Розумні і небезпечні: що загрожує власникам високотехнологічних автомобілів

Сучасні автомобілі з механічного засобу пересування перетворюються в напхані електронікою гаджети на колесах — вони завантажують оновлення прошивки з інтернету, передають виробнику діагностичну інформацію і мають інтерфейси для віддаленого підключення. В результаті до звичних для автомобілів ризиків додаються ризики в галузі кібербезпеки. Вивчення цих загроз присвячено нове дослідження, найважливішими з висновками якого ми поділимося в цьому пості.

Особливості підключених автомобілів

Управління технологічними вузлами «розумного» автомобіля здійснюється через електронні блоки управління (ЕБУ). ЕБУ — це комп’ютер, який збирає дані з підключених до нього датчиків, кнопок, перемикачів, кнопок, обробляє їх та подає команди на виконавчі механізми. Найважливіша частина кожного ЕБУ — його прошивка — софт, від якого залежить надійність функціонування транспортного засобу. У деяких автомобілях налічується понад 100 ЕБУ.

Взаємодія між ЕБУ відбувається за допомогою протоколів CAN/CAN FD, LIN, MOST, Ethernet і FlexRay. Їхня загальна риса — підвищена надійність. Вони стійкі до збоїв в жорстких умовах експлуатації автомобіля, проте в жодному з них не передбачено вбудованих функцій безпеки у вигляді шифрування даних або аутентифікації пристроїв.
У найближчому майбутньому очікується поява масових моделей, оснащених вдосконаленими системами допомоги водієві (ADAS), автопілотами, а також системами взаємодії між автомобілями (V2V) і з дорожньою інфраструктурою (V2I). Такі системи допоможуть запобігати ДТП або пом’якшувати їхні наслідки, проте також і створять нові можливості для зловмисників.

Популярність каршеринга зробила затребуваною функції централізованого контролю автопарку, наприклад, можливість відстежувати кожен автомобіль в реальному часі, збирати телеметричні дані і керувати режимами роботи двигуна.
Затребуваність нових технологій змушує автовиробників скорочувати цикли розробки і виробництва, щоб продовжувати нарощувати темпи впровадження нових технологій. Гонка технологічної оснащеності призводить до того, що питання кібербезпеки залишаються невирішеними. Результат закономірний: нові автомобілі містять безліч потенційних вразливостей.

Автомобільні кіберзагрози
Підключений до інтернету автомобіль має значну кількість відкритих портів, які потенційно можуть використовувати кіберзлочинці. А враховуючи поверхове ставлення до питань безпеки з боку розробників автомобілів, проникнення в будь-який доступний ЕБУ — відносно проста задача. Перехопивши контроль над одним модулем, атакуючий може переміщатися від одного керуючого блоку до іншого і виробляти найрізноманітніші види атак, наприклад:
• DoS-атаки на ЕБУ рульового керування або гальмівної системи, які можуть призвести до аварії зі смертельним наслідком;
• блокування інформаційно-розважальної системи, або відключення запуску двигуна з вимогою викупу;
• впровадження недійсних даних у потік обміну між модулями або модифікацію переданих даних з метою, наприклад, порушити режим роботи двигуна і вивести його з ладу;
• відключення ЕБУ з використанням протоколів виявлення помилок;
• перехоплення керування автомобілем, в результаті якого може статися аварія, причому встановити справжнього винуватця в цьому випадку практично неможливо.

Вразливі діагностичні сканери
Додатковим джерелом загроз часто стають самі власники автомобілів з числа ентузіастів чіп-тюнінгу. Вони набувають Wi-Fi – або Bluetooth-сканери, які підключаються до шини CAN через діагностичний роз’єм OBD-II. Як правило, прошивка таких сканерів не містить засобів захисту від атак, тому будь-який бажаючий може розміститися по сусідству з ноутбуком, перехопити контроль над донглом і додати трохи «чіп-тюнінгу» на свій розсуд.

Головні мультимедійні пристрої
Ще один уразливий елемент, який рідко беруть до уваги, — головні мультимедійні пристрої з GPS-навігацією та іншими функціями. Автовласники часто заміняють штатні мультимедійні системи на альтернативні, щоб отримати додаткові можливості.
Велика частина таких пристроїв працює на застарілих версіях Android, які практично не оновлюються. Популярна серед водіїв функція автоматичної адаптації гучності звуку до швидкості руху вимагає, щоб головний пристрій підключено до шині CAN. В результаті віддалений зловмисник може скористатися відомими уразливими місцями Android, щоб провести атаку на CAN-шину.
Найнеприємніше: вразливі версії Android використовуються навіть у штатних мультимедійних пристроях деяких автомобілів.

