Автор: Бёрд Киви
27.01.2012
В последние лет двадцать число украденных автомобилей стабильно сокращалось — по мере того как новые модели оснащались электронными противоугонными технологиями. Но постепенно автомобильная электроника начинает играть на руку злоумышленникам
В самый канун новогодних праздников одна из видных американских газет, Mercury News, решила взбодрить своих читателей страшилками про автомобильный хакинг.
Газета предложила представить совершенно кошмарную ситуацию: «В утренний час пик террористы Аль-Каиды дистанционно отключают тормоза на тысячах и тысячах машин, движущихся по автострадам Сан-Франциско и его окрестностей. Понятно, что одновременно отказавшие тормоза машин на переполненных дорогах мегаполиса приводят к массовому хаосу, смертям и разрушениям. Невероятно, скажете вы? А вот эксперты по взлому автомобильных компьютерных систем считают иначе».
По мере того, продолжает газета, как легковые машины и грузовики все плотнее оснащаются мозговитыми устройствами для автоматизации работы практически всей техники на борту автомобиля — от подушек безопасности и контроля давления в шинах до систем управления двигателем и тормозами, транспортное средство становится все более и более уязвимым в отношении кибератак. Об этом свидетельствует постоянно растущее число исследований, проводимых специалистами по компьютерной безопасности в университетах и фирмах инфозащиты.
Люди и сейчас недурно справляются с организацией себе приключений на дороге. А если им поможет еще и Аль-Каида!
Ну и дабы не пересказывать остальное содержание этой статьи, рассчитанной в основном на далеких от компьютерных технологий обывателей и вполне умышленно выдержанной в сгущенно-драматических тонах, здесь, наверное, будет правильнее сделать нечто другое. А именно: попытаться спокойно разобраться с сутью столь «тревожной новости», подыскав подходящий первоисточник — вроде обзорных исследовательских статей на темы подобного рода. И уже на основе этих материалов четче уяснить, что же такого серьезного выявили ученые хакеры относительно проблем с компьютерной безопасностью в автомобилях.
Одним из самых подходящих источников информации на заданную тему — одновременно компетентным, независимым и достаточно объективным — представляется так называемый CAESS, или Center for Automotive Embedded Systems Security (Центр безопасности встроенных автомобильных систем). Под этим названием набирает все большую известность объединенная команда исследователей из университетов Калифорнии (UCSD) и Вашингтона (UW), которые уже не первый год занимаются изучением всевозможных слабостей в работе автомобильных компьютерных систем. Коллектив возглавляют два молодых профессора, Стефан Сэведж (Stefan Savage) из Калифорнийского университета в Сан-Диего и Тадаеси Коно (Tadayoshi Kohno) из университета Вашингтона.
По многим из открытий, сделанным этой командой, были подготовлены доклады на специализированных симпозиумах и семинарах в 2010-2011 годах, так что на материалы данных публикаций вполне можно опереться для получения содержательной картины относительно компьютерной (не)безопасности в современных автомашинах.
Сегодняшний автомобиль управляется десятками различных по функциональности и назначению компьютеров, которые физически соединены через внутренние шины как электронные компоненты общей сети и, таким образом, способны воздействовать на работу друг друга. Кроме того, существенное количество этих компонентов сделано доступными и для внешних воздействий — через разнообразные интерфейсы ввода/вывода.
Многочисленные исследовательские работы прошлых лет уже показали, что целеустремленные противники — если они имеют возможность посылать пакеты во внутреннюю проводную сеть машины — способны очень серьезно влиять на безопасность транспортного средства. В частности, эксперименты с реальными машинами подтверждали, что умелый хакер ныне вполне способен без ведома автовладельца включать/выключать двигатель, запирать/отпирать двери, блокировать работу тормозов, фальсифицировать показания спидометра и так далее. Причем подсаженные в сеть машины вредоносные программы, способные порождать аварийные ситуации, могут затем бесследно и полностью самоуничтожаться, создавая видимость самопроизвольного отказа оборудования.
Практически во всех тех экспериментах, правда, для установки вредоносных кодов исследователям приходилось сначала подключать свой ноутбук к системе внутренней диагностики машины-жертвы. Однако в последних работах команды CAESS, доложенных в 2011 году, целью исследований уже стало отыскание путей для проникновения в компьютерную сеть машины без непосредственного контакта. Иначе говоря, моделировалась максимально реалистичная ситуация, в которой злоумышленник не имеет возможности влезть в чужую машину со своим ноутбуком.
Авторы «страшных» фотографий иногда добиваются строго противоположного эффекта. Например, даже трудно представить — каким недалеким должен быть негодяй, чтобы забраться в чужую машину для запуска на явно не подключенном к Интернету ноутбуке браузера Internet Explorer…
Несмотря на столь существенные ограничения, исследователям и тут удалось найти множество методов для электронного взлома автомобиля: через каналы встроенной в машину системы Bluetooth, через сети сотовой связи или, наконец, через «особо заточенные» аудиофайлы с музыкой.
Направления атаки
Атака через CD — один из наиболее колоритных, вероятно, способов проникновения. Добавляя фрагменты дополнительного кода в цифровой музыкальный файл, ученые сумели превратить записанную на CD песню, по сути дела, в троянского коня. Когда такой файл воспроизводится автомобильной стереосистемой, «песня троянца» способна перепрограммировать прошивку магнитолы, в итоге предоставляя злоумышленникам точку входа в сеть для воздействия на прочие компьютерные компоненты автомашины. При этом каналами массового внедрения для таких автомобильных троянцев могут становиться общепринятые сервисы свободного распространения музыки вроде файлообменных сетей.
Другой сравнительно просто реализуемый метод заражения — через Bluetooth. Данная технология давно стала де-факто стандартом для поддержки телефонных звонков без участия рук и, соответственно, уже является стандартной коммуникационной системой в серийных автомобилях всех основных автопроизводителей.
На этой картинке перечислены лишь основные способы внешних и внутренних электронных коммуникаций современного автомобиля
Чтобы реально оценить эффективность атаки через Bluetooth, исследователями было создано несложное приложение типа «конь троянский» на базе телефона HTC Dream под ОС Android 2.1. Как и положено шпиону, это приложение внешне выглядело совершенно невинным, однако скрытно отслеживало появление возможностей для новых Bluetooth-соединений. Делалось это, чтобы проверить и посмотреть, не является ли другая сторона телематическим устройством автомобиля (часто, как в конкретном случае протестированных машин, их Bluetooth-устройство идентифицирует себя в эфире по имени фирмы-производителя автомобиля). Если машина обнаруживалась, троянец загружал в автомобиль соответствующий код-закладку для последующей атаки.
Хотя ученые-хакеры даже не пытались закачивать код своего троянца (под видом невинной бесплатной программки) на всеобщий рынок приложений Android Market, имеется немало свидетельств тому, что менее чистоплотные «исследователи» и злоумышленники то и дело выкладывают подобные шпионские программы для всеобщего скачивания. Кроме того, в достатке имеются известные эксплойты, способные скомпрометировать и заразить смартфоны Android или iPhone в тот момент, когда с них заходят на инфицированные злоумышленниками веб-сайты. Иначе говоря, оценочные исследования показывают, что смартфоны могут становиться вполне жизнеспособным каналом для эксплуатации Bluetooth-уязвимостей автомобиля при беспроводной связи на коротких расстояниях.
В качестве других путей для эффективной компрометации электроники автомобиля, как продемонстрировали ученые, могут выступать стандартные каналы сотовой связи. Иначе говоря, у злоумышленников имеются возможности звонить и подсоединяться к машине через сети мобильной телефонии, получая полное управление телематической подсистемой автомобиля на расстояниях фактически любой дальности. Еще одно доказуемо эксплуатируемое направление компрометации — интерфейсные компьютерные устройства PassThru, применяемые персоналом на станциях автосервиса при электронной диагностике и техобслуживании машин. Как показали эксперименты, при заражении вредоносным кодом всего одного такого устройства, скомпрометированными оказываются все последующие машины, подключавшиеся к PassThru.
Эксплуатация заражения
Скомпрометированные в автомобиле ECU (Electronic Control Unit — блок электронного управления) — это, однако, только половина всей истории. Остальная часть проблемы — это то, что атакующая сторона способна затем сделать с полученными подобным образом возможностями.
По мнению исследователей, обращенные вовне интерфейсы автомобиля для ввода/вывода информации после компрометации могут быть использованы для того, чтобы дистанционно включать/выключать произвольные функции машины или в целом управлять ими, а также дистанционно получать от нее координаты физического местоположения или даже перехватывать разговоры, ведущиеся в салоне автомобиля.
Дабы максимально наглядно проиллюстрировать, каковы могут быть реальные риски от подобных угроз, исследователи описывают два базовых сценария криминального автомобильного хакинга, наиболее близкие по сути к «обычным» компьютерным преступлениям.
Кражи
Используя любую из реализованных на практике возможностей по компрометации электроники в машине (CD, PassThru, Bluetooth, сотовая связь) совсем несложно скомандовать машине открыть двери по требованию внешнего источника. Более дальновидный автомобильный вор вполне способен сообразить, что массовая дистанционная компрометация машин «вслепую» может быть использована для того, чтобы существенно изменить не только масштаб, но и, в конечном счете, саму бизнес-модель этого занятия.
Так, вместо того чтобы атаковать какую-то конкретную машину-цель, умный вор может попытаться скомпрометировать настолько много машин, насколько это вообще возможно (например, известной техникой сетевых хакеров war dialing — т. е. автоматическим «прозвоном» всех попадающихся в поле доступа систем, помечая и заражая те из них, что не защищены от вторжения).
Вероятный элемент такой компрометации: преступник может скомандовать каждой машине связываться с его центральным сервером и докладывать туда свои координаты в сочетании с VIN, идентификационным номером транспортного средства (Vehicle Identification Number). То, что это вполне возможно реализовать (через сеть IRC), показали практические эксперименты исследователей. Идентификатор VIN, в свою очередь, кодирует в себе год выпуска, фирму и модель каждой машины, а следовательно — и ее рыночную стоимость.
Складывая все эти возможности вместе, технически продвинутый автомобильный вор мог бы устраивать процедуры «просеивания» среди множества зараженных машин, выявлять среди них наиболее ценные, отыскивать их текущее местонахождение (а также, возможно, определять и то, как долго машина стоит припаркованная), а затем — посетив объект интереса на месте — дать машине команду на открывание дверей и… ну, вы понимаете.
Более того, особо продвинутый вор с корпоративным размахом может вообще перестать воровать машины сам, а вместо этого продавать свои технические возможности в качестве «сервиса» другим ворам помельче. Типа: «Алло, мне нужны последние модели BMW или Audi, в радиусе около 500 метров от Старого Арбата. У вас есть что-нибудь эдакое для меня?»
Сведущие читатели наверняка заметят, что описываемая картина криминального прогресса — это зеркальное отражение эволюции, которую претерпела известная история с компрометацией настольных компьютерных систем. Где развитие криминального хакинга шло от индивидуальных атак к массовой эксплуатации выявленных слабостей через червей и вирусы, а затем и к подпольным рынкам, где доступ к скомпрометированным компьютерам продается в качестве сервиса.
Хотя представленный исследователями сценарий на сегодня считается лишь гипотетическим, это не означает, что он нереалистичен. Ученые реализовали по отдельности все этапы этой атаки — начиная с того, что вор дистанционно отключает защитные меры автомобиля, позволяя даже совсем неопытному напарнику забраться в машину и угнать ее с места стоянки. В частности, данная атака заставляет скомпрометированную телематику машины отпереть двери, запустить мотор, отключить соленоид замка, блокирующего сдвиг рычага передачи (который обычно не дает сдвинуть машину из состояния паркинга без наличия ключа), и подделать пакеты, используемые в протоколе запуска машины (таким образом обходя существующие противоугонные меры устройств-иммобилайзеров).
Все ключевые элементы этой атаки были реализованы при экспериментах над собственным автомобилем ученых — популярным серийным седаном из средней ценовой категории. В этих экспериментах, правда, напарник хакера-вора водил «украденную» машину только вперед и назад, потому что хозяину не хотелось взламывать замок рулевой колонки. Но это, конечно, не препятствие: многочисленные видеоуроки в Интернете демонстрируют, как делается подобный трюк с помощью обычной отвертки. (В машинах подороже замок рулевой колонки управляется уже бортовым компьютером — а это для умелого хакера преодолеть еще проще.)
Слежка
В ходе исследований своих возможностей ученые обнаружили, что злоумышленник, скомпрометировавший телематическое устройство машины-жертвы, может дистанционно слушать и записывать аудиоинформацию с находящегося в кабине микрофона (обычно он предназначен для телефонных звонков водителя без участия рук), по команде передавая данные прослушки вовне — через подсоединенный к машине IRC-канал.
Более того, благодаря встроенным в машину средствам геолокации, оказывается легко регистрировать текущее местоположение автомобиля на постоянной основе и таким образом следить за тем, где бывает водитель. Эти возможности, которые оценивались в непосредственных экспериментах, представляются чрезвычайно полезными и востребованными среди частных детективов, корпоративных шпионов, ряда категорий журналистов и других профессионально любопытствующих персонажей, постоянно изыскивающих способы для подслушивания приватных разговоров.
Начиняя машину электроникой, производители невольно подкладывают будущим владельцам умное, но скромное животное с круглым носиком
Родовой дефект
Размышляя над массой уязвимостей, обнаруженной ими в электронике автомобилей, исследователи обратили внимание на примечательное сходство ситуаций, в которых эти бреши появляются. Как установлено, практически все уязвимости возникают в области «пограничных» интерфейсов — то есть между кодами, написанными разными фирмами и организациями.
В качестве наглядного примера рассматривается широко распространенный в автомашинах программный модем Airbiquity, реализующий преобразование аналоговых сигналов — речи водителя — для их передачи в цифровых сетях связи. Уязвимости обнаружены не в нем самом, а, скорее, в «склеивающем» коде, который вызывает модем и состыковывает его с другими телематическими функциями.
По такой же схеме все «работает» и в других компонентах системы. Так, уязвимость Bluetooth возникает из-за аналогичного взаимного «недопонимания» между стороной, вызывающей библиотеку стека протокола Bluetooth, и теми, кто этот стек реализовал. Уязвимость подсистемы PassThru обнаруживается в склеивающем коде на основе скриптов, который пытается устроить интерфейс между проприетарным протоколом конфигурации и стандартными скриптами ОС Linux. Даже уязвимость в перепрограммировании прошивки медиаплеера выглядит так, словно возникла она лишь потому, что изготовитель машины был просто не в курсе относительно встроенных в код подсистемы возможностей для перепрошивки чипа с помощью CD.
И хотя проблемы пограничных интерфейсов — это, строго говоря, общая проблема для безопасности всех видов программного обеспечения, исследователи уверены, что особые структурные причины делают эту угрозу особенно вероятной в автомобильной промышленности.
В частности, автоиндустрия приняла такую модель аутсорсинга применительно к компьютерным программам, которая совершенно аналогична применяемой для обычных автодеталей. То есть речь идет лишь о предоставлении спецификаций подрядчику и заключении с ним контракта на поставку комплектующих. В результате для большинства компонентов автомобиля производитель не осуществляет разработку программ сам, а лишь отвечает за их объединение в одно целое.
Причем чаще всего изготовители машин вообще не имеют доступа к исходным кодам для блоков ECU, которые они получают по контракту (а поставщики, в свою очередь, крайне не любят предоставлять такие коды, поскольку именно тексты кодов составляют их главную интеллектуальную собственность, которая, собственно, и дает им ощутимые преимущества перед производителем машины).
Даже при сборке автомобиля из деталей, полученных от разных поставщиков, случаются неприятности. Что говорить о стыковке друг с другом очень разных цифровых технологий
В итоге же, хотя каждый поставщик и осуществляет собственное тестирование устройства (на предмет соответствия спецификациям), для производителя машины оказывается чрезвычайно сложным оценить уязвимости, возникающие на стадии интеграции компонентов. Традиционные способы автоматического анализа и проверки кода здесь не применимы, а разного рода «предположения», которые по умолчанию кем-то подразумеваются, но в явном виде не включены в спецификации, весьма сложно разглядеть для подобающего их анализа.
Таким образом, общепринятый процесс аутсорсинга, вполне подходящий для чисто механических систем, оказывается совершенно неприемлемым для цифровых систем, имеющих солидный потенциал для их дистанционной компрометации.
Выводы и предложения
Разработка решений безопасности, совместимых с «автомобильными экосистемами», — это на редкость трудная задача, уже сейчас настоятельно требующая более интенсивного общения между сообществом компьютерной безопасности и автомобильными производителями (фактически в том же самом ключе, как эксперты по инфозащите сегодня напрямую взаимодействует с изготовителями компьютерных программ и железа).
Одна из вполне очевидных причин, по которым подобное сближение происходит очень медленно, сводится к простому факту: автомобили пока что нельзя считать объектом значительного интереса и атак со стороны компьютерно-продвинутых злоумышленников. Традиционно автомобили не считались системами, пронизанными компьютерными сетями, а потому у производителей не было никакой нужды принимать меры против злоумышленников, действующих на расстоянии. Всякий же негодяй, имевший возможность подобраться к машине достаточно близко для модификации системы, одновременно оказывался достаточно близко и для того, чтобы нанести существенный вред куда более незамысловатыми физическими средствами.
Теперь же стало так, что современные автомобильные системы открыли широчайшие возможности для внешних подсоединений. В буквальном смысле к миллионам машин на дорогах и стоянках уже сегодня можно дистанционно подключиться.
Основная часть исследовательских работ в данной области, подчеркивают ученые CAESS, была мотивирована сильным желанием не допустить того, чтобы автомобильные производители начали повторять ошибки индустрии ПК — дождаться тяжелейших компьютерных атак, прежде чем возвести безопасность в ранг одного из главных приоритетов своей деятельности.
Учитывая весь наработанный ранее опыт, эксперты по инфобезопасности считают, что очень многие из тех уроков, что были усвоены в процессе укрепления защиты настольных систем, ныне могут быть быстро переориентированы в контекст компьютерных систем, встроенных в автомобиль.
В одной статье, пусть даже и такой немаленькой, как эта, трудно рассказать обо всех наработках CAESS. Если тема вас заинтересовала, зайдите на веб-сайт исследователей, расположившийся по адресу http://www.autosec.org/. И всегда надо помнить: автомобиль слишком велик, чтобы исправить все уязвимости в безопасности при помощи шапочки из фольги…
Пока автопром еще не перестроился под современные цифровые реалии, лучше приобретать автомобиль без компьютерной начинки. Как говорится, полчаса позора — и вы на работе!
http://www.3dnews.ru/offsyanka/623605/