綠盟李東宏:隱秘的黑手——車聯網安全隱患分析
責編:rhliu |2016-11-11 15:18:03李東宏:各位先生、各位女士、各位朋友,大家下午好!今天我跟大家分享一下作為一個安全界廠商、作為一個安全公司,對于車聯網其中的隱患進行簡單剖析和大概的解決方案。
首先作一下自我介紹,我在安全界十多年,我現在就職于綠盟科技威脅響應中心,擅長的是算法逆向、漏洞分析與挖掘、惡意代碼分析與溯源跟蹤、網絡協議分析、數據挖掘、網絡與系統安全評估、網絡與系統安全防護。
我們在講車聯網受攻擊的話題時,要明確一下攻擊者通常稱為黑客。“黑客”是一個褒義的定義,對計算機科學編程技術有著高度理解的人。如果拓展到一個通用行業里,黑客是什么?在各行業里精通于設計、生產以及工藝方面的專家。
由于利益的驅使,黑客可能有兩種形式:1、科恩實驗室的白帽子,這屬于為廠商提供解決方案;2、在互聯網攻擊中通稱為“黑客”,即未經授權進入對方系統進行破壞行為的人群。
汽車安全到底是什么?汽車安全有四個方面:
1、工藝安全。與環境有關,如尾氣排放、車材料是否有抗壓能力,車表面反光度,車的反光度有可能影響到駕駛員視線,車面材料有可能會吸收無線電波,使一些雷達信號減弱,導致誤判;
2、工程安全。在設計過程中,一個防撞系統,我們車在高速上行駛,與前車撞了,工程物理學方面可以減少撞擊對人身造成的傷害;3、機械安全。行駛過程中要變速,變速有效度和高保障度是什么樣的?防抱死系統是否在我們真正使用時可靠有效?
車聯網信息安全。隨著汽車的發展,汽車可能對外有很多接口,提供很多方便我們生活的地方。信息安全即汽車跟其他設備進行通信。通信過程中會不會存在信息泄露或被黑客遠程攻擊?這些都是我們要討論的話題。
什么是車聯網?指以車內網、車外網和車載移動互聯網為基礎,按照約定的通訊協議和數據交互標準,在車與其他設備之間進行無線通訊和信息交換的系統網絡,實現智能化交通管理、智能動態信息服務和車輛智能化控制的一體化網絡。
車聯網有三個要素:
1、基礎設施。最重要的要素就是人。汽車在行駛過程中會采集各種各樣的數據,然后進行處理。道路基礎設施會給我們汽車有一個參考,如防撞系統,會采集基礎設施發送的設備,然后在汽車里面進行校正,汽車會根據數據進行校軌,同樣也防止碰撞。
2、管理。隨著互聯網越來越發達,汽車會連到云端,基礎設施也會連到云端。特別是交通部的一個交通設施要在線管控交通流量,這就會聯系到我們云端。在這個過程中,我們就要考慮一下是否有一些安全問題呢?黑客是怎么樣考慮這個閉環環境的。
威脅模型(從車的結構來講),車的對外通訊方式分四個:遠距離通訊,即蜂窩網,定位系統、WiFi;近距離通訊有TPMS、藍牙系統、鑰匙,有效距離大概在10米之內,遠距離通訊在10米之外;內部物理連接,我們所暴露的一些端口,比如CANBus端口等;
車內網絡連接,主要由CANBus網絡組織結構,里面包括TPMS接收器或ECU、防盜系統、控制系統和引擎系統。可能在后續一些發展過程中,會有一些新的通訊方式出現。
攻擊者攻擊車聯網的目的到底是什么?動機是什么?攻擊有四種目的:1、金錢。2、技術。作為技術炫耀,這個技術我已經懂了,能破解什么東西。3、榮譽。破解這個東西,提供給設備商或提交給CVE或國家信息安全中心,能安全界有一個知名度的提高。
4、在過程中會有報復行為的破壞,看誰不順眼就去破壞。這個破壞不止破壞我們的汽車,有可能會破壞交通設施,造成重大交通事故。最終利用的還是我們在設計和實現的缺陷。
車載通訊系統。
