SlideShare una empresa de Scribd logo
1 de 55
Descargar para leer sin conexión
Автомобиль –смартфон на колесах: пристегните кибер-ремни безопасности! 
ПечёнкинАлександр
В России ~30 млн. автомобилей 
В мире > 1 млрд. автомобилей 
К 2020 ожидается ~1,7 млрд. 
~30 тыс. смертей в год 
~300 тыс. раненых в год 
2
3 
«Хакер» угнал автомобиль с помощью особого CD-диска, вставленного в магнитолу 
«Чего только не придумают киношники?»
•Машина категорически не пожелала выходить из режима cruisecontrolи упорно продолжала держать скорость 100 км/час, невзирая на все попытки водителя притормозить 
2009 г., Австралия, FordExplorer 
•Министр финансов Таиланда в правительственном BMW. В результате сбоя мотор заглох, двери оказались заперты, сервоприводы оконных стекол заблокированы, а воздушный кондиционер выключен 
2003 г., Таиланд, BMW 
•Проблема с круиз-контролем. В результате машина ехала со скоростью 130 км/час. Автомобиль сумели остановить только путем торможения об полицейскую машину 
2005 г., США, Pontiac 
•Во время езды включил печку на полную мощность, не давая ее выключить 
2009 г., США, DodgeCaravan 
4
5 
Центральный замок автомобиля был открыт при помощи подключения к CAN шине. Добрались до которой, проделав небольшое отверстие в задней правой двери. 
Угон Porsche Cayenneв аэропорту Пулково 
Санкт-Петербурга
•Скандальный журналист: Майкл Хастингс 
•США, Голливуд, 2013 г. 
Кто? Где? Когда? 
•Машина на скорости ~160 км/чпроскочила 3 перекрестка на красный свет, а на абсолютно прямой дороге резко вылетела на разделительную полосу и ударилась в дерево с феноменально мощным взрывом 
Что случилось? 
•Анализ видеозаписей показал, что было три взрыва. Два еще при движении автомобиля —в отсеке двигателя, а третий, с самым мощным воспламенением, охватил огнем кабину при столкновении с пальмой 
Из-за чего? 
•«В случае Майкла Хастингсате свидетельства, которые стали публично доступными, согласуются с признаками кибератаки» 
Что говорят? 
6
•Электроника и ПО в 1990 году –15% стоимости автомобиля 
•В 2000 году —25% 
•Сейчас -40% 
Все больше финансовых вложений и затрат 
•В современном автомобиле несколько миллионов строк кода 
•Больше, чем в космическом шаттле 
•В автомобилях премиального класса объём ПО >1 Гб 
Все больше программного обеспечения 
•По данным исследования инженерной ассоциации IEEE, софт уже обеспечивает 90% инноваций в автомобилях 
Электроника и ПО –источник инноваций 
7
CAN шина 
PCM 
RCM 
PDM 
HFM 
ABS 
SCM 
DDM 
HVAC 
… 
Модуль управления двигателем 
Дверь водителя 
Пассажирские двери 
Управление рулевой колонкой 
Модуль управления радио 
Антиблокировочная тормозная система 
Hands Free Модуль 
Вентиляция, кондиционер 
8
CAN 
• Связь между ЭБУ, 
диагностика 
• Поле данных: до 8 
байт 
• Широковещательная 
рассылка сообщений 
• Скорость: до 1 Мбит/с 
• CSMA/CA – Алгоритм 
Арбитража 
K-Line 
• Диагностика: связь 
между ЭБУ и 
оператором 
• Поле данных: до 255 
байт 
• Master-Slave 
• Скорость: до 10,4 Кбит/с 
• UART 
Format 
(1 байт) 
Dest 
(1 байт) 
Src 
(1 байт) 
Len 
(1 байт) 
SID 
(1 байт) 
CS 
(1 байт) 
Data 
(0-255 байт) 
S 
O 
F 
ID 
(11 Бит) 
R 
T 
R 
I 
D 
E 
R 
0 
D 
L 
C 
Data 
(0-8 Байт) 
CRC 
(15 бит) 
C 
R 
C 
D 
E 
L 
EOF 
(7 бит) 
9
Стандартизующие организации 
•Комитет ISO/TC22/SC3/WG1 
•Американское Общество инженеров автомобилестроения (Society of AutomotiveEngineers) 
•Международная группа OSEK/VDX «Открытые системы и соответствующие интерфейсы для автомобильной электроники» 
ISO 11898 
•Roadvehicles Interchange ofdigital informationdigital information. Controllerarea network (CAN) forhigh-speed communication 
•Транспортные средства. Обмен цифровой информацией. Локальная сеть контроллеров CAN для быстрой связи 
ISO 11519-2 
•Roadvehicles. Low- speed serialdata communication. Part 2.Low-speed controller areanetwork (CAN) 
•Транспортные средства. Низкоскоростная последовательная связь данных. Часть 2. Низкоскоростная локальная сеть контроллеров CAN 
10
Уровень 
CAN 
K-Line 
Прикладной 
ISO 14229 
ISO 15765-3 
ISO 14230-3 
Unified DiagnosticServices 
Представления 
- 
- 
Сеансовый 
ISO 15765-2 
Diagnostics on CAN 
ISO 14230-2 
Транспортный 
ISO 15765-2 
Diagnostics on CAN 
- 
Сетевой 
- 
Канальный 
ISO 11898 
CAN 
ISO 14230-2 
Физический 
ISO 14230-1 
Diagnostic communication 
11
•Последовательный, широковещательный, пакетный 
Режим передачи 
•Определяет передачу в отрыве от физического уровня 
