汽車黑客:沒有Security就沒有Safety
簡介
“汽車黑客”(car hacking) 的話題正越來越多地在媒體和安全公司之間討論。曾幾何時,黑客利用手中的工具黑掉一輛汽車的畫面還只是出現在電影中,現如今已經在現實中成為可能,且成為了人們開始擔憂的問題,這正是本文要討論的話題。
對車輛進行大規模技術引進的影響之一就是汽車黑客的出現。汽車黑客(car hacking)這一術語特指可以破壞汽車中的某些高科技組件(technological components)的黑客。
現代汽車(譯者注:這里的現代指當今的、現在這個時代的,不是特指某品牌,下同)通常包含超過50個電子控制單元(electronic control units, ECUs),用來與內部網絡交換數據。汽車的安全依賴于不同ECU之間的實時交互,如撞擊預警,防抱死制動等等。
前不久,著名黑客Charlie Miller與IOActive安全情報總監Chris Valasek證實了通過黑進車輛控制系統從而達到對汽車的某些控制已經成為可能。
現代汽車多是由控制車輛不同功能的大量智能組件組成的復雜系統,大規模的電子產品引進,也對汽車的整體安全產生了一些影響。
“在1970年代初,車載計算機或稱電子控制單元(Electronic Control Units,ECU)的引入,幫助解決了一些燃料效率與排放等問題,進而進化成車內娛樂系統、安全控制與增強汽車功能等方方面面不可或缺的部分。
本文從一名安全研究人員的角度,測試兩款汽車的控制系統。首先介紹一些分析控制區域總線(Controller Area Network bus,CAN bus)的必要工具和軟件。其次,我們會用軟件演示如何對CAN總線讀寫數據。
之后,我們會演示如何通過連接到ODB-II的設備,重放一些專有消息來執行汽車上一些危險的功能,如剎車和轉向。最后,我們會討論讀取和修改安裝在現代汽車上的ECU的固件,“摘自2013年8月在BlackHat安全會議上的相關演示。
安全專家的目的是以一名黑客的角度去探索汽車的安全問題,并證明能夠利用多種缺陷與車輛的主要組件直接交互,包括制動系統與方向控制系統。
視頻地址:https://www.youtube.com/watch?feature=player_embedded&v=ws8lSobe-sk
作為一名負責任的譯者,當然要幫大家把視頻搬回墻內:http://v.youku.com/v_show/id_XNjg0MzcwNDY0.html
圖1 Charlie Miller演示控制汽車方向盤的PoC的視頻
電子控制單元(ECU)與控制區域網絡(CAN)
電子控制單元基于控制區域網絡(CAN)標準,與一條或多條總線交互。
CAN總線作為汽車業界標準,是專門為ECU與車輛中沒有主機控制的設備進行數據交換而設計的。同時CAN總線也被用在其它領域,包括航空航天與工業自動化。
在汽車中,ECU之間的交互數據為CAN數據包,每個包都會廣播到同一總線上的其它所有部件,就是說每個節點都能對其進行譯碼。但主要問題是包中缺少發送者的ID,發送/接收協議無法完成有效的身份驗證。這意味著由于ECU不會檢測發送者ID,攻擊者也可以捕獲到所有的數據包,偽造發送者ID,并將自己認證給其它ECU。
CAN協議實現了兩個不同的消息幀格式:基礎幀格式與擴展幀格式。兩者唯一的不同是,前者支持長度為11位的標識符,而擴展幀支持長度為29位的標識符,由11位識別(即“基礎標識符”)和18位擴展(“擴展標識符”)組成。
CAN標準實現了四種幀:
數據幀:包含傳輸的節點數據
遠程幀:用來請求指定標識符的傳輸
錯誤幀:任意節點檢測出錯誤的幀
過載幀:在數據幀和/或遠程幀之間注入一個延時
圖2 CAN幀格式(Wikipedia)
CAN是一個簡單的底層協議,沒有實現任何安全特性,因此其安全必須在上層得以保障,由應用程序負責實現安全機制。
可以修改控制單元的軟件使其在數據傳輸中使用密碼機制,像軟件下載或點火鑰匙編碼,但通常標準的交互不會這么做。
黑客通過向CAN總線上的ECU發送自己特別構造的數據包,可以修改這些組件的行為,甚至可以對整個單元組件重新編碼。
黑掉汽車的藝術
當今,裝配了車載電腦的汽車可能因各種目的被攻擊者攻擊。為了防止類似犯罪,美國汽車安全監管機構設立了一個新辦公室,專門關注這種網絡犯罪。
“這些相互關聯的電子系統提高了車輛安全(safety)與可靠性,但同時也帶來了新的、不同的安全(security)風險。”國家公路交通安全管理局負責人David Strickland表示。
汽車黑客甚至可以利用新一代汽車聯接到互聯網絡或無線網絡。我們不得不考慮這樣的事實:許多公司已經開始考慮將汽車作為一種新型巨大網絡中的結點,可以從周圍環境中獲取信息,用獲得到的各種數據為智慧城市中的人們提供各種服務。現在汽車都配備了先進的控制器,可以實時管理大量信息。某些豪華汽車的控制器由多達1億行代碼編譯而成,車內軟件和電子產品占去了車輛幾乎40%的成本。而車中的每個高科技組件和通信通道都有可能受到駭客的惡意攻擊。
黑掉一輛汽車都有哪些方法?
