Наиль Байназаров

Как хакеры игрались с джипом

Недавно стало известно, что автомобильный концерн Fiat Chrysler Automobiles отзовёт 1,4 миллиона машин для обновления программного обеспечения. А всё потому, что недавно хакеры Миллер и Валасек взломали систему Uconnect, которой оборудованы автомобили Chrysler. С помощью этой системы можно включать и выключать двигатель, дворники и не только.

Rusbase публикует перевод статьи Энди Гринберга — о том, насколько уязвимыми могут быть современные авто.


Я ехал за рулем внедорожника Jeep Cherokee на скорости около 110 км/ч по трассе на окраине Сент-Луиса, когда хакерская программа начала захват управления. Я понял это по тому, как сами по себе во всю мощь заработали вентиляторы, и встроенный в сиденье климат-контроль начал холодить мне спину. Потом включилось радио, настроилось на местную хип-хоп волну, и из динамиков на полной громкости заорал какой-то рэпер. Я стал крутить ручку магнитолы и тыкать в кнопку выключения — безрезультатно. Потом включились дворники, лобовое стекло забрызгала пена омывающей жидкости.

Пока я пытался справиться с взбесившимся автомобилем, на экране приборной панели появилась фотография двух хакеров, которые проделывали все эти трюки: Чарли Миллера и Криса Валасека. Как мило, подумал я.

Странное поведение машины не было для меня неожиданностью. Я специально приехал в Сент-Луис, чтобы выступить в роли манекена для краш-теста в испытании, устроенном Миллером и Валасеком. В течение года они разрабатывали план взлома автомобильной компьютерной системы. Результатом их работы стала технология, позволяющая взломать систему «джипа» Cherokee и получить дистанционный контроль над тысячами машин. (Подобная брешь в компьютерной системе безопасности известна под термином «уязвимость нулевого дня», обозначающим, что против нее еще не созданы защитные механизмы.) Разработанный код — настоящий кошмар для автопроизводителей. С помощью этой программы хакеры могут посылать через мультимедийную систему «джипа» команды на приборную панель и таким образом брать под свой контроль многие функции автомобиля, включая рулевое управление, тормоза, трансмиссию – и всё это через обычный ноутбук, который может находиться на другом конце страны.

Чтобы я смог в полной мере испытать все ощущения за рулем виртуально угнанной машины, Миллер и Валасек не стали раскрывать мне подробности своего плана. Хакеры должны были провести взлом с ноутбука Миллера, сидя у него дома в примерно 20 километрах от маршрута движения. Они лишь заверили меня, что моя жизнь будет вне опасности. После чего мне было велено ехать на трассу. Перед тем, как выехать на большую дорогу, мы связались по телефону. По громкой связи Миллер напутствовал меня: «Запомни, Энди, что бы ни случилось, не паникуй».

Чарли Миллер (слева) и Крис Валасек — исследователи уязвимости в автомобильном ПО

И пока хакеры баловались, включая и выключая кондиционер, радио и стеклоочистители, я уже мысленно поздравлял себя с тем, что с честью выдержал испытание. Но потом они отключили мне коробку передач.

Тут же перестала работать педаль газа. Я начал судорожно выжимать газ, поглядывая на тахометр, но «джип» уже замедлился наполовину, а затем и вовсе стал плестись. В это время я как раз подъехал к длинному подъему на путепровод. Обочины по сторонам дороги не было. Мне уже было не смешно.

Дорога постепенно пошла вверх, и «джип», потеряв крутящий момент, уже едва двигался. За мной выстроилась колонна. Машины одна за другой обгоняли меня, отчаянно сигналя. В зеркало заднего вида я заметил, что ко мне приближается фура. Я молился, чтобы ее водитель меня тоже заметил.

«Тебе конец!» – веселился из телефона Валасек, но я едва слышал его из-за Канье Уэста, орущего из радио. Полуприцеп маячил в зеркале, неумолимо приближаясь к моему обездвиженному «джипу».

Я решил последовать совету Миллера и перестать паниковать. Но, быстро растеряв остатки мужества, я схватился трясущейся рукой за телефон и взмолился о пощаде.


