(Январь 2012)
За последние лет 20, примерно, цифры краж машин стабильно сокращались по мере того, как новые модели оснащались электронными противоугонными технологиями. Однако ныне обозначилось что-то вроде «обратной волны» прилива.
В самый канун новогодних праздников одна из видных в США газет, калифорнийская «Меркюри Ньюз», почему-то решила взбодрить своих читателей страшилками про автомобильный хакинг.
Только представьте себе, пишет газета, такую вот кошмарную ситуацию:
«В утренний час пик террористы Аль-Каиды дистанционно отключают тормоза на тысячах и тысячах машин, движущихся по автострадам Сан-Франциско и его окрестностей. Понятно, что одновременно отказавшие тормоза машин на переполненных дорогах мегаполиса приводят к массовому хаосу, смертям и разрушениям. Невероятно, скажете вы? А вот эксперты по хакингу автомобильных компьютерных систем считают иначе».
По мере того, продолжает газета, как легковые машины и грузовики становятся все плотнее оснащены мозговитыми устройствами для автоматизации работы практически всей техники на борту автомобиля – от подушек безопасности и контроля давления в шинах до систем управления двигателем и тормозами, транспортное средство становится все более и более уязвимым в отношении кибер-атак.
Об этом свидетельствует постоянно растущее число исследований, проводимых специалистами по компьютерной безопасности в университетах и фирмах инфозащиты…
Ну и дабы не пересказывать остальное содержание этой статьи, рассчитанной, по преимуществу, на далеких от компьютерных технологий обывателей и вполне умышленно выдержанной газетой в сгущенно драматических тонах, здесь, наверное, будет правильнее сделать нечто другое.
А именно, попытаться более спокойно разобраться с сутью столь «тревожной новости», подыскав подходящий первоисточник – типа обзорных исследовательских статей на темы подобного рода. И уже на основе этих материалов четче уяснить, что же такого серьезного выявили ученые хакеры относительно проблем с компьютерной безопасностью в автомобилях.
Одним из самых подходящих источников информации на данную тему – одновременно компетентным, независимым и достаточно объективным – представляется так называемый CAESS или Center for Automotive Embedded Systems Security (Центр безопасности встроенных автомобильных систем).
Под таким названием ныне все большую известность набирает довольно большая объединенная команда исследователей-ученых из университетов Калифорнии (UCSD) и Вашингтона (UW), которые уже не первый год занимаются изучением всевозможных слабостей в работе автомобильных компьютерных систем.
Этот коллектив возглавляют два молодых профессора, Стефан Сэведж (Stefan Savage) из Калифорнийского университета в Сан-Диего и Тадаеси Коно (Tadayoshi Kohno) из университета Вашингтона. Отыскивая дыры в компьютерной защите машин и демонстрируя пути к эффективному использования этих дыр потенциальными злоумышленниками, ученые пытаются помочь автоиндустрии в создании реально безопасных транспортных средств.
Многие из открытий, сделанных этой командой, докладывались на специализированных симпозиумах и семинарах в 2010-2011 годах, так что на материалы данных публикаций вполне можно опереться для получения содержательной картины относительно компьютерной (не)безопасности в современных автомашинах.
Общая панорама
Сегодняшний автомобиль управляется десятками различных компьютеров, которые, по свидетельству специалистов, физически соединены через внутренние шины — как электронные компоненты общей сети – и таким образом способны воздействовать на работу друг друга. Кроме того, существенное количество этих компонентов также сделано доступными и для внешних воздействий – через разнообразные интерфейсы ввода/вывода.
Многочисленные исследовательские работы прошлых лет уже показали, что целеустремленные противники – если они имеют возможность посылать пакеты во внутреннюю проводную сеть машины – способны очень серьезно влиять на безопасность транспортного средства. В частности, эксперименты с реальными машинами подтверждали, что умелый хакер ныне вполне способен без ведома автовладельца включать/выключать двигатель, запирать/отпирать двери, блокировать работу тормозов, фальсифицировать показания спидометра и так далее.
