簡介

“汽車黑客”(car hacking) 的話題正越來越多地在媒體和安全公司之間討論。曾幾何時，黑客利用手中的工具黑掉一輛汽車的畫面還只是出現(xiàn)在電影中，現(xiàn)如今已經(jīng)在現(xiàn)實(shí)中成為可能，且成為了人們開始擔(dān)憂的問題，這正是本文要討論的話題。

對車輛進(jìn)行大規(guī)模技術(shù)引進(jìn)的影響之一就是汽車黑客的出現(xiàn)。汽車黑客(car hacking)這一術(shù)語特指可以破壞汽車中的某些高科技組件(technological components)的黑客。

現(xiàn)代汽車(譯者注：這里的現(xiàn)代指當(dāng)今的、現(xiàn)在這個時代的，不是特指某品牌，下同)通常包含超過50個電子控制單元(electronic control units, ECUs)，用來與內(nèi)部網(wǎng)絡(luò)交換數(shù)據(jù)。汽車的安全依賴于不同ECU之間的實(shí)時交互，如撞擊預(yù)警，防抱死制動等等。

前不久，著名黑客Charlie Miller與IOActive安全情報(bào)總監(jiān)Chris Valasek證實(shí)了通過黑進(jìn)車輛控制系統(tǒng)從而達(dá)到對汽車的某些控制已經(jīng)成為可能。

現(xiàn)代汽車多是由控制車輛不同功能的大量智能組件組成的復(fù)雜系統(tǒng)，大規(guī)模的電子產(chǎn)品引進(jìn)，也對汽車的整體安全產(chǎn)生了一些影響。

“在1970年代初，車載計(jì)算機(jī)或稱電子控制單元(Electronic Control Units，ECU)的引入，幫助解決了一些燃料效率與排放等問題，進(jìn)而進(jìn)化成車內(nèi)娛樂系統(tǒng)、安全控制與增強(qiáng)汽車功能等方方面面不可或缺的部分。

本文從一名安全研究人員的角度，測試兩款汽車的控制系統(tǒng)。首先介紹一些分析控制區(qū)域總線(Controller Area Network bus，CAN bus)的必要工具和軟件。其次，我們會用軟件演示如何對CAN總線讀寫數(shù)據(jù)。

之后，我們會演示如何通過連接到ODB-II的設(shè)備，重放一些專有消息來執(zhí)行汽車上一些危險的功能，如剎車和轉(zhuǎn)向。最后，我們會討論讀取和修改安裝在現(xiàn)代汽車上的ECU的固件，“摘自2013年8月在BlackHat安全會議上的相關(guān)演示。

安全專家的目的是以一名黑客的角度去探索汽車的安全問題，并證明能夠利用多種缺陷與車輛的主要組件直接交互，包括制動系統(tǒng)與方向控制系統(tǒng)。

視頻地址：https://www.youtube.com/watch?feature=player_embedded&v=ws8lSobe-sk

作為一名負(fù)責(zé)任的譯者，當(dāng)然要幫大家把視頻搬回墻內(nèi)：http://v.youku.com/v_show/id_XNjg0MzcwNDY0.html

圖1 Charlie Miller演示控制汽車方向盤的PoC的視頻

電子控制單元(ECU)與控制區(qū)域網(wǎng)絡(luò)(CAN)

電子控制單元基于控制區(qū)域網(wǎng)絡(luò)(CAN)標(biāo)準(zhǔn)，與一條或多條總線交互。

CAN總線作為汽車業(yè)界標(biāo)準(zhǔn)，是專門為ECU與車輛中沒有主機(jī)控制的設(shè)備進(jìn)行數(shù)據(jù)交換而設(shè)計(jì)的。同時CAN總線也被用在其它領(lǐng)域，包括航空航天與工業(yè)自動化。

在汽車中，ECU之間的交互數(shù)據(jù)為CAN數(shù)據(jù)包，每個包都會廣播到同一總線上的其它所有部件，就是說每個節(jié)點(diǎn)都能對其進(jìn)行譯碼。但主要問題是包中缺少發(fā)送者的ID，發(fā)送/接收協(xié)議無法完成有效的身份驗(yàn)證。這意味著由于ECU不會檢測發(fā)送者ID，攻擊者也可以捕獲到所有的數(shù)據(jù)包，偽造發(fā)送者ID，并將自己認(rèn)證給其它ECU。

CAN協(xié)議實(shí)現(xiàn)了兩個不同的消息幀格式：基礎(chǔ)幀格式與擴(kuò)展幀格式。兩者唯一的不同是，前者支持長度為11位的標(biāo)識符，而擴(kuò)展幀支持長度為29位的標(biāo)識符，由11位識別(即“基礎(chǔ)標(biāo)識符”)和18位擴(kuò)展(“擴(kuò)展標(biāo)識符”)組成。