目前廣泛認可的攻擊方法有:
遠程信息系統攻擊。有些汽車配備的系統允許其與遠程服務中心通信,傳輸其當前所在的位置。相信在不久的未來,會有越來越多的汽車制造商可以提供遙感勘測服務作為遠程診斷服務,以防止出現意外事故和電子故障。當今,黑客理論上已經可以攻破汽車上安裝的類似系統,例如遠程追蹤被盜車輛的汽車防盜系統。一旦獲得汽車的訪問權,攻擊者就可以通過CAN總線與車上的每個組件進行數據交互,修改它們的參數。
惡意軟件攻擊。攻擊者可以利用惡意軟件感染某些汽車部件,修改它們的行為。惡意軟件可以通過不同的方式感染,例如可以通過U盤插到MP3讀取器上進行傳播或利用無線技術傳播(WiFi或藍牙)。
未經授權的應用程序。配備了車載電腦的汽車可以執行或下載應用程序。與普通PC類似,對于汽車來說,這些程序很有可能是惡意的非授權第三方提供的。可以想像車載電腦中任意軟件在升級時,攻擊者可以將惡意代碼假裝成更新程序,通過這種方式使未授權的軟件獲取其所需的權限。
OBD:專門的寫入軟件可以通過攻擊OBD-II(車載診斷系統)端口安裝惡意軟件。一旦連接器通過CAN總線連接到汽車,就有可能監控每個連接到該總線的組件。
車門鎖與鑰匙:攻擊者可以模擬這兩種系統的訪問碼,通過這種方式控制汽車鎖,并啟動/停止汽車引擎。
黑掉汽車的PoC
既然明白了黑客黑掉汽車的基本原理,那么攻擊向量是什么樣的呢?以及車中的“智能”部件之間如何“對話”呢?下面我們看一下黑客社區給出的概念證明。我們汽車的內部總線像計算機網絡一樣以一種不安全的方式通信,因此很容易受到攻擊。正如之前預期的那樣,著名黑客Charlie Miller與安全研究員Chris Valasek已經證明了其完全有可能取得其演示所用的汽車中部分組件的控制權。
汽車黑客(Car hacking)并不是一個新的概念,從過去到現在,一直有一群研究人員在探索電子控制單元(ECU)的弱點,但Miller和Valasek發表了一份關于汽車架構的研究報告稱,他們可以在某些汽車的行駛過程中控制這些汽車的制動系統、轉向系統和其它功能。
安全專家通過向系統發送大量控制區域網絡數據包來控制車輛的行為,簡單地說,他們發送的數據包在合法數據包之前到達ECU,使其接受這些惡意數據包中的指令。
研究人員發表的論文演示了如何黑掉一輛汽車,即通過CAN總線發送的正常數據包和診斷數據包。由于某些顯而易見的(法律)原因,本文只提供了一個示例來講解,請讀者來證明這項研究的有效性。
研究人員對福特翼虎(Ford Escape)和豐田普銳斯(Toyota Prius)進行了“安全測試”。一般情況下,攻擊者通過正常數據包可以操作以下組件:
車速儀 里程表 車載導航 轉向系統 制動系統——豐田 加速
正常數據包通過CAN總線操縱車速儀(福特 普銳斯)
兩位研究者解釋,如果CAN數據包通過注入的方式操縱顯示給駕駛員的轉速值(RPM)和車速,還是很容易檢測到的。在福特汽車中,信息是通過高速CAN網絡中ID為0201的數據包管理的。
包的格式為:
[AA BB 00 00 CC DD 00 00]
AABB是顯示的轉速(rpm),CCDD是車速。系統開發團隊通過以下公式計算這些值:
Speed(mph) = 0.0065 * (CC DD) – 67 RPM = .25 * (AA BB) – 24
例如,如果CAN數據包中為以下數據,那么:
[23 45 00 00 34 56 00 00]
以下代碼用來設置轉速和車速:
y = pointer(SFFMessage()) mydll.DbgLineToSFF(“IDH:02, IDL: 01, Len: 08, Data: 23 45 00 00 34 56 00 00″, y) mydll.write_message_cont(handle,y, 2000)
代碼計算得到車速為0×3456 * .0065 – 67 = 20.1mph,轉速為0,25* 0×2345-24= 2233 rpm,十六進制的3456為十進制的13398,十六進制的2345為十進制的9029。
關掉引擎——通過CAN總線的診斷數據包控制福特汽車(福特 普銳斯)
通過前面的描述,我們知道可以通過數據包修改汽車內的許多組件。研究人員證明可以對這這兩種車進行多種操作,包括:
安全訪問(Security Access) 制動管理(Brakes management) 關掉引擎(Kill engine) 暴閃燈(Lights flashing) 喇叭開/關(Horn On/Off) 安全帶電機動作(Seat Belt Motor Engage) 車門開鎖/上鎖(Doors Lock/Unlock) 修改燃油量計(Modification Fuel Gauge)
與正常操作不同,對ECU的診斷需要認證,但通過下文我們可以看到,其驗證過程的脆弱性會將用戶暴露于風險之中。
下面我們考慮停車輔助模塊(PAM)ECU。福特與普銳斯中對PAM組件的認證其實很脆弱,因為其請求/響應過程總是基于該單元發送的同一個seed,這意味著響應總是相同的,所以對攻擊者來說這就是一個笑話,PAM模塊進行嗅探、安全訪問,或者在最壞情況下進行暴力破解,簡直在容易了。
通過分析驗證握手過程,可以發現其總是使用同一個seed,即11 22 33,對汽車黑客來說這簡直是理想的解決方案,但在其它的情況下會變得更復雜一些。不管怎么說攻擊者獲得了對固件進行逆向工程的key,也就相當于拿下了目標組件。
IDH:07, IDL: 36, Len: 08, Data: 02 27 01 00 00 00 00 00 IDH:07, IDL: 3E, Len: 08, Data: 05 67 01 11 22 33 00 00 IDH:07, IDL: 36, Len: 08, Data: 05 27 02 CB BF 91 00 00 IDH:07, IDL: 3E, Len: 08, Data: 02 67 02 00 00 00 00 00
研究人員發現其中一項最有趣的攻擊是與操縱引擎有關,即可以調節gas
/ air比例水平,在這種特殊情況下,其用來測試的福特汽車,在某些異常情況下可以通過常規控制指令4044關掉引擎。
攻擊數據包為:
IDH:07, IDL: E0, Len: 08, Data: 05 31 01 40 44 FF 00 00
加粗部分的參數所在的bit位表示要關掉的汽缸的掩碼,發送FF表示關掉所有汽缸。
重復發送以上數據包,就可以通過這種阻止汽車重新啟動的方式關掉引擎,直到攻擊停止。
令人不安的是這種攻擊不需要建立診斷會話,而且可以在任何車速情況下進行。
遠程CANHacking Tools,并沒有那么貴
遠程黑掉一輛汽車是完全可能實現的。最近安全研究人員Javier Vazquez-Vidal和Alberto Garcia Illera已經設計了一套工具,用這種比普通智能手機還小的設備來控制一輛汽車,兩位研究員為其命名為CAN Hacking Tool(CHT),并將會在新加坡舉行的黑帽亞洲安全大會上向大家展示。至此我們了解了CAN總線以及汽車中各個組件交互數據的方式。
圖4 CAN Hacking Tools (CHT)
黑掉一輛車從來沒有這么容易與便宜。研究人員將要展示的工具不足20美元,利用它,攻擊者可以完全控制一輛車,包括轉向系統與制動系統(即方向盤與剎車)等。
有文章曾經指出,通過控制區域網絡(CAN)總線,可以訪問汽車的所有功能,包括控制鎖、方向盤和剎車,在這種情況下完全由研究人員決定如何使用它們。
“這個不足20美元的小設備,可以物理連接到汽車的內部網絡并注入惡意命令,其影響范圍從車窗、車頭燈到方向盤與剎車”,Forbes報道。
CAN Hacking Tool的設計是從CAN端口注入惡意代碼,并通過附近的PC發送無線命令。
“只需要花五分鐘或更就就可以把它破解并開走……我們可以等一分鐘或一年,只為了將其觸發,執行任意我們事先編輯好的指令”,Vazquez Vidal說。
Javier Vazquez-Vidal和Alberto Garcia Illera已經證實了使用他們的CAN Hacking Tool設備黑掉一輛汽車的可行性,并針對四種不同的汽車進行了測試,“其技術涵蓋像關掉車頭燈、引發警報、搖動車窗等這種單純的惡作劇,到防抱死制動或緊急制動系統等使行駛的汽車突然停止。”
研究人員測試使用的CHT只支持藍牙,但專家們已經準備將其升級,使其可以使用GSM蜂窩無線電,可以在千里之外控制汽車內的設備。