Небезпечні прошивки
Практично кожен власник «розумного» автомобіля хоче, щоб його цей автомобіль став швидше і потужніше, ніж передбачено виробником. А краще всього, якщо вийде додати функції старшої моделі в більш дешеву молодшу. Гаражні майстерні, що спеціалізуються на таких модифікаціях, замінюють прошивки ЕБУ, які являють собою ОС разом з завантажувачем. Цим умільцям не заважає навіть те, що файли прошивок повинні бути підписані цифровим підписом виробника: модифікуючи код в ЕБУ, вони відключають перевірку підпису, в результаті чого блок працює з будь прошивкою, в тому числі і з шкідливою.

Уразливості в шині CAN
Розроблена компанією Bosch в 1983 році шина CAN була офіційно представлена в 1986-му, а вперше використано в серійних автомобілях у 1989-му, Через чотири роки ISO прийняла CAN в якості стандарту для автомобілів, і з тих пір ця шина і відповідний протокол для обміну даними використовуються практично в кожному транспортному засобі.

image
Системи автомобіля, підключені до CAN. Джерело: Trend Micro

Всі пристрої автомобіля взаємодіють через шину CAN. Завдяки цьому головний мультимедійний пристрій дізнається, отримавши інформацію про спрацювали подушки безпеки, що потрібно подзвонити в екстрену службу і повідомити про аварію.

Підключення до CAN пристрою взаємодію між собою, передаючи особливі повідомлення — фрейми. Ці повідомлення можуть містити різну інформацію, включаючи повідомлення про помилки. Об’єднана команда дослідників розробила атаку на шину CAN, яка експлуатує наявні в цьому випадку особливості обробки помилок:
1) помилки виникають, коли пристрій зчитує значення, які не відповідають вихідного очікуваного значення на кадрі;
2) коли пристрій виявляє таку подію, воно записує повідомлення про помилку на шину CAN, щоб «відкликати» помилковий кадр і повідомити інші пристрої, щоб вони проігнорували його;
3) якщо пристрій посилає занадто багато помилок, то, як наказують стандарти CAN, воно переходить у стан Bus Off, тобто відключається від CAN і не може прочитати або записати дані в CAN, — ця функція допомагає ізолювати явно несправні пристрої, щоб вони не заважали роботі інших систем;
4) передаючи досить велика кількість помилок, можна домогтися того, щоб цільове пристрій перейшло в стан Bus Off, тобто відключилася.
Це може стати небезпечним і навіть фатальним, особливо якщо вдасться так вимкнути подушки безпеки або ABS.
Щоб провести атаку, досить підключити до CAN пристрій, яке буде повторно надсилати в CAN кадри з помилками. А для підключених автомобілів не потрібно ніякого пристрою — достатньо скористатися уразливими в ЕБУ і запустити атаку дистанційно.

Презентація Trend Micro про атаку на CAN:

[embedded content]

Описане вище вже було перевірено на практиці. У 2015 році Чарлі Міллер і Кріс Валасек продемонстрували дистанційний злом підключеної моделі Jeep Cherokee. Водій, якого попередили про експеримент, виїхав на хайвей, після чого дослідники перехопили управління системами автомобіля. Вони включили на повну потужність музику і кондиціонер, змусили працювати щітки склоочисника, а потім змусили автомобіль повзтиме як черепаха, так що інші водії сигналили учаснику експерименту, випереджаючи його. І найстрашніше: він нічого не міг зробити — управління кондиціонером, мультимедійною системою і навіть педаллю газу було перехоплено хакерами. Після публікації результатів експерименту компанія Chrysler відкликала 1,4 млн автомобілів, оснащених вразливою для дистанційного злому системою UConnect, через яку дослідники зламали Jeep Cherokee.

Щоб вирішити накопичені проблеми безпеки галузева група ISO і SAE розробила звід керівних принципів забезпечення безпеки підключених автомобілів — ISO/SAE 21434.