•На практике под CAN-сетьюпонимают обычно подразумеваются сеть топологии «шина» 
Среда передачи 
•Гарантируется доступ к шине сообщений с максимальным приоритетом без задержек 
Недеструктивныйарбитраж 
•Исчерпывающаясхема контроля ошибок 
•Автоматическое устранение узла, являющегося источником ошибочных пакетов в сети 
Контроль ошибок 
•Де-факто –стандарт для автомобильной автоматики 
Применение 
12
• Различные виды транспорта 
• Производственная промышленность 
• Строительство 
• Сельское хозяйство 
• Медицинское оборудование 
CAN является идеальным решением 
для любого оборудования, 
где микроконтроллеры обмениваются 
сообщениями друг с другом 
и с удаленными периферийными 
устройствами 
13
Поле данных 
(0-8 байт) 
IDE 
Идентификатор 
Контрольная 
сумма(15бит) 
Конецкадра 
Поле 
арбитража 
Начало кадра 
RTR 
(поле арбитража завершается 
битом удаленного запроса) 
ACK слот 
(контроллер, который правильно 
принял сообщение, 
посылает бит подтверждения в сеть) 
Разделитель 
контрольной суммы 
(должен быть рецессивным) 
Разделитель 
ACK слота 
(должен быть рецессивным) 
Длина данных 
Уникальный 
Идентификатор 
(идентификатор говорит о содержимом 
пакета и служит дляопределения приоритета 
при попытке одновременной 
передачи несколькими сетевыми узлами) 
Логический ноль –доминантный бит 
Логическая единица –рецессивный бит 
При одновременной передаче в шину нуля и единицы, на шине будет зарегистрирован только логический ноль, а логическая единица будет подавлена. 
R0 
DLC 
Зарезервированный бит 
Бит расширенного 
формата кадра 
14
CAN шина 
PCM 
RCM 
PDM 
HFM 
ABS 
SCM 
DDM 
HVAC 
… 
Модуль управления двигателем 
Дверь водителя 
Пассажирские двери 
Управление рулевой колонкой 
Модуль управления радио 
Антиблокировочная тормозная система 
Hands Free Модуль 
Вентиляция, кондиционер 
Скомпрометировав один из модулей CAN, злоумышленник может отправлять в сеть произвольные сообщения. Искусственно созданные сообщения, могут быть получены другими модулями CAN сети, и восприняты ими как легитимные. 
15
Управление рулевой колонкой 
Модуль управления двигателем 
Антиблокировочная тормозная система 
Hands Free Модуль 
Вентиляция, кондиционер 
Пассажирские двери 
Модуль управления радио 
Интегрированный блок питания 
Управление 
коробкой передач 
Выполняет роль шлюза 
CAN-High 
CAN-Low 
16
Шлюз 
ЭБУ 
Двигателя 
Превентивная 
защита 
Навигация 
ЭБУ 
ABS 
ЭБУ 
ESP 
Круиз- 
контроль 
Мульти- 
медиа 
Радио GSM 
Телефон 
GPS 
Климат- 
контроль 
Парковочный 
датчик 
Приборная 
панель 
ЭБУ Систем 
комфорта 
ЭБУ 
дверей 
ЭБУ 
светотехники 
Камера 
заднего вида 
Основная 
CAN-шина 
Информационная 
CAN-шина 
Комфорт 
CAN-шина 
OBD-II 
порт 
Рулевая 
система 
Подушки 
безопасности 
ЭБУ 
АКПП 
Диагностическая линия 
K-Line 
500 Кбитс 
100 Кбитс 
100 Кбитс 
17
18
19
Шина 
Скорость 
Шина CAN-привод 
500 кбит/с 
Шина CAN-комфорт 
500 кбит/с 
Расширенная шина CAN 
500 кбит/с 
Шина CAN индикации и управления 
500 кбит/с 
Шина CAN-диагностики 
500 кбит/с 
FlexRay 
10 Мбит/с 
Шина MOST 
22,5 Мбит/с 
Шина LIN 
20 кбит/с 
Системы дополнительных шин 
500 кбит/с 
20
ESM 
ЭБУ селектора 
TPM 
Датчик давления шин 
ORC 
Контроллер вторжения 
TCM 
Управление коробкой передач 
PCM 
Модуль управления двигателем 
ABS 
Антиблокировочная тормозная система 
WIN 
Беспроводной узел зажигания 
SCM 
Управление рулевой колонкой 
PEM 
Модуль беспроводного доступа 
HVAC 
Вентиляция, кондиционер 
RCM 
Модуль управления радио 
AMP 
ЭБУ усилителя 
DDM 
Дверь водителя 
HSM 
Подогрев сиденья 
EOM 
Верхний электронный блок 
PDM 
Пассажирские двери 
HFM 
Hands Free модуль 
CCN 
ЭБУ салонного оборудования 
SUNR 
Управление люком 
TIPM 
Интегрированный блок питания 
21
Угрозы ИБ 
1 
Несанкционированноеуправление: 
(А) Двигатель,(Б) тормоза, (В) руль, (Г) замки дверей, (Д) прочее 
2 
Утечка информации: 
(А) Перехватпередаваемых данных по сети (управл. сообщения, координаты, 
данные из телефона) 
(Б) Из памяти ЭБУ (ключи доступа) 
3 
Внедрение в сеть: 
(А)OBD-IIпорт 
(Б) Физическое подключение 
(В) Подмена ЭБУ 
4 
Внедрение в ЭБУ: 
(А) Проводные сети: CAN, K-Line 
(Б)Мультимедийные интерфейсы: CDDVD, USB, AUX, SD 
(В)Беспроводные интерфейсы: 
Radio, Bluetooth, GSM, 3G 
5 
Отказ в обслуживании: 
(А) ЭБУ своей подсети 
(Б) ЭБУдругих подсетей 
