Специалисты по инфобезу: «Умный автомобиль далеко не всегда безопасный автомобиль»

    image
    Источник: Getty Images

    Еще три года назад два специалиста по информационной безопасности показали, что новые модели Jeep уязвимы для атак злоумышленников. Здесь имеются в виду не ходовые качества и прочие характеристики, а возможность управлять различными функциями удаленно. И чем «умнее» машина, тем сильнее она подвержена влиянию извне. К сожалению, демонстрация, проведенная упомянутыми специалистами, особо ни к чему не привела. Да, производитель Jeep постарался решить проблему, но другие компании все так же мало обращают внимание на необходимые меры информационной безопасности, как и раньше.

    На днях сотрудники компании Trend Micro опубликовали пост, который дает понимание того, насколько плохо хорошо защищены современные автомобили от возможности взлома. Эта же информация была озвучена на конференции по инфобезу DIVMA, проводившейся в Бонне, Германия. По словам исследователей, главная проблема — это протокол CAN, который различные элементы автомобиля используют для взаимодействия друг с другом и общей сетью. Как оказалось, протокол уязвим, и злоумышленники, при условии обладания необходимыми знаниями и оборудованием, могут эксплуатировать в своих интересах слабые места в защите CAN.

    «Вы можете отключить подушки безопасности, геодатчики, отключить или включить центральный замок и угнать машину», — заявил Федерико Магги, один из членов команды Trend Micro, которая и проводила испытания. По его словам возможные атаки останутся незамеченными — обнаружить их крайне сложно.

    image
    Диаграмма сети CAN

    Пока что исследователи продемонстрировали лишь часть угроз, которые не являются критическими. Во всяком случае, перехват управлением автомобиля, который был показан в 2015 году на примере внедорожника Jeep, пока что показан не был. Тем не менее, нечто подобное можно сделать с Tesla, наверное, одним из наиболее технологичных наземных средств передвижения человека на данный момент.


    Положительным моментом во всем это является то, что найденные уязвимости нельзя эксплуатировать удаленно на все 100%. Все же злоумышленнику необходим разовый доступ к системе управления и безопасности автомобиля. Без этого осуществить свой замысел будет невозможно. Подключиться необходимо либо к беспроводной сети, либо к OBD порту авто.

    Тем не менее, угроза проведения атак подобного типа достаточно серьезна, чтобы производители авто могли просто игнорировать проблему.

    Так в чем угроза? Как и говорилось выше, уязвимости в CAN можно использовать в своих интересах. А именно — злоумышленники при желании могут заставить какой либо элемент авто казаться «дефектным» для центральной системы управления машиной. В таком случае этот элемент отключается самим автомобилем, и работать он не будет. Обнаружить такой тип атаки, по словам исследователей, достаточно сложно, если вообще возможно.


    При этом отключать элементы системы управлением автомобиля можно по-разному, выдавая различные сообщения об ошибках. В итоге одна и та же атака может выглядеть со стороны, как несколько несвязанных между собой происшествий. Соответственно, обнаружить атаку будет крайне сложно. Кроме того, понять, действительно ли что-то сломалось или же кто-то проводит атаку на автомобиль нельзя.

    Пока что эта работа носит чисто теоретический характер. Реальный злоумышленник вряд ли в сколь-нибудь близком времени сможет провести атаку, предсказанную экспертами. По словам руководителя исследовательской группы, он «будет удивлен, если увидит это на практике».

    Но это сейчас, поскольку «умных» автомобилей не так уж и много. Но с течением времени их становится все больше и больше. Соответственно, хакеры могут переключить свое внимание не взлом автосистем (некоторые этим занимаются уже давно). Поэтому прежде, чем теоретическая проблема станет реальной, специалисты стараются упредить возможность эксплуатации уязвимостей в CAN.

