▲激活的“僵屍車”
僵屍車隊-汽車與物聯網安全
首先來說說智能車和非智能車。智能汽車其實可以作為壹個物聯網設備來解決,也就是說智能汽車的攻擊面和其他物聯網設備差不多,甚至更多。
實際上,汽車和計算機壹樣,內部通信也是依靠總線的,汽車裏的總線就是CAN總線。
CAN網絡由以開發和生產汽車電子產品聞名的德國公司BOSCH開發,最終成為國際標準(ISO 11898),是世界上應用最廣泛的現場總線之壹。CAN總線協議已經成為汽車計算機控制系統和嵌入式工業控制局域網的標準總線,也是車輛ECU之間通信的主要總線。目前市場上的汽車至少有壹個CAN網絡,作為嵌入式系統之間互聯的骨幹網絡,以交換和共享車內信息。
CAN總線的短幀數據結構、無損總線仲裁技術、靈活的通信方式等特點可以滿足汽車的實時性和可靠性要求,但同時也帶來了壹系列安全隱患,如廣播報文容易被監聽、基於優先級的仲裁機制容易被攻擊、被動地址域和未認證域無法區分報文來源等。
特別是在車聯網蓬勃發展的背景下,車載網絡攻擊成為汽車信息安全問題的源頭,CAN總線網絡安全分析逐漸成為行業安全專家關註的焦點。比如2013年9月的DEFCON黑客大會上,黑客演示了如何從OBD-II控制福特翼虎和豐田普銳斯實現轉向、剎車、油門加速、儀表盤顯示等動作。目前,汽車CAN網絡安全問題主要通過對安全漏洞和各種攻擊的分析來挖掘,因為汽車網絡安全的漏洞和威脅模型分析尤為關鍵。
所以,只要我們抓住了CAN總線,就相當於抓住了汽車的神經,我們就能控制汽車。
▲影片中的自動駕駛汽車。
攻擊CAN總線會有什麽後果?
第壹個後果是失控:CAN總線的主要應用之壹是支持主動安全系統的通信。當車輛行駛時,主動安全系統將是壹把雙刃劍,它們確實發揮著不可替代的作用。然而,考慮到可操作性和調節主動安全系統的正確輸入的能力,駕駛員也將完全依賴於主動安全系統。因此,突然的故障會造成不可預測的危險後果。
為了觸發危險情況,惡意攻擊者會向CAN總線註入錯誤幀,使主動安全系統失效。例如,在牽引力控制系統中安裝攻擊會導致車輛失去控制和其他危險。如果攻擊者的目標是自適應巡航系統,汽車就不會像駕駛員預期的那樣停下來。
另外,為了盡可能的傷害驅動程序,如果可以直接從CAN總線獲取數據,攻擊者可以根據具體情況觸發DoS攻擊。例如,汽車的某個速度、某個油門百分比或精確的GPS位置。
第二個後果是勒索:惡意攻擊者在CAN總線中的壹個目標幀中設置攻擊,會導致駕駛員無法控制油門的位置,從而無法移動汽車。雖然這些不壹定會導致危險的狀態,但以金錢為目標的攻擊者會利用車載娛樂系統的漏洞,迫使汽車停下來,並在娛樂系統屏幕上顯示壹條信息,讓車主支付贖金,以便重新控制汽車。
第三種可能是盜竊:目前大部分昂貴的汽車門鎖都是通過連接CAN到ECU來控制的,通常是通過OBD-II口。與反向主動安全裝置相比,隔離負責鎖閉/解鎖車門的數據幀更簡單、更快速。所以攻擊者可以在幾分鐘內隔離出負責鎖車門的數據幀,編寫他的設備程序——特定幀的DoS攻擊,然後將設備插入OBD-II的接口,阻止車門上鎖。對於攻擊者來說,這種攻擊的結果是可能的。妳可以低成本進入車內,然後妳就可以偷走車內的任何貴重物品。
長期以來,幾乎整個汽車行業都有這個認識:CAN總線無法保護。
原因有二:壹是ECU的計算處理能力不足;第二,車聯網帶寬有限。有些LIN總線甚至使用16bit或8bit MCU,但AES使用的加密算法只能處理16字節塊的數據,這意味著很多時候LIN總線處於“裸奔”狀態。
所以未來的汽車安全絕對是熱門部分。