Методы защиты информации в современном автомобиле и известные уязвимости, которые позволяют произвести деструктивное воздействие на встроенные системы

Как защищается информация в автомобиле, в котором около сотни мини-компьютеров, есть доступы в автомобильную сеть извне, выход из строя или промедление в реакции устройств реального времени может привести к непоправимому финансовому ущербу, травмам или смерти? Для этого в стандартах разработаны следующие положения:

· Шина CAN физически разделена на низкоскоростную и высокоскоростную, к разным шинам подключены разные по критичности компоненты.

· Высокоскоростная шина более доверена нежели низкоскоростная.

· Шлюза могут быть перепрограммированы с высокоскоростных в низкоскоростные, но не наоборот.

· ЭБУ можно прошить только тем ПО, который подписан закрытым ключом производителя, проверка производится в ЭБУ на основе отрытого ключа.

· Невозможно прошить ПО разработанное только для конкретной машины в ЭБУ другой машины, поскольку в данном случае при генерации закрытого и открытого ключа используется уникальный идентификатор автомобиля

· Полномочия получившего доступ к автомобильной сети различаются, в зависимости от того, как он получил доступ напрямую или через телефонную сеть, для получение локальный полномочий в системе, удаленным пользователям необходимо пройти дополнительную авторизацию в ЭБУ.

· Для обхода запрета прошивки методом замены ЭБУ в ЭБУ и модуле безопасности на заводе изготовителе вшиты секретные ключи авторизации, защищенные от чтения, авторизация в сети автомобиля происходит методом «оклик-отзыв», ЭБУ обязан через определенные промежутки времени авторизоваться в модуле безопасности алгоритмом на основе знания этого ключа, если авторизация не пройдена – ЭБУ не определяется в системе.

· Запрет на отключение коммуникации ЭБУ по шине CAN, если это небезопасно, например, в движении.

· Передача конфиденциальных данных из/в машину производиться только после шифрования гибридным методом, используется открытый ключ для передачи симметричного ключа.

Данные положения исключают какие-либо манипуляции с приватными данными, ЭБУ или сетью автомобиля, тогда почему же тема информационной безопасности встроенных систем все больше и больше набирает популярность? Дело в том, что практически все встроенные системы автомобиля произведены в разных компаниях, а такие вещи как CD-changer можно заменить в любой момент и зачастую они снабжены операционной системой на базе Android или Windows CE. Такое положение вещей не может гарантировать полную совместимость оборудования, отсутствия не декларированных возможностей или отсутствие уязвимостей, известные на данный момент уязвимости, дающие возможность реализации деструктивного воздействия на систему представлены ниже:

· В CAN фрейме нет поля адреса, поле арбитража позволяет лишь определить приоритет фрейма в сети и каждый фрейм посылается на все узлы сети, которые затем решают, нужно ли им обрабатывать данный фрейм или нет. [1]

· Как уже выше говорилось каждый фрейм всегда посылается на все узлы сети, сказывается широковещательная природа шины CAN, исходя из этого, можно внедрить любое устройство в сеть, которое сможет легко шпионить, а также внедрять необходимые злоумышленнику фреймы в трафик. [1]

· Так же сочетание широковещательной природы сети и арбитража доступа делает сеть чувствительной к атаке типа DoS, достаточно лишь постоянно отправлять сеть фреймы, у которых поле арбитража не будет содержать ни единой единицы, тогда это будет главенствующий трафик в сети.[2]

· CAN фрейм не содержит полей аутентификации и идентификации, это значит, что любой компонент может инкогнито посылать фреймы на любой другой компонент, это же означает что в сети при компрометации компонента и использования его для генерации необходимого трафика его невозможно идентифицировать. [5]

· Как говорилось выше, для модуля безопасности проверяет ЭБУ путем опроса и выявления знания секретного авторизационного ключа, сейчас алгоритмы, по которым преобразуются эти ключи для передачи их от ЭБУ к модулю безопасности хорошо известны, а как описано в стандарте, запрос и ответ занимают каждый всего по 16 бит, а поскольку проверка ЭБУ происходит каждые 10 секунд, перехват пары легко реализуем и при известном алгоритме легко получить исходные данные – секретный авторизационной ключ. [5]

· Возможность исключительно программного обновления ЭБУ, может быть очень полезна для производителей автомобилей, который могут перепрошивкой, без замены ЭБУ решить проблему дефектного ПО ЭБУ, но это так же дает возможность атакующему, работающему в автосалоне прошить произвольное ПО в ЭБУ.

· Исследованиями доказано, что вопреки требованиям стандартов во время движения возможно ввести ЭБУ в режим прошивки, что приводит к невозможности ЭБУ выполнять свои функции, например, управлять тормозами или двигателем, машина сразу же прекращает работу двигателя.

· В некоторых автомобилях, некоторые ЭБУ отвечают на запрос об авторизации в независимости он входящих данных одинаковыми выходящими, это значит, что ответ в этих ЭБУ запрограммирован.

· Поскольку в процессе производства необходимо выполнение запрещенных в обычной среде команд, таких как включение тормозов по команде, без нажатия педали тормоза, при движении, необходимо всего лишь получить доступ к ключу для аутентификации как производитель, но некоторые команды оказались доступны и без аутентификации.

· Небезопасное соединение сетей – шлюзы не могут быть перепрограммированы с низкоскоростных в высокоскоростные, но иногда получается, что ЭБУ с телематикой можно из низкоскоростной сети заставить выполнить код и послать необходимые пакеты в высокоскоростную сеть.

· Такие сервисы как OnStar и им подобные могут оказывать управляющее воздействие на автомобиль, следовательно, при взятии под контроль злоумышленниками серверов этих сервисов, появляется возможность деструктивного воздействия на все автомобили пользователей сервиса.

· Возможность переполнения буфера CD-Changera с последующим выполнением произвольного кода.

· Использование посторонних устройств совместно с OBD-II портом, одно из таких устройств – Zubie, оно предоставляет функционал подобный OnStar, но использует HTTP over GSM для обновления прошивки, на конференции о безопасности встроенных информационных систем в 2014 году было доложено о возможности реализации атаки man in the middle и загрузки произвольной прошивки в устройство с последующим удаленным контролем за устройством и машиной.