Antes de prosseguir com a descrição de casos específicos, vamos fazer uma breve introdução ao problema. Um típico automóvel de passageiros de última geração contém sob o capô não apenas o motor, mas também mais de 100 milhões de linhas de código. Mesmo os modelos relativamente simples possuem cerca de 30 unidades de controle eletrônico (ECUs) equipadas com seus próprios processadores e firmware. Pode haver mais de cem desses blocos em carros de luxo. Para se comunicarem, essas ECUs são conectadas por meio de um labirinto de barramentos digitais. Aqui e CAN (Rede de Área de Controle) e Ethernet, e FlexRay, LIN e MOST. Todos eles operam em velocidades diferentes, transferem diferentes tipos de dados e fornecem conexões entre diferentes partes do veículo.
São as ECUs que controlam as funções críticas do carro: motor, comunicações, abastecimento de combustível, sistema de travagem e segurança. Parte do controle desses componentes está disponível por meio da unidade principal.
Os carros modernos são equipados com módulos de geolocalização, podem se conectar à Internet móvel e até usar redes wi-fi públicas. Tal “smartphone sobre rodas”, como seu homólogo de bolso mais compacto, tem interfaces sem fio e pode distribuir a Internet aos seus passageiros.
Estudamos o projeto de redes automotivas de diferentes fabricantes e descobrimos que, embora cada fornecedor as implemente de maneira diferente, todas as arquiteturas têm componentes comuns: gateways, ECUs, barramentos CAN, interfaces USB e sem fio. Apesar de todas as diferenças, eles desempenham funções semelhantes e interagem entre si da mesma maneira. Com base nesses dados, criamos uma arquitetura generalizada para a rede automotiva.
Diagrama de blocos de uma rede típica de um carro conectado. Fonte: Trend Micro
O diagrama mostra que o veículo conectado possui interfaces de rede que permitem que ele seja atacado remotamente. O resultado de tais ataques pode ser o comprometimento de uma ou mais ECUs e uma interceptação completa do controle do veículo. Vamos considerar vários casos de ataques e vulnerabilidades explorados por hackers.
Caso 1: Jeep Cherokee hackeado remotamente em 2015
Em 2015, Charlie Miller e Chris Valasek colaboraram com a Wired para hackear remotamente um Jeep Cherokee conectado .
O repórter dirigiu para a rodovia, após o qual os pesquisadores assumiram o controle dos sistemas de seu carro - eles ligaram a música e o ar condicionado em potência máxima, forçaram o limpador a funcionar e, em seguida, reduziram a velocidade do carro para 10 milhas por hora, para que outros motoristas buzinassem o participante do experimento, ultrapassando-o. O pior é que ele perdeu completamente o controle: os hackers assumiram o controle do sistema multimídia, do ar condicionado e até do acelerador.
Os pesquisadores descobriram uma rede IP Classe A que o fabricante, Chrysler, usou para alimentar seus veículos conectados. Ao escanear as portas abertas, eles descobriram que a porta 6667 estava aberta em cada carro, na qual o daemon de mensagens D-Bus aceitou comandos via Telnet sem autenticação. Enviando comandos para o demônio D-Bus, Miller e Valasek assumiram completamente o controle do veículo.
Cadeia de ataque Jeep Cherokee. Fonte: Trend Micro
Em geral, no processo de estudo da estrutura interna do Jeep Cherokee, os hackers encontraram muitas coisas interessantes, por exemplo:
- , CAN-IHS (CAN Interior High Speed), CAN-C (CAN Critical), Jeep ;
- Jeep , ;
- IP- Jeep -, — , Chrysler D-Bus, 6667;
- Renesas V850 OMAP (Open Multimedia Applications Platform) Chrysler — ( , SPI CAN CAN );
- CAN-, .
- — , , CAN- , V850, - ;
- CAN, ;
- uma maneira de falsificar mensagens CAN de ECUs reais ou desativar essas ECUs para que mensagens CAN maliciosas sejam executadas em vez de seus comandos.
Observe que, embora estejamos falando de carros do mesmo fabricante e de uma determinada geração, essa situação não é rara na indústria - este não é um problema da Chrysler, mas um problema sistêmico.