Беспроводные угонщики

Миллер и Валасек не в первый раз посадили меня в водительское кресло неуправляемой машины. Летом 2013 года на одной из автостоянок в городе Саут-Бенде, штат Индиана, я поочередно садился за руль кроссовера Ford Escape и гибридного седана Toyota Prius, и пытался вести машину. А двое хакеров расположились со своими ноутбуками на заднем сиденье и, хихикая, отключали мне тормоза, сигналили, затягивали ремень безопасности и крутили руль. «Когда теряешь уверенность в том, что машина будет тебя слушаться, то начинаешь смотреть на всё совсем по-другому», – комментирует Миллер тот наш первый эксперимент. Тогда хакеры были, по крайней мере, ограничены в своих действиях, так как их компьютеры были подключены непосредственно к диагностическому порту бортового компьютера — это через него во время техосмотра тестируют электронные системы автомобиля.

А спустя каких-то два года взломать машину стало возможно и беспроводным способом. Миллер и Валасек теперь хотят опубликовать часть написанного ими кода в сети, приурочив это к предстоящей конференции по компьютерной безопасности Black Hat в Лас-Вегасе. Очередное откровение от двух хакеров станет завершающим в целой серии публикаций, которые встревожили автомобильное сообщество и даже легли в основу законодательной инициативы: сенаторы Эд Марки и Ричард Блюменталь внесли в Конгресс законопроект об автомобильной безопасности, который должен установить новые стандарты цифровой защиты легковых и грузовых транспортных средств. Идея законопроекта возникла у Эда Марки, когда он получил доклад о работе Миллера и Валасека в 2013 году.

В качестве средства борьбы с авто-хакерством этот закон будет более чем своевременным. Разработанные Миллером и Валасеком средства взлома могут не только проделывать трюки с приборной панелью и коробкой передач, в чем я убедился в ходе своей поездки по Сент-Луису. В тот день мои приключения только начинались. Едва избежав гибели от столкновения с фурой, я сумел-таки выкатить непослушный «джип» на выездной пандус и перезапустить коробку передач, выключив и включив зажигание. Затем я нашел пустую стоянку, где можно было спокойно продолжить эксперимент.

Полный арсенал Миллера и Валасека включает такие функции, как выключение двигателя на малых скоростях, резкое торможение или, наоборот, отказ тормозов. Во время эксперимента самым опасным мне показался момент, когда у «джипа» вдруг пропали тормоза, и двухтонный внедорожник скатился прямиком в кювет. Парни говорят, что сейчас они пытаются усовершенствовать рулевое управление. Пока всё, что они могут – это крутить руль во время движения задним ходом. Хакеры также имеют возможность следить за машиной: по GPS им доступна информация о местоположении автомобиля, скорости его движения и пройденном маршруте.

Всё это стало возможным по той очевидной причине, что автоконцерн Chrysler, как и все другие автопроизводители, прилагает все усилия, чтобы превратить машину в смартфон. Имеющая выход в интернет бортовая компьютерная система Uconnect, которой оснащаются сотни тысяч автомобилей производства Fiat Chrysler, контролирует мультимедийную и навигационную системы машины, позволяет совершать звонки и даже служит точкой доступа в Wi-Fi. Миллер и Валасек выявили в системе один уязвимый элемент, благодаря которому доступ к бортовому компьютеру может получить любой хакер, которому известен IP-адрес. «С точки зрения хакерской атаки это — идеальная уязвимость», – говорит Миллер.

Используя эту уязвимость, Миллер и Валасек проникают в чип головного электронного блока машины — аппаратного обеспечения мультимедийной системы — и переписывают прошивку чипа, внедряя собственный вредоносный код. Измененная таким образом прошивка теперь может посылать команды физическим узлам и агрегатам – двигателю, колесам и др. – используя внутреннюю сеть контроллеров стандарта CAN. Миллер и Валасек выяснили, что таким способом взломать мультимедийную систему можно на любом автомобиле производства Chrysler, оснащенном Uconnect и выпущенном с конца 2013 по начало 2015 года. Весь набор возможностей автохака они испытали пока только на одной модели — Jeep Cherokee, хотя, по всей видимости, большинство разработанных ими программ можно переделать так, чтобы взломать машину любой другой марки с головным блоком Uconnect производства Chrysler.