CAN標(biāo)準(zhǔn)實(shí)現(xiàn)了四種幀：

數(shù)據(jù)幀：包含傳輸?shù)墓?jié)點(diǎn)數(shù)據(jù)

遠(yuǎn)程幀：用來請求指定標(biāo)識符的傳輸

錯誤幀：任意節(jié)點(diǎn)檢測出錯誤的幀

過載幀：在數(shù)據(jù)幀和/或遠(yuǎn)程幀之間注入一個延時

圖2  CAN幀格式(Wikipedia)

CAN是一個簡單的底層協(xié)議，沒有實(shí)現(xiàn)任何安全特性，因此其安全必須在上層得以保障，由應(yīng)用程序負(fù)責(zé)實(shí)現(xiàn)安全機(jī)制。

可以修改控制單元的軟件使其在數(shù)據(jù)傳輸中使用密碼機(jī)制，像軟件下載或點(diǎn)火鑰匙編碼，但通常標(biāo)準(zhǔn)的交互不會這么做。

黑客通過向CAN總線上的ECU發(fā)送自己特別構(gòu)造的數(shù)據(jù)包，可以修改這些組件的行為，甚至可以對整個單元組件重新編碼。

黑掉汽車的藝術(shù)

當(dāng)今，裝配了車載電腦的汽車可能因各種目的被攻擊者攻擊。為了防止類似犯罪，美國汽車安全監(jiān)管機(jī)構(gòu)設(shè)立了一個新辦公室，專門關(guān)注這種網(wǎng)絡(luò)犯罪。

“這些相互關(guān)聯(lián)的電子系統(tǒng)提高了車輛安全(safety)與可靠性，但同時也帶來了新的、不同的安全(security)風(fēng)險。”國家公路交通安全管理局負(fù)責(zé)人David Strickland表示。

汽車黑客甚至可以利用新一代汽車聯(lián)接到互聯(lián)網(wǎng)絡(luò)或無線網(wǎng)絡(luò)。我們不得不考慮這樣的事實(shí)：許多公司已經(jīng)開始考慮將汽車作為一種新型巨大網(wǎng)絡(luò)中的結(jié)點(diǎn)，可以從周圍環(huán)境中獲取信息，用獲得到的各種數(shù)據(jù)為智慧城市中的人們提供各種服務(wù)?，F(xiàn)在汽車都配備了先進(jìn)的控制器，可以實(shí)時管理大量信息。某些豪華汽車的控制器由多達(dá)1億行代碼編譯而成，車內(nèi)軟件和電子產(chǎn)品占去了車輛幾乎40%的成本。而車中的每個高科技組件和通信通道都有可能受到駭客的惡意攻擊。

黑掉一輛汽車都有哪些方法?

目前廣泛認(rèn)可的攻擊方法有：

遠(yuǎn)程信息系統(tǒng)攻擊。有些汽車配備的系統(tǒng)允許其與遠(yuǎn)程服務(wù)中心通信，傳輸其當(dāng)前所在的位置。相信在不久的未來，會有越來越多的汽車制造商可以提供遙感勘測服務(wù)作為遠(yuǎn)程診斷服務(wù)，以防止出現(xiàn)意外事故和電子故障。當(dāng)今，黑客理論上已經(jīng)可以攻破汽車上安裝的類似系統(tǒng)，例如遠(yuǎn)程追蹤被盜車輛的汽車防盜系統(tǒng)。一旦獲得汽車的訪問權(quán)，攻擊者就可以通過CAN總線與車上的每個組件進(jìn)行數(shù)據(jù)交互，修改它們的參數(shù)。

惡意軟件攻擊。攻擊者可以利用惡意軟件感染某些汽車部件，修改它們的行為。惡意軟件可以通過不同的方式感染，例如可以通過U盤插到MP3讀取器上進(jìn)行傳播或利用無線技術(shù)傳播(WiFi或藍(lán)牙)。

未經(jīng)授權(quán)的應(yīng)用程序。配備了車載電腦的汽車可以執(zhí)行或下載應(yīng)用程序。與普通PC類似，對于汽車來說，這些程序很有可能是惡意的非授權(quán)第三方提供的?？梢韵胂褴囕d電腦中任意軟件在升級時，攻擊者可以將惡意代碼假裝成更新程序，通過這種方式使未授權(quán)的軟件獲取其所需的權(quán)限。