    Авторы работы, о которой идет речь в этом материале, говорят, что производителям автомобилей стоит сосредоточиться не только на дизайне и ходовых свойствах своих авто, но и на защищенность производимых ими автомобилей от угрозы внешнего вмешательства.
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 38
    • +1
      Чтобы сделать автомобиль достаточно безопасным, ИМХО, нужно всего лишь не делать физическую связь между CAN-шиной автомобиля и его средствами коммуникации. Если не будет возможности подключиться и что-то сделать удаленно, то остальные угрозы не настолько существенны для пользователей. Установка «закладок» в софт автомобиля при физическом доступе на автосервисе принципиально ничем не отличается от «подпилить трубки тормозной системы» для классических автомобилей.
      • +2
        Физическое соединение между CAN-шиной и внешним миром есть, и находится оно на плате головного устройства, отвечающего за музыку, навигацию и т.д. На него же завязаны такие вещи, как климат-контроль, датчики уровня топлива, открытия дверей и пр.
        • 0
          Вот и я про что. Этого быть не должно. Нет никаких пользовательских функций, которые требуют подобной связи. Медиа-голова должна быть автономным устройством, никак не связанным с борткомпьютером автомобиля. У них ведь по факту нет никаких общих функций, кроме вывода информации на один и тот же дисплей.
          Даже если говорить о беспилотном автомобиле, которому понадобится работа с GPS-приемником, его блок навигации также можно будет безболезненно отделить от головного устройства. Поэтому в безопасном автомобиле просто должно быть два независимых устройства. Одно обеспечивает пользователю интернеты, карты, музыку и имеет выход в сеть, но не имеет подключения к CAN-шине, второе управляет системами автомобиля, но обмен данными с внешним миром может проводить только через аппаратный интерфейс.
          • +2
            Медиа-голова должна быть автономным устройством, никак не связанным с борткомпьютером автомобиля. У них ведь по факту нет никаких общих функций, кроме вывода информации на один и тот же дисплей.

            А еще голова меняет громкость в зависимости от скорости, а еще она отображает парктроники, а еще она читает кнопки на руле (да, тоже по CAN), определяет необходимость приглушения подсветки, запрашивает при включении пин-код у бортового компьютера и т.п. На самом деле в современном автомобиле почти все системы очень сильно взаимосвязаны друг с другом. И если эту взаимосвязь убрать — сейчас она через CAN и осуществляется, то вернемся к автомобилям уровня 70-х годов.

            • +2
              Все эти функции, кроме двух, можно прекрасно реализовать без необходимости подключения медиаплейера к CAN. Что касается тех двух оставшихся, то кнопки на руле вполне обойдутся собственной шиной к медиаплейеру, а функцию регулировки громкости в зависимости от скорости можно вообще выкинуть, не потеряв ни одного потенциального покупателя. В конце-концов, если вдруг она кому-то нужна, её можно реализовать программно внутри медиаплейера, рассчитывая скорость с данных GPS-приемника, а не снимая её с CAN. Точности GPS для такой задачи будет вполне достаточно.
              На самом деле в современном автомобиле почти все системы очень сильно взаимосвязаны друг с другом.

              Речь идет о том, что в современном автомобиле есть всего лишь одно, абсолютно второстепенное устройство, у которого есть аж три функции — играть музыку/видео, показывать карты и раздавать интернеты, которое является серьезной дырой в его безопасности.
              И нет никаких причин, кроме идеологических, почемы бы это устройство не отодрать от борткомпьютера и CAN-шины автомобиля. И даже нет проблем в том, чтобы подключить его к тому же дисплею на консоли, что и борткомпьютер, не давая возможности обмениваться данными с компьютером.
              • –3

                Мультимедиа приведена только в качестве примера. Можно, конечно, вообще выдрать все эти современные умные штучки и машина будет ездить. Но нужна ли сегодня кому-то машина, лишенная всех тех удобств, к которым все уже привыкли? Система курсовой устойчивости, антипробуксовка, системы безопасности, иммобилайзер, климат-контроль, системы активной безопасности и еще целый список полезных и/или приятных фич. Все они требуют взаимодействия между собой различных систем автомобиля, а соответственно и какого-то канала обмена данными между ними.
                С тем же успехом можно предложить отключить компьютеры от интернета, чтобы никто не смог взломать их.
                В статье, кстати, рассматривается как взлом через беспроводную сеть, так и через подключение непосредственно к шине CAN.