После того, как наши исследователи раскроют подробности своих открытий на конференции в Вегасе, лишь две вещи смогут предотвратить волну хакерских атак на «джипы» по всему миру. Во-первых, они намерены оставить в тайне ту часть кода, которая переписывает прошивку чипа, так что хакеры, идущие по их стопам, будут вынуждены воссоздавать этот элемент самостоятельно, путем так называемой обратной разработки – у Миллера и Валасека этот процесс занял долгие месяцы. Тем не менее, они опубликуют часть кода, которая даст возможность проделывать безобидные шутки с приборной панелью или отслеживать машину по GPS.

Во-вторых, Миллер и Валасек в течение почти девяти месяцев делились с Chrysler результатами своих исследований, что дало концерну возможность разработать и выпустить патч еще до конференции Black Hat. И 16 июля компания у себя на сайте оповестила владельцев автомобилей с бортовой системой Uconnect о выпуске патча, не вдаваясь в причины разработки нового ПО и в детали, а также ни словом не упоминая исследования Миллера и Валасека. В официальном комментарии пресс-секретаря Chrysler говорится: «Компания Fiat Chrysler Automobiles постоянно проверяет электронные системы, которыми оснащены выпускаемые автомобили, в поисках возможных недостатков и путей их решения. Компания стремится предоставить клиентам самые последние обновления программного обеспечения, чтобы защитить транспортные средства от потенциальной уязвимости».

Беда в том, что обновление ПО, выпущенное Chrysler, нужно устанавливать вручную, через автомобильный USB-разъем, или обратившись в дилерский центр. (Скачать обновление можно здесь). А это означает, что многие автомобили – если не большинство – так и останутся уязвимыми для хакерской атаки.

Представитель Chrysler признал, что компания «ценит» усилия Миллера и Валасека. Но в то же время компания с сомнением отнеслась к их решению опубликовать часть созданного ими эксплойта. «Ни при каких обстоятельствах Fiat Chrysler Automobiles не одобряет и не считает уместным раскрытие информации, которая может дать злоумышленникам возможность получить несанкционированный доступ к электронным системам транспортного средства, – говорится в заявлении компании. – Мы ценим вклад, сделанный энтузиастами кибер-безопасности в понимание потенциально уязвимых мест. Однако мы должны также предупредить их о недопустимости пренебрежения интересами общественной безопасности».

Исследователи, в свою очередь, убеждены, что даже если их код поможет хакерам получить доступ к незащищенным «джипам», его опубликование оправдано, так как их работа сможет тогда получить экспертную оценку. Кроме того, это станет своего рода сигналом автопроизводителям, напоминающим, что компании должны нести ответственность за электронную безопасность выпускаемых машин. «В противном случае автовладельцы имеют полное право жаловаться на производителей, – говорит Миллер. – Ведь это тот случай, когда ошибка программного обеспечения может стоить жизни».

На самом деле Миллер и Валасек – не первые, кому удалось взломать бортовой компьютер автомобиля через интернет. В 2011 году группа исследователей из Вашингтонского университета и Калифорнийского университета в Сан-Диего показали, что они могут отключить блокировку и тормоза автомобиля, используя беспроводной доступ. Но тогда ученые не стали разглашать свои методы: они сохранили в тайне марку автомобиля, а подробности взлома конфиденциально передали автопроизводителю.

А Миллер и Валасек сыграли роль плохого полицейского. Автопроизводители, которые не прислушались к вежливым предупреждениям тогда, в 2011 году, теперь могут столкнуться с тем, что недостатки их электронных систем станут достоянием публики. В результате могут начаться отзывы автомобилей и даже гражданские иски, считает профессор Калифорнийского университета в Сан-Диего Стефан Сэвидж, принимавший участие в исследовании 2011 года.

