Автохакинг, или Ещё один способ погибнуть в машине
С компьютеризацией автомобили, и так один из самых опасных видов транспорта, получили ещё одну проблему – потенциальную угрозу взлома электронных управляющих систем. Лайф разобрался в том, как хакеры взламывают машины и чем это грозит их владельцам.
Угроза национальной безопасности
В апреле нынешнего года городу Детройту, как столице автопромышленности США, довелось принимать у себя Всемирный конгресс Международного общества автомобильных инженеров. Среди основных докладов наиболее неожиданным для всех оказалось выступление "человека со стороны" — заместителя генпрокурора США Джона Карлина, отвечающего за вопросы национальной безопасности.
Как это ни странно, но речь высокого госчиновника была действительно посвящена автомобилям. Точнее множеству связанных в сеть компьютеров на борту всякой современной автомашины. А если ещё точнее — тому, что каждая такая мобильная сеть, находясь на трассе, постоянно поддерживает ныне сложные беспроводные коммуникации с другими компьютерными сетями и участниками движения. А потому риски массового и злонамеренного хакинга подобных систем возрастают многократно — вплоть до масштабов серьёзной потенциальной угрозы для безопасности государства.
В качестве особо подходящего фона для этого выступления надо упомянуть, что буквально накануне, в марте 2016, с весьма похожими по сути обращениями уже выступили ФБР и федеральные законодатели из конгресса США.
Совместная публикация ФБР и NHTSA (Администрации по безопасности движения на национальных автотрассах США) была предназначена для широкой общественности в целом. Этот документ не только в развернутой форме предупредил всех автоводителей об актуальности рисков автомобильного хакинга, но и дал целый ряд практических рекомендаций по защите компьютерной начинки машин. Что же касается законодателей из американского конгресса, то от сенаторов прозвучали специальные послания для капитанов автоиндустрии — с призывом к ним и к их акционерам начать уделять повышенное внимание к проблемам укрепления кибербезопасности машин.
Сопоставляя все эти три выступления, несложно, наверное, сообразить, что столь характерная синхронность в действиях сразу трёх ветвей власти — судебной, исполнительной и законодательной — не может быть случайностью. Как показывает опыт предыдущих подобных реакций, причиной является, скорее всего, какой-то внутренний секретный отчёт, подготовленный аналитиками спецслужб или специально учреждённой комиссии, а затем разосланный для ознакомления по высоким инстанциям.
Обычно сам факт существования и содержание подобного рода аналитических отчётов перестают быть тайной лишь много лет спустя, когда их рассекречивают по запросам озабоченной и что-то проведавшей общественности. Однако именно в данном случае история проблемы складывалась так, что восстановить объективную картину вполне возможно и прямо сейчас: с опорой на достоверную открытую информацию.
Из истории вопроса
Первые серьёзные сигналы о куче дыр и дефектов в безопасности компьютерного обеспечения автомашин начали поступать с известных хакерских конференций примерно лет семь тому назад. Ещё в 2009—2011 годах, в частности, сразу несколько групп исследователей — из американской фирмы iSEC Partners и двух университетов США, Вашингтонского и Калифорнийского, — наглядно продемонстрировали дистанционную компрометацию систем управления автомобилем.
Иначе говоря, исследователи показали, что удалённый доступ к управлению критичными узлами машины можно получать через каналы внешней радиосвязи: через сеть GSM, через протокол Bluetooth и даже, что совсем уж поразительно, через музыкальную стереосистему (с помощью заражённого троянцем аудио-CD). Автоиндустрия все эти демонстрации, по сути дела, проигнорировала.
Спустя примерно год, в 2012—2013 годах, другими специалистами по инфобезопасности — Чарли Миллером из компании Twitter и Крисом Валасеком из компании IOSystems — была проделана иная работа, получившая особо сильный резонанс в хакерском сообществе. Валасек и Миллер не стали развивать уже известные виды атак, а решили "протестировать пределы". То есть их интересовало, до какой степени, в принципе, грамотный злоумышленник способен перевести управление чужой машиной на себя — в условиях, когда за рулём автомобиля едет законный владелец.
Пределов тут, как выяснилось, нет никаких. Подключившись по кабелю через стандартный порт диагностики к бортовой компьютерной системе машины, исследователи убедились, что могут делать с автомобилем практически все. Разгонять до максимальной скорости, включать и отключать тормоза, рулить колёсами, затянуть ремни безопасности, запустить механизм выброса защитной подушки. Короче, все вещи, за работу которых отвечает электроника.
Что же касается команд от собственно водителя, то на них все базовые механизмы управления машиной перестают реагировать полностью. На какие бы там кнопки, педали и рычаги водитель ни пытался давить... В итоге хакеры, надо сказать, и сами были сильно поражены своими результатами. Однако все обращения обеспокоенных Миллера и Валасека к автопроизводителям остались без сколько-нибудь содержательной реакции. Исследователям дали понять, что "управление функциями машины через кабель в диагностическом порту" — это вообще никакой не хакинг. И угроз тут, соответственно, никаких нет.
Тогда те же хакеры, уверенные в серьёзности выявленных дефектов, взялись за освоение уже известных и совсем новых методов компрометации автомобильных компьютеров через внешние каналы. Летом 2014 года они представили коллегам своеобразный "хит-парад" современных машин, проранжированных по степени их уязвимости к компьютерным атакам через Bluetooth, GSM и прочие каналы радиосвязи, а также через бортовые программные приложения. А ещё через год, летом 2015-го, устроили теперь уже для журналистов показательный сеанс дистанционного "автохакинга".
Вообще не вступая в физический контакт с автомобилем (в качестве жертвы выступал новый внедорожник Jeep Cherokee), исследователи через мобильный Интернет внедрили в его бортовую систему троянца. А затем взяли под контроль всю систему управления машиной и продемонстрировали "те же самые ужасы", что прежде вытворялись через кабель, но только теперь уже по радиоканалу из другой машины.
Демонстрация этой атаки получила широкое освещение в СМИ, концерн Fiat Chrysler America, выпускающий Джип Чероки, был вынужден отозвать 1,4 миллиона проданных автомобилей для того, чтобы пропатчить совсем уж очевидные дыры в безопасности программного обеспечения. Ну а где-то в недрах государственной власти США, судя по всему, прошла команда как следует разобраться с реальными масштабами столь вопиющих дефектов в защите автомобильных компьютеров.
В нынешних выступлениях госчиновников по данной теме, что нельзя не заметить, в качестве единственного живого примера стабильно фигурирует именно эта история: про дистанционный хакинг джипа от Валасека и Миллера.
Немного технических подробностей
Современные автомобили содержат десятки (а порой уже и свыше 100) специализированных компьютеров, которые управляют в машине практически всем. От пустяков вроде информационно-развлекательных сервисов до участков критичной важности: рулевого управления и тормозов, двигателя и трансмиссии.
Всё это великое множество узко специализированных компьютеров, или иначе ЭБУ — электронных блоков управления, объединено в "локальную сеть контроллеров", также именуемую CAN Bus. С точки зрения информационной (не)безопасности очень важно, что особый коммуникационный протокол, применяемый в данной сети, не имеет никаких средств криптозащиты — типа встроенной аутентификации или шифрования сигналов.
Сделано это не по недосмотру, естественно, а совершенно умышленно. Система CAN Bus разработана для максимально высокой скорости работы, поскольку в условиях автомобиля отсчёт времени для команд может идти на миллисекунды, а любая криптооперация проверки с необходимостью влечёт задержки во времени. Но при этом, к сожалению, приоритеты быстродействия порождают очень большие проблемы с инфозащитой и рисками хакинга.
В сети автомашины имеется много таких ЭБУ, которые для своей полноценной работы должны иметь каналы беспроводной связи. Это могут быть и контроллеры бортовой диагностики, и подсистемы телематической связи, и блоки сервисов инфоразвлечений. А поскольку связь для всех этих нужд может быть самых разных типов — от сотовой телефонии до Wi-Fi и Bluetooth, хакеры-злоумышленники получают здесь весьма широкий набор из разных точек входа или шлюзов в бортовую сеть автомобиля.
Но когда хакеры, зная слабое место в одном из ЭБУ, общающихся с внешним миром, проникают через него в сеть CAN Bus, то они получают возможность отправлять команды и другим контроллерам. Из-за отсутствия средств проверки все такие команды воспринимаются как подлинные и тут же исполняются. Именно так, собственно, Валасек и Миллер публично скомпрометировали Джип Чероки, где дыра в защите подсистемы инфоразвлечений обеспечила хакинг всех критично важных узлов.
Ещё одна большая и очевидная проблема описанной здесь конструкции заключается в том, что в условиях автомобиля оказывается невозможным эффективно разделить "критично важные" компоненты от компонентов "вспомогательных". После тщательного изучения проблемы конструкторам стало ясно, что нормальное выполнение таких задач, как обновление программ, сервисное обслуживание и диагностика, работа многих других функций, ожидаемых от автомобиля, делают, по сути, невозможным отделение одних компонентов от других.
Примерно как в организме человека, в машине, как выяснилось, всё тоже должно быть соединено со всем прочим.
Возвращаясь к нынешним предупреждениям и призывам властей США — "крепить компьютерную безопасность автомобилей", нельзя не заметить вот какую вещь. Дабы не сеять в народе панику, очевидно, что все эти сигналы отчётливо предупреждают о реальности будущих угроз. Иначе говоря, сейчас пока ещё всё нормально, но лучше быть готовыми заранее.