Причем подсаженные в сеть машины вредоносные программы, способные порождать аварийные ситуации, могут затем бесследно и полностью самоуничтожаться, создавая видимость самопроизвольного отказа оборудования.
Практически во всех тех экспериментах, правда, для установки вредоносных кодов исследователям приходилось сначала подключить свой ноутбук к системе внутренней диагностики машины-жертвы.
Однако в последних работах команды CAESS, доложенных в 2011 году, целью исследований уже стало отыскание путей для проникновения в компьютерную сеть машины без непосредственного контакта. Иначе говоря, моделировалась максимально реалистичная ситуация, в которой злоумышленник не имеет возможности влезть в чужую машину со своим ноутбуком.
Несмотря на столь существенные ограничения, исследователям и тут удалось найти множество методов для электронного взлома автомобиля: через каналы встроенной в машину системы Bluetooth, через телефонные сети сотовой связи, или, наконец, через «особо заточенные» аудиофайлы с музыкой.
Направления атаки
Атака через CD – один из наиболее колоритных, вероятно, способов проникновения. Добавляя фрагменты дополнительного кода в цифровой музыкальный файл, ученые сумели превратить записанную на CD песню, по сути дела, в троянского коня.
Когда такой файл воспроизводится автомобильной стереосистемой, эта «песня троянца» способна перепрограммировать прошивку магнитолы, в итоге предоставляя злоумышленникам точку входа в сеть для воздействия на прочие компьютерные компоненты автомашины. При этом каналами массового внедрения для таких автомобильных троянцев могут становиться общепринятые каналы свободного распространения музыки, вроде файлообменных сетей.
Другой сравнительно просто реализуемый метод заражения – через Bluetooth. Технология Bluetooth ныне стала де-факто стандартом для поддержки телефонных звонков без участия рук, и, соответственно, уже является стандартной коммуникационной системой в серийных автомобилях всех основных автопроизводителей.
Чтобы реально оценить эффективность атаки через Bluetooth, исследователями было создано несложное приложение типа троянского коня на базе телефона HTC Dream под ОС Android 2.1.
Как и положено шпиону, это приложение внешне выглядело совершенно невинным, однако скрытно оно отслеживало появление возможностей для новых Bluetooth-соединений – дабы проверить и посмотреть, не является ли другая сторона телематическим устройством автомобиля (часто, как в конкретном случае протестированных машин, их Bluetooth-устройство идентифицирует себя в эфире по имени фирмы-производителя автомобиля).
Если машина обнаруживалась, то троянец загружал в автомобиль соответствующий код-закладку для последующей атаки.
Хотя ученые-хакеры даже не пытались закачивать код своего троянца (под видом невинной бесплатной программки) на всеобщий рынок приложений Android Market, имеется немало свидетельств тому, что менее чистоплотные «исследователи» и злоумышленники то и дело выкладывают подобные шпионские программы для всеобщего скачивания.
Кроме того, в достатке имеются известные эксплойты, способные скомпрометировать и заразить смартфоны Android или iPhone в тот момент, когда с них заходят на инфицированные злоумышленниками веб-сайты. Иначе говоря, оценочные исследования показывают, что смартфоны могут становиться вполне жизнеспособным каналом для эксплуатации Bluetooth-уязвимостей автомобиля при беспроводной связи на коротких расстояниях.
В качестве других каналов для эффективной компрометации электроники автомобиля, как продемонстрировали ученые, могут выступать стандартные каналы сотовой связи. Иначе говоря, у злоумышленников имеются возможности звонить и подсоединяться к машине через сети мобильной телефонии, получая полное управление телематической подсистемой автомобиля на расстояниях фактически любой дальности.
Еще одно доказуемо эксплуатируемое направление компрометации – интерфейсные компьютерные устройства PassThru, применяемые персоналом на станциях автсервиса при электронной диагностике и техобслуживании машин. Как показали эксперименты, при заражении вредоносным кодом всего одного такого устройства затем оказываются скомпрометированы все последующие машины, подключавшиеся к PassThru.