                • +2
                  Мультимедиа приведена только в качестве примера

                  Почему «только в качестве примера»? Наоборот, речь идет только о мультимедиа. В автомобиле нет никаких других устройств или функций, которым нужен доступ в Интернет, и соответственно, через которые возможно извне проникнуть в бортовую сеть. Только медиаплейер. Отделите плейер от всех остальных функций, и вот вам безопасный ко взлому автомобиль.
                  Система курсовой устойчивости, антипробуксовка, системы безопасности, иммобилайзер, климат-контроль, системы активной безопасности и еще целый список полезных и/или приятных фич.

                  Я вообще не понимаю, к чему это? Я нигде не предлагал их убирать. Более того, если вы отождествляете эти функции с головным устройством, вы слишком хорошо думаете про эту железяку. В большинстве автомобилей головное устройство — это плейер, навигатор и системный дисплей. Мозги, управляющие поведением автомобиля на дороге, находятся далеко от головы, и выполнены совсем по другим технологическим нормам.
                  , так и через подключение непосредственно к шине CAN.

                  Взлом при непосредственном подключении к CAN имеет практически нулевую ценность, и рассматривать его как потенциальную угрозу нет смысла. Если у вас есть физический доступ к автомобилю, вы и так с ним что угодно сделаете.
                  • 0
                    Извините, но речь не идет только о комбинации мультимедиа + Интернет.
                    Во-первых на Интернет завязывается все больше систем лезущих глубоко внутрь, например: OTA, парковка по мобильнику, V2x, дорожная информация, телеметрия… Всем этим системам нужен доступ «внутрь», на CAN и не только, потому некий гейтвей будет в любом случае, неважно если самостоятельным устройством или в рамках инфотеймента.
                    Во-вторых, как уже говорилось выше, текущий инфотеймент это очень многофункциональный комбайн, в которам далеко не только плеер. Выдрать в самостоятельные блоки навигацию, body controller, многофункциональный дисплей с настройками всего и вся и легкой диагностической иформацией и, собственно, плеер будет недешево, очень. Не сколько в производстве, но в разработке и валидации.
                    • 0
                      Я согласен, что есть много завязанных на Интернет функций, которые хоть и не являются массовыми сейчас, но сильно хотят попасть в автомобили в будущем. Но тут уже вопрос выходит на другой уровень, надо ли их делать массовыми в принципе. Я думаю, не ошибусь, если скажу, что безопасность автомобиля, у которого управление через Интернет является штатной функцией, даже если ей производители будут уделять максимальное внимание, не будет лучше, чем у вашего персонального компьютера или смартфона. При этом стоимость ваших потенциальных потерь будет на порядки выше. И это при том, что потребительская ценность данной функции далеко не самая высокая.
                      И мне почему-то кажется, что при таком раскладе управление автомобилем через Интернет не станет массовым. Я не вижу путей сделать его достаточно безопасным, и когда после первоначального хайпа люди столкнутся с проблемами, интерес к этой фиче быстро сойдет на нет.
                      Выдрать в самостоятельные блоки навигацию, body controller, многофункциональный дисплей с настройками всего и вся и легкой диагностической иформацией и, собственно, плеер будет недешево, очень.

                      Ну, не преувеличивайте. Каких-то денег будет стоить, но учитывая, что разработка новой платформы у автопроизводителей сейчас стоит 3-5 гигадолларов США, эта сумма будет незаметной в общих расходах.
                      • +1
                        Пока автопроизводителю будут выгодны данные функции — они в машинах будут. ОТА выгодна самим ОЕМ, насколько я вижу в ближайшие 5 лет такое будет у всех не low-cost. Автопарковка с помощью телефона или нахождение машины, опять же насколько вижу я, тоже весьма популярны. V2X это вообще практически необходимая основа для высших уровней автоматизации вождения. Телеметрия опять же выгодня ОЕМ. Я плохо себе представляю сколько происшествий должно произойти и какая волна «хайпа» должна подняться чтоб хотя б одна из этих функций не стала массовой в ближайшие 10 лет.
                        Платформа разрабатывается далеко не ради одной модели и обновляется далеко не каджый год. Для примера посмотрите сколько всего построено на VW MQB платформе. Для существующих/выходящих в ближайшие пару лет моделей уже никто ничего переделывать не будет. Для перспективных же платформ вопросы безопасности уже вполне решаются. Требования на файрвол, фильтрацию и шифрование я видел в ТЗ как минимум 3 разных ОЕМ, только вот на рынок эти модели выйдут после 2020.
                    • –2
                      В автомобиле нет никаких других устройств или функций, которым нужен доступ в Интернет

