0-day: теперь и в машинах

Позавчера был важный день для индустрии информационной безопасности. Исследователи заявили об эксплуатации первой в истории уязвимости нулевого дня (0-day) для автомобилей. Беспроводная атака была продемонстрирована на примере Jeep Cherokee.

Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) обнаружили уязвимость в бортовом компьютере автомобиля. Об атаке на такие системы, при наличии у злоумышленника доступа к диагностическому разъему, говорили давно. Однако удаленная атака на критические системы авто оставалась чисто теоретическим сценарием, о котором давно предупреждали эксперты (в том числе и эксперты «Лаборатории Касперского»). Многие надеялись, что автопроизводители осознают риски эксплуатации таких уязвимостей и не допустят этого сценария. Мы их переоценили.

Через бортовую развлекательную систему исследователи получили доступ не только к некритичным настройкам, но и к управлению автомобилем. Технические подробности взлома исследователи собираются опубликовать в августе, но уже сейчас известен общий сценарий развития событий.

Взлом автомобиля

Сначала водитель не смог управлять взбесившимися кондиционером, радио, и дворниками лобового стекла. А потом и самим автомобилем. Газ и тормоз Jeep слушались только находящихся вдали исследователей, но не хозяина в салоне автомобиля.

Важно отметить, что машина не была модифицирована. Проделать все вышеперечисленное позволила уязвимость в установленной на борту системе Uconnect, отвечающей за связь с внешним миром через инфраструктуру сотового оператора Sprint в автомобилях автоконцерна FCA (Chrysler, Dodge, Fiat, Jeep и Ram). Достаточно знать внешний IP-адрес жертвы, для того чтобы перезаписать код в головном устройстве машины (об этих устройствах мы подробнее поговорим чуть позже).

Концерн уже выпустил программную заплатку для Uconnect, которую можно поставить либо у официальных дилеров, либо, при наличии технических навыков, самостоятельно через USB-порт. Пока же исследователи, подключившись к сети Sprint и используя найденный ими 0-day, могут видеть VIN, GPS-координаты и IP-адреса автомобилей. Впрочем, найти конкретную машину среди 471 тысячи машин с Uconnect на борту, по словам самих исследователей, очень непросто.

ЛК: концепция защиты

Это уже не первый инцидент, показывающий недостатки механизмов безопасности, встроенных по умолчанию в современные автомобили. До этого уже были и локальный перехват управления через диагностический порт OBD-II, и подмена обновлений ПО через фальшивую сотовую базовую станцию.

Как и производители операционных систем, сами автоконцерны сейчас реализуют важные, необходимые, но не достаточные механизмы безопасности. Ситуация усугубляется тем, что архитектурно бортовая сеть автомобильной электроники разработана в середине 80-х, когда о том, что автомобиль будет подключен к интернету, думали только фантасты. И, следовательно, хотя электронные компоненты надежны и функционально безопасны, нельзя сказать то же об их защите от киберугроз. Мы в «Лаборатории Касперского», как и в случае с защитой традиционных вычислительных сетей, уверены, что полноценную многоуровневую безопасность даст только сочетание правильной архитектуры, разработанной с учетом всех рисков, в том числе и киберрисков, настройки предустановленных средств и установки специализированных решений.

Архитектура

Подход «Лаборатории Касперского» основывается на двух базовых архитектурных принципах: изоляция и контролируемые коммуникации.

Изоляция гарантирует, что две независимые сущности не смогут никак повлиять друг на друга. Например, развлекательные приложения не будут оказывать влияния на технологическую сеть. Ни на борту самолета, ни в автомобиле.

Контроль коммуникаций гарантирует, что две независимые сущности, которые должны взаимодействовать для работы системы, будут делать это четко в соответствии с политиками безопасности. Например, система сбора телеметрии и передачи ее в сервисный центр может только читать данные о состоянии автомобиля, но не передавать команды управления. Такой контроль очень пригодился бы хозяину Jeep.

Использование криптографии и аутентификации для передачи и приема информации в/извне также являются неотъемлемой частью защищенной системы. Но, судя по полученным исследователями результатам, в Jeep либо применялись слабые уязвимые алгоритмы, либо же криптография была реализована с ошибками.

Описанный подход – изоляция и контроль связи – естественным образом ложится на микроядерную архитектуру ОС с контролируемым межпроцессным взаимодействием. Каждый логический домен получает свое адресное пространство, и все общение между доменами всегда происходит через монитор безопасности.

Продукты

Из бортовой электроники, управляющей критически важными функциями автомобиля и теоретически подверженной атакам, можно назвать головное устройство (head unit, HU) и электронные блоки управления (electronic control unit, ECU), которые образуют целую сеть контроллеров. Это блоки управления двигателем, трансмиссией, подвеской и т.д.

Головные устройства работают на операционных системах реального времени (real time operating systems (RTOS) – QNX, VxWorks и др.). «Лаборатория Касперского» намерена предложить собственную защищенную операционную систему для головных устройств после получения всех необходимых сертификатов.

Оба упомянутых выше архитектурных принципа (изоляция и контроль коммуникации) являются основополагающими принципами работы KasperskyOS – микроядерной безопасной операционной системы с контролируемым межпроцессным взаимодействием.

ОС создана с нуля и безопасность изначально была ее основным приоритетом. В этом основное отличие нашей разработки от ОС, установленных сейчас на борту автомобилей. Ключевой компонент безопасной ОС мы назвали Kaspersky Security System (KSS).

Эта среда времени исполнения отвечает за вычисление вердикта безопасности того или иного события, происходящего в системе. На основании этого вердикта ядро ОС принимает решение разрешить или блокировать это событие или межпроцессное взаимодействие. С помощью KSS можно контролировать любую активность – доступ к портам, файлам, сетевым ресурсам через конкретные приложения и т.д. Сейчас KSS работает на PikeOS и Linux.

Что касается электронных блоков управления, на которых из ПО есть только небольшой по объему код прошивки, то «Лаборатория Касперского» также намерена сотрудничать с разработчиками микроэлектроники для совместного обеспечения безопасности этого встроенного ПО.

Вместо заключения

Очень не хочется отказываться от всех удобств, которые принесла компьютеризация машин. Однако если автопроизводители всерьез не займутся проблемой кибербезопасности своих подключенных к интернету авто и не начнут требовать этого же от производителей авто-компонент, то людям, которых волнует безопасность, придется пересесть на классические автомобили. Да, в старых машинах нет компьютеров. Да, в них нет компьютеризированного впрыска, навигационной системы, климатконтроля и других новомодных штучек. Зато они слушаются только человека за рулем.