Infettare un veicolo con un virus?

Un virus o un trojan sono pezzi di codice che automatizzano un attacco e si propagano più o meno automaticamente (la terminologia è un po 'sciatto ). Innanzitutto deve esserci una vulnerabilità che può essere sfruttata per eseguire codice dannoso sulla destinazione. Esistono molti tipi di vulnerabilità, tra cui un utente credulone che "aprirà gli allegati eseguibili" (il principio fondamentale di molti trojan), ma ce ne devono essere alcuni. Quindi , il virus / trojan / malware lo porta a un livello superiore attraverso l'automazione.

Con una vulnerabilità, l'attaccante ottiene un certo controllo su un'auto. La maggior parte degli attaccanti si fermerà lì, perché sono ladri di automobili e non vogliono prendere il controllo di nessun'altra vettura rispetto a quella in cui si trovano. A maggior ragione, non vogliono rubare un'auto che è "troppo danneggiata", sia meccanicamente che logicamente.

Un virus automobilistico, "infettando" un sacco di automobili, consentirebbe colpi pesanti su larga scala, ad es. immergendo un intero paese che ama l'auto nel caos dei pedoni, o nelle autorità di ricatto con la prospettiva di uccidere autisti casuali (accidenti, quando scrivo questo, sento quasi la voce di Bruce Willis che fa battute scherzose mentre spara ai cattivi). Mentre questo sarebbe un grande scenario di Hollywood, mi aspetto che si verifichi prima il furto d'auto. Riceveremo avvertimenti.

Una proprietà salvifica delle auto è che non sono centralizzate elettronicamente, non nella stessa era come uno smartphone. Un iPhone ha una singola grande CPU che fa tutto. Un'auto ha dozzine di piccole CPU, ciascuna responsabile di uno o due compiti. Sebbene siano collegati tra loro, hanno ancora molta autonomia. Un exploit remoto su una macchina dovrebbe probabilmente consentire di spegnerlo o lampeggiare, ma non sovrascrivere tutto. Anche le normative sulla produzione automobilistica sono irremovibili: in ogni caso, il guidatore deve essere ancora in grado di frenare spingendo pesantemente sul pedale, anche in caso di un crollo totale dell'elettronica, ad es. dopo essere stato colpito da un fulmine. Il freno a mano, inoltre, dovrebbe essere interamente meccanico, senza parti elettriche. Finché queste proprietà vengono mantenute, non puoi essere rapito dalla tua auto, anche se ha capacità di "guida automatica".

Per essere onesti non sono preoccupato solo del malware / virus ma anche dei possibili errori all'interno di tutta l'elettronica dell'auto / veicolo.

Durante la conferenza "Hack in the Box" ad Amsterdam, un ricercatore di sicurezza Hugo Teso dimostra come prendere il controllo del sistema elettronico di un aereo con un'applicazione Android ( link ).

Il nostro ruolo, il ruolo della comunità in questo modo è quello di ricercare e informare / condividere i nostri risultati per evitare che qualcuno usi queste informazioni in modo negativo. È un ruolo importante, ma è il modo unico in cui so fare il meglio per gli altri.

Le auto moderne sono costruite da dozzine (o anche centinaia) di sistemi informatici interconnessi, quindi non vi è alcun motivo per cui non possano essere suscettibili al malware; hai già notato il recente esempio di hacker che giocano con un'auto mentre un reporter lo guida.

Sono state adottate misure tecniche per ridurre la possibilità? Alcuni. Molti di questi sistemi si trovano su ROM prodotte in fabbrica che non possono essere riprogrammate o che hanno una quantità di RAM molto limitata e pertanto non possono ospitare un'infezione da malware. Ma in generale, l'intera architettura CAN bus è stata progettata molto tempo fa senza la sicurezza in mente, e l'intero veicolo deve essere trattato come un'unica entità affidabile.

