Comments 38
Даже если говорить о беспилотном автомобиле, которому понадобится работа с GPS-приемником, его блок навигации также можно будет безболезненно отделить от головного устройства. Поэтому в безопасном автомобиле просто должно быть два независимых устройства. Одно обеспечивает пользователю интернеты, карты, музыку и имеет выход в сеть, но не имеет подключения к CAN-шине, второе управляет системами автомобиля, но обмен данными с внешним миром может проводить только через аппаратный интерфейс.
Медиа-голова должна быть автономным устройством, никак не связанным с борткомпьютером автомобиля. У них ведь по факту нет никаких общих функций, кроме вывода информации на один и тот же дисплей.
А еще голова меняет громкость в зависимости от скорости, а еще она отображает парктроники, а еще она читает кнопки на руле (да, тоже по CAN), определяет необходимость приглушения подсветки, запрашивает при включении пин-код у бортового компьютера и т.п. На самом деле в современном автомобиле почти все системы очень сильно взаимосвязаны друг с другом. И если эту взаимосвязь убрать — сейчас она через CAN и осуществляется, то вернемся к автомобилям уровня 70-х годов.
На самом деле в современном автомобиле почти все системы очень сильно взаимосвязаны друг с другом.
Речь идет о том, что в современном автомобиле есть всего лишь одно, абсолютно второстепенное устройство, у которого есть аж три функции — играть музыку/видео, показывать карты и раздавать интернеты, которое является серьезной дырой в его безопасности.
И нет никаких причин, кроме идеологических, почемы бы это устройство не отодрать от борткомпьютера и CAN-шины автомобиля. И даже нет проблем в том, чтобы подключить его к тому же дисплею на консоли, что и борткомпьютер, не давая возможности обмениваться данными с компьютером.
Мультимедиа приведена только в качестве примера. Можно, конечно, вообще выдрать все эти современные умные штучки и машина будет ездить. Но нужна ли сегодня кому-то машина, лишенная всех тех удобств, к которым все уже привыкли? Система курсовой устойчивости, антипробуксовка, системы безопасности, иммобилайзер, климат-контроль, системы активной безопасности и еще целый список полезных и/или приятных фич. Все они требуют взаимодействия между собой различных систем автомобиля, а соответственно и какого-то канала обмена данными между ними.
С тем же успехом можно предложить отключить компьютеры от интернета, чтобы никто не смог взломать их.
В статье, кстати, рассматривается как взлом через беспроводную сеть, так и через подключение непосредственно к шине CAN.
Мультимедиа приведена только в качестве примера
Почему «только в качестве примера»? Наоборот, речь идет только о мультимедиа. В автомобиле нет никаких других устройств или функций, которым нужен доступ в Интернет, и соответственно, через которые возможно извне проникнуть в бортовую сеть. Только медиаплейер. Отделите плейер от всех остальных функций, и вот вам безопасный ко взлому автомобиль.
Система курсовой устойчивости, антипробуксовка, системы безопасности, иммобилайзер, климат-контроль, системы активной безопасности и еще целый список полезных и/или приятных фич.
Я вообще не понимаю, к чему это? Я нигде не предлагал их убирать. Более того, если вы отождествляете эти функции с головным устройством, вы слишком хорошо думаете про эту железяку. В большинстве автомобилей головное устройство — это плейер, навигатор и системный дисплей. Мозги, управляющие поведением автомобиля на дороге, находятся далеко от головы, и выполнены совсем по другим технологическим нормам.
, так и через подключение непосредственно к шине CAN.
Взлом при непосредственном подключении к CAN имеет практически нулевую ценность, и рассматривать его как потенциальную угрозу нет смысла. Если у вас есть физический доступ к автомобилю, вы и так с ним что угодно сделаете.
Во-первых на Интернет завязывается все больше систем лезущих глубоко внутрь, например: OTA, парковка по мобильнику, V2x, дорожная информация, телеметрия… Всем этим системам нужен доступ «внутрь», на CAN и не только, потому некий гейтвей будет в любом случае, неважно если самостоятельным устройством или в рамках инфотеймента.
Во-вторых, как уже говорилось выше, текущий инфотеймент это очень многофункциональный комбайн, в которам далеко не только плеер. Выдрать в самостоятельные блоки навигацию, body controller, многофункциональный дисплей с настройками всего и вся и легкой диагностической иформацией и, собственно, плеер будет недешево, очень. Не сколько в производстве, но в разработке и валидации.
И мне почему-то кажется, что при таком раскладе управление автомобилем через Интернет не станет массовым. Я не вижу путей сделать его достаточно безопасным, и когда после первоначального хайпа люди столкнутся с проблемами, интерес к этой фиче быстро сойдет на нет.
