Антивирусная правДА!TM

22 июня 2023

В выпусках «Антивирусной правды» мы часто рассказываем о различных киберугрозах, которым подвергаются пользователи домашних компьютеров и других устройств, ставших неотъемлемой частью современной жизни. Окружающая нас цифровая инфраструктура включает огромное количество устройств — это и персональные компьютеры, и смартфоны, и умные телевизоры, и другие гаджеты, а также сетевое оборудование, хранилища, сети и серверы. Всем этим управляет бесчисленное количество программ по различным протоколам и алгоритмам, чаще всего — абсолютно незаметно для простого пользователя.

Наши читатели знают, что эта стройная, но сложная цифровая система взаимодействий имеет фундаментальную проблему — проблему безопасности. Вредоносный код может затрагивать практически все уровни обмена информацией, начиная с эксплуатации низкоуровневых уязвимостей и заканчивая банальным мошенничеством в сети. Поэтому с развитием цифровых технологий и повсеместным распространением умных устройств вопрос безопасности не только не теряет актуальность, а, напротив, становится краеугольным камнем всей отрасли. И в сегодняшнем материале мы хотим поговорить об автомобилях.

«Стоп, о каких автомобилях? На страницах “Антивирусной правды” мы же рассуждаем, как правило, о компьютерах», — наверняка подумали вы. Все верно. В этом выпуске мы предлагаем рассмотреть автомобиль немного под другим углом: а именно — взглянуть на него не как на средство передвижения, а как на самый настоящий компьютер. Ведь чем сложнее устройство, программа или система, тем она потенциально более уязвима. Давайте попробуем разобраться, может ли современный автомобиль стать целью киберпреступников.

Автомобильная промышленность многим обязана развитию цифровых технологий. Большую часть своей вековой истории автомобиль имел очень простую электрическую часть. Стартер для запуска двигателя, системы зажигания и питания, несколько аналоговых датчиков, освещение и, пожалуй, все. К слову, даже стартер и электрический топливный насос появились в машинах не сразу. Со временем оснащение совершенствовалось, появлялись различные вспомогательные механизмы, повышающие комфорт и безопасность водителя и пассажиров, но в целом вплоть до начала 80-х годов прошлого века серийные автомобили оставались по большей части механическими транспортными средствами. Появление относительно дешевых микропроцессоров ознаменовало начало новой эры в автомобилестроении. Так, стали массово внедряться электронные системы управления — сначала самыми важными агрегатами, а затем и вспомогательными устройствами. Это был значительный технологический прорыв, так как применение электроники позволило увеличить КПД двигателей и значительно снизить количество вредных выбросов.

Современный же автомобиль — это компьютер на колесах. Точнее, целая система компьютеров, которые называются электронными блоками управления (сокр. ЭБУ). Например, подачей топливовоздушной смеси, зажиганием, изменением фаз газораспределения, потоком впускного воздуха и другими процессами работы силового агрегата управляет ЭБУ двигателя. Для правильного функционирования мотора компьютер постоянно собирает и обрабатывает информацию, полученную от многочисленных датчиков, и отдает команды исполнительным механизмам. Другие важные системы автомобиля также оснащены своими блоками — компьютер управляет переключением передач, работой тормозов, передачей крутящего момента на разные оси в полноприводных автомобилях и многим-многим другим. Но и это лишь верхушка айсберга. Открыта или закрыта дверь, работает ли лампочка в плафоне, насколько качественный воздух в салоне — обо всем этом «знает» электроника автомобиля.

Чтобы все работало как надо, блоки разных систем должны уметь обмениваться информацией между собой. С этой целью в начале 80-х годов была изобретена цифровая шина данных — так называемая CAN-шина (англ. Controller Area Network). Именно она и служит каналом связи между цифровыми блоками управления для передачи всех сигналов и команд. Как было сказано выше, сначала цифровое управление внедрили в блоки, отвечающие за функционирование наиболее важных узлов машины. Затем к единой шине подключили и второстепенные системы — системы управления комфортом, мультимедиа и телеметрию. С физической точки зрения CAN-шина представляет собой витую пару проводников для прохождения электрического тока. Определенные уровни напряжений тока соответствуют логическому нулю или логической единице. Не будем вдаваться в подробности работы шины, однако заметим, что в такой системе блоки могут общаться друг с другом последовательно и в порядке приоритета, все это происходит очень быстро и в режиме реального времени.

Конечно, автомобильные блоки управления не очень похожи на персональные компьютеры, а передача данных в CAN-шине организована не так, как в привычной для нас модели TCP/IP. Тем не менее, существуют интерфейсы подключения к CAN-шине извне для диагностики и управления. И здесь мы подходим к вопросу цифровой безопасности.

Как мы убедились, в современной машине компьютер берет на себя управление практически всеми узлами. В последние годы серьезное развитие получили системы активной безопасности — премиальные модели имеют на борту множество электронных «помощников», которые не просто сигнализируют водителю об опасных ситуациях, а могут вмешаться в торможение и даже рулевое управление. Поэтому отказоустойчивость электронных систем — приоритет для автопроизводителей. Автомобильные блоки управления очень надежды, они спроектированы для выполнения простых и однотипных задач. Передача данных по CAN-шине защищена от электромагнитных помех благодаря витой паре и использованию контрольных сумм в каждом кадре сообщения. Ведь если электронный блок примет неверное значение и отправит неверную команду какому-нибудь исполнительному устройству, это может вылиться в очень опасную ситуацию на дороге.

А существует ли вредоносное ПО, которое может взять на себя управление автомобилем? Может ли злоумышленник управлять машиной извне через встроенную бортовую электронику?

Стоит заметить, что 40 лет назад разработчики CAN-шины думали в первую очередь об отказоустойчивости оборудования, но никак не о кибербезопасности и защите от взлома. Если проводить аналогии с компьютерными сетями, то до недавнего времени цифровая сеть автомобиля считалась исключительно изолированной. Давайте выделим ряд ключевых особенностей передачи данных в такой сети.

1. Блоки автомобиля (назовем их узлами) последовательно транслируют свои сообщения в одну шину в порядке очереди.
2. Все узлы равноправны, любой из них может быть как отправителем, так и получателем.
3. Право отправить данные в шину получает тот узел, сообщение которого имеет наивысший приоритет.
4. Отправленное сообщение доступно сразу всем узлам в сети.
5. Архитектура CAN-шины не поддерживает шифрование, все данные передаются в открытом виде.
6. Также архитектура CAN-шины не поддерживает проверку подлинности сообщений и общающихся узлов.

Из всего этого следует, что, получив доступ к CAN-шине, злоумышленник может совершать различные действия с автомобилем путем отправки ложных сообщений в блоки управления. Блок-получатель не может идентифицировать ложное сообщение и отфильтровать его, так как подобные защитные механизмы в реализации протокола CAN отсутствуют. Упомянутое выше применение контрольных сумм обеспечивает защиту от помех, но не от подмены или перехвата сообщений. Также злоумышленник может провести подобие DoS-атаки на определенный блок, в результате которой последний выключится из коммуникации. Кроме того, поскольку данные передаются в открытом виде, получив доступ к шине, можно прослушивать передаваемые сообщения при помощи сниффера и сопоставлять коды с выполняемыми командами. Здесь можно провести полную аналогию с анализом трафика в сетях TCP/IP.

Поскольку сеть общающихся по CAN-шине узлов является изолированной, для ее компрометации необходим физический доступ к шине или узлу. Практически все автомобили, выпущенные за последние 30 лет, имеют специальный разъем для подключения диагностического оборудования — так называемый OBD-порт (англ. On-Board Diagnostics). Блоки управления имеют механизм самодиагностики и могут регистрировать коды ошибок, возникающих при тех или иных неисправностях в машине. Таким образом, потенциальной точкой входа для атаки на CAN-шину может быть подключение через диагностический интерфейс. Безусловно, для успешной атаки нужно, во-первых, внедрить оборудование в транспортное средство, во-вторых, иметь соответствующее ПО и, наконец, находиться в непосредственной близости от автомобиля. Все это делает такой сценарий атаки маловероятным, однако существует практическая уязвимость, о которой стоит упомянуть. Некоторые автовладельцы приобретают диагностические адаптеры для личного использования и оставляют их постоянно подключенными к автомобилю. В этом случае после подачи питания адаптер находится в режиме ожидания соединения с управляющей программой по беспроводной связи — Wi-Fi или Bluetooth. Конечно, риск того, что кто-то будет проходить мимо такой машины с целью подключиться к ней, невелик. И даже в случае подключения незваный гость едва ли заблокирует тормоза или, скажем, отключит сигнализацию. Все будет зависеть от того, какая управляющая программа будет использована и какие ограничения накладывает сам диагностический адаптер. Однако, как было замечено выше, уязвимость может быть найдена, поэтому предоставлять потенциальному злоумышленнику лазейку для физического доступа через диагностический разъем не следует. Кстати, подобным образом операторы отслеживают машины каршеринга.