Hai notato l'accesso fisico sopra, ma questo divario si sta allargando quando i produttori cercheranno di fornire "funzionalità" più integrate per i consumatori. La mia macchina fornisce non meno di ventitre punti di ingresso disponibili per me e per i potenziali attaccanti!

Bloccato in sicurezza all'interno della cabina c'è una porta USB e un'unità CD / DVD che si interfaccia direttamente con lo stereo; c'è anche il jack OBD-II. A meno che l'attaccante non sia già dentro la mia auto, (come un 'amico' con una pen drive,) quelli sono abbastanza sicuri.

Esternamente, sono disponibili tre lettori RFID a corto raggio, sul bagagliaio, sulla portiera del conducente e all'interno della cabina. Ci sono quattro sensori e ricevitori per la pressione degli pneumatici a corto raggio RF. C'è un sistema Bluetooth che si interfaccia con lo stereo che ha una portata di almeno dieci metri fuori dal veicolo. C'è un ricetrasmettitore remoto senza chiave basato su RF che funziona da diverse decine di metri. E c'è un avviamento remoto indipendente basato su RF che funziona a 500 metri di distanza. Infine, lo stereo riceve sia i flussi terrestri HD-Radio che i dati satellitari per musica, traffico, meteo, notizie e altri tipi di dati.

Qualcuno di questi offre una sorta di accesso al sistema elettronico della mia auto, e posso solo fidarmi del fatto che la casa automobilistica li ha protetti tutti.

Oltre alle interfacce basate sui dati sopra, ci sono altri punti di ingresso nell'auto che sono collegati al bus. C'è una telecamera posteriore sul bagagliaio e una telecamera frontale per un sistema di sicurezza del conducente. È possibile che abbiano una libreria in grado di leggere e analizzare i codici a barre per qualche motivo legittimo? In tal caso, è possibile utilizzare un codice a barre per iniettare un attacco? C'è anche un ricetrasmettitore radar, quattro sensori di portata ad ultrasuoni e il sistema di navigazione ha un ricevitore GPS. Mentre non ho idea di come un utente malintenzionato possa usare qualcuno di questi per ottenere un qualche tipo di accesso, e li classificherei come un rischio molto basso, che non tiene conto del fatto che persone molto intelligenti hanno già attaccato tutti i tipi di sistemi.

Infine, c'è un'altra area di vulnerabilità non ovvia: i retrovisori laterali. I miei specchi hanno almeno tre funzioni elettroniche: movimento X-Y remoto, luci di cortesia oscuranti e una luce di segnalazione "punto cieco occupato". Per gestire tutta questa attività, posso solo presumere che il bus CAN sia esteso nell'alloggiamento dello specchio, il che significa che un ladro con un cacciavite è probabilmente solo un piccolo pezzo di plastica dall'interfacciamento con la mia elettronica dall'esterno della mia auto. Da lì, ha potuto dire alle porte di sbloccare, agganciare il proprio dispositivo malevolo o fare quello che vuole.

Questa macchina ha anche tre anni. Le auto più recenti includono i punti di accesso WiFi e i ricetrasmettitori GSM, fornendo opzioni di connettività sempre più accessibili per l'aspirante aggressore. Le funzionalità si stanno sicuramente espandendo più rapidamente della sicurezza.

Ho scritto il bootloader di un sistema di navigazione per un'auto moderna. (Non nominare i marchi qui, ma puoi Google e indovinare). Eravamo assolutamente consapevoli del rischio, anche anni prima di "Hack in the Box" che menzionava @fdicarlo. Per rendere le cose ancora più complicate, abbiamo dovuto avviare Linux, giocare secondo le regole GPL ed essere comunque al sicuro.

Sì, ciò significa che una chiavetta USB adatta potrebbe avviare l'installazione di una nuova versione di Linux. Tuttavia, non sarebbe molto sottile: consegneremmo la procedura di installazione a una subroutine che renderebbe molto chiaro all'utente ciò che stava per succedere, inclusa la perdita di garanzia quando mancava la nostra firma digitale. È un dialogo abbastanza spaventoso sull'hardware che supera i 10.000 euro. E per chiarire: quella finestra di dialogo verrebbe dal bootloader, non dal vecchio né dal nuovo kernel di Linux.

Anche una seconda linea di difesa si basava su quella firma digitale. Certo, la GPL ti permette di sostituire il kernel di Linux. Avremmo avviato un kernel non firmato. Ciò non significa che il resto della macchina parlerà con quel kernel. Se vuoi eseguire un videoplayer, sentiti libero, ma non puoi mostrare la velocità attuale della tua auto. Questa difesa si riduce al livello hardware. Il controller del bus CAN non si avviava semplicemente se mancava la firma corretta.

E anche quello non era l'ultimo livello di sicurezza. Per impedire l'auto contro i bug, il bus CAN stesso era fisicamente diviso in due, con una "valvola a pacchetto" che copiava pacchetti da il controllo del motore centrale ai sistemi di osservazione, ma non viceversa. La porta di diagnostica di bordo si trova sul lato di controllo, poiché potrebbe avviare le routine di auto-test. Ecco perché gli "hacker" possono mostrare tali "hack pericolosi". La tua tastiera non è sicura quando le persone possono inserire keylogger fisici, la tua auto non è sicura se le persone hanno anche accesso all'hardware.

Quindi, in sintesi, le auto non introducono un nuovo rischio per la sicurezza, e le aziende automobilistiche professionali hanno avuto abbastanza sicurezza abbastanza presto.

Recentemente ho fatto parte di un OEM che fornisce un sistema di infotainment molto ben noto. Devi capire che la maggior parte delle ECU in macchina sono software personalizzati che richiedono interfacce speciali e chiavi di sicurezza per essere flash. Prima di tutto, i veicoli attuali devono essere fisicamente utilizzati per poter eseguire alcuni di questi hack, in alcuni casi annullando la garanzia. In futuro questo diventerà una sfida più grande in quanto gli OEM vorranno consegnare il software a qualsiasi ECU del veicolo via etere (cioè Tesla S)

A livello di sistema di infotainment, posso dire che l'architettura del sistema è stata progettata in modo che il sistema operativo (essendo una variante di Windows) fosse completamente non attendibile. Un ulteriore livello di sicurezza (si può pensare ad esso come un firewall) è stato aggiunto al SOC che ospita un sistema operativo in tempo reale che si occupa della gestione dei segnali CAN esterni. L'esistenza di una "lista bianca" su questo firewall consente il controllo di segnali appropriati per raggiungere il sistema operativo. Qualsiasi altra cosa è praticamente nella lista nera. Questo ulteriore livello di sicurezza aggiunge la possibilità di aggiungere segnali CAN alla whitelist, ma richiede una sicurezza specifica OEM (inclusi i messaggi telematici e server back-end) per poterlo fare.

Ricercando su un argomento correlato, ho trovato questo thread e anche questo documento .

La cosa più interessante è il fatto che molti dei protocolli di sicurezza ... semplicemente non ha funzionato. Una delle cose più spaventose in questo articolo è il fatto che hanno avuto accesso ai controller dei freni e potrebbero disabilitarli o abilitarli a proprio piacimento. Sebbene sia necessario un accesso fisico alla macchina per poterlo fare, non vedo perché non sia possibile sviluppare un modulo hardware personalizzato da attaccare a una porta OBD2 e causare il caos, prendendo comandi remoti o usando trigger precaricati (quando alla velocità x, invia il pacchetto x, ecc.)

Come affermato in altre risposte, le qualità di riscatto della maggior parte delle auto sono la decentralizzazione di sistemi importanti, e su veicoli più vecchi la mancanza di connettività aiuta anche a restringere la superficie di attacco. Un virus dovrebbe realisticamente essere adattato a un veicolo specifico e dovrebbe essere distribuito da qualche dispositivo che si connette fisicamente ad esso, come un lettore di codice meccanico ecc.