mbltdev15: denis legezo, kaspersky lab
TRANSCRIPT
КАК И ОТ ЧЕГО ЗАЩИЩАТЬ АВТОМОБИЛЬ?
Денис Легезо
2
ПЛАН НА СЕГОДНЯ
• УЯЗВИМОСТИ И ИНЦИДЕНТЫ
• АРХИТЕКТУРА БОРТОВОЙ СЕТИ АВТОМОБИЛЕЙ
ORGANIZATIONAL CHANGES
TO ALL FACEBOOK USERS: STAY SAFE!
OUR NEW SLED TEAM
LEGAL PRODUCT EXPERTISE TO HELP WITH PROJECT EFFORTS
14
27
22
17
• ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ
• ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ
АРХИТЕКТУРА БОРТОВОЙ СЕТИИ ПРИ ЧЕМ ЗДЕСЬ МОБИЛЬНАЯ РАЗРАБОТКА
4
ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ НА КОЛЕСАХ
Головное устройство (HU) и электронные блоки управления (ECU) объединены сетью
Используется несколько протоколов передачи данных. Сейчас это в первую очередь CAN
Общее количество ECU – несколько десятков
5
ПРОТОКОЛЫ НА БОРТУ ПОМИМО CAN
LIN Subbus – UART. Медленно и дешево
FlexRay – сложнее CAN, скорость до 10 Mbs
MOST – быстрая сеть для мультимедиа
Ethernet
Но разные виды CAN пока преобладают
6
..И ЭТО ПРОБЛЕМА
Простой и надежный с т.з. физики
Создатели не думали о безопасности: broadcast и т.п.
Теперь приходится поверх CAN ставить дополнительные «костыли». В первую очередь дополнительные чипы\устройства
7
СТАНДАРТИЗАЦИЯ ПО ДЛЯ АВТОПРОМА
AUTomotive Open System ARchitecture
На уровне приложений – мобильная разработка. И iOS, и Android есть и для машин
На нижних уровнях – прошивки, программирование под RTOS (QNX т.п.)
8
ГЛАВНЫЙ НА БОРТУ
HU – это по сути ПК с RTOS
К нему применимы все стандартные методы исследований
Авто- и ИБ-индустрии заметно сближаются в последнее время
УЯЗВИМОСТИ И ИНЦИДЕНТЫЧТО УЖЕ ПОКАЗАЛИ ИССЛЕДОВАТЕЛИ
10
ПЕРЕХВАТ УПРАВЛЕНИЯ. СНАЧАЛА ЛОКАЛЬНЫЙ
Университетские теоретические исследования. Гранты DARPA практикам
В 2011 г. Показан локальный перехват управления Toyota Prius и Ford Escape
Автопром ответил: «Не проблема»
11
..И ПОЛУЧИЛ УДАЛЕННЫЙ ПЕРЕХВАТ
В 2015 г. на Jeep Cherokee был показан первый удаленный перехват управления.
Через 0-day в Uconnect. 1.4 миллиона отозванных автомобилей Fiat Chrysler Automotive (FCA)
B вот здесь автопром заволновался
12
ЧТО ИМЕННО СДЕЛАЛИ?
На борту есть Uconnect, RTOS QNX, ARM chip. Сначала показали, как через 0-day в Uconnect можно выполнить произвольный код с USB flash
Подключение к сети через оператора Sprint. IP меняется при каждом перезапуске машины, но остается в двух сетях A-класса: 21.0.0.0/8 и 25.0.0.0/8. И порт 6667 остается открытым. Тот же 0-day можно эксплуатировать удаленно через сотовую сеть
Купили фемтосоту, просканировали открытые порты 6667 в подсетях Sprint. Все, можно перепрошивать HU. И все из-за мобильного ПО
13
САМЫЙ ЯРКИЙ, НО ДАЛЕКО НЕ ЕДИНСТВЕННЫЙ
Иногда умудряются общаться с базовой станцией по http
В результате можно подменять обновления для HU
14
ЕСТЬ ЕЩЕ ВРЕМЯ?
Пока не известны зловреды именно для машин
С контроллерами злоумышленники уже работают
Модуль Equation перепрошивает винчестер, format не помогает
И ТАКИХ ЦЕЛЕВЫХ АТАК ВСЕ БОЛЬШЕ
ОРГАНИЗАЦИОННЫЕ МЕРЫ
НОВОСТИ ИЗ СМЕЖНОЙ ОТРАСЛИ
Помните задержание исследователя сразу после полета?
Авиаинженеры уже думают о стандартизации ИБ
ТЕХНИЧЕСКИЕ МЕРЫ
НА УРОВНЕ ECU
Шифрование и подпись обновлений для ECU
Использование крипточипов со стойкими алгоритмами. Специализированных устройств поверх ненадежного CAN
НА УРОВНЕ ОПЕРАЦИОННЫХ СИСТЕМРазделение процессов на домены
Создание динамических правил междоменного взаимодействия
Применение традиционных сигнатурных и эвристических репутационных баз знаний
НА УРОВНЕ ПРИЛОЖЕНИЙ
База поведенческих и сигнатурных вердиктов он-лайн
Первые могут включать в себя как общение ECU-ECU, так и машина-машина
Предварительный аудит приложений
ВОПРОСЫ?