Эксплуатация заражения
Скомпрометированные в автомобиле ECU (Electronic Control Unit – блок электронного управления) – это, однако, только половина всей истории. Остальная часть проблемы – это то, что атакующая сторона способна затем сделать с полученными подобным образом возможностями.
Подытоживая вкратце все то, что реально продемонстрировали исследователи, можно констатировать следующее. Обращенные вовне интерфейсы автомобиля для ввода/вывода информации после компрометации могут быть использованы для того, чтобы дистанционно включать/выключать или в целом управлять произвольными функциями машины, а также дистанционно получать от нее такие данные, как координаты физического местоположения или разговоры, ведущиеся в салоне автомобиля.
Дабы максимально наглядно проиллюстрировать, каковы могут быть реальные риски от подобных угроз, исследователи описывают, для примера, два базовых сценария криминального автомобильного хакинга, наиболее близких по сути к «обычным» компьютерным преступлениям.
КРАЖИ. Используя любую из реализованных на практике возможностей по компрометации электроники в машине (CD, PassThru, Bluetooth, сотовая связь) становится совсем несложно скомандовать машине открыть свои двери по требованию внешнего источника, таким образом обеспечивая тривиальное воровство. Однако, более дальновидный автомобильный вор вполне способен сообразить, что массовая дистанционная компрометация машин «вслепую» может быть использована для того, чтобы существенно изменить не только масштаб, но и, в конечном счете, саму бизнес-модель этого занятия.
Так, вместо того, чтобы атаковать какую-то конкретную машину-цель, умный вор может попытаться скомпрометировать настолько много машин, насколько это вообще возможно (например, известной техникой сетевых хакеров war dialing – т. е. автоматическим «прозвоном» всех попадающихся в поле доступа систем, помечивая и заражая те из них, что не защищены от вторжения).
Как элемент такой компрометации, преступник может скомандовать каждой машине связываться с его центральным сервером и докладывать туда свои координаты в сочетании с VIN, идентификационным номером транспортного средства (Vehicle Identification Number). То, что это вполне возможно реализовать (через сеть IRC), показали практические эксперименты исследователей. Идентификатор VIN, в свою очередь, кодирует в себе год выпуска, фирму и модель каждой машины, а следовательно – и ее рыночную стоимость.
Складывая все эти возможности вместе, технически продвинутый автомобильный вор мог бы устраивать процедуры «просеивания» среди множества зараженных машин, выявлять среди них наиболее ценные, отыскивать их текущее местонахождение (а также, возможно, определять и то, как долго машина стоит припаркованная), а затем – посетив объект интереса на месте – дать машине команду на открывание дверей и так далее.
Более того, особо продвинутый вор с корпоративным размахом идей может вообще перестать воровать машины сам, а вместо этого продавать свои технические возможности в качестве «сервиса» другим ворам помельче. Типа: «Алло, мне нужны последние модели BMW или Audi, в радиусе около полумили от Бродвея. У вас есть что-нибудь эдакое для меня?»
Сведущие читатели наверняка заметят, что описываемая картина криминального прогресса – это зеркальное отражение той эволюции, что претерпела известная история с компрометацией настольных компьютерных систем. Где развитие криминального хакинга шло от индивидуальных атак к массовой эксплуатации выявленных слабостей через червей и вирусы, а затем и к подпольным рынкам, где доступ к скомпрометированным компьютерам продается в качестве сервиса.
Хотя представленный исследователями сценарий на сегодня считается лишь гипотетический, это не означает, что нереалистичный. Ученые реализовали по отдельности все этапы этой атаки – начиная с того, что вор дистанционно отключает защитные меры автомобиля, позволяя даже совсем неопытному напарнику забраться в машину и угнать ее с места стоянки. В частности, данная атака заставляет скомпрометированную телематику машины отпереть двери, запустить мотор, отключить соленоид замка, блокирующего сдвиг рычага передачи (который обычно не дает сдвинуть машину из состояния паркинга без наличия ключа), и подделать пакеты, используемые в протоколе запуска машины (таким образом, обходя существующие противоугонные меры устройств-иммобилайзеров).