“曾幾何時,攻擊者在很多情況需要獲得汽車底層的訪問權限,或需要打開汽車車箱才能實施攻擊,即使是最簡單的情況他們也需要爬到汽車下面將設備裝上。而現在,只需要通過與藍牙設備交互,在幾英尺的范圍內即可完成攻擊。但在兩位研究人員在新加坡的安全會議上展示了他們的工具之后,他們說將會將該工具升級,使其支持GSM蜂窩無線電,屆時就可以在千里之外對設備進行控制了。”
研究人員表示,現代汽車網絡沒有任何安全機制。
“所有的破解工具都是用現成的部件,所以即使發現什么攻擊設備,也沒辦法作為舉證的線索,基本上是完全無法追蹤的。一輛汽車就是一個小型網絡,并且沒有任何安全防護。”
攻擊檢測
根據Miller與Valasek的分析,對攻擊的檢測也很容易做到。他們提到了一種實現異常檢測機制的可行方法。
首先定義車內所有組件的系統
“正常”行為,那么就有可能檢測到任意可疑行為并激活相應的對策。一種可能的實現方式為,基于不同時段對不同CAN數據包的分析,如Miller與Valasek給出的下圖所示:
圖5 CAN id 0201的頻率分布圖
“只要處于網絡之中,就可以很容易檢測到這些惡意指令,并將其截獲。你知道什么樣的汽車應該執行什么樣的操作。”IOActive安全情報主管Valasek說。
例如,如果檢測到有大量數據包傳輸時就觸發警報,同樣,如果診斷數據包中包含正常模式之外的信息,也將其標記出來。
對汽車制造商來說,添加這些額外的安全特性就會提高額外成本,經濟危機以及相對微薄的利潤是引入這些安全特性的主要阻礙。
“汽車制造商不喜歡提高汽車的復雜性。如果你嘗試告訴他們修改架構,肯定會受到很強的排斥。”Miller在卡巴斯基安全分析峰會的演示結束后,Valasek表示。
盡管這個話題已經在黑客討論了很長時間,但目前仍沒有任何文檔或記錄顯示有汽車制造商表示會實施安全措施來防止黑客的攻擊。
“我們不知道他們在做什么。他們可能會(在安全措施方面)有些作為,但很可能將計劃排到幾年后了……汽車在設計時已經考慮到其安全性(safety)了。但是,沒有security就沒有safety。”Miller說。
本文的分析源自黑客的自發行為,向大眾演示了汽車工業的脆弱性。我們希望在不久的將來,security會成會汽車的一項基本需求。
也許有一天,我們啟動汽車之前要做的第一件事不是啟動發動機,而是更新汽車的防火墻或殺毒軟件。
參考
http://securityaffairs.co/wordpress/15569/hacking/car-hacking-cinematographic-fiction-reality.html
http://securityaffairs.co/wordpress/22070/hacking/can-hacking-tools.html
http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/
http://illmatics.com/car_hacking.pdf
http://usblog.kaspersky.com/podcast-protecting-cars-with-av-style-detection/
http://www.zdnet.com/italians-love-of-car-and-home-turning-internet-of-things-into-900m-market-7000026141/
http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/
http://threatpost.com/detecting-car-hacks/104190
http://www.forbes.com/sites/andygreenberg/2014/02/05/this-iphone-sized-device-can-hack-a-car-researchers-plan-to-demonstrate/
http://en.wikipedia.org/wiki/CAN_bus
原文地址:http://resources.infosecinstitute.com/car-hacking-safety-without-security/
