En gruppe sikkerhedsforskere ved Politecnico di Milano, Linklayer Lab og Trend Micro har afdækket en mulig terrorangrebsmetode, som uafhængigt af bilmodel kan deaktivere bl.a. centrale sikkerhedsfunktioner i bilerne, og som ikke kan detekteres af de sædvanlige it-løsninger.
Ikke overraskende er sårbarheden knyttet til CAN (Controller Area Network) Bus, et standardiseret netværk, som mikro-controllerne til de forskellige enheder i køretøjet bruger til at kommunikere med hinanden, bl.a. til at sende kommandoer til hinanden. Stort set alle moderne biler er udstyret med CAN Bus, men enkelte benytter ikke-standardiserede løsninger, som vil gøre et angreb vanskeligere.
CAN Bus er en teknologi fra 1980’erne, som stort set ikke har nogen sikkerhedsfunktionaliteter overhovedet. Samtidig kobles stadigt flere enheder til dette netværk. I biler, som er udstyret med parkeringsassistancefunktion, styrer en computer både styringen, speederen og bremserne for at manøvrere bilen på plads. Dette sker via CAN Bus, som i øvrigt også benyttes i helt andre sammenhænge, for eksempel i motorcykler, tog, fly, skibe, medicinsk udstyr og i forbindelse med bygningsautomatisering.
Knyttet til CAN Bus er også diagnoseporten OBD-II, som i mange biler sidder lidt skjult i nærheden af rattet. I teorien kan alt, som kobles til denne, kommunikere med enhver enhed, der er knyttet til CAN Bus. Derfor blev bilejere tidligere i år advaret mod at koble enheder til denne, inklusive enheder som forsikringsselskaber tilbyder.
’Bus Off’
I de demonstrationsangreb, som har involveret CAN Bus, har angriberne brugt meldinger, som i CAN Bus-sammenhæng kaldes for ‘frames’.
Angrebet, som gruppen af sikkerhedsforskere nu har konstrueret, udnytter derimod, hvordan CAN Bus håndterer fejlmeldinger, som sendes fra enheder, som modtager meldinger, der indeholder værdier, der ikke korresponderer med det forventede. Fejlmeldingen, som sendes, modtages af alle andre enheder i netværket og giver dem besked om at ignorere den fejlagtige frame.
Sådanne fejl er ifølge sikkerhedsforskerne meget almindelige, men for at sikre netværket mod, at en enhed ‘spammer’ det med fejlmeldinger, vil netværket kunne sætte sådanne enheder i en tilstand, som kaldes ‘Bus Off’. Dette vil hindre den aktuelle enhed i at skrive meldinger til netværket, men også i at læse meldinger. I praksis er enheden deaktiveret, hvis den er i ‘Bus Off’-tilstand.
Dette kan i værste fald være livsfarligt, hvis det drejer sig om en kritisk enhed, såsom systemet til antiblokering af bremser eller airbaggene.
DoS-angreb
Hvis en specielt tilpasset enhed kobles til CAN Bus, enten via OBD-II-porten eller andre steder, kan denne genbruge fejlmeldinger, som allerede cirkulerer i netværket, og dermed give indtryk af, at alle kommer fra samme enhed, som til slut sættes i ‘Bus Off’-tilstand. I praksis drejer det sig om en slags DoS-angreb.
I videoen herunder fortæller Federici Maggi ved Trend Micros Forward-looking Threat Research-team i langt mere detaljeret, hvordan CAN Bus fungerer og kan angribes.
Det er ikke nødvendigvis sådan, at den enhed, som bruges i angrebet, ikke allerede findes i bilen, eller at angriberen skal have fysisk adgang til køretøjet. Det er tidligere blevet demonstreret, at det er muligt at omprogrammere en ECU (Electronic Control Unit) i bilen, for eksempel infotainment-systemet, via internettet.
Dette forudsætter selvfølgelig, at systemerne i bilen er tilknyttet internettet på en eller anden måde.
Kan let undervurderes
Men sikkerhedsforskerne mener, at man heller ikke skal undervurdere faren for, at en angriber får fysisk adgang til bilen. Det er slet ikke ualmindeligt, at bilejere giver fremmede adgang til deres bil, ikke kun på bilværksteder, men også i forbindelse med f.eks. bilvask eller parkering.
Desuden benyttes mange biler af flere brugere, for eksempel lejebiler, delebiler eller fælles firmabiler.
I modsætning til rigtig mange softwaresårbarheder kan den omtalte sårbarhed ikke fjernes ved hjælp af et enkelt sikkerhedsfiks. Fejlen ligger i designet af systemet, og skal den rettes, skal systemet ændres. Det lader sig ikke gøre i eksisterende biler.
»Enhver brugbar løsning vil kræve en drastisk ændring af regler og politikker, og det vil kræve en hel generation køretøjer at omstille sig til dette,« skriver Trend Micro i et blogindlæg.
Mulige løsninger
Selskabet foreslår flere relativt langsigtede løsninger, som vil kunne beskytte mod denne type angreb.
Det ene er netværkssegmentering eller topologiændringer, som isolerer kritiske komponenter fra enheder, som kan være tilgængelige for angribere.
En anden potentiel løsning er at begrænse tilgangen till OBD-II-porten, for eksempel ved at kræve et password, eller at man skal bruge en speciel fysisk nøgle for at åbne dækslet, som skjuler porten. Også autentificering af software, før der tillades trafik til og fra porten, kan overvejes.
En tredje løsning er at kryptere ID-felterne i CAN-meldingerne for at gøre det vanskeligere at efterligne meldingerne i netværket.
Forskningsarbejdet er allerede blevet præsenteret ved flere konferencer og har resulteret i en advarsel fra ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).
Trend Micro har publiceret mere information om forskningsarbejdet her (PDF)..
Selve forskningsrapporten er tilgængelig via denne side.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.