無鑰匙進入系統,車放在那里,攻擊者要攻擊的話首先要進入車內。現在有很多車標配了無鑰匙進入系統,主要利用近距離通訊,頻率大概是331MHz和413MHz,調制方式主要是滾動碼。熟悉信息安全或熟悉車載安全,一定知道背后這一段數字表示什么,這是某車型滾動碼列表,即我們在重放這個滾動碼列表時,車門可以打開。
第一次先判斷第一段代碼有沒有發出去,如果發出去,看車有沒有開啟,如果沒有開啟,會發送第二個數據包,判斷是否開啟,開啟了以后,判斷整個數據包是不是發完了,發完了就結束,如果沒有的話,就繼續發。
無鑰匙進入系統攻擊的方式:1、通過分析鑰匙中滾動碼序列獲得密鑰序列;2、車在鑰匙開啟或關門一瞬間,有一段時間這個車門處于開啟狀態,這段時間人走了,黑客可能直接過去把門打開;
3、一些鑰匙使用的是靜態碼制列表,黑客可以通過無線電的劫持和數據包重放,導致車門打開;4、中間人攻擊,現在汽車使用的是藍牙模式,即手機模式,做一個藍牙節點,就可以把藍牙數據直接解密,獲得最原始的數據,然后再重放出來。
這個無鑰匙系統是在整個汽車安全中,就像今天早上朱教授分享的,這是最脆弱,也是最容易進入的。
防碰撞系統。
在要碰撞時,保證人身安全。防碰撞系統主要是雷達系統或其他傳感設備來判斷我們車是否將要有碰撞發生,當有碰撞發生時,直接發送信號給ECU,ECU直接控制剎車,然后停下來。攻擊者可以偽造信號,前方本來沒有車,偽造這個信號,說車非常近,導致ECU緊急剎車,導致駕乘人員出現碰撞。
另外一種情況,前面有車,而且已經到將要碰撞的距離,黑客發了一個欺騙性信號,導致我們判斷前面沒有車,就直接撞上去。
胎壓檢測系統。
攻擊者如何做的?在高速路上并行行駛的汽車,可以偽造信號,說胎壓過低或沒氣,這時候導致駕駛員緊急剎車,或ECU緊急剎車,在高速路上直接停止,導致后面的碰撞。
現在有很多高校發現了胎壓檢測系統有漏洞可以利用,利用這個漏洞直接攻擊到ECU。華盛頓大學和加利福尼亞大學兩個實驗室發現的。跟蹤車輛,即信息收集,能知道這個車跑到什么地方;觸發事件,當胎壓檢測系統,走到一個油站時,本來要停,發了一個跟油站連接的信號,導致油站故障;欺騙,導致碰撞發生或緊急剎車。
無線網絡接入,在車載系統里面用的比較多,后續車聯網也用得比較多。當車連入互聯網以后,可能會進行各種各樣的數據信息通訊,比如上網、打網絡電話,這就會增加安全保護難度,因為這樣的業務數據是多種多樣的,進入系統的方式也是多種多樣的。
由于連了網,遠端可以探測你的系統,發現系統的脆弱性,同時你自己連接時也可能會連接到一些惡意欺騙的網站,連接到它的網站上會下載到一個惡意程序,直接放到我們控制系統里,由于控制系統在分析以后容易被打通,容易控制我們的ECU。
目前通訊方式是2.4G和5G,這是兩個WiFi,還有移動3G/4G模式,還有未來的5G模式。數據量越高的時候,我們的檢測就會越難,因為這個變化非常快。
車與其他車輛或設備的通訊。
主要負責檢測車距以及車道的變化,調整車輛運行和提高交通效率。與基礎設施通訊,分析交通流量進行車輛分布。
目前檢測頻率:5.9GHz。攻擊者一旦控制駕駛輔助系統,可以給基礎設施或其他車發送欺騙信號,導致潛在交通事故發生,有可能會撞上護欄或者直接穿過紅綠燈,或者前面正在修路,結果沒有檢測到,就直接開過去了。
車載診斷系統(OBD)。
這是一個有線的連接,黑客如何攻擊?或者它的惡意是怎么進去的?OBD的作用,插入這個設備以后,能分析出整車運行狀況,同時可以分析出駕駛員習慣,就是耗油怎么樣,零部件損耗是什么樣子。
我們去一些4S店或到一些小的維修部做檢測時,他拿到這個設備里面有可能會被植入了惡意程序,通過OBD檢測接口,直接進入到內部控制系統。因為這個設備可用在多個車上,這樣會影響到一批車。