OBD：專門的寫入軟件可以通過攻擊OBD-II(車載診斷系統(tǒng))端口安裝惡意軟件。一旦連接器通過CAN總線連接到汽車，就有可能監(jiān)控每個連接到該總線的組件。

車門鎖與鑰匙：攻擊者可以模擬這兩種系統(tǒng)的訪問碼，通過這種方式控制汽車鎖，并啟動/停止汽車引擎。

黑掉汽車的PoC

既然明白了黑客黑掉汽車的基本原理，那么攻擊向量是什么樣的呢?以及車中的“智能”部件之間如何“對話”呢?下面我們看一下黑客社區(qū)給出的概念證明。我們汽車的內(nèi)部總線像計(jì)算機(jī)網(wǎng)絡(luò)一樣以一種不安全的方式通信，因此很容易受到攻擊。正如之前預(yù)期的那樣，著名黑客Charlie Miller與安全研究員Chris Valasek已經(jīng)證明了其完全有可能取得其演示所用的汽車中部分組件的控制權(quán)。

汽車黑客(Car hacking)并不是一個新的概念，從過去到現(xiàn)在，一直有一群研究人員在探索電子控制單元(ECU)的弱點(diǎn)，但Miller和Valasek發(fā)表了一份關(guān)于汽車架構(gòu)的研究報(bào)告稱，他們可以在某些汽車的行駛過程中控制這些汽車的制動系統(tǒng)、轉(zhuǎn)向系統(tǒng)和其它功能。

安全專家通過向系統(tǒng)發(fā)送大量控制區(qū)域網(wǎng)絡(luò)數(shù)據(jù)包來控制車輛的行為，簡單地說，他們發(fā)送的數(shù)據(jù)包在合法數(shù)據(jù)包之前到達(dá)ECU，使其接受這些惡意數(shù)據(jù)包中的指令。

研究人員發(fā)表的論文演示了如何黑掉一輛汽車，即通過CAN總線發(fā)送的正常數(shù)據(jù)包和診斷數(shù)據(jù)包。由于某些顯而易見的(法律)原因，本文只提供了一個示例來講解，請讀者來證明這項(xiàng)研究的有效性。

研究人員對福特翼虎(Ford Escape)和豐田普銳斯(Toyota Prius)進(jìn)行了“安全測試”。一般情況下，攻擊者通過正常數(shù)據(jù)包可以操作以下組件：

車速儀
里程表
車載導(dǎo)航
轉(zhuǎn)向系統(tǒng)
制動系統(tǒng)——豐田
加速

正常數(shù)據(jù)包通過CAN總線操縱車速儀(福特 普銳斯)

兩位研究者解釋，如果CAN數(shù)據(jù)包通過注入的方式操縱顯示給駕駛員的轉(zhuǎn)速值(RPM)和車速，還是很容易檢測到的。在福特汽車中，信息是通過高速CAN網(wǎng)絡(luò)中ID為0201的數(shù)據(jù)包管理的。

包的格式為：

[AA BB 00 00 CC DD 00 00]

AABB是顯示的轉(zhuǎn)速(rpm)，CCDD是車速。系統(tǒng)開發(fā)團(tuán)隊(duì)通過以下公式計(jì)算這些值：

Speed(mph) = 0.0065 * (CC DD) – 67
RPM = .25 * (AA BB) – 24

例如，如果CAN數(shù)據(jù)包中為以下數(shù)據(jù)，那么：

[23 45 00 00 34 56 00 00]

以下代碼用來設(shè)置轉(zhuǎn)速和車速：

y = pointer(SFFMessage())
mydll.DbgLineToSFF(“IDH:02, IDL: 01, Len: 08, Data: 23 45 00 00 34 56 00 00″, y)
mydll.write_message_cont(handle,y, 2000)

代碼計(jì)算得到車速為0×3456 * .0065 – 67 = 20.1mph，轉(zhuǎn)速為0,25* 0×2345-24= 2233 rpm，十六進(jìn)制的3456為十進(jìn)制的13398，十六進(jìn)制的2345為十進(jìn)制的9029。

關(guān)掉引擎——通過CAN總線的診斷數(shù)據(jù)包控制福特汽車(福特 普銳斯)

通過前面的描述，我們知道可以通過數(shù)據(jù)包修改汽車內(nèi)的許多組件。研究人員證明可以對這這兩種車進(jìn)行多種操作，包括：

安全訪問(Security Access)
制動管理(Brakes management)
關(guān)掉引擎(Kill engine)
暴閃燈(Lights flashing)
喇叭開/關(guān)(Horn On/Off)
安全帶電機(jī)動作(Seat Belt Motor Engage)
車門開鎖/上鎖(Doors Lock/Unlock)
修改燃油量計(jì)(Modification Fuel Gauge)

與正常操作不同，對ECU的診斷需要認(rèn)證，但通過下文我們可以看到，其驗(yàn)證過程的脆弱性會將用戶暴露于風(fēng)險之中。

下面我們考慮停車輔助模塊(PAM)ECU。福特與普銳斯中對PAM組件的認(rèn)證其實(shí)很脆弱，因?yàn)槠湔埱?響應(yīng)過程總是基于該單元發(fā)送的同一個seed，這意味著響應(yīng)總是相同的，所以對攻擊者來說這就是一個笑話，PAM模塊進(jìn)行嗅探、安全訪問，或者在最壞情況下進(jìn)行暴力破解，簡直在容易了。

通過分析驗(yàn)證握手過程，可以發(fā)現(xiàn)其總是使用同一個seed，即11 22 33，對汽車黑客來說這簡直是理想的解決方案，但在其它的情況下會變得更復(fù)雜一些。不管怎么說攻擊者獲得了對固件進(jìn)行逆向工程的key，也就相當(dāng)于拿下了目標(biāo)組件。

IDH:07, IDL: 36, Len: 08, Data: 02 27 01 00 00 00 00 00
IDH:07, IDL: 3E, Len: 08, Data: 05 67 01 11 22 33 00 00
IDH:07, IDL: 36, Len: 08, Data: 05 27 02 CB BF 91 00 00
IDH:07, IDL: 3E, Len: 08, Data: 02 67 02 00 00 00 00 00

研究人員發(fā)現(xiàn)其中一項(xiàng)最有趣的攻擊是與操縱引擎有關(guān)，即可以調(diào)節(jié)gas

/ air比例水平，在這種特殊情況下，其用來測試的福特汽車，在某些異常情況下可以通過常規(guī)控制指令4044關(guān)掉引擎。

攻擊數(shù)據(jù)包為：

IDH:07, IDL: E0, Len: 08, Data: 05 31 01 40 44 FF 00 00

加粗部分的參數(shù)所在的bit位表示要關(guān)掉的汽缸的掩碼，發(fā)送FF表示關(guān)掉所有汽缸。

重復(fù)發(fā)送以上數(shù)據(jù)包，就可以通過這種阻止汽車重新啟動的方式關(guān)掉引擎，直到攻擊停止。

令人不安的是這種攻擊不需要建立診斷會話，而且可以在任何車速情況下進(jìn)行。

遠(yuǎn)程CANHacking Tools，并沒有那么貴

遠(yuǎn)程黑掉一輛汽車是完全可能實(shí)現(xiàn)的。最近安全研究人員Javier Vazquez-Vidal和Alberto Garcia Illera已經(jīng)設(shè)計(jì)了一套工具，用這種比普通智能手機(jī)還小的設(shè)備來控制一輛汽車，兩位研究員為其命名為CAN Hacking Tool(CHT)，并將會在新加坡舉行的黑帽亞洲安全大會上向大家展示。至此我們了解了CAN總線以及汽車中各個組件交互數(shù)據(jù)的方式。

圖4  CAN Hacking Tools (CHT)

黑掉一輛車從來沒有這么容易與便宜。研究人員將要展示的工具不足20美元，利用它，攻擊者可以完全控制一輛車，包括轉(zhuǎn)向系統(tǒng)與制動系統(tǒng)(即方向盤與剎車)等。

有文章曾經(jīng)指出，通過控制區(qū)域網(wǎng)絡(luò)(CAN)總線，可以訪問汽車的所有功能，包括控制鎖、方向盤和剎車，在這種情況下完全由研究人員決定如何使用它們。

“這個不足20美元的小設(shè)備，可以物理連接到汽車的內(nèi)部網(wǎng)絡(luò)并注入惡意命令，其影響范圍從車窗、車頭燈到方向盤與剎車”，F(xiàn)orbes報(bào)道。

CAN Hacking Tool的設(shè)計(jì)是從CAN端口注入惡意代碼，并通過附近的PC發(fā)送無線命令。

“只需要花五分鐘或更就就可以把它破解并開走……我們可以等一分鐘或一年，只為了將其觸發(fā)，執(zhí)行任意我們事先編輯好的指令”，Vazquez Vidal說。

Javier Vazquez-Vidal和Alberto Garcia Illera已經(jīng)證實(shí)了使用他們的CAN Hacking Tool設(shè)備黑掉一輛汽車的可行性，并針對四種不同的汽車進(jìn)行了測試，“其技術(shù)涵蓋像關(guān)掉車頭燈、引發(fā)警報(bào)、搖動車窗等這種單純的惡作劇，到防抱死制動或緊急制動系統(tǒng)等使行駛的汽車突然停止。”

研究人員測試使用的CHT只支持藍(lán)牙，但專家們已經(jīng)準(zhǔn)備將其升級，使其可以使用GSM蜂窩無線電，可以在千里之外控制汽車內(nèi)的設(shè)備。

“曾幾何時，攻擊者在很多情況需要獲得汽車底層的訪問權(quán)限，或需要打開汽車車箱才能實(shí)施攻擊，即使是最簡單的情況他們也需要爬到汽車下面將設(shè)備裝上。而現(xiàn)在，只需要通過與藍(lán)牙設(shè)備交互，在幾英尺的范圍內(nèi)即可完成攻擊。但在兩位研究人員在新加坡的安全會議上展示了他們的工具之后，他們說將會將該工具升級，使其支持GSM蜂窩無線電，屆時就可以在千里之外對設(shè)備進(jìn)行控制了。”

研究人員表示，現(xiàn)代汽車網(wǎng)絡(luò)沒有任何安全機(jī)制。

“所有的破解工具都是用現(xiàn)成的部件，所以即使發(fā)現(xiàn)什么攻擊設(shè)備，也沒辦法作為舉證的線索，基本上是完全無法追蹤的。一輛汽車就是一個小型網(wǎng)絡(luò)，并且沒有任何安全防護(hù)。”

攻擊檢測

根據(jù)Miller與Valasek的分析，對攻擊的檢測也很容易做到。他們提到了一種實(shí)現(xiàn)異常檢測機(jī)制的可行方法。

首先定義車內(nèi)所有組件的系統(tǒng)

“正常”行為，那么就有可能檢測到任意可疑行為并激活相應(yīng)的對策。一種可能的實(shí)現(xiàn)方式為，基于不同時段對不同CAN數(shù)據(jù)包的分析，如Miller與Valasek給出的下圖所示：

圖5  CAN id 0201的頻率分布圖

“只要處于網(wǎng)絡(luò)之中，就可以很容易檢測到這些惡意指令，并將其截獲。你知道什么樣的汽車應(yīng)該執(zhí)行什么樣的操作。”IOActive安全情報(bào)主管Valasek說。

例如，如果檢測到有大量數(shù)據(jù)包傳輸時就觸發(fā)警報(bào)，同樣，如果診斷數(shù)據(jù)包中包含正常模式之外的信息，也將其標(biāo)記出來。

對汽車制造商來說，添加這些額外的安全特性就會提高額外成本，經(jīng)濟(jì)危機(jī)以及相對微薄的利潤是引入這些安全特性的主要阻礙。

“汽車制造商不喜歡提高汽車的復(fù)雜性。如果你嘗試告訴他們修改架構(gòu)，肯定會受到很強(qiáng)的排斥。”Miller在卡巴斯基安全分析峰會的演示結(jié)束后，Valasek表示。

盡管這個話題已經(jīng)在黑客討論了很長時間，但目前仍沒有任何文檔或記錄顯示有汽車制造商表示會實(shí)施安全措施來防止黑客的攻擊。

“我們不知道他們在做什么。他們可能會(在安全措施方面)有些作為，但很可能將計(jì)劃排到幾年后了……汽車在設(shè)計(jì)時已經(jīng)考慮到其安全性(safety)了。但是，沒有security就沒有safety。”Miller說。

本文的分析源自黑客的自發(fā)行為，向大眾演示了汽車工業(yè)的脆弱性。我們希望在不久的將來，security會成會汽車的一項(xiàng)基本需求。

也許有一天，我們啟動汽車之前要做的第一件事不是啟動發(fā)動機(jī)，而是更新汽車的防火墻或殺毒軟件。

參考

http://securityaffairs.co/wordpress/15569/hacking/car-hacking-cinematographic-fiction-reality.html

http://securityaffairs.co/wordpress/22070/hacking/can-hacking-tools.html

http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/

http://illmatics.com/car_hacking.pdf

http://usblog.kaspersky.com/podcast-protecting-cars-with-av-style-detection/

http://www.zdnet.com/italians-love-of-car-and-home-turning-internet-of-things-into-900m-market-7000026141/

http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/

http://threatpost.com/detecting-car-hacks/104190

http://www.forbes.com/sites/andygreenberg/2014/02/05/this-iphone-sized-device-can-hack-a-car-researchers-plan-to-demonstrate/

http://en.wikipedia.org/wiki/CAN_bus

原文地址：http://resources.infosecinstitute.com/car-hacking-safety-without-security/