0
| 本文作者: 張偉 | 2017-04-17 18:14 |
▲ 《速度與激情8》片段截圖
雷鋒網(wǎng)按:本文作者為奇虎360企業(yè)安全集團(tuán)安全服務(wù)JMPESP實(shí)驗(yàn)室資深安全研究員(知乎ID:elknot),研究方向?yàn)閿?shù)據(jù)驅(qū)動(dòng)的安全運(yùn)營。雷鋒網(wǎng)獲授權(quán)發(fā)布文章,如欲轉(zhuǎn)載,請與作者本人聯(lián)系。
《速度與激情8》最近在國內(nèi)熱映,引發(fā)各路影迷廣泛討論。在作者看來,影片涉及到的黑客技術(shù)主要有兩個(gè)——天眼(The Eye)和僵尸車隊(duì)(Zombie Cars),這兩個(gè)東西其實(shí)和現(xiàn)實(shí)當(dāng)中兩項(xiàng)比較前沿的安全技術(shù)——汽車及物聯(lián)網(wǎng)安全和攻擊者溯源相關(guān)。雷鋒網(wǎng)摘取了作者針對僵尸車隊(duì)的技術(shù)解讀部分并進(jìn)行了編輯。
▲ 被激活的“僵尸車”
首先我們先來說說智能汽車和非智能汽車,智能汽車其實(shí)就可以當(dāng)做一個(gè)物聯(lián)網(wǎng)設(shè)備來解決,也就是說智能汽車的攻擊面和其他IoT設(shè)備的攻擊面是差不多甚至更多的。
其實(shí)汽車和計(jì)算機(jī)一樣,內(nèi)部通信依靠總線進(jìn)行,汽車中的總線就是CAN總線。
CAN網(wǎng)絡(luò)是由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國BOSCH公司開發(fā)的,并最終成為國際標(biāo)準(zhǔn)(ISO 11898),是國際上應(yīng)用最廣泛的現(xiàn)場總線之一。CAN總線協(xié)議目前已經(jīng)成為汽車計(jì)算機(jī)控制系統(tǒng)和嵌入式工業(yè)控制局域網(wǎng)的標(biāo)準(zhǔn)總線,同時(shí)也是車載ECU之間通信的主要總線。當(dāng)前市場上的汽車至少擁有一個(gè)CAN網(wǎng)絡(luò),作為嵌入式系統(tǒng)之間互聯(lián)的主干網(wǎng)進(jìn)行車內(nèi)信息的交互和共享。
CAN總線的短幀數(shù)據(jù)結(jié)構(gòu)、非破壞性總線仲裁技術(shù)、靈活的通訊方式等特點(diǎn)能夠滿足汽車實(shí)時(shí)性和可靠性的要求,但同時(shí)也帶來了系列安全隱患,如廣播消息易被監(jiān)聽、基于優(yōu)先級的仲裁機(jī)制易遭受攻擊、無源地址域和無認(rèn)證域無法區(qū)分消息來源等問題。
特別是在汽車網(wǎng)聯(lián)化大力發(fā)展的背景下,車內(nèi)網(wǎng)絡(luò)攻擊更是成為汽車信息安全問題發(fā)生的源頭,CAN總線網(wǎng)絡(luò)安全分析逐漸成為行業(yè)安全專家聚焦點(diǎn)。如2013年9月DEFCON黑客大會(huì)上,黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實(shí)現(xiàn)方向盤轉(zhuǎn)向、剎車制動(dòng)、油門加速、儀表盤顯示等動(dòng)作。汽車車內(nèi)CAN網(wǎng)絡(luò)安全問題當(dāng)前主要通過安全漏洞的分析和各種攻擊手段進(jìn)行挖掘,因?yàn)槠囓噧?nèi)網(wǎng)絡(luò)安全的脆弱性和威脅模型的分析尤為關(guān)鍵。
這么說來,只要抓住了CAN總線,我們就相當(dāng)于是抓住了汽車的神經(jīng),也就能對汽車進(jìn)行控制。
▲ 影片中自動(dòng)駕駛狀態(tài)下的汽車
第一個(gè)后果是失控:CAN總線主要應(yīng)用之一是支持主動(dòng)安全系統(tǒng)的通信。車輛行駛的時(shí)候,主動(dòng)安全系統(tǒng)將是一把雙刃劍,它們確實(shí)發(fā)揮著不可替代的作用,但是考慮到主動(dòng)安全系統(tǒng)的可操作和有能力調(diào)整正確的輸入,也會(huì)引起駕駛者對主動(dòng)安全系統(tǒng)的完全依賴。因此一個(gè)突然的故障會(huì)引起不可預(yù)知的危險(xiǎn)后果。
為了引發(fā)一個(gè)危險(xiǎn)的條件,惡意攻擊者將會(huì)在CAN總線中注入錯(cuò)誤幀,讓主動(dòng)安全系統(tǒng)失靈。例如,在牽引力控制系統(tǒng)里安裝一個(gè)攻擊,會(huì)造成車輛失去控制等危險(xiǎn)。如果攻擊者的目標(biāo)是自適應(yīng)巡航系統(tǒng),將會(huì)導(dǎo)致汽車不會(huì)按駕駛者預(yù)期的那樣停止。
此外,為了最大可能地傷害汽車駕駛者,假如數(shù)據(jù)可以直接從CAN總線上獲取,攻擊者可以根據(jù)特定的條件,觸發(fā)一個(gè)DoS攻擊。例如汽車某一特定速度、特定的節(jié)氣門百分比或者是某一確切的GPS位置等。
第二個(gè)后果就是勒索:一個(gè)惡意攻擊者在CAN總線中某一目標(biāo)幀中設(shè)置攻擊,這將會(huì)導(dǎo)致駕駛者無法控制節(jié)氣門的位置從而不能讓汽車移動(dòng)。盡管這些不一定會(huì)誘發(fā)危險(xiǎn)狀態(tài),但一個(gè)以金錢為目的的攻擊者,將會(huì)利用車載娛樂系統(tǒng)的漏洞,迫使汽車停止,并在娛樂系統(tǒng)屏幕上顯示消息,讓車主為了重新獲取汽車的操控權(quán)而去付贖金。
第三個(gè)可能是盜竊:現(xiàn)在,大部分昂貴的汽車門鎖是通過CAN連接到ECU來控制,通常通過OBD-II端口連接。隔離負(fù)責(zé)控制鎖/解鎖車門的數(shù)據(jù)幀比逆向主動(dòng)安全設(shè)備更簡單、更快捷。因此,攻擊者可以在幾分鐘左右隔離負(fù)責(zé)鎖車門的數(shù)據(jù)幀,編寫他的設(shè)備程序-特定幀的DoS攻擊,然后把設(shè)備插入到OBD-II的接口,阻止車門鎖住。對于一個(gè)攻擊者來說,這個(gè)攻擊結(jié)果是可能的。通過低成本的花費(fèi)就能進(jìn)入到車內(nèi),隨后就能夠竊取車內(nèi)任何貴重物品。
長期以來,幾乎整個(gè)汽車界都有這樣的共識(shí):CAN總線是沒法保護(hù)的。
兩方面的原因,其一,ECU的計(jì)算處理能力不足;其二,車載網(wǎng)絡(luò)的帶寬有限。有些LIN總線使用的MCU甚至是16bit或8bit,但AES使用的加密算法只能處理16字節(jié)區(qū)塊的數(shù)據(jù),這意味著很多時(shí)候LIN總線根本就是處在“裸奔”的狀態(tài)。
所以汽車安全未來肯定是炙手可熱的一部分。
作者注:本文中的技術(shù)僅供交流,如有疏漏還請大家批評指正。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
