Автопром сделал первый шаг в цифровую эпоху еще в 1967 году, когда в Германии выпустили Volkswagen Typ 3 с электронной системой впрыска D-Jetronic от Bosch. Сегодня же компьютерные системы управляют почти всеми функциями большинства авто — от режимов работы двигателя до стеклоочистителей.
Как всегда, технический прогресс имеет свою оборотную сторону: чем больше роль ПО в работе техники, тем серьезнее угрозы информационной безопасности. Риски стали выше с появлением так называемых подключенных автомобилей — connected cars. Дошло до того, что хакеры могут дистанционно перехватить контроль над машиной в реальности: теперь это не просто фантазии сценаристов «Форсажа».
В статье рассмотрим основные виды автомобильных кибератак и связанные с ними риски. Также поговорим о том, как в мире и в России пытаются бороться с такими угрозами и какие это приносит результаты.
Миллионы строк и тысячи ошибок
За работу систем автомобиля отвечают различные электронные блоки управления (ЭБУ) или, другими словами, Electronic control unit. В одном авто их насчитывается до полутора сотен, а это, на минуточку, порядка 100-150 миллионов строк кода.
Дополнительный ЭБУ для автомобилей Mercedes-Benz, с помощью которого тюнингуют двигатель (источник изображения)
Для сравнения: ПО Boeing 787 совокупно включает 10 — 15 млн строк кода, стелс-истребителя F-35 компании Lockheed Martin — 25 млн, а обычная операционная система ПК — около 40 млн. Space shuttle доставлял людей в космос и возвращал на Землю при помощи всего 400 тысяч строк кода. При этом автомобильные прошивки продолжают раздуваться: согласно прогнозам, к 2030 году их объем возрастет до 300 миллионов строк.
Это сомнительный рекорд с точки зрения информационной безопасности. В автомобильной отрасли на каждый миллион строк кода приходится около 1 тысячи ошибок. Порядка 5% из них порождают опасные уязвимости. И это еще считается неплохим показателем. Выходит, в ПО современного автомобиля может таиться больше 5 тысяч ошибок, которые способны деструктивно использовать хакеры. Поскольку средний срок службы автомашины составляет 20-25 лет, многие из этих опасных багов рано или поздно всплывут, причем в самый неудобный момент.
Как же реагируют на угрозы в автопроме? Ежегодно в одних только США из эксплуатации отзывают несколько десятков миллионов автомобилей. Речь только о тех случаях, когда дефекты угрожают безопасности людей и окружающей среде: о таких «мелочах», как возможные поломки или сокращение срока службы авто, производители сообщать не обязаны. В Европе за 2023 год зафиксировано 283 отзыва 249 моделей автомобилей из-за различных дефектов. Это и чисто механические изъяны, и проблемы с ПО, снижающие уровень кибербезопасности.
Ситуация усугубляется тем, что для хакерских атак на современные автомобили не обязательно нужен физический доступ. Почти во всех новых авто установлен хотя бы один модем, необходимый для работы разных дополнительных функций: дистанционного включения обогрева, диагностики сбоев и т. д. Такие устройства вполне могут стать точкой входа для злоумышленников.
В некоторых регионах подключение авто к интернету и вовсе обязательно, например в системе eCall Европейского Союза. По примерным подсчетам, к 2030 году на дорогах будет больше 900 млн. подключенных автомобилей. Машины все сильнее интегрированы в цифровые экосистемы, что увеличивает поверхность атак.
Проблема есть, масштаб неясен
На информационную безопасность автомобилей по-настоящему обратили внимание в 2015 году после показательного взлома Jeep Cherokee. Исследователи дистанционно вывели внедорожник из строя прямо во время движения, используя уязвимость в его информационно-развлекательной системе. Опять же, чем вам не «Форсаж» в реальности?
Эта атака открыла «ящик Пандоры»: уязвимости начали находить в автомобильных Wi-Fi-модулях, Bluetooth и NFC, разных телематических системах. Обзор таких исследований сделал в своей презентации один из инженеров Bosch Мартин Шмидекер (Martin Schmiedecker). На сегодняшний день проведено множество успешных атак, но, по большей части, это работа этичных хакеров. Но насколько велика подводная часть айсберга?
В сети полно видеозаписей, на которых Mercedes, Tesla и Jeep угоняют за 60 секунд и даже быстрее. Это позволяет предположить наличие большого количества реальных инцидентов. Власти, СМИ и автопроизводители не озвучивают количество взломанных машин, и масштабы проблемы неизвестны. Так или иначе в начале 2023 года Hyundai и Kia выпустили обновление ПО для более чем 8 миллионов автомобилей в США. Это должно было предотвратить рост количества угонов из-за инструкций в TikTok, где объясняется, как завести определенные модели 2010-2021 годов выпуска.
Какие же именно векторы атак угрожают информационной безопасности автомобилей? Их можно разделить их на три основные группы. Рассмотрим каждую подробнее.
Атаки с физическим доступом
В современных автомобилях данные со множества датчиков и диагностических систем передаются через общую коммуникационную шину. Специальные протоколы позволяют всем модулям взаимодействовать через единую точку доступа — электронный блок управления (ЭБУ).
Зачастую реализовать такую схему без изъянов мешают разные ограничения, связанные с размерами компонентов, расположением проводки, требованиями к физической безопасности устройств. В результате хакеры могут подобраться непосредственно к автомобилю и подключиться к шинам данных, соединяющим контроллеры и датчики.
Первым забил тревогу по этому поводу Ян Табор (Ian Tabor), исследователь кибербезопасности и консультант по автомобильной технике EDAG. На протяжении нескольких дней злоумышленники готовили к угону его Toyota RAV4, пока наконец не угнали её при помощи Bluetooth-колонки JBL, подключенной к системной шине через проводку фары. А в апреле 2023 года стало известно, что в США угоняют машины при помощи того самого «неубиваемого» телефона NOKIA 3310, который используют для взаимодействия с системой управления.
Внутренности Bluetooth-колонки модифицированной для CAN-инъекции (источник изображения)
Нередко взломщики проделывают отверстие рядом с колесом, получают доступ к шине CAN (Controller Area Network) и, если система слабо защищена, перепрограммируют ЭБУ, чтобы разблокировать и завести машину. Исследователи назвали подобную атаку CAN Injection. Например, такой способ угона срабатывает с автомобилями Maserati, Land Cruiser и Lexus.
Наиболее уязвимыми для хакеров оказались фары, лидары и радары, так как производители часто подключают их напрямую к внутренним шинам данных. Такие «ахиллесовы пяты» есть у автомобилей многих брендов из-за схожей компоновки проводки.
Ошибки в проектировании в сочетании с уязвимой архитектурой усугубляют риски. На схеме ниже в одной из шин автомобиля можно увидеть радары и камеры. Казалось бы, никакой проблемы здесь нет, ведь эти шины изолированы от других. Вот только в той же области расположена электронная тормозная система (EBS), требующая доступа к блоку управления торможением (ECU).
Это дает хакерам карт-бланш для атак. Получив несанкционированный доступ к системе торможения через радар, злоумышленник потенциально может отправить в EBS команду ECU Reset. Таким образом у него получится экстренно остановить автомобиль, что с большой вероятностью приведёт к аварии.
Конечно, в реальности всё не так просто. Доступ к ЭБУ обычно защищён процедурой аутентификации, Security Access. При этом клиент — тестер или программатор — отправляет запрос seed request блоку ECU. Тот генерирует случайное значение (seed) и вычисляет нужный ключ с помощью алгоритма и секретного ключа. Затем он отправляет seed обратно клиенту. Клиент должен вычислить ключ точно таким же способом. ECU сравнивает результаты и лишь при их совпадении предоставляет доступ.
Однако требования к реализации Security Access в автомобилях имеют нечеткие формулировки, и это порождает уязвимости. Вот наиболее распространенные из них:
- неудачные алгоритмы аутентификации с ошибками;
- использование слабых источников случайных данных для генерации ключей: например системных часов, как было показано в докладе UDS fuzzing and the path to game over на конференции TROOPERS;
- бэкдоры — дополнительные подсервисы с крайне слабой защитой;
- незащищенные загрузчики.
Именно такими уязвимостями пользуются угонщики с Nokia и музыкальными колонками.
Атаки через телематику
Большинство современных автомобилей оснащается телематическими системами. Они позволяют водителю, например, дистанционно разблокировать двери или включить кондиционер. В то же время телематика позволяет взломать авто, находясь на небольшом расстоянии от него.
Наиболее распространены так называемые релейные (эстафетные) атаки на машины с системами бесключевого доступа. Взломать автомобиль таким способом достаточно просто. Всё удается провернуть менее чем за минуту, а в качестве инструментов можно использовать легально купленные ретрансляторы.
Правда, для подобного фокуса понадобятся два злоумышленника. Один должен держать свой ретранслятор возле автомобиля, а другой — подойти с парным устройством как можно ближе к брелоку. Авто и брелок излучают низкочастотный сигнал. Находясь в пределах досягаемости друг друга, они обмениваются серией сообщений и «запросов» для аутентификации. Лишь после нее Сим-Сим откроется автомобиль разблокируется.
Приемник ретранслятора обнаруживает низкочастотные сигналы брелока, преобразует их в высокую частоту (например, 2,4 ГГц), а затем на расстоянии передает на другое устройство. Там все снова преобразуется в низкую частоту и направляется автомобилю, который «верит», что брелок находится поблизости. Хотя на самом деле он может спокойно лежать на полке в частном доме водителя. Угонщикам остается открыть дверь авто и завести двигатель. Как показали исследователи из Пекина, этой технике атак подвержена даже новейшая сверхширокополосная система бесключевого доступа последних моделей Tesla.
К слову, брелок — не единственный беспроводной интерфейс в современных машинах. Точкой входа для злоумышленников может стать, например зарядная инфраструктура для электромобилей. Хакеры исследуют Open Charge Point Protocol (OCPP), который организует связь между пунктом зарядки и серверной системой его оператора (CPO) или поставщика мобильных услуг (MSP). Протокол используется для осуществления распределенных атак по типу «отказ в обслуживании» (DDoS).
Другие возможные лазейки для хакеров — соединение 4G, Wi-Fi, Bluetooth и прочие радиосигналы, включая RFID: например, они обеспечивают работу систем контроля давления в шинах.
В свою очередь, исследователь Томас Сермпинис (Thomas Sermpinis) выступил с докладом о реальном сценарии взлома суперкаров известного производителя. Эти автомобили обладали встроенными функциями сетевого подключения для персонализированной поддержки клиентов и специальным ЭБУ, отвечающим за подключение к сотовым сетям и интернету. Телематические блоки соединялись с головным устройством при помощи некоего интерфейса (это мог быть RS-485, последовательный интерфейс, BroadR-Reach или что-то ещё). На изображении ниже примерно представлена описываемая архитектура. Очевидно, её слабая сторона в том, что масса компонентов напрямую подключена к головному устройству.
Поскольку ЭБУ имеют множество публично доступных сервисов (SSH и прочие), они должны быть изолированы с помощью гипервизоров в головном устройстве или каким-то другим способом. Следует также предусмотреть шлюз для фильтрации запросов, которые поступают из блока телематики.
Здесь же несколько ЭБУ напрямую подключены к шлюзу и головному устройству. Если оно будет скомпрометировано, злоумышленник получит прямой доступ к системе управления аккумуляторами (BMS), инвертору и полному набору аккумуляторов. Значит, хакеру ничто не помешает выполнить ECU Reset блока BMS или комбинированный сброс всех аккумуляторов, как бы отрезав их от авто. И тогда — стоп машина!
Исследователь смог успешно реализовать такую атаку. В качестве дополнительного proof-of-concept Сермпинис приводит пример с датчиком распознавания слепых зон. При отправке команды ECUReset датчик мигал из-за полного цикла выключения-включения. Это не так опасно, как сброс аккумуляторов, но этот процесс путает водителя. Он может решить, будто в слепой зоне есть какие-то объекты, и выполнить ненужные маневры. Некоторые проблемы могут возникнуть и с адаптивным круиз-контролем при использовании системы для смены полосы движения.
Атаки на приложения и платформы
Не только хакеры, но и сами производители могут захватить контроль над вашим автомобилем: включать и выключать платные опции и даже блокировать управление в случае угона. Автомобили постоянно подключены к серверам компаний через отдельные интерфейсы, которые порой тоже становятся лазейкой для злоумышленников. Иногда атакам подвергаются целые автопарки.
Так в 2022 году исследователь под ником @specters нашел способ удаленно управлять всеми подключенными к интернету автомобилями Nissan и Infiniti при помощи одного лишь Burpsuite. Изучив механизм авторизации в приложении Nissan, он обнаружил поле «accountSource» со значением «customer».
Запрос на регистрацию в мобильном приложении Nissan (источник изображения)
Исследователь всего лишь заменил его на «dealer» и — «бинго!» — получил административный доступ и возможность отправлять команды на любой подключённый автомобиль. Он смог блокировать и разблокировать двери, запускать и останавливать двигатель, отслеживать местоположение авто. Какие выводы сделали в компании, не известно. Однако, не так давно Nissan подтвердил, что колл-центр, который он создал для обработки запросов клиентов после очередной утечки данных тоже был взломан.
В январе 2022 года еще один этичный хакер Дэвид Коломбо (David Colombo) взломал более двух десятков электромобилей Tesla в 13 странах мира. Исследователь изучил исходный код приложения TeslaMate и нашёл в нем гостевой доступ к панелям мониторинга Grafana, а также незашифрованный ключ API. С его помощью можно открывать двери и окна, запускать бесключевое вождение, изменять настройки кондиционера.
Наконец, Сэм Керри (Sam Curry) описывает целую россыпь атак с повышением привилегий на CMS и административные панели Kia, Honda, Acura, Hyundai, Genesis, Ferrari, Spireon. Обход авторизации, SQL-инъекции и уязвимости регулярных выражений в системах Spireon позволили Керри полностью захватить систему управления несколькими автопарками и отправлять произвольные команды 15 миллионам автомобильных телематических систем.
Насколько реальны риски
Пока что о реальных атаках злоумышленников на автомобили через инфраструктуру ничего не известно. Но кто даст гарантию, что в инфраструктуре автопроизводителей нет дремлющих компрометаций? Как видно из этих примеров, уровень кибербезопасности может быть низким даже у крупнейших концернов.
Некоторые аналитики не исключают возможность атак на автомобили по модели вирусов-шифровальщиков. Вряд ли злоумышленники будут требовать плату за разблокировку машин у отдельных автовладельцев, но парализовав автопарк одной марки можно вымогать деньги у целой компании.
Так или иначе, пока все это остается на уровне опасений. Зато угоны и крупные утечки персональных данных в связи с уязвимостями в автомобильных системах уже стали объективной реальностью. Например, в 2021 году на хакерском форуме выставили на продажу данные 3,3 млн американских владельцев Volkswagen и Audi. А сведения о местоположении более 2 млн японских владельцев Toyota оставались в общем доступе вплоть до мая 2023 года из-за неправильной конфигурации облачного хранилища компании.
В недавнем исследовании Mozilla современные автомобили вовсе названы «кошмаром для личной жизни»: порядка 84% автопроизводителей передают или продают данные своих клиентов третьим лицам.
Автомобильные компании могут собирать личную информацию о том, как вы взаимодействуете со своим автомобилем, подключенными услугами, автомобильным приложением и данные с вашего телефона, а также информацию из сторонних источников.
Способы, которыми они собирают и передают ваши данные, обширны, сложны и запутанны. Они могут собирать очень интимные сведения — от медицинской и генетической информации до данных о сексуальной жизни, скорости вождения, маршрутах и прослушиваемой музыке. И все это в огромных объемах. Затем эти данные используются для получения выводов о таких вещах, как уровень интеллекта, способности и интересы.
Причем, согласно исследованию, методики ни одного из автобрендов не соответствуют даже минимальным стандартам безопасности обработки информации.
Как противодействуют угрозам информационной безопасности в автопроме
Отправной точкой в борьбе с такими угрозами стало создание в 2017 году Исследовательской группы автомобильной безопасности. К 2021 году она разработала отраслевой стандарт ISO/SAE 21434 по кибербезопасности автомобилей. Одновременно специальная рабочая группа ООН по гармонизации правил для транспортных средств представила два важных закона:
Они вступят в силу уже в июле этого года и обяжут производителей обеспечивать защиту каждого нового автомобиля на протяжении всего его жизненного цикла. Планируется ввести систему сертификации на основе концепции «нулевого доверия». То есть поставщики ПО, приложений, сервисов и прочие представители отрасли будут получать сертификаты для доступа к автомобильным системам.
Первая страница Регламента ООН № 155
По замыслу именно безопасность станет краеугольным камнем автомобильной промышленности. Производители компонентов начнут придерживаться рекомендаций по кодированию для структурированного программирования (Misra C/C++ ,AUTOSAR или, например, CERT C ), а автоконцернам придется разработать планы реагирования на инциденты. Чтобы защитить от кибератак подключенные автомобили, их интегрируют с системой управления кибербезопасностью (CSMS).
По некоторым прогнозам, благодаря таким мерам к 2032 году мировой рынок автомобильной кибербезопасности вырастет до $22,2 млрд. Ежегодный рост этого важного направления составит порядка 22%.
Ожидания и реальность
Прогнозы прогнозами, но насколько автопром в действительности готов вкладываться в развитие кибербеза? Согласно опросу лаборатории Касперского, многие производители хотя и осознают такие проблемы, но эффективных путей решения пока не находят. В ходе опроса выяснилось, что 63,5% руководителей-респондентов слабо вовлечены в процесс внедрения новых стандартов, таких как R 155/156 UNECE WP.29 и ISO 21434.
Топ-менеджеры в автопроме не ощущают достаточной отдачи от своих инвестиций в киберразведку. К тому же им сложно расставить приоритеты из-за путаницы в терминологии, которая используется для описания угроз. Притом 34% опрошенных называют основным риском для цепочки поставок интеграцию информационно-развлекательных систем и технологий подключения от поставщиков ПО.
Остается надеяться, что вышеупомянутые регламенты ООН помогут автопроизводителям выстроить рабочие процессы в сфере кибербеза — именно такие цели преследуют оба руководства. Правда, они сформулированы обобщенно и оставляют простор для интерпретаций.
Требования же R155 распространяются лишь на новые модели авто, выпущенные после первого июля 2022. Десятки миллионов более старых автомобилей под действие стандарта не подпадают. Производители не обязаны обеспечивать их кибербезопасность и с большой вероятностью свернут поддержку и перестанут выпускать обновления через несколько лет, как это происходит со смартфонами. Поэтому автомобильные взломы, вероятно, останутся обычным делом.
Увы, на политиков и юристов мало надежды в решении описанных проблем. Для начала, как властям оценить, когда оправданы крайние меры — отзыв авто?
Некоторые хаки формально не связаны с безопасностью дорожного движения (например, опускание окон), но по факту могут привести к краже или отвлечь внимание водителя. Как показала практика, даже если в стране уделяют одинаковое внимание безопасности и масштабируемости (двумя переменными, которые должны определять реакцию), продукцию одной компании порой отзывают в течение 48 часов, а другой — спустя пять лет.
Другой важный вопрос — сколько автомобилей проходит полный анализ угроз с привлечением стороннего аудитора? Не факт, что каждый производитель владеет такой информацией по собственной продукции, не говоря уже о о регулирующем органе и статистике по всей стране или региону. Да, некоторые бренды требуют, чтобы поставщики прошли оценку кибербезопасности перед поставкой, но это условие соблюдается далеко не всегда.
А что в России?
Теперь обратимся к отечественному автомобильному рынку. Его блицкригом захватывают китайские производители, чья информационная безопасность толком не исследована. Но большинство экспертов сходится в одном: бюджетные китайские авто слабо защищены от угонов.
Так, по словам специалиста по автомобильной безопасности Алексея Курчанова, автомобили из поднебесной обладают низкой защищенностью.
Мы выявили массу уязвимостей. Например, довольно просто отключается заводская сигнализация. Есть порядка четырех методов, как это сделать. Например, с помощью известного многим метода ретрансляции с помощью «удочек.
Не многим сложнее, по оценке Курчанова, отключить телематическую заводскую охранную систему. А штатный иммобилайзер легко обойти программированием нового ключа, в течение минуты поменяв PIN-коды. Коды доступа для многих китайских авто открыто размещены в сети — перепрограммировал и поехал.
С таким могут столкнуться обладатели Zeekr или Lixiang. Кстати, у Chery есть свои суббренды — Exeed и Omoda. У них одинаковые платформы, схоже и программное обеспечение. То есть угонозащищенность одинаково невысока. То же самое касается и бренда Great Wall, который включает бренды Haval и Tank: они одинаково подвержены электронному воздействию. Это можно объяснить тем, что бренды экономят и стараются максимально удешевить выпуск моделей
Все это сугубо бытовая сторона вопроса. Если же говорить о платформах, то многие европейские эксперты обеспокоены рисками кибербезопасности из-за роста продаж китайских машин и компонентов. А министерство торговли США начало расследование потенциальных угроз безопасности «подключенных транспортных средств», содержащих компоненты из Китая.
Насколько мне известно, в России подобными вопросами пока что никто всерьез не задается. Реальность же такова, что государство и автовладельцы просто обязаны требовать от производителей внедрения эффективных мер кибербезопасности на всех уровнях. Автомобильным компаниям следует обезопасить всю свою цепочку: от поверхностей атаки самого авто до корпоративной инфраструктуры.Также им важно непрерывно контролировать поставщиков. Им предстоит большая работа.
Вместо выводов: как повысить информационную безопасность автомобилей
Этот вопрос заслуживает подробного разбора и отдельной статьи, но в завершении этого материала стоит назвать хотя бы основные, самые необходимые меры.
- Сегментация и изоляция. Автопроизводители должны создавать сегментированные и изолированные сети внутри транспортных средств, чтобы предотвратить несанкционированный доступ к критически важным системам.
- Применение аппаратных модулей безопасности (HSM). Они интегрируются в транспортные средства для работы с криптографией, безопасного хранения ключей и аутентификации. Такие модули помогают обеспечить целостность и конфиденциальность данных, которые курсируют внутри автомобиля и отправляются во внешние системы.
- Регулярные обновления системы безопасности по беспроводной сети (OTA), подобные тем, которые выпускают для операционных систем смартфонов.
- Шифрование. Оно имеет решающее значение для защиты данных, передаваемых между транспортными средствами, серверами и внешними устройствами.
- Ограничение сбора и обезличивание конфиденциальных данных. Производителям важно соблюсти баланс: собрать необходимую для инновационного развития автомобилей фактуру, не эксплуатируя пользователей как источник данных.
Внедрение передовых методик защиты инфраструктуры. Защита современных автомобилей — больше, чем забота об информационной безопасности конкретных машин. Это комплексная задача, которая распространяется на все корпоративные активы.