Що пропонує новий стандарт

Повсюдне управління безпекою
Тобто безпека повинна стати обов’язковою частиною всіх процесів від створення концепції і розробки до виробництва, експлуатації, технічного обслуговування та виведення з експлуатації. Для управління ризиками слід використовувати вже зарекомендував себе стандарт ISO 31000.

image
Структура управління ризиками у відповідності з ISO 31000. Джерело: Trend Micro

Моніторинг ризиків
У випадках потенційних інцидентів, пов’язаних з безпекою, стандарт передбачає контрольні точки для всіх компаній, постачальників та постачальників:
• управління кібербезпеки зверху вниз повинно ґрунтуватися на постійному моніторингу ризиків в рамках всієї організації, включаючи виробництво і весь ланцюжок постачальників;
• для впровадження кібербезпеки зверху вниз організаціям знадобиться сильна культура ІБ і упор на якісну підготовку кадрів;
• керівники всіх рівнів повинні працювати над впровадженням знань в області кібербезпеки на всіх етапах бізнесу і впроваджувати їх у своїх підрозділах; для цього можна скористатися рекомендаціями стандарту управління інформаційною безпекою ISO/IEC 27001.

image
Заходи щодо забезпечення впровадження стандартів ІБ відповідно до ISO 27001. Джерело: Trend Micro.

Оцінка подій кібербезпеки
Цей процес визначає рівень впливу події в області кібербезпеки і відповідну реакцію на неї. Кожна подія необхідно проаналізувати, щоб визначити, як воно впливає об’єкт або компонент. Беручи до уваги рішення про усунення ризику, процедури реагування можуть застосовуватися на наступних етапах.

Аналіз вразливостей
Для кожної виявленої уразливості необхідно встановити, чи може вона бути використана для атаки. Всі помилки і події повинні бути проаналізовані для виявлення потенційних вразливостей, наприклад:
• пропущених вимог або специфікацій;
• архітектурних або конструктивних недоліків, включаючи некоректне проектування протоколів безпеки;
• слабких місць або некоректної реалізації протоколів безпеки, включаючи апаратні і програмні помилки;
• слабких місць в процесах і процедурах компанії, включаючи неправильне використання і неадекватну підготовку користувачів;
• використання застарілих функцій, у тому числі криптографічних алгоритмів.

Управління уразливостями
Щоб не дати потенційним злочинцям скористатися виявленої вразливістю, можливо застосування наступних заходів:
1) тимчасове відключення некритичних компонентів;
2) повідомлення користувачів про ризик;
3) створення і перевірка виправлення коду командою розробників;
4) створення і розгортання виправлень безпеки.

Управління оновленнями
Для більшості проданих автомобілів оновлення прошивок можуть бути зроблені тільки в авторизованих сервісних центрах, оскільки:
• установка оновлень для критично важливих ЕБУ не може бути виконана під час їх переміщення в цілях безпеки користувачів;
• загальний розмір оновлення програмного забезпечення, що вимагає установки, може становити кілька гігабайт, що робить час і смугу пропускання важливими факторами, що обмежують його негайне розгортання;
• оновлення ЕБУ можуть вивести його з ладу, а це означає, що їх доведеться міняти на справні в авторизованих сервісних центрах
В результаті оновлення зазвичай виконуються тільки тоді, коли користувач отримує повідомлення про несправності, а не з міркувань безпеки. В результаті більшість автомобілів не оновлюється роками.
Вирішити цю проблему покликаний новий стандарт ISO/AWI 24089 «Транспортні засоби — Інжиніринг оновлення програмного забезпечення». На поточний момент він перебуває на ранніх стадіях розробки, тому складно сказати, як він вплине на процедуру оновлення.

Як бути

Ми пропонуємо використовувати багаторівневий підхід для забезпечення безпеки підключених транспортних засобів, що включає в себе як використання найбільш актуальних відомостей про ландшафті загроз, так і забезпечення заходів безпеки ще на етапі підготовки до будівництва для транспортних засобів, мереж і допоміжних сервісів. Ці заходи повинні істотно знизити ймовірність успіху атаки і пом’якшити її можливі наслідки.
Критично важливо зберігати комплексний підхід до поліпшення безпеки підключених автомобілів, уникаючи впровадження розрізнених рішень. Тільки таким чином можна добитися узгодженого управлінського контролю в рамках всієї системи.

image
Рекомендований підхід до забезпечення безпеки підключеного автомобіля з використанням безшовної багаторівневої системи захисту. Джерело: Trend Micro.

Для цього компанії і постачальники повинні впровадити надійне та функціональне рішення, яке
• підтримує керування підключеними автомобілями;
• захищає від атак, спрямованих на транспортний засіб, пов’язані мережі і бекенда-системи;
• забезпечує єдиний контекст подій з кожної системи по мірі їх виникнення.
Так можна гарантувати безшовну багаторівневу реакцію на кібератаки для захисту, виявлення та реагування, а також для моніторингу всіх етапів виробництва і експлуатації високотехнологічних транспортних засобів.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

62

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх