Чарли Миллер (отдел безопасности компании Twitter, бывший хакер АНБ, слева) и Крис Валасек (консалтинговая компания IOActive)
Специалисты по безопасности Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) хорошо известны в хакерском сообществе. Они неоднократно выступали на конференциях с докладами об уязвимостях в автомобильных компьютерах. Пожалуй, самой известной их презентацией был взлом 2014 Jeep Cherokee два года назад с дистанционным управлением некоторыми функциями автомобиля. После той презентации автопроизводителю пришлось отозвать почти 1,5 млн машин по всему миру для замены прошивки.
Что характерно, первая замена прошивки оказалась не слишком удачной. С новой прошивкой возможности взлома автомобилем только увеличились. Потом пришлось ещё раз её менять.
Через два года после той истории хакеры выложили практически пошаговое руководство по взлому Jeep Cherokee, а также инструменты и документацию по взлому других автомобилей с шиной CAN.
Хакеры не первый раз поступают подобным образом. В 2013 году после демонстрации управления автомобилями 2010 Toyota Prius и 2010 Ford Escape с ноутбука и геймпада Nintendo они представили подробный доклад с описанием техники взлома и опубликовали программный код для эксплойта автомобильного компьютера (ECU) с помощью передачи пакетов по шине Controller Area Network (CAN).
Судя по всему, это был их первый опыт успешного взлома автомобилей. Результаты того эксперимента описаны в фундаментальной работе “Adventures in Automotive Networks and Control Units”. Это первое, что стоит прочитать при изучении работ Миллера и Валасека. Сами они поставили ссылку на подборку статей по безопасности встроенных автомобильных систем как must read.
Вторая работа Миллера и Валасека — «Взлом автомобилей для бедных». В ней объясняется, как заставить работать ECU снаружи автомобиля и использовать инструменты, описанные в предыдущей работе, для изучения сообщений шины CAN и проведения атаки.
Попытка спасти Jeep после того, как хакеры отключили ему тормоза в дистанционном режиме. Эксперимент 2015 года
Самая объёмная работа посвящена общему анализу подходов к взлому автомобилей. Авторы подчёркивают, что у них нет возможности проверять каждую модель в отдельности и они не могут делать выводы о наличии уязвимостей в них, но для всех современных автомобильных компьютеров существуют определённые стандартные векторы атак, которые можно использовать. В этой работе Миллер и Валасек также дают рекомендации автопроизводителям по разработке безопасных систем.
В открытом доступе опубликована работа 2015 года по взлому Jeep Cherokee и общее руководство по инъекции команд в шину CAN (28.06.2016) с описанием методов обработки конфликтных команд автомобильным компьютеров. Дело в том, что внедрить свои команды в шину — не проблема, но в то же время от водителя не прекращается поток аутентичных команд по той же шине. В результате, например, от хакера поступает команда отключить тормозную систему, а от водителя — команда на торможение, и компьютеру приходится справляться с такими ситуациями.
Опубликованные документы — золотая жила для автомобильных хакеров, желающих поэкспериментировать со своими машинами. По опубликованным работам можно отследить хронологию автомобильных взломов: от простеньких хаков с изменением показаний спидометра и включением стеклоочистителей до управления машиной через инъекцию произвольных команд в шину CAN. Описанные методы атаки в целом подходят не только для Jeep Cherokee, но и для многих других моделей. У исследователей просто не было возможности поэкспериментировать с другими машинами, они изучали именно ту, которая была в наличии. Вполне разумно предположить, что инъекция команд по CAN работает во многих автомобильных системах, если правильно подключиться к ECU.
Автоконцерн Fiat Chrysler в 2015 году отозвал следующие модели автомобилей для замены прошивки: 2013-2015 MY Dodge Viper 2013-2015 Ram 1500, 2500 и 3500, пикапы 2013-2015 Ram 3500, 4500, 5500 Chassis Cabs, 2014-2015 Jeep Grand Cherokee и Cherokee SUV, 2014-2015 Dodge Durango SUV, 2015 MY Chrysler 200, Chrysler 300 и седаны Dodge Charger 2015, спорт-купе Dodge Challenger
Конечно, большие знания несут и большую ответственность. Не стоит дистанционно отключать тормоза или педалировать газ в автомобиле, который вам не принадлежит. И уж тем более не следует использовать полученные знания для похищения чужих автомобилей, как это делали угонщики в Хьюстоне, которые похитили более 100 автомобилей Dodge и Jeep, вооружившись ноутбуком (видео).
Поделиться с друзьями
GloooM
Понимаю если машину взломать можно хоть сколько-нибудь удаленно, эти случаи действительно проблема и система решето конечно.
Но вот остальные «мы подключились к внутренней сети автомобиля и подменили данные», с таким же успехом можно «взломать» систему управления какой-нибудь АЭС или химического предприятия и натворить дел подменяя данные в сетях.
А то в следующей итерации производитель зашифрует обмен данными между блоками по CAN шине, а хакеры скажут что можно напрямую подпаяться к сервоприводам/датчикам/т.п. и управлять авто =)
Zmiy666
Ну у АЭС физически нет соединения с внешним миром. Безопасность же. К тому же там куда более параноидальная система защиты и она дублируется механическими устройствами, которые сработают если параметры выйдут за допустимые рамки, а электроника будет молчать. (на случай ЭМИ атаки)
Вот с химозой сложнее… будет еще один бхопал
Gromozeka_dp
да ладно вам — в случае с СНГ — отвезет так автолюбитель своего коня на установку сигнализации или на ТО куда-нибудь, а через пол-года конь уедет… и автолюбитель даже не свяжет эти два факта
ZetaTetra
Для этого необязательно использовать «хакерские навыки».
Достаточно радио-метку или ещё один ключ прописать в систему.
Klukonin
Нет, ключи можно стереть. А жучек на CAN шине и обнаружить будет сложно, и воспользоваться можно даже на большом расстоянии.
ZetaTetra
Очень интересно будет послушать рассказ, как автолюбитель, после установки сигналки или прохожения ТО, будет не то что стирать лишние ключи, а просто просматривать список привязанных ключей к ТС.
Ладно с сигналками, у некоторых в инструкциях написано как обнулять привязанные метки. А вот со штатными иммо, такой финт без сервисного оборудования не прокатит.
Смотря что требуется. Если угнать ТС, то сложновато будет одним жучком угнать.
Да и виден он, не очень явно, но случайно заметить инородный предмет под приборкой проще, чем проверить уровень масла в картере.
Pakos
My car->Информация->Автомобиль->Привязанные ключи
в меню.
ZetaTetra
Выглядит как:
В каком меню? :)
Какая марка? Какая модель? Рестайл/дорестайл? Какая комплектация?
Pakos
Выглядит как слишком общая гипотеза.
У Volvo, моделей последних лет 7.
В обычном меню настроек мультимедии и всяких DSC/CitySafety и прочих систем, которое появляется при нажатии кнопочки [MY CAR] или аналогичной на панели. Типа такого
Gromozeka_dp
Можно конечно стереть, но часто ли вы на ТО проверяете кол-во ключей? Я лично только после покупки очередной машины. И вы не можете просто стереть ключ номер три. Обычно Вытираются все одной командой, потом прописываются те что на руках. Т.е. Для этой операции надо — дилерский или хороший мультимарочный сканер, все нужные ключи на руках, прямые руки сервисмена)))
Если машина с бесключевым доступом, то для каждого брелка иммо и ремоут кей отдельно прописываются по разным алгоритмам.
«Жучок», врезанный в кан-шину может, к примеру, подать сигнал на открытие ЦЗ, врезаться можно снаружи автомобиля — например достав провода внутри колесной арки или подходящие к фарам (да-да кан-шина на фару ))) ) и там же спрятать его. Хернюшка помещается внутрь родного пластикового кожуха проводов, поэтому если специально не разбирать жгут то ее не видно. К слову нормальные противоугонки примерно так и устанавливаются. без единого центрального блока внутрь родных жгутов — попоболь для угонщиков)))
Fagot63
Ну так начнут производители авто массово ставить беспроводные технологии(GSM, Wi-Fi), а софт будет по прежнему дырявый. Вот радости будет
малолетнимхакерам.P.S. Правильно делают, орел птица гордая, пока не пнешь, не полетит.
Gromozeka_dp
Тесла уже так исполнила. У нее диагностика по TCP/IP через WLAN вместо OBD. и доступ к машине через приложение на смартфоне. в итоге протокол отреверсили, API в открытом доступе…
GloooM
Надеюсь что в Tesla с безопасностью получше чем в том Jeep, у них какой-то архитектурный просчет, как понял из описания там мультимедиа система с 3G/WiFi висела прям сразу на CAN шине с двигателем/коробкой/ESP.
Я смотря например на Ford с трудом представляю как такое повторить даже при наличии дыры в мультимедиа системе, тут отдельная CAN шина под мультимедию, которая через шлюз соединена с среднескоростной CAN шиной салона (двери/стекла/свет/климат) и которая в свою очередь через другой шлюз соединяется с моторной CAN шиной. Перепрошить первый шлюз из мультимедиа шины нельзя, только из салонной. Ровно как и второй шлюз прошивается только из моторной шины. А сами шлюзы пересылают только определенные сообщения и только в определенную сторону. В общем тут фиг доберешься до важных частей автомобиля из мультимедии. Но вот воткнувшись напрямую можно веселиться как и описали эти ребята.
Но вообще да, наверное стоило дать задуматься автопроизводителям чтоб аккуратней были с беспроводными интерфейсами.
Gromozeka_dp
Про Форд точно не скажу, но система с шлюзами отлично себя чувствует на ВАГ-ах) Хотя все же через ОБД разъем можно получить доступ ко всем ЭБУ так или иначе. А через инфотеймент тем более. Но нужно время и спец. инструмент железо+софт. С другой стороны там полагаются больше на Cоmponent protection, поэтому модифицировать прошивку не удастся — блок не будет распознан как свой.
У Теслы же вообще полная Ж… с архитектурой. Тот случай когда айтишники начали проектировать автомобили и проходят те грабли которые немцы прошли 10 лет назад. В погоне за коннективити и ОТА апдейтами упустили секьюрность. На гиктаймс есть материал по этому поводу.
GloooM
Хотя казалось бы как раз айтишники то должны уметь в секьюрбут/подписывание прошивок/т.п.
ZetaTetra
Не знаю как в новых фордах, а в старых, штатный иммобилайзер обходился без метки в ключе через CAN.
GloooM
Ну это понятно, зная алгоритм и ключи его и сейчас наверняка можно обойти. Но для этого надо подключиться в HS_CAN шину, где и происходит обмен иммо. А вот из MS_CAN или MM_CAN (где висит мультимедия с условно уязвимым 3г/вайфаем) туда никак не попадешь. Если потенциально уязвимую мультимедию воткнуть сразу в HS_CAN то беда конечно, управлять рулем и педалями можно уже )
ZetaTetra
Увы, не знаю что такое MS_CAN, HS_CAN.
С CAN, LIN работал, а это вообще неведомые зверушки…
d-stream
В принципе очень познавательно прилечь под авто и поглядеть что доступно руке… По-моему в первых фокусах можно было выдрать ECU просто присев на корточки. Ну и вторая зона — то что легко ломается/отгибается для проникновения, что дает доступ к диагностическому разъему где ms и hs присутствуют…
Ну и да, если мониторить в автопробках bt — попадаются кучи elm327 с захардкоженым паролем «1234» — владельцы втыкают чтобы посмотреть с телефона ошибки и оставляют… а большая часть дешевых девайсов без выключателя
geher
Ёж же.
Sap_ru
беспроводный CAN-адптер можно легко и непринуждённо незаметно установить в диагностический разъём. В большинстве авто для этого нужно только ручку в нужно место под приборную панель сунуть. А дальше управляй хоть по WiFi хоть по GSM.
Да, это требует физического доступа, но хватит 10 секунд. Этак можно и покушения делать — легко и удобно.
GloooM
Так можно и тормозной шлаг повредить, то даже физического доступа внутрь салона не нужно, прям с улицы лезть глубоко не нужно =)
stalinets
Вот интересно. Неужели никто не ставит авто на ручник, что их массово удаётся угонять описанным способом? Ручник-то всегда механический, его не отключить программно.
А ещё если б люди так массово не увлекались «автоматом» и покупали «механику», втыкая на парковке первую или заднюю передачу — угоны тоже были бы затруднительны.
Ну и главная проблема — излишне много ненужной автоматики. Ради незначительного повышения комфорта делают электронные педали, электронный руль и т.д. Было бы неплохо вообще запретить производителям делать электронной педаль тормоза как самое важное, а также запретить подводить какую-либо управляющую электронику к усилителю руля.
edogs
В европе в городах на ручник ставить не принято, т.к. в меру тесных парковок хороший тон это когда твою машину могут в случае необходимости подвинуть.
На совкопроме.
Погуглите «Автоматический стояночный тормоз», «электроручник» — загуглите — давно уже и много где ставят.
cyberliberty
А режим паркинга у АКПП, блин, не механический что ли?
dovzh
на современных машинах — нет
Gromozeka_dp
а какой, позвольте узнать, на гидромеханической КПП режим паркинга?
Fagot63
Вот эта вот загогулина и треножит вашего коня(с акпп) в режиме паркинга(разумеется выглядеть может немного по другому, но сути не меняет.)
Gromozeka_dp
мой вопрос к cyberliberty как раз и был саркастичным в этом плане)
Весьма «электронная» блокировка, не находите?
artyfarty
Так кулиса на многих современных машинах полностью электронная, джойстиком (BMW) или шайбой (LR) тыц-тыц, никакой механической связи. Ручник тоже с сервоприводом.
Nikita_64
Это в какой Европе? В Нидерландах, где укатиться некуда? Или на парковке в Икеа? В Европе полно мест, где без ручника и/или передачи машину просто не поставить, а тогда подвинуть ее можно будет только эвакуатором.
ElijahTh
Например, в Париже и некоторых других городах Франции.
У них действительно очень мало места — бампера считаются расходниками, в лучшем случае на них вешают тряпочку, чтобы не так сильно царапали машину.
Например, https://www.youtube.com/watch?v=n51OdFlOi1o
Nikita_64
Спасибо за информацию и за видео. А там прямо не ставят на ручник или просто ручник слабый и позволяет подвинуть другую машину своим бампером? ИМХО, совсем без ручника можно по инерции и другие машины по цепочке отрихтовать.
denis-isaev
это когда твою машину могут в случае необходимости подвинуть.
У них там АКПП в дефиците что ли?
vsespb
Что-то я ни пони, как механика и включение передачи поможет от угона?
Электронная педаль газа — для круиза и ограничителя скорости, для поддержания оборотов во время переключения передачи на механике при нажатом газе, для того чтобы не заливало свечи. Я бы сказал это существенное повышение комфорта.
Запретить производителям что-то… ну вот их обязали делать двухконтурные тормоза. Они формально двухконтурные. Но по факту если отрубить один котнур, почему-то тормоза часто отказывают. Деталь отвечающая за это хорошо работает толкьо с завода, потом её работоспособность ухудшается и проверить это никак нельзя.
Да, и тормоза с отказавшим усилителем тормозов практически бесполезны. Как и руль с отказавшим ГУР/ЭУР (не то же, что руль, где ГУР/ЭУР не предусмотрен).
Управляющая электроника к усилителю руля? Во первых — для автоматической парковки. Во вторых и без неё определённый вид отказов ГУР/ЭУР приведёт к тому что руль покрутится в какую-то одну сторону.
artyfarty
Я недавно открыл для себя что даже при электронной педали газа круиз-контроль все равно механизирован и исполнен независимо, во имя безопасности.
SegreyBorovkov
на ford focus 2 и далее просто один сервопривод с заслонкой. Никакого отдельного исполнения нет.
leopoldthecat
Да-да...) Это я такой случай про калину слышал. Мужик выехал с автосалона, проехал пол километра, выкрутило руль вправо и тачка залетела прямиком в дерево…
Да и вообще, что это у них проблема есть (имелась).
Так что без управляющей электроники тут никак…
blik13
Попробуйте сделать механическую педаль газа в дизелях DCI.
denkle
А система курсовой устойчивости и абс это что? Незначительное повышения комфорта? Эти системы созданы что бы жизни спасать. И отлично справляются.
Pakos
Ручник — электрический уже на второй машине, снимается сам при нажатии на газ, паркинг на автоматах (не роботах, про вариаторы не смотрел/не пользовал) очень даже механический, на роботах паркинга нет (на виденных по крайней мере).
месье. очевидно. ни разу не видел сигналки с автозапуском, когда криворукий установщик не ставил датчик коробки и машина после автозапуска превращалась в самодвижущийся беспилотный аппарат, вот механика в этом случае как раз очевидное зло.
Вообще запретить, даже накладка на тормозной рычаг, который прижимают к колесу — бабское изобретение, не достойное труЪ мужика.
stalinets
На первой или задней машина, всё же, скорее всего дёрнется и заглохнет, чем поедет.
Pakos
Но они умудряются ехать, тем более в представленном случае и обороты поднять можно.
MTyrz
Если стартер сразу крутит и двигатель, и коробку, то сначала машина тронется, потом заведется. Стартеру хватает мощности двигать машину.
Barsuk
Подтверждаю, делал так еще на ВАЗ 2101, когда корзина сцепления перестала работать. В авто еще сидело трое пассажиров.
denkle
Она дернится и заглохнет. Это так, но она может так дернуться что проедет несколько метров. У меня у знакомой лансер на механике на автозапуске проскакал метра 3 и врезался в стену, хорошо что людей рядом в это время не было.
denkle
Паркинг это автоматическая парковка же? А робот это механическая коробка с автоматическим сцеплением? Я правильно вас понял? Тогда вы не правы. У vw стоят роботы(DSG) и системы автоматической парковки.
Pakos
Паркинг — это режим "P", робот — да, автоматическое сцепление (не только DSG).
denkle
Ну фольцах есть «P». Я погуглил, но так и не понял как он работает в дсг, но там точно в паркинге обе одновременно включенные передачи(первая и задняя) расцеплены. Как машина блокируется мне не ясно. Но судя по описанию он механический.
Pakos
Т.е. заводить можно? На тойотовских роботах ставится передача (R задняя или E — аналог драйва) при парковке и стартёр не работает, пока N не выставишь. Собственно, там R-N-E-M(+-)
denkle
С дсг машина заведется на паркинге если нажать на тормоз. Без тормоза стартер не работает.
Gromozeka_dp
Блокировка вала КПП механическая, управление актуатором электронное. Первичный вал КПП находится в положении нейтраль. сцепление нечетных передач заблокировано. Первичный вал вращается свободно вместе с коленвалом, а главная передача заблокирована механически.
aivs
В приложенных документах написано, что подключение к шине авто возможно через OBD или с помощью сервисной программы запущенной с CD диска в магнитоле. Не заметил, где описан способ дистанционного подключения.
А рулить машиной по CAN шине, это почти любой школьник-ардуинщик может.
Lissov
Вопрос в том, можно ли с OBD или CD установить зловреда, который откроет дыру для дистанционного подключения? Если да, то теоретически заразив компы сервис-центров можно заразить много автомобилей, и в нужный момент получить контроль над ними.
aivs
Блок управления работает на QNX, чуваки получили доступ к ОС и теперь конечно могут организовать себе удаленный доступ.
aivs
Вот здесь описано как они получают удаленный доступ к Джипу, исследую подключение по GSM, Wi-Fi, Bluetooth.
http://illmatics.com/Remote%20Car%20Hacking.pdf
Чуваки гигантскую работу провели, респект!
123
По Bluetooth не взламывали, только по WiFi и Cellular (через фемтосоту).
Спокойствия для: в европейских (и российских) джипах (и родственных марках концерна FCA) данные беспроводные возможности отсутствуют, остается только беречь usb-порт от чужих флешек :)