                      Да, автомобиль способен ездить без интернета. Жигули вон ездили не только без интернета, но и вообще без всяких канов и других цифровых технологий, давайте вернемся к тем идеальным в плане безопасности автомобилям :) И потребитель обязательно проголосует кошельком за более информационно-безопасный автомобиль, а не за напичканный разными удобными плюшками.


                      Если у вас есть физический доступ к автомобилю, вы и так с ним что угодно сделаете.

                      Это далеко не всегда так, по крайней мере если речь идет об ограниченном по времени доступе.

                      • 0
                        Да, автомобиль способен ездить без интернета

                        Я пытаюсь уловить ход вашей логики. Как вы от моего предложения «отделить медиаплейер от CAN» пришли к выводу, что у пользователя автомобиля вдруг исчезнет доступ к интернету. Не получается, её-богу. Вроде бы слово «отделить» вполне понятное, и не означает «убрать», «запретить», «уничтожить».
                        Это далеко не всегда так, по крайней мере если речь идет об ограниченном по времени доступе.

                        Чтобы взломать машину через прямое подключение к CAN, время залезть в машину, открыть капот, подключиться к системному интерфейсу, залить кряк, закрыть капот, закрыть машину у злоумышленника должно быть. Если на вас охотятся тренированные спецагенты Моссада, то да, они с такой задачей справятся быстро и незаметно. Остальные вряд ли.
                        • 0
                          Я пытаюсь уловить ход вашей логики. Как вы от моего предложения «отделить медиаплейер от CAN» пришли к выводу, что у пользователя автомобиля вдруг исчезнет доступ к интернету.

                          А где я пришел к выводу, что пользователь останется без интернета? Я вроде об автомобиле говорил, а не о водителе.


                          Если на вас охотятся тренированные спецагенты Моссада, то да, они с такой задачей справятся быстро и незаметно. Остальные вряд ли.

                          С подобной задачей справляются и подготовленные угонщики. Если машина не защищена от этого. Ну разве что "кряки" у них служат другим целям.

              • +2
                Если монитор общий, то связь будет, как ни крути.
                Если два разных монитора, то это дико неудобно. Юзерусу ламерусу непонятно, почему одни параметры на одном мониторе, другие на другом.
                Кроме того, это сильно осложняет или вообще не позволяет реализовать всякие продвинутые удобства. Типа кнопок управления телефоном на руле, когда при входящем звонке автоматом глушится музыка и включается громкая связь. Или когда прокладываешь маршрут в навигаторе, а он тебе такой: «друг, маршрут построен, но бензина не хватит. Заехать на заправку?»
                • +1
                  Отдельный интерфейс с крайне ограниченной функциональностью. По сути нужен обмен небольшим количество сообщений. Всё. Из вышеперечисленных примеров вообще только один требует связи:
                  Управление телефоном на руле вообще не обязано быть частью внутренней системы. Просто вытянутые далеко кнопки мультимедии. Музыка туда же. Бензин — тупое сообщение «прочитать датчик такой-то». Если требуется управление системами автомобиля — ок, передаём коды виртуальных клавиш, а внутренняя система с ними работает.
                  Всё решается. При желании.
                • 0
                  Я почти на 100% уверен, что WiFi модуль на вашем компьютере так или иначе сидит на общей шине с HDD/SDD, который хранит ваши секретные данные.
                  Хотя зачем WiFi модулю диски?

                  Меня ужасают последнее время заявления «мы нашли уязвимость» где под уязвимостью подразумевают достижение непонятного результата при некорректно поставленном эксперименте.