В начале июля производитель Range Rover отозвал 65 тысяч автомобилей из-за ошибки в программном обеспечении, которая могла привести к произвольному открыванию дверей. «Представьте, какую кучу судебных исков получит производитель, если однажды какой-нибудь шутник заблокирует двери всех «джипов» в Калифорнии», – говорит Сэвидж.

Другими словами, публикация результатов, полученных Миллером и Валасеком, может стать последним предупреждением для всего автопрома и связанных с ним надзорных органов, прежде чем начнется полноценное наступление хакеров. «Госорганы и автомобильная промышленность должны, наконец, поверить в реальную возможность распространения вредоносного кода, — говорит Сэвидж. — До сих пор все думали, что никакой непосредственной опасности не существует. Нельзя более прятать голову в песок».


В зоне риска – 471 тысяч автомобилей

Удобно расположившись на кожаном диване в гостиной у Миллера, двое хакеров высматривают в интернете новых жертв.

Когда Миллер и Валасек только обнаружили брешь в системе Uconnect, они предполагали, что хакерскую атаку можно провести, только используя прямой Wi-Fi-доступ, действие которого ограничено парой десятков метров. Когда они этим летом выявили уязвимость еще и сотовой связи Uconnect, они также полагали, что через нее можно проникнуть только в те автомобили, которые находятся в зоне действия той же базовой станции, что и сканирующее устройство, что ограничило бы возможную дальность хакерской атаки парой десятков километров. Но вскоре оказалось, что и это не предел. «Когда я понял, что мы можем проделывать это в любом месте через интернет, я испугался, – говорит Валасек. – И я подумал тогда: чёрт, да эта машина едет по трассе через полстраны отсюда. Я же только что взломал эту машину».

Это стало кульминацией почти трехлетней работы. Все началось в 2012 году, когда эксперт по компьютерной безопасности Twitter и бывший хакер АНБ Чарли Миллер и руководитель исследований транспортной безопасности консалтинговой компании IOActive Крис Валасек узнали об эксперименте с удаленным взломом машины, проведенном учеными Калифорнийского и Вашингтонского университетов, и загорелись идеей получить исследовательский грант Агентства по перспективным оборонным научно-исследовательским разработкам Минобороны США – за аналогичную разработку. На выделенные им $80 тысяч они купили две машины – Toyota Prius и Ford Escape. Год они потратили на то, чтобы разобрать машины до последней гайки и изучить электронные блоки управления, которые отвечают практически за все узлы современной машины. Они также учились понимать сетевой протокол стандарта CAN, отвечающий за управление ими.

Когда же они в ходе конференции DefCon в 2013 году продемонстрировали возможность взлома автомобиля с использованием проводного доступа, представители автомобильной промышленности не придали этой работе большого значения, указывая, что с такой технологией хакер должен сначала физически проникнуть в машину, чтобы заполучить над ней контроль. В частности, в компании Toyota утверждали, что их системы «надежны и безопасны» и защищены от дистанционных атак. «Тогда нам не удалось повлиять на автопроизводителей», – говорит Миллер. Чтобы привлечь к себе внимание, им необходимо было найти способ получить удаленный контроль над автомобилем.

На следующий год они подписались на аккаунты технической поддержки на сайтах всех крупных автопроизводителей и скачали десятки технических руководств и электрических схем. На основании этих данных они составили список из 24 наименований транспортных средств, среди которых были легковые автомобили, грузовики и внедорожники, и проставили им оценки согласно трем критериям, которые, по их мнению, определяли степень уязвимости для хакерских атак, а именно:

  1. Сколько и какие типы радиоустройств применяются для подключения электронной системы автомобиля к интернету;

  2. Достаточно ли хорошо изолированы блоки, взаимодействующие с интернетом, от систем, отвечающих за движения автомобиля;

  3. Имеются ли в системах, отвечающих за движение, «электронно-физические» компоненты, то есть имеется ли возможность электронного привода физических компонентов (как поворот рулевого колеса или приведение в действие тормозов).