И здесь мы подходим к самому интересному. Автомобилестроение, как и многие другие отрасли, давно окунулось в концепцию интернета вещей. Транспортное средство с доступом в глобальную сеть — уже не фантастика, а вполне обыденное явление. Современные машины используют различные телеметрические системы, могут отслеживать свое местоположение и передавать заводу-изготовителю любые параметры из CAN-шины, обмениваться данными с ближайшими машинами для предотвращения столкновений, обновлять свое внутреннее программное обеспечение и многое другое. Это стало возможным в первую очередь благодаря стремительному развитию беспроводных сетей. Реализация этих безусловно полезных функций предъявляет совершенно иные требования к встроенным системам цифровой безопасности. Ведь потенциальному злоумышленнику больше не нужен физический доступ к автомобилю. Эксплуатация одной или ряда уязвимостей для обхода штатной защиты позволит получить доступ к внутренней системе автомобиля со всеми вытекающими последствиями.

Сейчас все больше автопроизводителей в качестве опции предлагают возможность управлять отдельными функциями автомобиля с помощью смартфона. В качестве примера можно привести системы управления и мониторинга Mobikey от Hyundai и InControl от JLR. В мобильном приложении владелец может отслеживать местоположение своего автомобиля, открывать или закрывать его, запускать двигатель, управлять системами климат-контроля, мультимедиа и не только. При всем удобстве такой функциональности следует принимать во внимание потенциальную уязвимость такого подхода. Для реализации удаленного управления каждый такой автомобиль оснащен системой телеметрии. Алгоритмы управления могут быть разные, но так или иначе задействуют как электронику машины, так и серверы автопроизводителей. Например, упрощенно это может выглядеть следующим образом. Отдавая команду отпереть водительскую дверь, ваше мобильное приложение отправляет запрос через интернет на удаленный сервер автопроизводителя. Сервер проверяет подлинность запроса и обратно передает коды разблокировки на один из электронных блоков вашего автомобиля, который отвечает за центральный замок и противоугонную систему. Все эти соединения через интернет должны включать надежное шифрование, аутентификацию сторон, защиту от различных типов атак и другие механизмы безопасности. Ошибки в реализации алгоритмов удаленного управления могут привести к тому, что соединение будет уязвимо, и злоумышленник сможет, например, отправить свой запрос на разблокировку, который будет принят как легитимный, или перехватывать ответы от сервера для последующего использования. Не стоит также забывать, что блок телеметрии в любом случае связан общей шиной с другими блоками автомобиля, включая критически важные. К сожалению, подобные сценарии существуют не только на бумаге. Так, в 2015 году исследователям удалось получить практически полный контроль над автомобилями марки Jeep через уязвимость в системе телеметрии UConnect.

К слову, в соответствии с концепцией интернета вещей автомобиль может быть не конечной целью атаки, а лишь промежуточным звеном. Например, синхронизация мультимедиа-системы автомобиля и смартфона — уже всем знакомая функция. Поэтому, чтобы дотянуться, например, до списка ваших контактов, фотографий и другой конфиденциальной информации, либо до другого устройства, являющегося частью вашей экосистемы, злоумышленник вполне может использовать уязвимость умного автомобиля в качестве точки входа.

Умные автомобили с телеметрией, благодаря которой автопроизводители знают о вашем стиле вождения буквально все, пока не распространены повсеместно. Но и владельцам более простых, но все еще современных машин также следует помнить о цифровой сущности своих транспортных средств. Так, потенциальную опасность с точки зрения информационной безопасности представляют магнитолы на базе «чистой» ОС Android. Во-первых, по своей сути это обычные Android-устройства, следовательно, на них может запускаться и работать соответствующее вредоносное ПО. Во-вторых, как правило, они имеют подключение к CAN-шине автомобиля. Проблема не является массовой, но с практической точки зрения ничто не мешает случайно запустить на таком уязвимом устройстве вредоносный APK-файл с трояном, который скомпрометирует бортовую сеть машины. При этом стоит отметить, что штатные головные устройства от автопроизводителей если и построены на базе Android, то, как правило, не позволяют запускать стороннее ПО.