                  Да, о проблемах в IoT (и о значении буквы S в этой аббревиатуре) можно и нужно говорить. Но если каждый раз кричать, что что-то уязвимо просто потому что питается от одного аккумулятора, и замкнув гаечным ключом клеммы аккумулятора можно вырубить машину, и подав это под соусом «в машине нашли уязвимость»… Я боюсь, что безопасники попадут в ситуацию мальчика, который кричал «Волки»!
                • 0

                  Возможно, имелась в виду информационная связь между шиной CAN и доступными коммуникационными интерфейсами — например WiFi.

                  • 0
                    Это понятно, прямой связи и сейчас нет. Но через дырку в софте «головы», а софт там по качеству ниже плинтуса, можно вывалиться в CAN-шину через сотовую сеть. И вот это уже капец.
                    • 0

                      Именно про это я и писал.

                      • 0
                        А вот с этого момента подробнее можно?
                        Действительно можно использовать существующие/потенциальные уязвимости, чтобы «вывалиться»?
                        Где про это можно почитать?

                        И что такое, кстати, «информационная связь», которую вы упоминаете выше? Возможность с WiFi иметь прямой доступ до CAN? Или что?
                        • 0

                          Честно — не знаю действительно ли можно сделать это, но если потенциальная возможность есть, то вполне допускаю, что кто-то когда-то найдет и практический способ использования этого вектора атаки :)
                          Информационная связь — это я имею в виду возможность трансляции каких-то данных из внешнего канала коммуникации (WiFi, к примеру) во внутреннюю сеть CAN. Ну, как грубый утрированный пример — внешний девайс (смартфон) передает по WiFi пароль для разрешения запуска двигателя и этот пароль по CAN передается в блок управления двигателем. Я знаю, что так не делается, пример только для наглядности :) Отсутствие информационной связи — это когда никакие внешние данные не попадают во внутреннюю шину, а обрабатываются исключительно внутри системы, получившей их (мультимедиа, сигнализация, блок коммуникации — кто поддерживает эту внешнюю коммуникацию).

                          • +1
                            Дык, везде делаются ограничения по такой «информационной связи». Никто в здравом уме не будет на «голове» делать управление тормозами. И не делают.
                            Есть ли «возможность»? Ну, приблизительно такая же, как возможность wifi блоку в ноуте писать на винчестер — исключать такой возможности нельзя (и если что-то такое обнаружится, то надо с этим работать), но кричать, что «машину взломали, т.к. везде CAN у которого нет шифрования»… выглядит как-то… странно — у всяких USB/PCI/что-там нынче-модно тоже шифрования нет, а данных по ним передается во всем мире…
                            Не стоит приводить в жизнь историю про хакера в столовой. Это не повысит безопасность отрасли, я уверен.
              • +2

                Судя по презентации, ребята подключились к ECU CAN-шине(которая по умолчанию недоступна пользователю, так как там идет обмен критической информацией в реальном времени) и Уху! обнаружили, что могут там натворить дел. Естественно, что могут, так как CAN, как и все промышленные шины типа Modbus, Profibus, EtherCAT и пр, является протоколом максимум 2-го уровня OSI. Какого либо шифрования данных по умолчанию там нет из-за серьезных требований к реальному времени и при физическом доступе к шине злоумышленник может сделать все, что угодно.
                Так что здесь нового?

                • –1
                  Не знаю на сколько высокая скорость требуется, однако вроде как в некоторых системах применяется аппаратное потоковое сжатие данных при работе с памятью для экономии пропускной способности шины. Шифрование применяется в каком-то протоколе DRM которые не позволяет тырить картинку/звук с кабеля монитора. И скорость там, вроде, вполне приличная. Лучше бы использовали эти технологии по назначению, чем отдавать все усилия на то, чтобы никто ничего лишнего нахаляву не увидел.
                  • +1
                    Если именно так (а пока все выглядит именно так), то я боюсь предположить какие открытия нам несут исследования I2C шины в мобильниках и многих других устройствах, чтобы считывать показатели датчиков, исследования SATA, чтобы исследовать передачу данных с нешифрованными дисками…

                    Ну, и как я говорил, возможность отключения любой системы замыканием аккумулятора гаечным ключом.

                    Как много нам открытий чудных…
                    • 0

                      Скажем так, SATA, PCIe — это высокоскоростные последовательные шины, подслушать которые достаточно сложно (начальное оборудование стоит примерно 50к$), но возможно. Но убить компьютер вмешательством в эти системы проще простого. Стоит только отключить кабель...

                    • 0

                      Судя по оригиналу статьи, они разобрались с удаленным обновлением прошивки и смогли изменить ее открыв доступ к ecu-can через сеть. Без физического доступа к автомобилю. Видимо функция обновления была не защищена или уязвима для реверс инжиниринга.

                    • –1

                      О чем статья? Где пруф? Где команды?
                      Можно взломать Пентагон, если иметь прямой доступ в сеть. Пффф

                      • 0

                        Интересно, что все злоумышленники это крутые хакеры…
                        Как насчет двух наркоманов, которые хотят вас прирезать ради дозы, один встанет перед умным автомобилем, а второй будет вас в это время выковыривать ножичком из автомобиля…
                        Ну или для наших палестин более реальный вариант — толпа арабов — сколько раз уже народ спасался бегством от смерти тараяня толпу, которая собирается вас линчивать…
                        Интересно, как с такой безопасностью у умных автомобилей ?

                        • +1
                          Это они только поначалу крутые, пока всё это в лабораториях. А потом, в какой-то момент любая успешная технология, в том числе и криминальная, переходит на промышленные рельсы.

                          Очень показателен случай с банкоматами. Приходит мигрант со сделанной кем-то флешкой, по инструкции тыкает её в банкомат (есть несколько способов добраться до внутренностей). Уходит. Зачастую владельцы банкомата даже не замечают этого. Потом, в произвольный момент времени, приходит другой мигрант — с пакетиком — и получает всё содержимое сейфа. Операция — невероятно высокотехнологичная. Но крутые хакеры в ней не участвуют — они написали всё, что нужно и продали другим людям.
                          • 0
                            Наркоманы, конечно, встречаются чаще крутых хакеров. Однако представьте себе хакера, который находит уязвимость вроде той, что нашли в джипе. Только этот вместо того, чтобы опубликовать её, начинает шантажировать автопроизводителя и требовать тонны денег. А для для подтверждения своих слов впечатывает пару десятков автомобилей в стены на полном ходу. Один злой хакер может натворить бед больше, чем целая армия наркоманов. Поэтому хакеры и вызывают столько беспокойства.
                            • 0

                              Ну, тут спорно, на самом деле. Как показывает опыт Барселоны, Ниццы, Берлина и далее по списку, то армия наркоманов вполне может причинить беспокойств больше, чем слитые в сеть серии Игр Престолов

                              • 0
                                Дубль
                            • 0
                              «Умный автомобиль далеко не всегда безопасный автомобиль» — а что, этой проблемы нет у неумных, то есть обычных автомобилей?
                              • +1

                                Да они капитаны!

                                • 0
                                  По моему так всегда с любым предметом происходит — чем он «умнее» тем он менее безопасен. Но это правило всегда работает, не только на «умных» вещах. Простота залог надёжности. Кирпич на ногу не наедет, пешехода не собьёт, и ужин вам не сожжет. Если хотите чтобы что-то делалось за, или для вас, без вашего участия, то будьте готовы к косякам.
                                  • +1

                                    Уж извините, но что-то за откровения выдаются вещи, большинство из которых читаются в тех же немецких ВУЗ'ах студентам автомобилестроительных специальностей на втором, максимум третьем курсе.


                                    Ну, и уж точно известные любому опытному инженеру-разработчику автомобильных коммуникаций.


                                    Так, например, в общем случае, чтобы получить доступ к сети CAN, надо просто найти CAN-кабель в любой точке авто, снять изоляцию и просто подключиться двумя точками на CAN-HIGH и CAN-LOW с параллельным сопротивлением в 120 Ом (и то, на длинах до 3-4 метров потянет и без сопротивления :).


                                    И много чего ещё странного в утверждениях.

                                    • 0

                                      Если у меня в авто кассетный магнитофон — мне быть спокойным?

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.