Caso 2: hackeando o Tesla em 2016
Em 2016, especialistas do laboratório de segurança Tencent Keen hackearam um Tesla Model S. Para atacar, eles exploraram uma cadeia complexa de vulnerabilidades para comprometer componentes da rede do carro e injetar mensagens CAN maliciosas.
Rede de ataque no Tesla Model S em 2016. Fonte: Trend Micro
- Os pesquisadores instalaram um hotspot Tesla Guest falso, ao qual todos os Tesla são conectados automaticamente de acordo com o padrão do fabricante.
- Tesla, -, Linux CVS-2013-6282. AppArmor.
- , root- «», — , Parrot, Bluetooth Wi-Fi, CAN.
- CAN-.
- Tesla Model S CAN-, . , .
- , / .
- , , CAN-.
- ESP, ABS, .
3: Tesla 2017
Um ano após uma demonstração visual de vulnerabilidades no Tesla, os especialistas da Tencent Keen verificaram o quão bem a empresa de Elon Musk trabalhou nos erros. O resultado foi outro compromisso do veículo elétrico.
Cadeia de ataque ao Tesla Model S em 2017. Fonte: Trend Micro O
ataque começou a partir do mesmo hotspot Tesla Guest falso, ao qual o carro se conectou de forma confiável. Em seguida, os pesquisadores exploraram novamente uma vulnerabilidade do navegador baseada no mecanismo Webkit. Embora a vulnerabilidade fosse diferente, o resultado foi o mesmo. Mesmo a atualização do fornecedor do kernel do Linux não ajudou: os hackers novamente desabilitaram o AppArmor e ganharam acesso root ao CID.
Depois disso, os pesquisadores modificaram o firmware para ignorar a verificação EDS do Tesla e, em seguida, hackearam vários ovos de Páscoa integrados ao firmware original do carro. Apesar da natureza lúdica dos ovos de Páscoa, eles tiveram acesso a várias UCEs, que os pesquisadores usaram.
Caso 4: hackear BMW em 2018
Para demonstrar que Tesla não está sozinho em problemas de segurança, Tencent Keen desenvolveu três opções de ataque para veículos BMW: um ataque local via USB / OBD-II e dois ataques remotos.
O esquema do ataque à BMW em 2018. Fonte: Trend Micro
O primeiro ataque usou a execução remota de código no BMW ConnectedDrive (um conjunto de opções de carros eletrônicos introduzidos em 2008) ao interceptar o tráfego HTTP:
- BMW ConnectedDrive HU-Intel BMW 2G 3G (TCB) HTTP, GSM GPRS- ;
- , , , URL; GSM, WebKit;
- -, root- HU-Jacinto, CAN;
- o resultado foi a capacidade de usar a função CanTransmit_15E2F0 para enviar mensagens CAN arbitrárias.
A segunda variante de um ataque remoto é mais complexa e explora as vulnerabilidades do TCB por meio de SMS desprotegido.
Conclusões e Recomendações
Carros conectados são apenas um componente de uma rede de transporte inteligente, um ecossistema complexo de milhões de conexões, terminais e usuários. Este ecossistema tem quatro componentes principais:
- o carro realmente conectado;
- uma rede de dados que permite que o veículo conectado se comunique com o backend;
- backend - servidores, bancos de dados e aplicativos que garantem a interação de toda a infraestrutura de transporte inteligente;
- um centro de segurança veicular (VSOC), que coleta e analisa notificações do restante da rede de transporte inteligente.
A sofisticação do sistema de transporte inteligente atingiu um nível que é extremamente difícil prever para qual parte do perímetro o próximo ataque será direcionado. Nesse sentido, a proteção dos veículos conectados não se limita ao software e à eletrônica veicular. Também é necessário garantir a segurança do back-end e da rede de dados.
Arquitetura combinada de carros conectados. Fonte: Trend Micro
Para proteção de automóveis:
- usar segmentação de rede na rede automotiva, separando os nós críticos dos "entretenimento e usuário". Isso reduz o risco de movimento lateral e melhora a segurança geral.
- ISO SAE. — ISO/SAE 21434 , .
- , , . ISO 31000.
- ISO/IEC 27001.
- ISO/AWI 24089 « — »
:
- ;
- ;
- .
-:
- , ;
- (NGFWs)/ (UTM), , (IPS), (IDS), , -, , ;
- ;
- , -, — ;
- (BDS);
- IPS IDS — , .