Широковещательная рассылкаШироковещательная рассылкаНедостаток арбитражаНедостаток алгоритма арбитражаСвободная сообщенийшлюзомСвободная пересылка сообщенийшлюзомПередача видеПередача данных в открытом видеСлабый ЭБУСлабый контроль доступа к сервисам ЭБУОтсутствие сообщенииОтсутствие проверки подлинности узлов и сообщении1А1Б1Д1В1Г5А2А2Б3А3Б3В4А5Б4Б4В 
22
Способы внедрения 
1 
Внедрение в сеть: 
(А)OBD-IIпорт 
(Б) Физическое подключение 
(В) Подмена ЭБУ 
2 
Внедрение в ЭБУ: 
(А) Проводные сети: CAN, K-Line 
(Б)Мультимедийные интерфейсы: CDDVD, USB, AUX, SD 
(В)Беспроводные интерфейсы: 
Radio, Bluetooth, GSM, 3G 
Обслуживающий персоналВнешний нарушительПассажир1А2А1Б1В2Б2В 
23
ШлюзЭБУ двигателяТормозная системаРулевое управлениеРадиоНавигацияМультимедиаОсновная CAN-шинаИнформационнаяCAN-шинаВредоносныймодуль 
24
25
Diagnostic 
Device 
•Отправлять данные в CANшину, 
возможно при помощи различных устройств, подключенных к диагностическому порту. 
•При заражении интерфейсных 
компьютерных устройств, используемых на станциях автосервиса, оказываются 
скомпрометированными все подключавшиесяк ним машины. 
Злоумышленник подключается к диагностическому порту при помощи специального устройства 
Программная оболочка скомпрометирована и может быть использована для отправки команд в CAN сеть 
26
Соединение 
•DiagnosticSessionControl 
•CommunicationControl 
•TesterPresent 
Работа с памятью и данными 
•ReadMemoryByAddress 
•WriteMemoryByAddress 
•ReadDataByIdentifier 
•ReadDataByPeriodicIdentifier 
•WriteDataByIdentifier 
Контроль доступа 
•SecurityAccess 
Удаленное выполнение кода (like RPC) 
•RoutineControl 
Работа с датчиками и сенсорами 
•InputOutputControlByIdentifier 
Диагностические коды 
•ReadDTCInformation 
•ClearDiagnosticInformation 
27
Соединение 
•StartDiagnosticSession 
•StopDiagnosticSession 
•SetDataRates 
Работа с памятью и данными 
•ReadMemoryByAddress 
•WriteMemoryByAddress 
•ReadDataByLocalIdentifier 
•WriteDataByLocalIdentifier 
•DynamicallyDefineLocalIdentifier 
Контроль доступа 
•SecurityAccess 
Удаленное выполнение кода (like RPC) 
•StartRoutineByLocalIdentifier 
•StartRoutineByAddress 
•StopRoutineByLocalIdentifier 
•StopRoutineByAddress 
•RequestRoutineResultsByLocalIdentifier 
•RequestRoutineResultsByAddress 
28
Диагностические коды 
•ReadDiagnosticTroubleCodes 
•ReadDiagnosticTroubleCodesByStatus 
•ReadStatusOfDiagnosticTroubleCodes 
•ReadFreezeFrameData 
•ClearDiagnosticInformation 
Работа с датчиками и сенсорами 
•InputOutputControlByLocalIdentifier 
•InputOutputControlByCommonIdentifier 
Загрузка и выгрузрка 
•RequestDownload 
•RequestUpload 
•TransferData 
•RequestTransferExit 
29
Управление рулевой колонкой 
Модуль управления двигателем 
Антиблокировочная тормозная система 
Hands Free Модуль 
Вентиляция, кондиционер 
Пассажирские двери 
Модуль управления радио 
Интегрированный блок питания 
Управление 
коробкой передач 
Выполняет роль шлюза 
CAN-High 
CAN-Low 
Control Key 
Для некоторых критически важных командчаще всего необходима разблокировкас помощью DeviceControlKey. 
Без данного ключа контроллерможет проигнорировать команду. 
30
32 
JAMES 
Flash 
TAMER 
DRIFT 
PANDA 
MAZDA 
COLIN 
Bosch 
HAZEL 
Janis 
MazdA 
MHeqy 
a_bad 
12345 
Rowan 
mAZDa 
BradW 
conti 
ARIAN 
Jesus 
Работа CharlieMiller&ChrisValasek,результаты представлены на DEF Con
Модуль CAN шины, предоставляющий беспроводной интерфейс 
•Подавляющее число уязвимостей, 
по данным исследований CAESS 
(Center for Automotive Embedded 
Systems Security), возникают 
на границе взаимодействия 
интерфейсов модулей CAN шины. 
Злоумышленник при помощи беспроводных устройств формирует вредоносный пакет данных 
Некорректная обработка данных приводит к выполнению внешнего кода 
Программная оболочка беспроводного модуля скомпрометирована и может быть использована для отправки команд в CAN сеть 
33
34
35 
«Мы рассматриваем автомобиль как очередной цифровой девайс, как большой смартфон, –говорит президент отдела продвинутых устройствAT&TГленнЛаури– наша цель –перевести автомобиль на другой уровень» 
«Министерство транспорта США официально одобрило использование технологии «connectedcar», которая предполагает подключение автомобилей к беспроводному интернету для возможности управления и отслеживания автомобиля дистанционно 
Как ожидается, министерство займется подготовкой новых норм, которые сделают технологию «vehicle-to-vehicle» обязательной 
Европарламент вводит обязательную установку системы eCallна всех автомобилях с октября 2015 года 
20 декабря Госдума приняла закон о работе системы экстренного реагирования при ДТП "ЭРА- ГЛОНАСС". Принятый закон вступает в силу 1 января 2014 года. А с 2015 года эта система станет обязательной к установке на автомобилях России, Белоруссии и Казахстана. 
США 
США 
США 
Европа 
Россия
Vehicle to Vehicle 
36
RCM 
Модуль управления радио 
•По данным исследований CAESS 
(Center for Automotive Embedded 
Systems Security), некоторые модули 
CAN шины подвержены риску 
выполнения вредоносного кода, посредством специально сформированногомедиа-файла. 
Злоумышленник загружает вредоносный файл 
Некорректная обработка файла приводит к выполнению внешнего кода 
Программная оболочка модуля управления радио скомпрометирована и может быть использована для отправки команд в CAN сеть 
37
38
39 
Официальный научно-технический орган США «Комитет Национальной академии наук по электронным системам управления автомобилей и их непреднамеренному ускорению»
•Возможно без ведома автовладельца выключать двигатель, запирать двери, отключать тормоза, подменять показания спидометра и т.д. 
Тотальный контроль 
•Вредоносные программы могут затем бесследно и полностью самоуничтожаться, создавая видимость случайного отказа оборудования 
Безуликовость 
•Превратили песню на CD и iPod в троянского коня. Когда она воспроизводится магнитолой ее прошивка перепрограмми- руется, что дает точку входа в систему CAN 
Внедрение 
40
41 
•Реализовано на C 
•Чтение данных из CAN шины 
•Запись данных в CAN шину 
EcomCat 
•Получение CAN пакетов 
•Отправка CAN пакетов 
•Отправка диагностических пакетов 
EcomCatAPI 
•Обертка для Python 
PyEcom
Аутентификация оператора 
Протоколирование действий оператора 
Взаимная аутентификация ЭБУ и шлюза 
Использование средств защиты памяти ЭБУ 
Фильтрация сообщений 
42
1. Аутентификация 
2. Запрос аутентификации 
3. Передача ECU_RAND 4. Передача ECU_RAND 
6. Передача 
7. Передача шифртекста C шифртекста C 
RSA 
RSA Шифртекст C 
9. Сравнение P и ECU_RAND 
10. Подтверждение 
11. Чтение и диагностика 
Значение P 
CAN-шина / K-Line VPN / SSL 
ЭБУ Официальный сервис Производитель 
8. Расшифрование 
шифртекста C 
5. Зашифрование 
ECU_RAND 
Закрытый ключ 
Открытый ключ производителя 
производителя 
43
1. Аутентификация 
2. Аутентификация 
RSA 
RSA Шифртекст C 
11. Проверка кода доступа 
12. Разрешение записи 
13. Запись 
Код доступа 
CAN-шина / K-Line VPN / SSL 
ЭБУ Официальный сервис Производитель 
10. Расшифрование C 
7. Код 
доступа 
3. Попытка записи 
4. Запрос кода доступа 
5. Запрос кода 
доступа 
8. Передача 
шифртекста C 
6. 
Протоколи 
рование 
действия 
9. Передача шифртекста C 
44
Сеансовый ключ 
RSA 
RSA 
Шифртекст C_ECU 
CAN-шина 
ЭБУ Шлюз 
3. Зашифрование 
GW_RAND 
1. Запрос, передача ECU_ID 
2. Ответ, передача GW_ID и GW_RAND 
5. Расшифрование 
4. Передача шифртекста C_ECU C_ECU 
6. Сравнение D_GW и GW_RAND 
Значение D_GW 
7. Подтверждение 
RSA 
16. 
Зашифрование 
сеансового 
ключа 
Шифртекст С_KEY 
8-15. Аутентификация шлюза 
. . . 
17. Передача шифртекста С_KEY 
RSA 
18. Расшифрование 
сеансового 
ключа 
18. Обмен зашифрованными данными 
Открытый 
ключ ЭБУ 
Закрытый 
ключ ЭБУ 
Сеансовый ключ 
45
Контроль 
целостности 
Шифрование 
памяти 
Контроль условий 
работы 
ЦП Крипто- 
процессор 
CAN 
K-Line 
Энергозависимая память 
Энергонезависимая 
память 
Открытый ключ 
шлюза 
Открытый ключ 
производителя 
Закрытый ключ 
ЭБУ 
Программный 
код 
Данные 
Защищенная 
микропроцессорная система 
46
Мультимедиа 
Шлюз 
ЭБУ 
двигателя 
Информационная 
CAN-шина 
Основная 
CAN-шина 
USB CD AUX 
Команда 
остановки двигателя 
Фильтрация по 
идентификатору 
Фильтрация по 
типу сервиса и 
функции 
Фильтрация по 
типу фрейма 
Фильтрация по 
типу команды 
47
Защита от несанкционированного управления ЭБУ 
Защита от перехвата данных, передаваемых по сети 
Защита от несанкционированногодоступа к памяти ЭБУ 
Возможность обнаружения нарушителя 
Снижение производительности сети 
Повышение стоимости ТС 
48
Технические 
•Малая производительность микроконтроллеров 
•Необходимость быстрой доставки и реакции 
Финансовые 
•Существенное повышение стоимости ТС 
Человеческий фактор 
•Специалист по транспортной электронике ≠ специалист по ИБ 
•Безопасность = закрытость документации и информации 
49
50 
SMS 
Internet
CAN 
51 
BCM 
Блок управления двигателем 
Иммобилайзер 
Ключ 
Блок управления электроусилителем 
Педали 
Датчики ABS
52 
VolkswagenPassat B6
53
54
55
NeoQUEST: Автомобиль – смартфон на колесах. пристегните кибер ремни безопасности!

Más contenido relacionado

Similar a NeoQUEST: Автомобиль – смартфон на колесах. пристегните кибер ремни безопасности!

Телематический онлайн шлюз CAN UP
Телематический онлайн шлюз CAN UPТелематический онлайн шлюз CAN UP
Телематический онлайн шлюз CAN UPLuba Nikonorenkova
 
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020Телематика сложных машин. Введение. Технотон вебинар 02.04.2020
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020Technoton
 
Платформа МетаТрак
Платформа МетаТракПлатформа МетаТрак
Платформа МетаТракDmitry Sokolov
 
Решение Оптимум для pre selling & van-selling
Решение Оптимум для pre selling & van-sellingРешение Оптимум для pre selling & van-selling
Решение Оптимум для pre selling & van-sellingsystemgroups
 
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...Technoton
 
Презентация КОМКОН Трафик
Презентация КОМКОН ТрафикПрезентация КОМКОН Трафик
Презентация КОМКОН Трафикstakhandr
 
Интерфейс данных MasterCAN V-GATE
Интерфейс данных MasterCAN V-GATEИнтерфейс данных MasterCAN V-GATE
Интерфейс данных MasterCAN V-GATELuba Nikonorenkova
 
MasterCAN V-GATE (RUS)
MasterCAN V-GATE (RUS)MasterCAN V-GATE (RUS)
MasterCAN V-GATE (RUS)Technoton
 
Bitrek present ru(upd)
Bitrek present ru(upd)Bitrek present ru(upd)
Bitrek present ru(upd)bitrek
 

Similar a NeoQUEST: Автомобиль – смартфон на колесах. пристегните кибер ремни безопасности! (20)

Телематический онлайн шлюз CAN UP
Телематический онлайн шлюз CAN UPТелематический онлайн шлюз CAN UP
Телематический онлайн шлюз CAN UP
 
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020Телематика сложных машин. Введение. Технотон вебинар 02.04.2020
Телематика сложных машин. Введение. Технотон вебинар 02.04.2020
 
Платформа МетаТрак
Платформа МетаТракПлатформа МетаТрак
Платформа МетаТрак
 
Решение Оптимум для pre selling & van-selling
Решение Оптимум для pre selling & van-sellingРешение Оптимум для pre selling & van-selling
Решение Оптимум для pre selling & van-selling
 
Media porsche
Media porscheMedia porsche
Media porsche
 
Pandora dxl-4910
Pandora dxl-4910Pandora dxl-4910
Pandora dxl-4910
 
Media lr jag
Media lr jagMedia lr jag
Media lr jag
 
Media bmw
Media bmwMedia bmw
Media bmw
 
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...
Безопасное чтение данных из CAN J1939 и J1708, контроль расхода топлива авто ...
 
Презентация КОМКОН Трафик
Презентация КОМКОН ТрафикПрезентация КОМКОН Трафик
Презентация КОМКОН Трафик
 
Media porsche
Media porscheMedia porsche
Media porsche
 
Интерфейс данных MasterCAN V-GATE
Интерфейс данных MasterCAN V-GATEИнтерфейс данных MasterCAN V-GATE
Интерфейс данных MasterCAN V-GATE
 
MasterCAN V-GATE (RUS)
MasterCAN V-GATE (RUS)MasterCAN V-GATE (RUS)
MasterCAN V-GATE (RUS)
 
типы и классификация
типы и классификациятипы и классификация
типы и классификация
 
Pandora dxl5000
Pandora dxl5000Pandora dxl5000
Pandora dxl5000
 
Pandora dxl3970
Pandora dxl3970Pandora dxl3970
Pandora dxl3970
 
Bitrek present ru(upd)
Bitrek present ru(upd)Bitrek present ru(upd)
Bitrek present ru(upd)
 
Bitrek present ru (upd)
Bitrek present ru (upd)Bitrek present ru (upd)
Bitrek present ru (upd)
 
Pandora dx90bt
Pandora dx90btPandora dx90bt
Pandora dx90bt
 
Pandora dx90b
Pandora dx90bPandora dx90b
Pandora dx90b
 

NeoQUEST: Автомобиль – смартфон на колесах. пристегните кибер ремни безопасности!

  • 1. Автомобиль –смартфон на колесах: пристегните кибер-ремни безопасности! ПечёнкинАлександр
  • 2. В России ~30 млн. автомобилей В мире > 1 млрд. автомобилей К 2020 ожидается ~1,7 млрд. ~30 тыс. смертей в год ~300 тыс. раненых в год 2
  • 3. 3 «Хакер» угнал автомобиль с помощью особого CD-диска, вставленного в магнитолу «Чего только не придумают киношники?»
  • 4. •Машина категорически не пожелала выходить из режима cruisecontrolи упорно продолжала держать скорость 100 км/час, невзирая на все попытки водителя притормозить 2009 г., Австралия, FordExplorer •Министр финансов Таиланда в правительственном BMW. В результате сбоя мотор заглох, двери оказались заперты, сервоприводы оконных стекол заблокированы, а воздушный кондиционер выключен 2003 г., Таиланд, BMW •Проблема с круиз-контролем. В результате машина ехала со скоростью 130 км/час. Автомобиль сумели остановить только путем торможения об полицейскую машину 2005 г., США, Pontiac •Во время езды включил печку на полную мощность, не давая ее выключить 2009 г., США, DodgeCaravan 4
  • 5. 5 Центральный замок автомобиля был открыт при помощи подключения к CAN шине. Добрались до которой, проделав небольшое отверстие в задней правой двери. Угон Porsche Cayenneв аэропорту Пулково Санкт-Петербурга
  • 6. •Скандальный журналист: Майкл Хастингс •США, Голливуд, 2013 г. Кто? Где? Когда? •Машина на скорости ~160 км/чпроскочила 3 перекрестка на красный свет, а на абсолютно прямой дороге резко вылетела на разделительную полосу и ударилась в дерево с феноменально мощным взрывом Что случилось? •Анализ видеозаписей показал, что было три взрыва. Два еще при движении автомобиля —в отсеке двигателя, а третий, с самым мощным воспламенением, охватил огнем кабину при столкновении с пальмой Из-за чего? •«В случае Майкла Хастингсате свидетельства, которые стали публично доступными, согласуются с признаками кибератаки» Что говорят? 6
  • 7. •Электроника и ПО в 1990 году –15% стоимости автомобиля •В 2000 году —25% •Сейчас -40% Все больше финансовых вложений и затрат •В современном автомобиле несколько миллионов строк кода •Больше, чем в космическом шаттле •В автомобилях премиального класса объём ПО >1 Гб Все больше программного обеспечения •По данным исследования инженерной ассоциации IEEE, софт уже обеспечивает 90% инноваций в автомобилях Электроника и ПО –источник инноваций 7
  • 8. CAN шина PCM RCM PDM HFM ABS SCM DDM HVAC … Модуль управления двигателем Дверь водителя Пассажирские двери Управление рулевой колонкой Модуль управления радио Антиблокировочная тормозная система Hands Free Модуль Вентиляция, кондиционер 8
  • 9. CAN • Связь между ЭБУ, диагностика • Поле данных: до 8 байт • Широковещательная рассылка сообщений • Скорость: до 1 Мбит/с • CSMA/CA – Алгоритм Арбитража K-Line • Диагностика: связь между ЭБУ и оператором • Поле данных: до 255 байт • Master-Slave • Скорость: до 10,4 Кбит/с • UART Format (1 байт) Dest (1 байт) Src (1 байт) Len (1 байт) SID (1 байт) CS (1 байт) Data (0-255 байт) S O F ID (11 Бит) R T R I D E R 0 D L C Data (0-8 Байт) CRC (15 бит) C R C D E L EOF (7 бит) 9
  • 10. Стандартизующие организации •Комитет ISO/TC22/SC3/WG1 •Американское Общество инженеров автомобилестроения (Society of AutomotiveEngineers) •Международная группа OSEK/VDX «Открытые системы и соответствующие интерфейсы для автомобильной электроники» ISO 11898 •Roadvehicles Interchange ofdigital informationdigital information. Controllerarea network (CAN) forhigh-speed communication •Транспортные средства. Обмен цифровой информацией. Локальная сеть контроллеров CAN для быстрой связи ISO 11519-2 •Roadvehicles. Low- speed serialdata communication. Part 2.Low-speed controller areanetwork (CAN) •Транспортные средства. Низкоскоростная последовательная связь данных. Часть 2. Низкоскоростная локальная сеть контроллеров CAN 10
  • 11. Уровень CAN K-Line Прикладной ISO 14229 ISO 15765-3 ISO 14230-3 Unified DiagnosticServices Представления - - Сеансовый ISO 15765-2 Diagnostics on CAN ISO 14230-2 Транспортный ISO 15765-2 Diagnostics on CAN - Сетевой - Канальный ISO 11898 CAN ISO 14230-2 Физический ISO 14230-1 Diagnostic communication 11
  • 12. •Последовательный, широковещательный, пакетный Режим передачи •Определяет передачу в отрыве от физического уровня •На практике под CAN-сетьюпонимают обычно подразумеваются сеть топологии «шина» Среда передачи •Гарантируется доступ к шине сообщений с максимальным приоритетом без задержек Недеструктивныйарбитраж •Исчерпывающаясхема контроля ошибок •Автоматическое устранение узла, являющегося источником ошибочных пакетов в сети Контроль ошибок •Де-факто –стандарт для автомобильной автоматики Применение 12
  • 13. • Различные виды транспорта • Производственная промышленность • Строительство • Сельское хозяйство • Медицинское оборудование CAN является идеальным решением для любого оборудования, где микроконтроллеры обмениваются сообщениями друг с другом и с удаленными периферийными устройствами 13
  • 14. Поле данных (0-8 байт) IDE Идентификатор Контрольная сумма(15бит) Конецкадра Поле арбитража Начало кадра RTR (поле арбитража завершается битом удаленного запроса) ACK слот (контроллер, который правильно принял сообщение, посылает бит подтверждения в сеть) Разделитель контрольной суммы (должен быть рецессивным) Разделитель ACK слота (должен быть рецессивным) Длина данных Уникальный Идентификатор (идентификатор говорит о содержимом пакета и служит дляопределения приоритета при попытке одновременной передачи несколькими сетевыми узлами) Логический ноль –доминантный бит Логическая единица –рецессивный бит При одновременной передаче в шину нуля и единицы, на шине будет зарегистрирован только логический ноль, а логическая единица будет подавлена. R0 DLC Зарезервированный бит Бит расширенного формата кадра 14
  • 15. CAN шина PCM RCM PDM HFM ABS SCM DDM HVAC … Модуль управления двигателем Дверь водителя Пассажирские двери Управление рулевой колонкой Модуль управления радио Антиблокировочная тормозная система Hands Free Модуль Вентиляция, кондиционер Скомпрометировав один из модулей CAN, злоумышленник может отправлять в сеть произвольные сообщения. Искусственно созданные сообщения, могут быть получены другими модулями CAN сети, и восприняты ими как легитимные. 15
  • 16. Управление рулевой колонкой Модуль управления двигателем Антиблокировочная тормозная система Hands Free Модуль Вентиляция, кондиционер Пассажирские двери Модуль управления радио Интегрированный блок питания Управление коробкой передач Выполняет роль шлюза CAN-High CAN-Low 16
  • 17. Шлюз ЭБУ Двигателя Превентивная защита Навигация ЭБУ ABS ЭБУ ESP Круиз- контроль Мульти- медиа Радио GSM Телефон GPS Климат- контроль Парковочный датчик Приборная панель ЭБУ Систем комфорта ЭБУ дверей ЭБУ светотехники Камера заднего вида Основная CAN-шина Информационная CAN-шина Комфорт CAN-шина OBD-II порт Рулевая система Подушки безопасности ЭБУ АКПП Диагностическая линия K-Line 500 Кбитс 100 Кбитс 100 Кбитс 17
  • 18. 18
  • 19. 19
  • 20. Шина Скорость Шина CAN-привод 500 кбит/с Шина CAN-комфорт 500 кбит/с Расширенная шина CAN 500 кбит/с Шина CAN индикации и управления 500 кбит/с Шина CAN-диагностики 500 кбит/с FlexRay 10 Мбит/с Шина MOST 22,5 Мбит/с Шина LIN 20 кбит/с Системы дополнительных шин 500 кбит/с 20
  • 21. ESM ЭБУ селектора TPM Датчик давления шин ORC Контроллер вторжения TCM Управление коробкой передач PCM Модуль управления двигателем ABS Антиблокировочная тормозная система WIN Беспроводной узел зажигания SCM Управление рулевой колонкой PEM Модуль беспроводного доступа HVAC Вентиляция, кондиционер RCM Модуль управления радио AMP ЭБУ усилителя DDM Дверь водителя HSM Подогрев сиденья EOM Верхний электронный блок PDM Пассажирские двери HFM Hands Free модуль CCN ЭБУ салонного оборудования SUNR Управление люком TIPM Интегрированный блок питания 21
  • 22. Угрозы ИБ 1 Несанкционированноеуправление: (А) Двигатель,(Б) тормоза, (В) руль, (Г) замки дверей, (Д) прочее 2 Утечка информации: (А) Перехватпередаваемых данных по сети (управл. сообщения, координаты, данные из телефона) (Б) Из памяти ЭБУ (ключи доступа) 3 Внедрение в сеть: (А)OBD-IIпорт (Б) Физическое подключение (В) Подмена ЭБУ 4 Внедрение в ЭБУ: (А) Проводные сети: CAN, K-Line (Б)Мультимедийные интерфейсы: CDDVD, USB, AUX, SD (В)Беспроводные интерфейсы: Radio, Bluetooth, GSM, 3G 5 Отказ в обслуживании: (А) ЭБУ своей подсети (Б) ЭБУдругих подсетей Широковещательная рассылкаШироковещательная рассылкаНедостаток арбитражаНедостаток алгоритма арбитражаСвободная сообщенийшлюзомСвободная пересылка сообщенийшлюзомПередача видеПередача данных в открытом видеСлабый ЭБУСлабый контроль доступа к сервисам ЭБУОтсутствие сообщенииОтсутствие проверки подлинности узлов и сообщении1А1Б1Д1В1Г5А2А2Б3А3Б3В4А5Б4Б4В 22
  • 23. Способы внедрения 1 Внедрение в сеть: (А)OBD-IIпорт (Б) Физическое подключение (В) Подмена ЭБУ 2 Внедрение в ЭБУ: (А) Проводные сети: CAN, K-Line (Б)Мультимедийные интерфейсы: CDDVD, USB, AUX, SD (В)Беспроводные интерфейсы: Radio, Bluetooth, GSM, 3G Обслуживающий персоналВнешний нарушительПассажир1А2А1Б1В2Б2В 23
  • 24. ШлюзЭБУ двигателяТормозная системаРулевое управлениеРадиоНавигацияМультимедиаОсновная CAN-шинаИнформационнаяCAN-шинаВредоносныймодуль 24
  • 25. 25
  • 26. Diagnostic Device •Отправлять данные в CANшину, возможно при помощи различных устройств, подключенных к диагностическому порту. •При заражении интерфейсных компьютерных устройств, используемых на станциях автосервиса, оказываются скомпрометированными все подключавшиесяк ним машины. Злоумышленник подключается к диагностическому порту при помощи специального устройства Программная оболочка скомпрометирована и может быть использована для отправки команд в CAN сеть 26
  • 27. Соединение •DiagnosticSessionControl •CommunicationControl •TesterPresent Работа с памятью и данными •ReadMemoryByAddress •WriteMemoryByAddress •ReadDataByIdentifier •ReadDataByPeriodicIdentifier •WriteDataByIdentifier Контроль доступа •SecurityAccess Удаленное выполнение кода (like RPC) •RoutineControl Работа с датчиками и сенсорами •InputOutputControlByIdentifier Диагностические коды •ReadDTCInformation •ClearDiagnosticInformation 27
  • 28. Соединение •StartDiagnosticSession •StopDiagnosticSession •SetDataRates Работа с памятью и данными •ReadMemoryByAddress •WriteMemoryByAddress •ReadDataByLocalIdentifier •WriteDataByLocalIdentifier •DynamicallyDefineLocalIdentifier Контроль доступа •SecurityAccess Удаленное выполнение кода (like RPC) •StartRoutineByLocalIdentifier •StartRoutineByAddress •StopRoutineByLocalIdentifier •StopRoutineByAddress •RequestRoutineResultsByLocalIdentifier •RequestRoutineResultsByAddress 28
  • 29. Диагностические коды •ReadDiagnosticTroubleCodes •ReadDiagnosticTroubleCodesByStatus •ReadStatusOfDiagnosticTroubleCodes •ReadFreezeFrameData •ClearDiagnosticInformation Работа с датчиками и сенсорами •InputOutputControlByLocalIdentifier •InputOutputControlByCommonIdentifier Загрузка и выгрузрка •RequestDownload •RequestUpload •TransferData •RequestTransferExit 29
  • 30. Управление рулевой колонкой Модуль управления двигателем Антиблокировочная тормозная система Hands Free Модуль Вентиляция, кондиционер Пассажирские двери Модуль управления радио Интегрированный блок питания Управление коробкой передач Выполняет роль шлюза CAN-High CAN-Low Control Key Для некоторых критически важных командчаще всего необходима разблокировкас помощью DeviceControlKey. Без данного ключа контроллерможет проигнорировать команду. 30