Исходя из этих критериев, они признали Jeep Cherokee самым уязвимым для хакерских атак автомобилем. Cadillac Escalade и Infiniti Q50 встали на второе и третье места по уязвимости. В Infiniti заявили, что их инженеры «с нетерпением ждут результатов этого нового исследования» и «продолжат интегрировать функции безопасности в наши автомобили для защиты от кибератак». В Cadillac подчеркивают, что компания уже выпустила обновленный Escalade со времен последнего исследования Миллера и Валасека, тем не менее кибербезопасность является для них «важной сферой приложения сил и ресурсов», учитывая это была введена должность директора по кибербезопасности.

После того, как в 2014 году Миллер и Валасек решили сосредоточить свои усилия на исследовании Jeep Cherokee, они потратили еще год на то, чтобы выявить другие уязвимые места системы и с помощью обратной разработки подтвердить свои догадки. И только в июне этого года Валасек, находясь в Питтсбурге, смог со своего ноутбука включить дворники «джипа», едущего по Сент-Луису с Миллером за рулем.

С тех пор Миллер еще много раз сканировал сотовую сеть Sprint с целью обнаружить уязвимые автомобили и записать их данные. Забив эти данные в алгоритм, который обычно используется для определения популяций дикий животных в природе, он оценил количество потенциально уязвимых машин примерно в 471 тысячу.

Обнаружить машину конкретного владельца непросто. Сканирование выдает случайные номера, IP-адреса и координаты GPS. Вычленить из тысяч номеров автомобиль конкретной жертвы – почти невозможно, так как один телефон зондирует сеть слишком медленно. Но, по словам Миллера, если подключить к поиску достаточное количество телефонов Sprint, то найти нужную машину вполне вероятно. Более того, опытный хакер может использовать несколько головных блоков Uconnect, чтобы сканировать быстрее, пробираясь от одной системы к другой – по аналогии со взломом сети обычных компьютеров. В результате будет создан своего рода ботнет, охватывающий сотни тысяч автомобилей.


Авто-хакерством заинтересовались в Конгрессе

Теперь автопроизводителям придется всерьез заняться защитой машин от хакеров. А Вашингтон может этому поспособствовать.

21 июля 2015 года сенаторы Эд Марки и Ричард Блюменталь представили законопроект, предусматривающий ужесточение требований к электронной безопасности машин. Новый закон потребует от двух ведомств США – Национального управления по безопасности движения и Федеральной торговой комиссии – установить новые стандарты безопасности и разработать для потребителей рейтинги конфиденциальности и кибербезопасности автомобилей. «В ходе экспериментов доказано, насколько опасными могут быть последствия хакерского взлома электронной системы автомобиля, – комментирует эту инициативу Марки. – Автовладельцы не должны выбирать между возможностью использовать интернет и безопасностью… У нас должны быть четкие правила, которые защитят автовладельцев от хакеров, а американцев – от кражи данных».

Марки в течение нескольких лет пристально наблюдает за ходом исследований Миллера и Валасека. Ознакомившись с их проектом, реализованным на средства гранта, и посмотрев видеозапись взлома автомобильной системы, он направил письма двадцати автопроизводителям с просьбой ответить на ряд вопросов о принимаемых мерах безопасности. В полученных им ответах Марки усмотрел, по его словам, «явное отсутствие надлежащих мер защиты водителей от хакеров». Все шестнадцать автопроизводителей, приславших свои ответы, подтвердили, что практически во всех выпускаемых ими автомобилях имеется то или иное средство беспроводной передачи данных, будь то Bluetooth, Wi-Fi, сотовая или радиосвязь. Только в семи компаниях заявили, что они привлекают независимые компании для проведения проверки надежности автомобильных систем кибербезопасности. И лишь два автопроизводителя сообщили, что в их автомобилях установлены системы мониторинга, которые проверяют внутренние компьютерные сети CAN на предмет выявления несанкционированного вмешательства в их работу.

Профессор Калифорнийского университета в Сан-Диего Стефан Сэвидж считает, что главным уроком, извлеченным из экспериментов Миллера и Валасека, является не то, что «джипы» или другие машины уязвимы для хакеров, а то, что вообще любой автомобиль потенциально уязвим. «Я не думаю, что современные машины качественно отличаются друг от друга в плане обеспечения кибербезопасности, – говорит он. – Европейцы в этом плане чуть получше. Японцы – чуть похуже. Но в целом всем есть еще над чем поработать».

Если не считать случаи автомобильных краж с использованием технологии беспроводного вскрытия дверей, то по сей день задокументирован лишь один случай реального автомобильного хакерства: в 2010 году в Остине, штат Техас, недовольный сотрудник заблокировал на парковке более 100 машин, применив для этого систему дистанционного отключения, предназначенную для контроля взимания платы за стоянку. Но с тех пор возможности взлома только возросли, учитывая, сколько дополнительных средств беспроводного соединения теперь встраивают во внутренние сети машин. И Uconnect — лишь одна из десятков телематических систем, таких как GM Onstar, Lexus Enform, Toyota Safety Connect, Hyundai Bluelink, и Infiniti Connection.

Сегодня автопроизводители больше, чем когда-либо озабочены вопросами электронной безопасности, считает Джош Корман, один из основателей компании I Am the Cavalry, занимающейся проблемами кибер-защиты «интернет-вещей» – автомобилей, медицинского оборудования и т.д. По словам Кормана, благодаря письмам сенатора Марки и другим запросам, поступающим автопроизводителям из Конгресса, в автомобильной столице США Детройте уже несколько месяцев все говорят о предстоящем введении регулирования в сфере электронной безопасности транспортных средств. Но следует помнить, говорит Корман, что те же самые автопроизводители до сих пор соревновались друг с другом по числу установленных в машинах интернет-устройств. (на этих устройствах они неплохо зарабатывали). В результате у компаний по-прежнему есть стимул добавлять новые интернет-опции, не заботясь об уровне их защищенности. «И если для того, чтобы взломать то или иное устройство в автомобиле, уходит условно год, то чтобы построить защиту от хакеров, нужно от четырех до пяти лет», – говорит Корман.

Группа Кормана разработала и представила автопромышленному сообществу пять основных рекомендаций по повышению электронной безопасности: защита потенциально слабых мест; проверка уровня защищенности с привлечением независимых специалистов; система внутреннего мониторинга; сегментированная архитектура, минимизирующая ущерб в случае успешного взлома; обновление антивирусного ПО через интернет, как в обычных компьютерах. Последняя рекомендация уже внедрена в автомобилях некоторых марок. Так, Ford в марте объявил о введении регулярного обновления систем безопасности, а в январе BMW провел дистанционное обновление ПО, чтобы исправить ошибку в системе блокирования дверей.

Корман считает, что автопроизводителям нужно сотрудничать с хакерами, выявляющими их недоработки, а не бороться с ними. В пример можно привести компанию Microsoft, которая в своих отношениях с хакерами постепенно отошла от угроз и судебных исков и стала приглашать их на конференции по безопасности и даже платить за каждый выявленный баг. В сфере компьютерных технологий для такого поворота в отношении потребовалось 15-20 лет. У автомобильной промышленности времени на это меньше. «Учитывая, что моя машина может представлять угрозу для меня и моей семьи, я хотел бы видеть эти перемены в ближайшие 3-5 лет. Ведь последствия могут обернуться человеческими жертвами», — говорит он.

Сидя за рулем «джипа» по завершении нашего эксперимента я, однако, уже не думал, что для повсеместного распространения автомобильного хакерства понадобится целых пять лет. Для меня это было реальностью здесь и сейчас. Я не мог избавиться от неприятного чувства уязвимости и ожидания, что Миллер и Валасек в любой момент могут снова взяться на невидимые нити управления.

И они прекрасно осознают, что они держат в своих руках. «Мы заглушили твой двигатель, а фура тебя чуть не задавила – и мы всё это устроили, сидя на диване, – говорит Миллер, будто мне нужно об этом напоминать. – Это то, чего боялись все, кто немного понимает в системах безопасности. Теперь это реальность».


comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно