КАК И ОТ ЧЕГО ЗАЩИЩАТЬ АВТОМОБИЛЬ?

Денис Легезо

2

ПЛАН НА СЕГОДНЯ

• УЯЗВИМОСТИ И ИНЦИДЕНТЫ

• АРХИТЕКТУРА БОРТОВОЙ СЕТИ АВТОМОБИЛЕЙ

ORGANIZATIONAL CHANGES

TO ALL FACEBOOK USERS: STAY SAFE!

OUR NEW SLED TEAM

LEGAL PRODUCT EXPERTISE TO HELP WITH PROJECT EFFORTS

14

27

22

17

• ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ

• ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ

АРХИТЕКТУРА БОРТОВОЙ СЕТИИ ПРИ ЧЕМ ЗДЕСЬ МОБИЛЬНАЯ РАЗРАБОТКА

4

ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ НА КОЛЕСАХ

Головное устройство (HU) и электронные блоки управления (ECU) объединены сетью

Используется несколько протоколов передачи данных. Сейчас это в первую очередь CAN

Общее количество ECU – несколько десятков

5

ПРОТОКОЛЫ НА БОРТУ ПОМИМО CAN

LIN Subbus – UART. Медленно и дешево

FlexRay – сложнее CAN, скорость до 10 Mbs

MOST – быстрая сеть для мультимедиа

Ethernet

Но разные виды CAN пока преобладают

6

..И ЭТО ПРОБЛЕМА

Простой и надежный с т.з. физики

Создатели не думали о безопасности: broadcast и т.п.

Теперь приходится поверх CAN ставить дополнительные «костыли». В первую очередь дополнительные чипы\устройства

7

СТАНДАРТИЗАЦИЯ ПО ДЛЯ АВТОПРОМА

AUTomotive Open System ARchitecture

На уровне приложений – мобильная разработка. И iOS, и Android есть и для машин

На нижних уровнях – прошивки, программирование под RTOS (QNX т.п.)

8

ГЛАВНЫЙ НА БОРТУ

HU – это по сути ПК с RTOS

К нему применимы все стандартные методы исследований

Авто- и ИБ-индустрии заметно сближаются в последнее время

УЯЗВИМОСТИ И ИНЦИДЕНТЫЧТО УЖЕ ПОКАЗАЛИ ИССЛЕДОВАТЕЛИ

10

ПЕРЕХВАТ УПРАВЛЕНИЯ. СНАЧАЛА ЛОКАЛЬНЫЙ

Университетские теоретические исследования. Гранты DARPA практикам

В 2011 г. Показан локальный перехват управления Toyota Prius и Ford Escape

Автопром ответил: «Не проблема»

11

..И ПОЛУЧИЛ УДАЛЕННЫЙ ПЕРЕХВАТ

В 2015 г. на Jeep Cherokee был показан первый удаленный перехват управления.

Через 0-day в Uconnect. 1.4 миллиона отозванных автомобилей Fiat Chrysler Automotive (FCA)

B вот здесь автопром заволновался

12

ЧТО ИМЕННО СДЕЛАЛИ?

На борту есть Uconnect, RTOS QNX, ARM chip. Сначала показали, как через 0-day в Uconnect можно выполнить произвольный код с USB flash

Подключение к сети через оператора Sprint. IP меняется при каждом перезапуске машины, но остается в двух сетях A-класса: 21.0.0.0/8 и 25.0.0.0/8. И порт 6667 остается открытым. Тот же 0-day можно эксплуатировать удаленно через сотовую сеть

Купили фемтосоту, просканировали открытые порты 6667 в подсетях Sprint. Все, можно перепрошивать HU. И все из-за мобильного ПО

13

САМЫЙ ЯРКИЙ, НО ДАЛЕКО НЕ ЕДИНСТВЕННЫЙ

Иногда умудряются общаться с базовой станцией по http

В результате можно подменять обновления для HU

14

ЕСТЬ ЕЩЕ ВРЕМЯ?

Пока не известны зловреды именно для машин

С контроллерами злоумышленники уже работают

Модуль Equation перепрошивает винчестер, format не помогает

И ТАКИХ ЦЕЛЕВЫХ АТАК ВСЕ БОЛЬШЕ

ОРГАНИЗАЦИОННЫЕ МЕРЫ

НОВОСТИ ИЗ СМЕЖНОЙ ОТРАСЛИ

Помните задержание исследователя сразу после полета?

Авиаинженеры уже думают о стандартизации ИБ

ТЕХНИЧЕСКИЕ МЕРЫ

НА УРОВНЕ ECU

Шифрование и подпись обновлений для ECU

Использование крипточипов со стойкими алгоритмами. Специализированных устройств поверх ненадежного CAN

НА УРОВНЕ ОПЕРАЦИОННЫХ СИСТЕМРазделение процессов на домены

Создание динамических правил междоменного взаимодействия

Применение традиционных сигнатурных и эвристических репутационных баз знаний

НА УРОВНЕ ПРИЛОЖЕНИЙ

База поведенческих и сигнатурных вердиктов он-лайн

Первые могут включать в себя как общение ECU-ECU, так и машина-машина

Предварительный аудит приложений

ВОПРОСЫ?