Все ключевые элементы этой атаки были реализованы при экспериментах над собственным автомобилем ученых – популярным серийным седаном из средней ценовой категории. В этих экспериментах, правда, напарник хакера-вора водил «украденную» машину только вперед и назад, потому что хозяину не хотелось взламывать замок рулевой колонки. Но это, конечно, не препятствие: многочисленные видеоуроки в интернете демонстрируют, как делается подобный трюк с помощью обычной отвертки. (В машинах подороже замок рулевой колонки управляется уже бортовым компьютером – а это для умелого хакера преодолеть еще проще).
СЛЕЖКА. В ходе исследований своих возможностей, ученые обнаружили, что злоумышленник, скомпрометировавший телематическое устройство машины-жертвы, может дистанционно слушать и записывать аудио-информацию с находящегося в кабине микрофона (обычно он подразумевается для телефонных звонков водителя без участия рук), по команде передавая данные прослушки вовне – через подсоединенный к машине IRC-канал.
Более того, благодаря встроенным в машину средствам геолокации, оказывается легко регистрировать текущее местоположение автомобиля на постоянной основе и таким образом следить за тем, где бывает водитель. Эти возможности, которые оценивались в непосредственных экспериментах, представляются чрезвычайно полезными и востребованными среди частных детективов, корпоративных шпионов, папарации и других профессионально любопытствующих персонажей, постоянно изыскивающих способы для подслушивания приватных разговоров внутри конкретно интересующих их автомобилей.
Родовой дефект
Аналитически размышляя над той массой уязвимостей, что была обнаружена ими в электронике автомобилей, исследователи обратили внимание на примечательное сходство ситуаций, в которых эти бреши появляются. Как установлено, практически все уязвимости возникают в области «пограничных» интерфейсов – то есть между кодами, написанными разными фирмами и организациями.
Для наглядного примера с подробностями рассматривается широко распространенный в автомашинах программный модем Airbiquity, реализующий преобразование аналоговых сигналов – речи водителя – для их передачи в цифровых сетях связи. Уязвимости тут обнаружены не в самом софтверном модеме, а скорее в «склеивающем» коде, который вызывает модем и состыковывает его с другими телематическими функциями. Именно здесь фатальным оказывается то, что у вызывающей модем компоненты нет полного понимания тех предположений, что по умолчанию подразумеваются в работе того приложения, которое вызывают.
Такой же по сути паттерн неверных и чреватых компрометацией допущений был обнаружен еще много раз и в других компонентах.
Уязвимость Bluetooth, в частности, возникает из-за аналогичного взаимного недопонимания между стороной, вызывающей библиотеку стека протокола Bluetooth и теми, кто этот стек реализовал (брешь опять в склеивающем коде). Уязвимость подсистемы PassThru возникает в склеивающем коде на основе скриптов, который пытается устроить интерфейс между проприетарным протоколом конфигурации и стандартными скриптами ОС Linux. Даже уязвимость в перепрограммировании прошивки медиаплеера выглядит так, словно возникла она лишь потому, что изготовитель машины был просто не в курсе относительно встроенных в код подсистемы возможностей для перепрошивки чипа с помощью CD.
И хотя проблемы пограничных интерфейсов – это, строго говоря, общая проблема для безопасности всех видов программного обеспечения, исследователи уверены, что особые структурные причины делают эту угрозу особенно вероятной в автомобильной промышленности.
В частности, автоиндустрия приняла такую модель аутсорсинга применительно к компьютерным программам, которая совершенно аналогична той, что применяется для механических компонентов. То есть речь идет лишь о предоставлении спецификаций подрядчику и заключении с ним контракта на поставку комплектующих. Иначе говоря, для большинства компонентов автомобиля производитель не делает сам разработку программ и отвечает только за их интеграцию в одно целое.
