Næsten alle biler har en alvorlig it-sårbarhed, som ikke kan fjernes

car software bil
Nu advarer sikkerhedsforskere mod ny angrebsmetode.

En gruppe sikkerhedsforskere ved Politecnico di Milano, Linklayer Lab og Trend Micro har afdækket en mulig terrorangrebsmetode, som uafhængigt af bilmodel kan deaktivere bl.a. centrale sikkerhedsfunktioner i bilerne, og som ikke kan detekteres af de sædvanlige it-løsninger.

Ikke overraskende er sårbarheden knyttet til CAN (Controller Area Network) Bus, et standardiseret netværk, som mikro-controllerne til de forskellige enheder i køretøjet bruger til at kommunikere med hinanden, bl.a. til at sende kommandoer til hinanden. Stort set alle moderne biler er udstyret med CAN Bus, men enkelte benytter ikke-standardiserede løsninger, som vil gøre et angreb vanskeligere.

CAN Bus er en teknologi fra 1980’erne, som stort set ikke har nogen sikkerhedsfunktionaliteter overhovedet. Samtidig kobles stadigt flere enheder til dette netværk. I biler, som er udstyret med parkeringsassistancefunktion, styrer en computer både styringen, speederen og bremserne for at manøvrere bilen på plads. Dette sker via CAN Bus, som i øvrigt også benyttes i helt andre sammenhænge, for eksempel i motorcykler, tog, fly, skibe, medicinsk udstyr og i forbindelse med bygningsautomatisering.

Diagram over (dele af) et typisk CAN Bus-netværk. (Foto: Trend Micro)

Knyttet til CAN Bus er også diagnoseporten OBD-II, som i mange biler sidder lidt skjult i nærheden af rattet. I teorien kan alt, som kobles til denne, kommunikere med enhver enhed, der er knyttet til CAN Bus. Derfor blev bilejere tidligere i år advaret mod at koble enheder til denne, inklusive enheder som forsikringsselskaber tilbyder.

’Bus Off’

I de demonstrationsangreb, som har involveret CAN Bus, har angriberne brugt meldinger, som i CAN Bus-sammenhæng kaldes for ‘frames’.

Angrebet, som gruppen af sikkerhedsforskere nu har konstrueret, udnytter derimod, hvordan CAN Bus håndterer fejlmeldinger, som sendes fra enheder, som modtager meldinger, der indeholder værdier, der ikke korresponderer med det forventede. Fejlmeldingen, som sendes, modtages af alle andre enheder i netværket og giver dem besked om at ignorere den fejlagtige frame.

Sådanne fejl er ifølge sikkerhedsforskerne meget almindelige, men for at sikre netværket mod, at en enhed ‘spammer’ det med fejlmeldinger, vil netværket kunne sætte sådanne enheder i en tilstand, som kaldes ‘Bus Off’. Dette vil hindre den aktuelle enhed i at skrive meldinger til netværket, men også i at læse meldinger. I praksis er enheden deaktiveret, hvis den er i ‘Bus Off’-tilstand.

Dette kan i værste fald være livsfarligt, hvis det drejer sig om en kritisk enhed, såsom systemet til antiblokering af bremser eller airbaggene.

DoS-angreb

Hvis en specielt tilpasset enhed kobles til CAN Bus, enten via OBD-II-porten eller andre steder, kan denne genbruge fejlmeldinger, som allerede cirkulerer i netværket, og dermed give indtryk af, at alle kommer fra samme enhed, som til slut sættes i ‘Bus Off’-tilstand. I praksis drejer det sig om en slags DoS-angreb.

I videoen herunder fortæller Federici Maggi ved Trend Micros Forward-looking Threat Research-team i langt mere detaljeret, hvordan CAN Bus fungerer og kan angribes.

Det er ikke nødvendigvis sådan, at den enhed, som bruges i angrebet, ikke allerede findes i bilen, eller at angriberen skal have fysisk adgang til køretøjet. Det er tidligere blevet demonstreret, at det er muligt at omprogrammere en ECU (Electronic Control Unit) i bilen, for eksempel infotainment-systemet, via internettet.

