Подключённые автомобили: обобщённый метод взлома и модель угроз

В предыдущих постах мы рассказали о том, что грозит владельцам подключённых автомобилей, и обсудили способы взлома таких транспортных средств. В этом посте обсудим обобщённый метод взлома и модель угроз для интеллектуальных транспортных средств, ставшие результатом работы над третьей частью нашего исследования Driving Security Into Connected Cars: Threat Model and Recommendations.

Обобщённый метод удалённого взлома

В предыдущих постах мы рассказывали о получивших широкую известность случаях взлома Jeep Cherokee, BMW и двух моделей Tesla. Изучив последовательность действий, которые привели к успешному взлому, мы выделили универсальный шаблон атаки, который использовался во всех четырёх случаях для компрометации интеллектуального авто и рассылки вредоносных CAN-сообщений на ЭБУ.

Характерные особенности универсальной удалённой атаки:

1. Начальный вектор атаки во всех случаях — мобильная связь или Wi‑Fi‑подключение. Хакеры проводили одну из разновидностей атаки типа «человек в середине» (MitM) с использованием либо мобильной сети, либо сети Wi-Fi.

2. Основной целью злоумышленников всегда было головное устройство, информационно-развлекательный узел транспортного средства. Такие устройства имеются во всех современных автомобилях и обладают различной функциональностью в зависимости от класса транспортного средства. Все современные головные устройства могут взаимодействовать со шлюзовым ЭБУ, что делает их точкой входа в локальную сеть транспортного средства.

3. В головных устройствах с ЖК-экраном используется веб-браузер, как правило, на движке WebKit. Хакеры использовали новые или известные уязвимости браузера, чтобы получить доступ к Linux shell с правами браузера.

4. Как правило, shell, запущенный из браузера, имеет низкие привилегии. Для получения root-доступа к основной операционной системе головного устройства требуется провести повышение привилегий. Поскольку автопроизводители часто используют достаточно старые версии Linux, нужная уязвимость, как правило, имеется в наличии.

5. Главный ЭБУ автомобиля взаимодействует со шлюзовым ЭБУ, который, в свою очередь, взаимодействует с сетью шины. В некоторых случаях для отправки произвольных CAN-сообщений в локальную сеть автомобиля необходимо перепрошить шлюзовой ЭБУ собственной прошивкой, но нам также встретились ЭБУ, которые позволяли рассылать произвольные CAN-сообщения без перепрошивки. Это значит, что защита от вредоносных действий в таком ЭБУ просто не была предусмотрена.

6. Для перепрошивки шлюзового ЭБУ требуется организовать обход проверки целостности микропрограммного обеспечения, а затем правильно выполнить все действия и перезапускать ЭБУ. Любые ошибки на этом этапе могут «окирпичить» шлюз, а для восстановления потребуется доставить автомобиль к автодилеру для перепрошивки.

7. Получив контроль над шлюзовым ЭБУ, хакеры могут посылать произвольные CAN-сообщения на подключённые к шине блоки управления. Некоторые ЭБУ помимо перепрошивки требовали перепрограммирования и/или разблокировки для рассылки вредоносных CAN-сообщений. Разблокировка ЭБУ позволяла включить режим диагностики, чтобы вредоносные CAN-сообщения не перезаписывались действительными CAN-сообщениями.

8. ЭБУ шлюза обрабатывает маршрутизацию произвольных CAN-сообщений в целевые ЭБУ на основе целевого ID фрейма CAN-сообщений, что значительно упрощает выполнение атаки.

Векторы атаки на подключённые автомобили

Экосистема, обеспечивающая работу подключённых автомобилей, чрезвычайно сложна. В ней есть миллионы конечных точек и конечных пользователей. Огромные размеры и бесчисленный набор функций формирует гигантскую поверхность атаки с непредсказуемым рельефом.

Хотя основную часть трафика подключённые автомобили отправляют по беспроводной связи, подключённые автомобили в значительной степени зависят от умной транспортной инфраструктуры (Intelligent Transportation System, ITS). Составляя модель угроз, мы сосредоточились на атаках, которые могут быть запущены удалённо против автомобилей-жертв и/или непосредственно с них. Нам удалось выделить следующие вида атак на подключённые автомобили:

• спуфинг сообщений V2X, передаваемых в экосистему;

• пассивное прослушивание сообщений V2X, транслируемых в экосистему;

• отправка неверных или некорректных команд бэкенду ITS;

• отправка MitM-коммуникаций и ложных данных бэкенду ITS;

• прослушивание сетевого трафика между подключённым автомобилем и бэкендом ITS;

• удалённая загрузка и установка вредоносных прошивок и/или приложений;

• глушение беспроводной передачи данных для нарушения связи с ITS;

• MitM-атаки с беспроводной передачи для перехвата и изменения данных автомобиля;

• использование уязвимостей в программном и аппаратном обеспечении, операционных системах и протоколах;

• использование радиомодулей для доступа к головному устройству через сложные цепи эксплойтов;

• удалённый перехват управления автомобилем через скомпрометированную шину CAN;

• «слив» прошивки для извлечения учётных данных и настроек;

• установка вредоносных приложений сторонних производителей в информационно-развлекательную систему;

• удаление локальных файлов в скомпрометированной файловой системе подключённого автомобиля;

• установка вредоносного приложения на подключённый к автомобилю мобильный телефон;

• электронное подавление систем безопасности автомобиля, таких как радар и лидар;

• атаки на алгоритмы обработки изображений встроенной камеры с помощью специально созданных визуализаций;

• установка вредоносных или шпионских программ в подключённом автомобиле;

• поиск и злоупотребление неправильной конфигурацией систем автомобиля;

• обнаружение и злоупотребление уязвимыми удалёнными системами с помощью Shodan;

• проведение атак с помощью социальной инженерии, например, создание фальшивых сообщений RDS-TMC, фишинг и «отравление» карт.

• распределённые атаки типа «отказ в обслуживании» (DDoS) с использованием скомпрометированной инфраструктуры ITS;

• DDoS-атаки на инфраструктуру ITS;

• подбор паролей и злоупотребление слабыми методами аутентификации;

• инъекции скриптов через вредоносную рекламу;

• традиционные атаки, например, SQL-инъекции, межсайтовый скриптинг (XSS), перехват сеанса и подмена DNS;

• использование подключённого автомобиля в качестве доверенной точки входа в сеть V2X;

• компрометация цепочки поставок программного обеспечения сторонних производителей для распространения вредоносных обновлений;

• сканирование сети V2X с подключённого автомобиля для обнаружения топологии и узлов.

Некоторые из приведённых атак могут иметь частичные пересечения — например, подмена V2X-сообщений в ITS и отправка неверных или некорректных команд бэкенду ITS. Их различие состоит в том, что не все поддельные сообщения обязательно являются вредоносными, а сходство — в том, что оба типа сообщений могут в итоге нанести вред.

Модель угроз

Ещё одним результатом изучения различных удалённых атак на подключённые автомобили стало создание модели угроз.

С её помощью разработчики и производители автомобилей смогут лучше оценивать, идентифицировать, классифицировать и количественно оценивать риски, которые добавляет каждая угроза в составе модели. Модель поможет им создавать более безопасные подключённые автомобили, начиная с самых ранних стадий жизненного цикла программного обеспечения.

Одним из многих преимуществ моделирования угроз является возможность для организаций взглянуть на безопасность структурированным образом проанализировать каждую возможную угрозу и определить приоритетность угроз с точки зрения снижения рисков. Мы использовали модель DREAD, в рамках которой риск для данной угрозы оценивается с помощью ответов на ряд вопросов:

• Потенциал ущерба (Damage potential): насколько велик ущерб, наносимый активам?

• Воспроизводимость (Reproducibility): насколько легко воспроизвести атаку?

• Простота реализации (Exploitability): насколько легко начать атаку?

• Воздействие на пользователей (Affected users): какой процент пользователей пострадал?

• Обнаруживаемость (Discoverability): насколько легко найти слабое место, пригодное для эксплуатации?

Мы составили таблицу рейтинга угроз, приведённую ниже, для анализа рисков подключённых автомобилей.

Рейтинг риска рассчитывается путём сложения значений рейтинга, основанного на ответах на вопросы DREAD для данной угрозы. Общий риск оценивается как:

• высокий, если количество баллов находится между 12 и 15;

• средний — если между 8 и 11;

• низкий — если между 5 и 7.

Измерение рисков атак на подключённые автомобили

Для каждой из выявленных нами подключённых атак на машины мы присваивали баллы для реалистичных экстремальных сценариев и рассчитывали рейтинг риска с использованием модели угрозы DREAD, как показано в следующей таблице. Чтобы не загромождать пост, приводим только её часть, содержащую угрозы с наивысшим риском.

Основываясь на результатах моделирования угроз, мы сделали следующие наблюдения:

• Из 29 выявленных атак на подключённые автомобили около 66% относятся к группе среднего риска, около 17% — к группе низкого риска и ещё около 17% — к группе высокого риска.

• Атаки с низкой степенью риска, требуют высокого уровня технических навыков и глубоких знаний о платформе подключённого автомобиля, поэтому, учитывая их специализированный характер, реально затронут лишь небольшой процент подключённых автомобилей, поскольку такие нападения трудно, хотя и не невозможно осуществить в массовом порядке.

• Атаки с помощью вредоносного ПО оцениваются как малоопасные. Это связано с тем, что злоумышленнику необходимо понимать низкоуровневую электрическую/электронную архитектуру целевого автомобиля перед началом атаки, а перенос программы с одной архитектуры автомобиля на другую — весьма непростая задача.

• Атаки с высокой степенью риска требуют лишь ограниченного понимания внутренней работы подключённого автомобиля и могут быть проведены даже низкоквалифицированным злоумышленником.

• К атакам высокого риска относятся также атаки DDoS и поиск открытых сервисов и серверов с помощью Shodan и других подобных сервисов.

• Вау-атаки, подобные установке вредоносного кода по воздуху, удалённому захвату управления транспортным средством, отправке неверных или неправильных команд бэкенду ITS, а также отправка поддельных сообщений V2X, относятся к среднему или низкому уровню риска. Эти атаки трудновыполнимы, поскольку устройства и системы недоступны для атак, а для успешной компрометации подключённых автомобильных платформ требуются специальные навыки и знания.

• Эксплуатация подключённых автомобилей в качестве точки входа во внутреннюю сеть ITS также относится к категории среднего риска. Для такой атаки требуются высококвалифицированные злоумышленники, которые знают, как скомпрометировать традиционные многоуровневые системы защиты.

Выводы

В целом уровень риска успешных атак на интеллектуальные автомобили и инфраструктуры ITS, подключённые к V2X, является средним. Это связано с тем, что мы оцениваем эти гипотетические атаки с использованием сегодняшних тактик и приёмов, используемых злоумышленниками. Когда промежуточное ПО, скрывающее внутреннюю архитектуру автомобиля, станет доступным сторонним производителям, например, для предоставления услуг в формате SaaS, следует ожидать появления новых тактических приёмов, которые будут иметь значительно более высокий уровень риска. Также, когда злоумышленники создают жизнеспособные методы монетизации подключённых автомобилей и ITS инфраструктур, мы обязательно увидим качественный скачок развития хакерских тактик, который приведёт к более рискованным атакам.