Причем чаще всего изготовители машин вообще не имеют доступа к исходным кодам для блоков ECU, которые они получают по контракту (а поставщики, в свою очередь, крайне не любят предоставлять такие коды, поскольку именно тексты кодов составляют их главную интеллектуальную собственность, которая, собственно, и дает им ощутимые преимущества перед производителем машины).
В итоге же, хотя каждый поставщик и делает свое тестирование устройства (на предмет соответствия спецификациям), для производителя машины оказывается чрезвычайно сложным оценить те уязвимости в области безопасности, что возникают на стадии интеграции разных компонентов. Традиционные способы автоматического анализа и проверки кода здесь не применимы, а разного рода «предположения», которые по умолчанию кем-то подразумеваются, но в явном виде не включены в спецификации, весьма сложно разглядеть для подобающего их анализа.
Таким образом, общепринятый процесс аутсорсинга, вполне подходящий для чисто механических систем, оказывается совершенно неприемлемым для цифровых систем, имеющих солидный потенциал для их дистанционной компрометации.
Выводы и предложения
Подводя текущие итоги своим изысканиям, исследователи заключают, что разработка решений безопасности, совместимых с «автомобильными экосистемами» – это на редкость трудная задача, уже сейчас настоятельно требующая более интенсивного общения между сообществом компьютерной безопасности и автомобильными производителями (фактически, в том же самом ключе, как эксперты по инфозащите сегодня напрямую взаимодействует с изготовителями компьютерных программ и железа).
Одна из вполне ясных причин того, почему подобный процесс сближения происходит очень медленно, сводится к простому факту: автомобили пока что нельзя считать объектом значительного интереса и атак со стороны компьютерно-продвинутых злоумышленников. Традиционно автомобили не считались системами, пронизанными компьютерными сетями, а потому у производителей не было никакой нужды предпринимать действия против внешних неприятелей, действующих на расстоянии. Всякий же злоумышленник, имевший возможность подобраться к машине достаточно близко для модификации системы, одновременно оказывался достаточно близко и для того, чтобы нанести существенный вред куда более незамысловатыми физическими средствами.
Теперь же стало так, что современные автомобильные системы оказались оснащены широчайшими возможностями для внешних подсоединений. В буквальном смысле к миллионам машин на дорогах и стоянках уже сегодня можно напрямую подключаться через сотовые телефоны или через интернет.
Эта картина, безусловно, очень сильно напоминает эволюцию проблем безопасности в настольных компьютерах в памятный многим период начала 1990-х годов. Похожим образом подсоединение ПК к Интернету выявило скрытые в настольных системах уязвимости, которые прежде не было возможности удобно эксплуатировать. А ныне то же самое происходит в связи с разрастанием коммуникационных возможностей в автомобильных компьютерных системах.
Эта достаточно очевидная аналогия дает все основания полагать, что даже если автомобильные атаки не происходят сегодня, имеются веские причины, чтобы воспринимать их потенциальную угрозу вполне всерьез.
Основная часть исследовательских работ в данной области, подчеркивают ученые CAESS, была мотивирована сильным желанием не допустить того, чтобы автомобильные производители начали повторять ошибки индустрии ПК – дождавшись тяжелейших компьютерных атак, прежде чем возвести безопасность в ранг одного из главных приоритетов своей деятельности.
Учитывая весь наработанный ранее опыт, эксперты по инфобезопасности считают, что очень многие из тех уроков, что были усвоены в процессе укрепления защиты настольных систем, ныне могут быть быстро переориентированы в контекст компьютерных систем, встроенных в автомобиль.
Дополнительные материалы об исследованиях CAESS и о предлагаемых учеными мерах защиты автомашин от хакинга можно найти на веб-сайте центра по адресу http://www.autosec.org/.
The END
kiwi arXiv 