Dette forudsætter selvfølgelig, at systemerne i bilen er tilknyttet internettet på en eller anden måde.

Kan let undervurderes

Men sikkerhedsforskerne mener, at man heller ikke skal undervurdere faren for, at en angriber får fysisk adgang til bilen. Det er slet ikke ualmindeligt, at bilejere giver fremmede adgang til deres bil, ikke kun på bilværksteder, men også i forbindelse med f.eks. bilvask eller parkering.

Desuden benyttes mange biler af flere brugere, for eksempel lejebiler, delebiler eller fælles firmabiler.

I modsætning til rigtig mange softwaresårbarheder kan den omtalte sårbarhed ikke fjernes ved hjælp af et enkelt sikkerhedsfiks. Fejlen ligger i designet af systemet, og skal den rettes, skal systemet ændres. Det lader sig ikke gøre i eksisterende biler.

»Enhver brugbar løsning vil kræve en drastisk ændring af regler og politikker, og det vil kræve en hel generation køretøjer at omstille sig til dette,« skriver Trend Micro i et blogindlæg.

Mulige løsninger

Selskabet foreslår flere relativt langsigtede løsninger, som vil kunne beskytte mod denne type angreb.

Det ene er netværkssegmentering eller topologiændringer, som isolerer kritiske komponenter fra enheder, som kan være tilgængelige for angribere.

En anden potentiel løsning er at begrænse tilgangen till OBD-II-porten, for eksempel ved at kræve et password, eller at man skal bruge en speciel fysisk nøgle for at åbne dækslet, som skjuler porten. Også autentificering af software, før der tillades trafik til og fra porten, kan overvejes.

En tredje løsning er at kryptere ID-felterne i CAN-meldingerne for at gøre det vanskeligere at efterligne meldingerne i netværket.

Forskningsarbejdet er allerede blevet præsenteret ved flere konferencer og har resulteret i en advarsel fra ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).

Trend Micro har publiceret mere information om forskningsarbejdet her (PDF)..

Selve forskningsrapporten er tilgængelig via denne side.

Denne artikel stammer fra norske digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (17)

Kommentarer (17)
Niels Danielsen

Denne funktion er noget alle der har arbejder med CAN kender, det er en feature der beskytter imod at en babling-idiot lægger CAN bussen ned ved at noden går Bus-off.
I nogle tilfælde kan man få den forkerte node til at gå Bus-off. Det er meget nemt, en node på bussen der har den forkerte bitrate, eller en kortslutning af CAN High og Low.
Der behøves ikke nogen Arduino, en papir clips er nok.
Jeg kan også lave et tilsvarende DoS angreb på en PC ved at kortslutte forbindelser i RAM soklen.
Der er folk der fejlagtigt tror at kryptering er løsning på alt.
Selv om man byggede end-to-end krypto med certifikater ind i alle sensoere i bilen, vil mange af dem kunne snydes på fysikken, f.eks. kan temperatur sensoren i køleren afmonteres såedes at den kun måler luft temperatur.
Hvis man har fysisk adgang til et køretøj kan man sabotere ABS bremser, og airbag med en skævbidder, der er ikke nogen grund til at blande software ind i det.
Jeg ser ikke noget problem i dette så længe at der ikke er forbundet noget der giver fjern adgang til bussen. Problemet er at folk forbinder alt til internettet.

Brian Funk

Er min Skoda fabia også udsat for internet-adgang til can bus'en, når jeg kobler min mobil til med kabel og bruger navigationssystemet i bilen?

Svend Nielsen

Der mangler en række betydelige detaljer i den historie:

1: En moderne bil har ikke en, men flere forskellige CAN busser. Det fremgår (indirekte) af systemdiagrammet øverst, hvor der betegnes en CAN B og CAN C. Der findes også en CAN A, og i mange biler findes der yderligere busser.

2: OBD (On-Board-Diagnostics) II stikket er ikke forbundet direkte til alle CAN busserne som det er vist på diagrammet.

3: OBD er forbundet gennem en CAN bus controller, og giver adgang til de forskellige CAN busser. Segmenteringen er gjort for netop at isolere livsvigtige komponenter i CAN bussen fra ikke-livsvigtige.

4: Adgangen gennem OBD er for de vigtige komponenter underlagt passwords (eller anden adgangskode), oftest en kode som er baseret på bilens stelnummer, og som dermed er unik for den enkelte bil.

5: De vigtige komponenter indeholder selv adgangskoder og adgangsbegrænsninger.

6: "Mulige løsninger":
"Det ene er netværkssegmentering eller topologiændringer, som isolerer kritiske komponenter fra enheder, som kan være tilgængelige for angribere"

Den metode bruges allerede og har været anvendt siden i hvert fald 2008. Min gamle VAG bil fra 2007 har 3 CAN busser.

"En anden potentiel løsning er at begrænse tilgangen till OBD-II-porten, for eksempel ved at kræve et password, eller at man skal bruge en speciel fysisk nøgle for at åbne dækslet, som skjuler porten. Også autentificering af software, før der tillades trafik til og fra porten, kan overvejes."

Adgang til de vigtige CAN bus komponenter kræver et bil/stelnummer specifikt password. Lås på OBD stikket hjælper ikke en brik. Luk bagagerummet op, og forbind en Y-splitter på den CAN bus unit som styrer stikket til f.eks. anhængertrækket - og ud er inde. Hvis der skal laves fysisk spærring skal samtlige 2-300 controllere i bilen sikres, dvs. umulig idé (som værkstederne sikkert vil elske som argument for at skrive et par timer mere på regningen ved hvert besøg).
Authentikering af software anvendes allerede mod de vigtige CAN bus komponenter.

"En tredje løsning er at kryptere ID-felterne i CAN-meldingerne for at gøre det vanskeligere at efterligne meldingerne i netværket."
Det vil forudsætter, at samtlige producenter understøtter et sådant system = kommer ikke til at ske. Og for at et sådant system skal forhindre noget som helst, skal det kunne generer rullende nøgler og udveksle dem på en sikker måde ala HTTPS. Det forudsætter CPU kraft i hver eneste CAN bus enhed.

ing.dk: Det er ikke forbudt at researche artikler selv om de plankes fra andre.

Kjeld Flarup Christensen

Det her kan blive blodigt alvor, når der kommer selvkørende biler. Jeg har svært ved at forestille mig et effektivt system med selvkørende biler uden de fleste af disse har internet.
Tag blot en taxa, den skal jo vide hvor den næste passager skal hentes.

Derfor er det dødeligt nødvendigt, at den nye generation af produktudvikling sker med fokus på IT sikkerhed.
Vi har brug for en ny generation af systemudviklere, som er opmærksomme på sikkerhed.

Malthe Høj-Sunesen

Bus-off fungerer kun som sikkerhed hvis enheden, som sættes i bus-off, accepterer at være i bus-off. Den nemmeste måde at lamme CAN på er bare at veksle på high og low, så ingen anden enhed har mulighed for at bruge bussen. Hvorfor udføre et replay-angreb når det er langt simplere at jamme?

Thomas Toft

Start-90'er hvis du vil være sikker, men de havde også den slags systemer før E-OBD osv. Der var der bare ingen standard alle brugte. Så løsningen må være en cykel.

Kjeld Flarup Christensen

Dæktryksmålerne er trådløse og på CAN-bussen. Så der er i hvert fald een indgang til bussen, der ikke kræver fysisk adgang.


Ud fra abstract, så ser det ikke ud til, at man kan få adgang til CAN-bussen, højst give falske informationer og privacy krænkelser.

Jeg vil tro at der sidder en modtager, som sender dæktryksinformationen ind på bussen. Det vil sikkert være alt for dyrt at forlænge bussen trådløst. Så det reddes lidt af en økonomisk nødvendighed.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017