Næsten alle biler har en alvorlig it-sårbarhed, som ikke kan fjernes

18. august 2017 kl. 13:1817
Næsten alle biler har en alvorlig it-sårbarhed, som ikke kan fjernes
Illustration: Sangoiri/Shutterstock.
Nu advarer sikkerhedsforskere mod ny angrebsmetode.
person
Harald Brombach / digi.no
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Harald Brombach / digi.no

En gruppe sikkerhedsforskere ved Politecnico di Milano, Linklayer Lab og Trend Micro har afdækket en mulig terrorangrebsmetode, som uafhængigt af bilmodel kan deaktivere bl.a. centrale sikkerhedsfunktioner i bilerne, og som ikke kan detekteres af de sædvanlige it-løsninger.

Ikke overraskende er sårbarheden knyttet til CAN (Controller Area Network) Bus, et standardiseret netværk, som mikro-controllerne til de forskellige enheder i køretøjet bruger til at kommunikere med hinanden, bl.a. til at sende kommandoer til hinanden. Stort set alle moderne biler er udstyret med CAN Bus, men enkelte benytter ikke-standardiserede løsninger, som vil gøre et angreb vanskeligere.

CAN Bus er en teknologi fra 1980’erne, som stort set ikke har nogen sikkerhedsfunktionaliteter overhovedet. Samtidig kobles stadigt flere enheder til dette netværk. I biler, som er udstyret med parkeringsassistancefunktion, styrer en computer både styringen, speederen og bremserne for at manøvrere bilen på plads. Dette sker via CAN Bus, som i øvrigt også benyttes i helt andre sammenhænge, for eksempel i motorcykler, tog, fly, skibe, medicinsk udstyr og i forbindelse med bygningsautomatisering.
Diagram over (dele af) et typisk CAN Bus-netværk.

Artiklen fortsætter efter annoncen

Knyttet til CAN Bus er også diagnoseporten OBD-II, som i mange biler sidder lidt skjult i nærheden af rattet. I teorien kan alt, som kobles til denne, kommunikere med enhver enhed, der er knyttet til CAN Bus. Derfor blev bilejere tidligere i år advaret mod at koble enheder til denne, inklusive enheder som forsikringsselskaber tilbyder.

’Bus Off’

I de demonstrationsangreb, som har involveret CAN Bus, har angriberne brugt meldinger, som i CAN Bus-sammenhæng kaldes for ‘frames’.

Angrebet, som gruppen af sikkerhedsforskere nu har konstrueret, udnytter derimod, hvordan CAN Bus håndterer fejlmeldinger, som sendes fra enheder, som modtager meldinger, der indeholder værdier, der ikke korresponderer med det forventede. Fejlmeldingen, som sendes, modtages af alle andre enheder i netværket og giver dem besked om at ignorere den fejlagtige frame.

Sådanne fejl er ifølge sikkerhedsforskerne meget almindelige, men for at sikre netværket mod, at en enhed ‘spammer’ det med fejlmeldinger, vil netværket kunne sætte sådanne enheder i en tilstand, som kaldes ‘Bus Off’. Dette vil hindre den aktuelle enhed i at skrive meldinger til netværket, men også i at læse meldinger. I praksis er enheden deaktiveret, hvis den er i ‘Bus Off’-tilstand.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Dette kan i værste fald være livsfarligt, hvis det drejer sig om en kritisk enhed, såsom systemet til antiblokering af bremser eller airbaggene.

DoS-angreb

Hvis en specielt tilpasset enhed kobles til CAN Bus, enten via OBD-II-porten eller andre steder, kan denne genbruge fejlmeldinger, som allerede cirkulerer i netværket, og dermed give indtryk af, at alle kommer fra samme enhed, som til slut sættes i ‘Bus Off’-tilstand. I praksis drejer det sig om en slags DoS-angreb.

I videoen herunder fortæller Federici Maggi ved Trend Micros Forward-looking Threat Research-team i langt mere detaljeret, hvordan CAN Bus fungerer og kan angribes.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. To see the content, update your cookie settings.

Artiklen fortsætter efter annoncen

Det er ikke nødvendigvis sådan, at den enhed, som bruges i angrebet, ikke allerede findes i bilen, eller at angriberen skal have fysisk adgang til køretøjet. Det er tidligere blevet demonstreret, at det er muligt at omprogrammere en ECU (Electronic Control Unit) i bilen, for eksempel infotainment-systemet, via internettet.

Dette forudsætter selvfølgelig, at systemerne i bilen er tilknyttet internettet på en eller anden måde.

Kan let undervurderes

Men sikkerhedsforskerne mener, at man heller ikke skal undervurdere faren for, at en angriber får fysisk adgang til bilen. Det er slet ikke ualmindeligt, at bilejere giver fremmede adgang til deres bil, ikke kun på bilværksteder, men også i forbindelse med f.eks. bilvask eller parkering.