引擎控制單元(ECU)。
在我們車里屬于重中之重,所有的控制基本上都是由它來完成。攻擊者可以通過多種途徑接收到ECU,強制ECU顯示虛假數據,如里程數據、溫度數據,錯誤地提示和隱藏車輛的故障。
如你的車沒油了,它不顯示,顯示你的車油滿著,就繼續接著開,結果開到一個地方沒油了,你只能打救援電話。勒索車輛,攻擊者遠程控制ECU,會把ECU切斷,所有方式對它來說是無效的,只有付完錢以后才可以給你解鎖,才可以獲得車的控制權。
ECU分析方法:1、電路分析。對ECU里面的東西不太了解,但是通過電路的信號分析輸入和輸出;2、JTAG調試接口。這是硬件調試接口,我們不會接觸到這個車,但是知道ECU用什么型號的,可以弄一個開發板去調試,然后再作出一個惡意的軟件;3、缺陷注入。
所有的軟件和硬件在設計過程中不可能百分之百把所有因素考慮進去,在設計和制作過程中或多或少都會有缺陷,攻擊者就是這個缺陷的發現者;4、時鐘分析。
通過一些分析儀去分析里面整個運作原理,如果發現缺陷,利用缺陷包看輸出是什么,有沒有輸出;5、電源分析。所有車里面ECU工作和互聯網通訊都要有電源,會分析電源電路。
電源的控制由誰決定,就會去分析,比如我們開著車引擎正著火,他控制了以后,直接斷電,有可能會導致急剎車,也有可能導致方向死鎖;6、逆向固件。固件拿下來以后,把惡意代碼植進去。
GPS,是為車輛提供位置服務的,可以幫助駕駛人按照目的路線行駛。民用,1.5GHz,軍用是1.2GHz。民用帶寬1M左右,軍用10M左右,攻擊者可以偽造GPS信號,讓我們失去對位置的控制。
有可能前面是一條河,GPS正常情況下會告訴我們前面確實有條河,但是發了一個偽造GPS信號,說前面是一個大路,這時候我們就直接開到河里面去了。
溫控系統。由ECU控制,攻擊者控制ECU,可以改變車內溫度和環境。如果溫度比較高,夏天開車,室外37、38攝氏度,把溫度提高到44攝氏度左右,在高速上開車會導致駕乘人員覺得不舒服,緊急停車,或者駕乘人員直接中暑。
多媒體系統。在中控中用的比較多,是智能系統,里面會有多種接口,流媒體文件可能在處理或解碼過程中有一些缺陷,導致惡意流媒體文件引入一個惡意的代碼。
分析方法:1、黑客一定會檢測系統的架構,它是什么系統,它的CPU是什么,獲得這類信息;2、分析系統升級,今天會講到OBD升級,在升級過程中,這個固件是否容易被攔下來,攔下來以后會不會被篡改,篡改了以后,升級系統里面有沒有對它做有效的簽名和認證;
3、修改系統升級,把所有的固件升級完以后打包、簽名,直接通過OTA途徑下發下來;4、系統里面會集成很多APP,會在這個系統里把它的APP直接集成到系統固件里,即便我們發現它是惡意的,但也刪除不了。
USB接入。車聯網里面USB可能有對外連通的WiFi或者3/4G卡,USB插入時可能有一些媒體文件,都會提供多種通道。
電話系統。雖然現在已經明令不允許打電話,但是電話系統里會存在我們個人隱私信息,包括交際圈,黑客竊取到這些信息后能做什么?1、詐騙。2、姓名、電話、身份證信息,可以連到云端,獲得跟車主有關的很多信息,提交給第三方,比如經常會接到騷擾電話。
3、經常用一些瀏覽器瀏覽網站,但是不知道這個網站是否安全,有可能我們連接到的是一個有惡意代碼的網站,惡意代碼進來以后,利用我們瀏覽記錄控制我們的主機系統,這目前不管在互聯網行業車載通訊系統里面,瀏覽器的漏洞是最多的。
4、云端。主要對客戶情況和車輛情況進行管理,這部分和傳統網絡安全基本一樣,攻擊者主要攻擊云端系統,獲取云端數據。后續在車聯網發展到一定程度時,利用云端直接可以控制車輛,比如這個車輛行駛里程多少,在云端可以直接控制,不讓它開啟。5、攻擊者一旦攻擊到云端,就可以強制控制車輛,讓車主失去控制權。
6、電動汽車有一個充電樁,充電樁里一定會獲取到車的信息,首先車的電路狀況、電池狀況,一定會獲得相關信息,攻擊者可以通過充電樁來植入惡意代碼。
車聯網威脅分析。
1、未經授權的物理訪問;2、攻擊互聯網;3、個人信息盜取;4、敲詐勒索;5、遠程控制;6、制造假象。
未經授權的物理訪問。車輛沒有經過授權,黑客通過攻擊直接進入到系統里面,把車開走。這個威脅的概率很高,高的原因:車輛容易丟失、取證難度比較大。對個人和廠商的影響:車輛容易被盜、保險費率增高、制造商可能會被追究相關責任。
個人信息的竊取。各種通訊接口增加,惡意程序進入車內通道也會增加,攻擊者獲取到信息以后就會出售給第三方,增加騷擾和詐騙的概率,威脅概率是高。在云存儲,主要攻擊云端模式,可以獲得個人詳細資料和車的詳細資料。
在本地存儲,主要獲得個人信息,增加一些犯罪機率。對個人和制造商的影響:車輛的負面影響會增加,促進政府對車輛行業合規性檢查;引起個人信息泄露,增加客戶信用監督和維護的成本。
遠程控制。給的概率是中。車輛遠程控制需要針對特定品牌、特定型號和特定漏洞,所以對技術要求比較高;攻擊者攻擊的目的是要求更多的回報,而不是遠程控制我們的汽車去搞破壞。
影響非常大:可以引起人身安全、財產損失和嚴重的交通事故;制造商可能因為車本身技術問題而承擔法律責任;由于漏洞的影響,導致車輛會滯銷。
攻擊互聯網。前一段時間美國物聯網設備攻擊了整個美國網絡,網絡就斷了。隨著車聯網的發展,攻擊者可能會把惡意代碼潛伏在我們車里面,在設定時間對整個網絡設施或某個網絡服務,做一個DDOS攻擊,就會影響到不只是我們汽車行業的安全,可能會影響到衛星通訊以及更多的網絡服務。威脅概率低,影響也比較低。首先這個車不可能不被我們知道它就被控制了。
敲詐勒索。主要利用遠程控制,直接把車鎖死。傳統互聯網敲詐勒死,就是把計算機文件全部加密,然后付款,給你一個解密鑰匙,然后獲得文件信息。在車方面,把ECU直接鎖死,廠商也無法解決,只能換ECU,或者付贖金進行解鎖。影響比較高:重新獲得控制權代價比較高;影響到汽車品牌。
制造假象。控制ECU或通過欺騙方式給一個虛假顯示或虛假信號,讓我們駕駛員或車輛無法判斷周圍的情況或車內的情況。給的級別是中級,無線信號容易被干擾;認證方式太簡單;車主不容易發現車輛的故障,因為有欺騙性。
影響很高:可以危害到交通安全和駕乘人員安全;可以獲得個人習慣,增加財產損失機率;駕駛人員在不知情的情況下違反交規;制造商因為技術缺陷承擔法律責任。
安全建議:系統數據加密存儲和通道加密;接入系統的口令進行復雜化和隨機化,阻止暴力破解;數據認證和校驗,防止第一次過去的數據會重放,第二次校驗里面會有一個隨機碼,導致后面數據包認為它是假的;
接入設備和接入系統安全認證,就是點對點的認證,我知道你這個設備過來就是內部的,而不是攻擊者發過來的信號;內置防護系統,就是車載防火墻,還有車載系統里面要集成一些安全防護軟件或策略來阻止黑客的攻擊。
我們要阻止黑客的攻擊,攻擊是不可能永遠避免的,為了阻止,可以增加破解的難度。因為攻擊者要有成本,如果一天之內能攻擊到我們車,把我們車控制住的話,就有利可言,如果一年之內才能控制我們車輛的話,他絕對不會做這樣的事情,因為一年的時間跟他的收入是不成正比的。
最后感謝大家的傾聽,希望能跟各位朋友、各位廠商合作把車聯網技術做好。我們做車聯網安全的目的就是為了整個世界的和平,不再讓個人或者財產受到損失。謝謝大家!