Выдрать в самостоятельные блоки навигацию, body controller, многофункциональный дисплей с настройками всего и вся и легкой диагностической иформацией и, собственно, плеер будет недешево, очень.
Ну, не преувеличивайте. Каких-то денег будет стоить, но учитывая, что разработка новой платформы у автопроизводителей сейчас стоит 3-5 гигадолларов США, эта сумма будет незаметной в общих расходах.
Платформа разрабатывается далеко не ради одной модели и обновляется далеко не каджый год. Для примера посмотрите сколько всего построено на VW MQB платформе. Для существующих/выходящих в ближайшие пару лет моделей уже никто ничего переделывать не будет. Для перспективных же платформ вопросы безопасности уже вполне решаются. Требования на файрвол, фильтрацию и шифрование я видел в ТЗ как минимум 3 разных ОЕМ, только вот на рынок эти модели выйдут после 2020.
В автомобиле нет никаких других устройств или функций, которым нужен доступ в Интернет
Да, автомобиль способен ездить без интернета. Жигули вон ездили не только без интернета, но и вообще без всяких канов и других цифровых технологий, давайте вернемся к тем идеальным в плане безопасности автомобилям :) И потребитель обязательно проголосует кошельком за более информационно-безопасный автомобиль, а не за напичканный разными удобными плюшками.
Если у вас есть физический доступ к автомобилю, вы и так с ним что угодно сделаете.
Это далеко не всегда так, по крайней мере если речь идет об ограниченном по времени доступе.
Да, автомобиль способен ездить без интернета
Я пытаюсь уловить ход вашей логики. Как вы от моего предложения «отделить медиаплейер от CAN» пришли к выводу, что у пользователя автомобиля вдруг исчезнет доступ к интернету. Не получается, её-богу. Вроде бы слово «отделить» вполне понятное, и не означает «убрать», «запретить», «уничтожить».
Это далеко не всегда так, по крайней мере если речь идет об ограниченном по времени доступе.
Чтобы взломать машину через прямое подключение к CAN, время залезть в машину, открыть капот, подключиться к системному интерфейсу, залить кряк, закрыть капот, закрыть машину у злоумышленника должно быть. Если на вас охотятся тренированные спецагенты Моссада, то да, они с такой задачей справятся быстро и незаметно. Остальные вряд ли.
Я пытаюсь уловить ход вашей логики. Как вы от моего предложения «отделить медиаплейер от CAN» пришли к выводу, что у пользователя автомобиля вдруг исчезнет доступ к интернету.
А где я пришел к выводу, что пользователь останется без интернета? Я вроде об автомобиле говорил, а не о водителе.
Если на вас охотятся тренированные спецагенты Моссада, то да, они с такой задачей справятся быстро и незаметно. Остальные вряд ли.
С подобной задачей справляются и подготовленные угонщики. Если машина не защищена от этого. Ну разве что "кряки" у них служат другим целям.
Если два разных монитора, то это дико неудобно. Юзерусу ламерусу непонятно, почему одни параметры на одном мониторе, другие на другом.
Кроме того, это сильно осложняет или вообще не позволяет реализовать всякие продвинутые удобства. Типа кнопок управления телефоном на руле, когда при входящем звонке автоматом глушится музыка и включается громкая связь. Или когда прокладываешь маршрут в навигаторе, а он тебе такой: «друг, маршрут построен, но бензина не хватит. Заехать на заправку?»
Управление телефоном на руле вообще не обязано быть частью внутренней системы. Просто вытянутые далеко кнопки мультимедии. Музыка туда же. Бензин — тупое сообщение «прочитать датчик такой-то». Если требуется управление системами автомобиля — ок, передаём коды виртуальных клавиш, а внутренняя система с ними работает.
Всё решается. При желании.
Хотя зачем WiFi модулю диски?
Меня ужасают последнее время заявления «мы нашли уязвимость» где под уязвимостью подразумевают достижение непонятного результата при некорректно поставленном эксперименте.
Да, о проблемах в IoT (и о значении буквы S в этой аббревиатуре) можно и нужно говорить. Но если каждый раз кричать, что что-то уязвимо просто потому что питается от одного аккумулятора, и замкнув гаечным ключом клеммы аккумулятора можно вырубить машину, и подав это под соусом «в машине нашли уязвимость»… Я боюсь, что безопасники попадут в ситуацию мальчика, который кричал «Волки»!
Возможно, имелась в виду информационная связь между шиной CAN и доступными коммуникационными интерфейсами — например WiFi.
Именно про это я и писал.
Действительно можно использовать существующие/потенциальные уязвимости, чтобы «вывалиться»?
Где про это можно почитать?
И что такое, кстати, «информационная связь», которую вы упоминаете выше? Возможность с WiFi иметь прямой доступ до CAN? Или что?
Честно — не знаю действительно ли можно сделать это, но если потенциальная возможность есть, то вполне допускаю, что кто-то когда-то найдет и практический способ использования этого вектора атаки :)
Информационная связь — это я имею в виду возможность трансляции каких-то данных из внешнего канала коммуникации (WiFi, к примеру) во внутреннюю сеть CAN. Ну, как грубый утрированный пример — внешний девайс (смартфон) передает по WiFi пароль для разрешения запуска двигателя и этот пароль по CAN передается в блок управления двигателем. Я знаю, что так не делается, пример только для наглядности :) Отсутствие информационной связи — это когда никакие внешние данные не попадают во внутреннюю шину, а обрабатываются исключительно внутри системы, получившей их (мультимедиа, сигнализация, блок коммуникации — кто поддерживает эту внешнюю коммуникацию).
Есть ли «возможность»? Ну, приблизительно такая же, как возможность wifi блоку в ноуте писать на винчестер — исключать такой возможности нельзя (и если что-то такое обнаружится, то надо с этим работать), но кричать, что «машину взломали, т.к. везде CAN у которого нет шифрования»… выглядит как-то… странно — у всяких USB/PCI/что-там нынче-модно тоже шифрования нет, а данных по ним передается во всем мире…
Не стоит приводить в жизнь историю про хакера в столовой. Это не повысит безопасность отрасли, я уверен.
Судя по презентации, ребята подключились к ECU CAN-шине(которая по умолчанию недоступна пользователю, так как там идет обмен критической информацией в реальном времени) и Уху! обнаружили, что могут там натворить дел. Естественно, что могут, так как CAN, как и все промышленные шины типа Modbus, Profibus, EtherCAT и пр, является протоколом максимум 2-го уровня OSI. Какого либо шифрования данных по умолчанию там нет из-за серьезных требований к реальному времени и при физическом доступе к шине злоумышленник может сделать все, что угодно.
Так что здесь нового?
Ну, и как я говорил, возможность отключения любой системы замыканием аккумулятора гаечным ключом.
Как много нам открытий чудных…
Судя по оригиналу статьи, они разобрались с удаленным обновлением прошивки и смогли изменить ее открыв доступ к ecu-can через сеть. Без физического доступа к автомобилю. Видимо функция обновления была не защищена или уязвима для реверс инжиниринга.
О чем статья? Где пруф? Где команды?
Можно взломать Пентагон, если иметь прямой доступ в сеть. Пффф
Интересно, что все злоумышленники это крутые хакеры…
Как насчет двух наркоманов, которые хотят вас прирезать ради дозы, один встанет перед умным автомобилем, а второй будет вас в это время выковыривать ножичком из автомобиля…
Ну или для наших палестин более реальный вариант — толпа арабов — сколько раз уже народ спасался бегством от смерти тараяня толпу, которая собирается вас линчивать…
Интересно, как с такой безопасностью у умных автомобилей ?
Очень показателен случай с банкоматами. Приходит мигрант со сделанной кем-то флешкой, по инструкции тыкает её в банкомат (есть несколько способов добраться до внутренностей). Уходит. Зачастую владельцы банкомата даже не замечают этого. Потом, в произвольный момент времени, приходит другой мигрант — с пакетиком — и получает всё содержимое сейфа. Операция — невероятно высокотехнологичная. Но крутые хакеры в ней не участвуют — они написали всё, что нужно и продали другим людям.
Да они капитаны!
Уж извините, но что-то за откровения выдаются вещи, большинство из которых читаются в тех же немецких ВУЗ'ах студентам автомобилестроительных специальностей на втором, максимум третьем курсе.
Ну, и уж точно известные любому опытному инженеру-разработчику автомобильных коммуникаций.
Так, например, в общем случае, чтобы получить доступ к сети CAN, надо просто найти CAN-кабель в любой точке авто, снять изоляцию и просто подключиться двумя точками на CAN-HIGH и CAN-LOW с параллельным сопротивлением в 120 Ом (и то, на длинах до 3-4 метров потянет и без сопротивления :).
И много чего ещё странного в утверждениях.
Если у меня в авто кассетный магнитофон — мне быть спокойным?
Специалисты по инфобезу: «Умный автомобиль далеко не всегда безопасный автомобиль»