Desuden benyttes mange biler af flere brugere, for eksempel lejebiler, delebiler eller fælles firmabiler.

I modsætning til rigtig mange softwaresårbarheder kan den omtalte sårbarhed ikke fjernes ved hjælp af et enkelt sikkerhedsfiks. Fejlen ligger i designet af systemet, og skal den rettes, skal systemet ændres. Det lader sig ikke gøre i eksisterende biler.

»Enhver brugbar løsning vil kræve en drastisk ændring af regler og politikker, og det vil kræve en hel generation køretøjer at omstille sig til dette,« skriver Trend Micro i et blogindlæg.

Mulige løsninger

Selskabet foreslår flere relativt langsigtede løsninger, som vil kunne beskytte mod denne type angreb.

Det ene er netværkssegmentering eller topologiændringer, som isolerer kritiske komponenter fra enheder, som kan være tilgængelige for angribere.

En anden potentiel løsning er at begrænse tilgangen till OBD-II-porten, for eksempel ved at kræve et password, eller at man skal bruge en speciel fysisk nøgle for at åbne dækslet, som skjuler porten. Også autentificering af software, før der tillades trafik til og fra porten, kan overvejes.

En tredje løsning er at kryptere ID-felterne i CAN-meldingerne for at gøre det vanskeligere at efterligne meldingerne i netværket.

Forskningsarbejdet er allerede blevet præsenteret ved flere konferencer og har resulteret i en advarsel fra ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).

Trend Micro har publiceret mere information om forskningsarbejdet her (PDF)..

Selve forskningsrapporten er tilgængelig via denne side.

Denne artikel stammer fra norske digi.no

17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Kjeld Flarup Christensen
21. august 2017 kl. 14:55

Dæktryksmålerne er trådløse og på CAN-bussen. Så der er i hvert fald een indgang til bussen, der ikke kræver fysisk adgang.

Ud fra abstract, så ser det ikke ud til, at man kan få adgang til CAN-bussen, højst give falske informationer og privacy krænkelser.

Jeg vil tro at der sidder en modtager, som sender dæktryksinformationen ind på bussen. Det vil sikkert være alt for dyrt at forlænge bussen trådløst. Så det reddes lidt af en økonomisk nødvendighed.

  • more_vert
    • insert_linkKopier link
15
Thomas Toft
20. august 2017 kl. 23:23

Start-90'er hvis du vil være sikker, men de havde også den slags systemer før E-OBD osv. Der var der bare ingen standard alle brugte. Så løsningen må være en cykel.

  • more_vert
    • insert_linkKopier link
13
Rasmus nix
20. august 2017 kl. 17:53

Man begynder nok desværre bare først at tænke IT sikkerhed ind i det, når det økonomisk/politisk kan betale sig. Og så er det forsent.

  • more_vert
    • insert_linkKopier link
12
Malthe Høj-Sunesen
20. august 2017 kl. 12:40

Bus-off fungerer kun som sikkerhed hvis enheden, som sættes i bus-off, accepterer at være i bus-off. Den nemmeste måde at lamme CAN på er bare at veksle på high og low, så ingen anden enhed har mulighed for at bruge bussen. Hvorfor udføre et replay-angreb når det er langt simplere at jamme?

  • more_vert
    • insert_linkKopier link
11
Martin Sølvkjær
20. august 2017 kl. 11:41

Den har et stabilt backup system.

  • more_vert
    • insert_linkKopier link
10
Claus Futtrup
20. august 2017 kl. 11:17

Hvor gammel skal bilen være, for at dette her ikke er noget problem?

  • more_vert
    • insert_linkKopier link
9
Kjeld Flarup Christensen
20. august 2017 kl. 09:55

Det her kan blive blodigt alvor, når der kommer selvkørende biler. Jeg har svært ved at forestille mig et effektivt system med selvkørende biler uden de fleste af disse har internet. Tag blot en taxa, den skal jo vide hvor den næste passager skal hentes.

Derfor er det dødeligt nødvendigt, at den nye generation af produktudvikling sker med fokus på IT sikkerhed. Vi har brug for en ny generation af systemudviklere, som er opmærksomme på sikkerhed.

  • more_vert
    • insert_linkKopier link
7
Svend Nielsen
19. august 2017 kl. 09:27

Der mangler en række betydelige detaljer i den historie:

1: En moderne bil har ikke en, men flere forskellige CAN busser. Det fremgår (indirekte) af systemdiagrammet øverst, hvor der betegnes en CAN B og CAN C. Der findes også en CAN A, og i mange biler findes der yderligere busser.

2: OBD (On-Board-Diagnostics) II stikket er ikke forbundet direkte til alle CAN busserne som det er vist på diagrammet.

3: OBD er forbundet gennem en CAN bus controller, og giver adgang til de forskellige CAN busser. Segmenteringen er gjort for netop at isolere livsvigtige komponenter i CAN bussen fra ikke-livsvigtige.

4: Adgangen gennem OBD er for de vigtige komponenter underlagt passwords (eller anden adgangskode), oftest en kode som er baseret på bilens stelnummer, og som dermed er unik for den enkelte bil.

5: De vigtige komponenter indeholder selv adgangskoder og adgangsbegrænsninger.

6: "Mulige løsninger": "Det ene er netværkssegmentering eller topologiændringer, som isolerer kritiske komponenter fra enheder, som kan være tilgængelige for angribere"

Den metode bruges allerede og har været anvendt siden i hvert fald 2008. Min gamle VAG bil fra 2007 har 3 CAN busser.

"En anden potentiel løsning er at begrænse tilgangen till OBD-II-porten, for eksempel ved at kræve et password, eller at man skal bruge en speciel fysisk nøgle for at åbne dækslet, som skjuler porten. Også autentificering af software, før der tillades trafik til og fra porten, kan overvejes."

Adgang til de vigtige CAN bus komponenter kræver et bil/stelnummer specifikt password. Lås på OBD stikket hjælper ikke en brik. Luk bagagerummet op, og forbind en Y-splitter på den CAN bus unit som styrer stikket til f.eks. anhængertrækket - og ud er inde. Hvis der skal laves fysisk spærring skal samtlige 2-300 controllere i bilen sikres, dvs. umulig idé (som værkstederne sikkert vil elske som argument for at skrive et par timer mere på regningen ved hvert besøg). Authentikering af software anvendes allerede mod de vigtige CAN bus komponenter.

"En tredje løsning er at kryptere ID-felterne i CAN-meldingerne for at gøre det vanskeligere at efterligne meldingerne i netværket." Det vil forudsætter, at samtlige producenter understøtter et sådant system = kommer ikke til at ske. Og for at et sådant system skal forhindre noget som helst, skal det kunne generer rullende nøgler og udveksle dem på en sikker måde ala HTTPS. Det forudsætter CPU kraft i hver eneste CAN bus enhed.

ing.dk: Det er ikke forbudt at researche artikler selv om de plankes fra andre.

  • more_vert
    • insert_linkKopier link
6
Martin Larsen
19. august 2017 kl. 09:26

Præcis min tanke. Har man uhindret fysisk adgang til en enhed er alt andet ligegyldigt.

Vi har jo set hvordan nogle idioter fx løsner hjulboltene på folks biler. Ingen grund til avanceret teknologi hvis man vil lave sabotage.

  • more_vert
    • insert_linkKopier link
5
Peter Kyllesbeck
19. august 2017 kl. 00:32

Hm! fra https://en.wikipedia.org/wiki/ECU

  • Electronic control unit, a generic term for any embedded system that controls one or more of the electrical systems or subsystems in a motor vehicle
  • Engine control unit, one type of electronic control unit that manages an engine's operation
  • more_vert
    • insert_linkKopier link
4
Christian Nobel
18. august 2017 kl. 23:17

ECU står for Engine Control Unit, og har ikke en hattenål med underholdningssystem at gøre!

  • more_vert
    • insert_linkKopier link
3
Brian Funk
18. august 2017 kl. 22:43

Er min Skoda fabia også udsat for internet-adgang til can bus'en, når jeg kobler min mobil til med kabel og bruger navigationssystemet i bilen?

  • more_vert
    • insert_linkKopier link
1
Niels Danielsen
18. august 2017 kl. 17:50

Denne funktion er noget alle der har arbejder med CAN kender, det er en feature der beskytter imod at en babling-idiot lægger CAN bussen ned ved at noden går Bus-off. I nogle tilfælde kan man få den forkerte node til at gå Bus-off. Det er meget nemt, en node på bussen der har den forkerte bitrate, eller en kortslutning af CAN High og Low. Der behøves ikke nogen Arduino, en papir clips er nok. Jeg kan også lave et tilsvarende DoS angreb på en PC ved at kortslutte forbindelser i RAM soklen. Der er folk der fejlagtigt tror at kryptering er løsning på alt. Selv om man byggede end-to-end krypto med certifikater ind i alle sensoere i bilen, vil mange af dem kunne snydes på fysikken, f.eks. kan temperatur sensoren i køleren afmonteres såedes at den kun måler luft temperatur. Hvis man har fysisk adgang til et køretøj kan man sabotere ABS bremser, og airbag med en skævbidder, der er ikke nogen grund til at blande software ind i det. Jeg ser ikke noget problem i dette så længe at der ikke er forbundet noget der giver fjern adgang til bussen. Problemet er at folk forbinder alt til internettet.

  • more_vert
    • insert_linkKopier link