Песня троянского коня

(Впервые опубликовано – март 2011)

Стабильное возрастание доли компьютерной начинки в современных автомобилях неизбежно порождает и рост сугубо компьютерных проблем. Некоторые из этих проблем оказываются довольно неожиданными.

carcomp

В одном из эпизодов гиперпопулярного некогда сериала «Секретные материалы» была сцена, где некий «гений электроники» хакнул и угнал автомобиль с помощью особого компакт-диска, вставленного в стереосистему машины. Среди знающей компьютерной публики этот эпизод обычно характеризовали тогда примерно такими раздраженными словами: «Вот, блин, ну до чего же глупый народ пишет сценарии для телесериалов»…

Откуда черпали свои идеи создатели «Икс-файлов», теперь уже не суть важно. Куда важнее то, что ныне довольно большая объединенная команда исследователей-ученых из университетов Калифорнии и Вашингтона представила работу о принципиальной возможности хакинга современных автомобилей именно таким вот экзотическим образом.

Доклад по итогам их исследований и экспериментов был сделан на мартовской сессии официального научно-технического органа США с предлинным названием «Комитет Национальной академии наук по электронным системам управления автомобилей и их непреднамеренному ускорению».

Эта исследовательская команда, которую возглавляют два молодых профессора, Стефан Сэведж (Stefan Savage) из Калифорнийского университета в Сан-Диего и Тадаеси Коно (Tadayoshi Kohno) из университета Вашингтона, уже не первый год занимается изучением всевозможных слабостей в работе автомобильных компьютерных систем.

Отыскивая дыры в компьютерной защите машин и демонстрируя пути к эффективному использования этих дыр потенциальными злоумышленниками, ученые пытаются помочь автоиндустрии в создании реально безопасных транспортных средств.

Многие из прежних открытий этой команды докладывались на прошлогоднем Симпозиуме IEEE по безопасности и приватности, проходившем в мае 2010 в Окленде (соответствующую статью из докладов симпозиума можно найти здесь ). В работе подробно описаны критичные с точки зрения безопасности нюансы, характерные для внутренней работы сетей, составленных из компьютерных компонентов в современных автомобилях.

В частности, эксперименты с реальными машинами подтверждали, что умелый хакер ныне вполне способен без ведома автовладельца вырубать двигатель, запирать двери, отключать тормоза, фальсифицировать показания спидометра и так далее. Причем вредоносные программы, способные порождать аварийные ситуации, могут затем бесследно и полностью самоуничтожаться, создавая видимость самопроизвольного отказа оборудования.

В тех экспериментах, правда, для установки вредоносных кодов исследователям приходилось сначала подключить свой ноутбук к системе внутренней диагностики машины-жертвы. Однако в новой работе, доложенной ныне, целью исследования было отыскание путей для проникновения в компьютерную сеть машины без непосредственного контакта. То есть моделировалась максимально реалистичная ситуация, в которой злоумышленник не имеет возможности влезть в чужую машину со своим ноутбуком.

Несмотря на столь существенные ограничения, исследователям и тут удалось найти множество методов для электронного взлома автомобиля: через каналы встроенной в машину системы Bluetooth, через телефонные сети сотовой связи, или, наконец, через особо заточенные музыкальные файлы.

Об атаке, сосредоточенной на стереосистеме автомобиля, имеет смысл рассказать подробнее. Добавляя фрагменты дополнительного кода в цифровой музыкальный файл, ученые сумели превратить записанную на CD песню, по сути дела, в троянского коня.

Когда такой файл воспроизводится автомобильным плеером, эта «песня троянского коня» способна перепрограммировать прошивку стереоаппаратуры, в итоге предоставляя злоумышленникам точку входа в систему для изменения прочих компьютерных компонентов машины.

При этом каналами внедрения для таких автомобильных троянцев могут становиться общепринятые каналы свободного распространения музыки, вроде файлообменных сетей.

Продемонстрировав множество путей для «контактного и бесконтактного» проникновения в автомобильные компьютерные системы, исследователи предупреждают, что на горизонте обозначились и совершенно новые типы автомобильных атак.

Например, воры получают возможность, с одной стороны, дистанционно отдавать машине команду на открытие дверей, а с другой — докладывать свои GPS-координаты и VIN (идентификационный номер транспортного средства) куда-то на «центральный сервер».

Иначе говоря, крупный похититель автомобилей с индустриальными амбициями может просто прекратить кражи сам, а вместо этого продавать — как сервис — свои возможности другим ворам помельче. Тогда вор, имеющий заказ на определенного типа машины в заданном географическом регионе, мог бы просто запросить «центральную службу» выявить нужные ему автомобили и отпереть их, когда понадобится…

Публикация в интернете основных моментов столь любопытного нового исследования, естественно, породила в форумах оживленные дискуссии, среди неспециалистов окрашенные сильнейшим недоверием и недоумением.

Главный вопрос вокруг столь «крутого хака», как взлом автомобиля с помощью аудиофайла, сводился к следующему: «Ведь ежу понятно, что так быть не должно! Почему аудиосистема не отделена от системы контроля и управления автомобилем?»

Вполне можно постичь, зачем аудиосистема в современной машине может подключаться к сетям беспроводной связи — многие люди сегодня привыкли и постоянно хотят слушать трансляцию музыки из интернета. То, что автомобильные плееры CD/MP3 должны иметь логику для воспроизведения цифровых аудиофайлов, тоже понятно.

Но почему, спрашивается, инженеры автоиндустрии решили, что это хорошая идея — проводить трафик данных от совершенно несущественной для машины подсистемы через всю остальную систему управления автомобилем?

Сведущие в этом деле специалисты отвечают на эти вопросы примерно так.

Даже если процессор CD/MP3-плеера физически представляет собой совершенно отдельное устройство, он все равно должен взаимодействовать — и это ключевой момент — с блоком управления ECU (Electronic Control Unit).

Потому что вся электроника, включая аудиоплеер, должна реагировать на управляющие сигналы системы о состоянии машины — о статусе двигателя (включен он или выключен) или о статусе системы управления (рулевым колесом и так далее). Причем все эти устройства — ECU, MP3-плеер, подсистемы управления машиной — напрямую подсоединены к единой шине, которая идет через весь автомобиль.

Сделано так по той причине, что единая шина — это намного более эффективное с точки зрения затрат решение, нежели куча проводов, протянутых к каждому отдельному устройству (масса и цена таких проводов растут в геометрической прогрессии относительно возрастания числа устройств).

Ну а оборотной стороной этого выигрыша и становится то, что аудиоплеер, подсоединенный к единой шине, в принципе получает возможность влиять даже на ECU, посылая в магистраль специально подобранные пакеты. Такого рода сигналы, к примеру, действительно способны передать в ECU команду на прекращение работы гидравлики тормозов — и у автомобиля резко отказывает тормозная система…

Полный текст статьи с подробностями и итогами этого исследования («Comprehensive Experimental Analyses of Automotive Attack Surfaces» by Stefan Savage, Tadayoshi Kohno et al.) пока что не выложен авторами в свободный интернет-доступ. Однако в обозримом будущем работа должна, по идее, появиться на сайте AutoSec.org, посвященном компьютерной безопасности автомобилей.

[Прим.2013. Cм. статью тутhttp://www.autosec.org/pubs/cars-usenixsec2011.pdf]