▲ 被激活的“僵屍車”
僵屍車隊——汽車及物聯網安全
首先我們先來說說智能汽車和非智能汽車,智能汽車其實就可以當做壹個物聯網設備來解決,也就是說智能汽車的攻擊面和其他IoT設備的攻擊面是差不多甚至更多的。
其實汽車和計算機壹樣,內部通信依靠總線進行,汽車中的總線就是CAN總線。
CAN網絡是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的,並最終成為國際標準(ISO 11898),是國際上應用最廣泛的現場總線之壹。CAN總線協議目前已經成為汽車計算機控制系統和嵌入式工業控制局域網的標準總線,同時也是車載ECU之間通信的主要總線。當前市場上的汽車至少擁有壹個CAN網絡,作為嵌入式系統之間互聯的主幹網進行車內信息的交互和***享。
CAN總線的短幀數據結構、非破壞性總線仲裁技術、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求,但同時也帶來了系列安全隱患,如廣播消息易被監聽、基於優先級的仲裁機制易遭受攻擊、無源地址域和無認證域無法區分消息來源等問題。
特別是在汽車網聯化大力發展的背景下,車內網絡攻擊更是成為汽車信息安全問題發生的源頭,CAN總線網絡安全分析逐漸成為行業安全專家聚焦點。如2013年9月DEFCON黑客大會上,黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現方向盤轉向、剎車制動、油門加速、儀表盤顯示等動作。汽車車內CAN網絡安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘,因為汽車車內網絡安全的脆弱性和威脅模型的分析尤為關鍵。
這麽說來,只要抓住了CAN總線,我們就相當於是抓住了汽車的神經,也就能對汽車進行控制。
▲ 影片中自動駕駛狀態下的汽車
攻擊CAN總線會引發什麽後果?
第壹個後果是失控:CAN總線主要應用之壹是支持主動安全系統的通信。車輛行駛的時候,主動安全系統將是壹把雙刃劍,它們確實發揮著不可替代的作用,但是考慮到主動安全系統的可操作和有能力調整正確的輸入,也會引起駕駛者對主動安全系統的完全依賴。因此壹個突然的故障會引起不可預知的危險後果。
為了引發壹個危險的條件,惡意攻擊者將會在CAN總線中註入錯誤幀,讓主動安全系統失靈。例如,在牽引力控制系統裏安裝壹個攻擊,會造成車輛失去控制等危險。如果攻擊者的目標是自適應巡航系統,將會導致汽車不會按駕駛者預期的那樣停止。
此外,為了最大可能地傷害汽車駕駛者,假如數據可以直接從CAN總線上獲取,攻擊者可以根據特定的條件,觸發壹個DoS攻擊。例如汽車某壹特定速度、特定的節氣門百分比或者是某壹確切的GPS位置等。
第二個後果就是勒索:壹個惡意攻擊者在CAN總線中某壹目標幀中設置攻擊,這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。盡管這些不壹定會誘發危險狀態,但壹個以金錢為目的的攻擊者,將會利用車載娛樂系統的漏洞,迫使汽車停止,並在娛樂系統屏幕上顯示消息,讓車主為了重新獲取汽車的操控權而去付贖金。
第三個可能是盜竊:現在,大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制,通常通過OBD-II端口連接。隔離負責控制鎖/解鎖車門的數據幀比逆向主動安全設備更簡單、更快捷。因此,攻擊者可以在幾分鐘左右隔離負責鎖車門的數據幀,編寫他的設備程序-特定幀的DoS攻擊,然後把設備插入到OBD-II的接口,阻止車門鎖住。對於壹個攻擊者來說,這個攻擊結果是可能的。通過低成本的花費就能進入到車內,隨後就能夠竊取車內任何貴重物品。
長期以來,幾乎整個汽車界都有這樣的***識:CAN總線是沒法保護的。
兩方面的原因,其壹,ECU的計算處理能力不足;其二,車載網絡的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能處理16字節區塊的數據,這意味著很多時候LIN總線根本就是處在“裸奔”的狀態。
所以汽車安全未來肯定是炙手可熱的壹部分。