor "komunity" a značkových servisů musel být značný.
Dávám tedy inženýrům z Boleslavi a jejich vynálezu maximálně rok.
11.01.2014 D-FENS