  • 31. 32 JAMES Flash TAMER DRIFT PANDA MAZDA COLIN Bosch HAZEL Janis MazdA MHeqy a_bad 12345 Rowan mAZDa BradW conti ARIAN Jesus Работа CharlieMiller&ChrisValasek,результаты представлены на DEF Con
  • 32. Модуль CAN шины, предоставляющий беспроводной интерфейс •Подавляющее число уязвимостей, по данным исследований CAESS (Center for Automotive Embedded Systems Security), возникают на границе взаимодействия интерфейсов модулей CAN шины. Злоумышленник при помощи беспроводных устройств формирует вредоносный пакет данных Некорректная обработка данных приводит к выполнению внешнего кода Программная оболочка беспроводного модуля скомпрометирована и может быть использована для отправки команд в CAN сеть 33
  • 33. 34
  • 34. 35 «Мы рассматриваем автомобиль как очередной цифровой девайс, как большой смартфон, –говорит президент отдела продвинутых устройствAT&TГленнЛаури– наша цель –перевести автомобиль на другой уровень» «Министерство транспорта США официально одобрило использование технологии «connectedcar», которая предполагает подключение автомобилей к беспроводному интернету для возможности управления и отслеживания автомобиля дистанционно Как ожидается, министерство займется подготовкой новых норм, которые сделают технологию «vehicle-to-vehicle» обязательной Европарламент вводит обязательную установку системы eCallна всех автомобилях с октября 2015 года 20 декабря Госдума приняла закон о работе системы экстренного реагирования при ДТП "ЭРА- ГЛОНАСС". Принятый закон вступает в силу 1 января 2014 года. А с 2015 года эта система станет обязательной к установке на автомобилях России, Белоруссии и Казахстана. США США США Европа Россия
  • 36. RCM Модуль управления радио •По данным исследований CAESS (Center for Automotive Embedded Systems Security), некоторые модули CAN шины подвержены риску выполнения вредоносного кода, посредством специально сформированногомедиа-файла. Злоумышленник загружает вредоносный файл Некорректная обработка файла приводит к выполнению внешнего кода Программная оболочка модуля управления радио скомпрометирована и может быть использована для отправки команд в CAN сеть 37
  • 37. 38
  • 38. 39 Официальный научно-технический орган США «Комитет Национальной академии наук по электронным системам управления автомобилей и их непреднамеренному ускорению»
  • 39. •Возможно без ведома автовладельца выключать двигатель, запирать двери, отключать тормоза, подменять показания спидометра и т.д. Тотальный контроль •Вредоносные программы могут затем бесследно и полностью самоуничтожаться, создавая видимость случайного отказа оборудования Безуликовость •Превратили песню на CD и iPod в троянского коня. Когда она воспроизводится магнитолой ее прошивка перепрограмми- руется, что дает точку входа в систему CAN Внедрение 40
  • 40. 41 •Реализовано на C •Чтение данных из CAN шины •Запись данных в CAN шину EcomCat •Получение CAN пакетов •Отправка CAN пакетов •Отправка диагностических пакетов EcomCatAPI •Обертка для Python PyEcom
  • 41. Аутентификация оператора Протоколирование действий оператора Взаимная аутентификация ЭБУ и шлюза Использование средств защиты памяти ЭБУ Фильтрация сообщений 42
  • 42. 1. Аутентификация 2. Запрос аутентификации 3. Передача ECU_RAND 4. Передача ECU_RAND 6. Передача 7. Передача шифртекста C шифртекста C RSA RSA Шифртекст C 9. Сравнение P и ECU_RAND 10. Подтверждение 11. Чтение и диагностика Значение P CAN-шина / K-Line VPN / SSL ЭБУ Официальный сервис Производитель 8. Расшифрование шифртекста C 5. Зашифрование ECU_RAND Закрытый ключ Открытый ключ производителя производителя 43
  • 43. 1. Аутентификация 2. Аутентификация RSA RSA Шифртекст C 11. Проверка кода доступа 12. Разрешение записи 13. Запись Код доступа CAN-шина / K-Line VPN / SSL ЭБУ Официальный сервис Производитель 10. Расшифрование C 7. Код доступа 3. Попытка записи 4. Запрос кода доступа 5. Запрос кода доступа 8. Передача шифртекста C 6. Протоколи рование действия 9. Передача шифртекста C 44
  • 44. Сеансовый ключ RSA RSA Шифртекст C_ECU CAN-шина ЭБУ Шлюз 3. Зашифрование GW_RAND 1. Запрос, передача ECU_ID 2. Ответ, передача GW_ID и GW_RAND 5. Расшифрование 4. Передача шифртекста C_ECU C_ECU 6. Сравнение D_GW и GW_RAND Значение D_GW 7. Подтверждение RSA 16. Зашифрование сеансового ключа Шифртекст С_KEY 8-15. Аутентификация шлюза . . . 17. Передача шифртекста С_KEY RSA 18. Расшифрование сеансового ключа 18. Обмен зашифрованными данными Открытый ключ ЭБУ Закрытый ключ ЭБУ Сеансовый ключ 45
  • 45. Контроль целостности Шифрование памяти Контроль условий работы ЦП Крипто- процессор CAN K-Line Энергозависимая память Энергонезависимая память Открытый ключ шлюза Открытый ключ производителя Закрытый ключ ЭБУ Программный код Данные Защищенная микропроцессорная система 46
  • 46. Мультимедиа Шлюз ЭБУ двигателя Информационная CAN-шина Основная CAN-шина USB CD AUX Команда остановки двигателя Фильтрация по идентификатору Фильтрация по типу сервиса и функции Фильтрация по типу фрейма Фильтрация по типу команды 47
  • 47. Защита от несанкционированного управления ЭБУ Защита от перехвата данных, передаваемых по сети Защита от несанкционированногодоступа к памяти ЭБУ Возможность обнаружения нарушителя Снижение производительности сети Повышение стоимости ТС 48
  • 48. Технические •Малая производительность микроконтроллеров •Необходимость быстрой доставки и реакции Финансовые •Существенное повышение стоимости ТС Человеческий фактор •Специалист по транспортной электронике ≠ специалист по ИБ •Безопасность = закрытость документации и информации 49
  • 50. CAN 51 BCM Блок управления двигателем Иммобилайзер Ключ Блок управления электроусилителем Педали Датчики ABS
  • 52. 53
  • 53. 54
  • 54. 55