Bezpieczeństwo systemów informatycznych w samochodach - czemu takie niskie?

1

Z filmiku wynika, że zabezpieczenia stosowane w nowych samochodach to jest jakiś jeden wielki WTF.

  1. Jak to jest możliwe, że w 21. wieku do generacji hasła WIFI ktoś wpadł na pomysł używania random i time(0)? Podobnie otwarte porty, nasłuchiwanie na wszystkich interfejsach, brak podpisywania kodu... Czy branża motoryzacyjna aż tak źle płaci, że zatrudniają gimnazjalistów do pisania kodu i nikt nie robi review?

  2. Dlaczego producenci samochodów myślą, że stosując zamknięte rozwiązania podwyższają poziom bezpieczeństwa, jeśli tak naprawdę utrudnia to pracę jedynie specjalistom od analizy tych zabezpieczeń działającym "po dobrej stronie", a przestępcy i tak bez problemu robią rev-engineering?

  3. Dlaczego w branży motoryzacyjnej tak rzadko wykorzystuje się otwarte sprawdzone rozwiązania - np. silną kryptografię, znane i sprawdzone protokoły komunikacyjne (np. SSL), a nie jakieś "domowe wynalazki" bez sensu jak np. to: https://en.wikipedia.org/wiki/Rolling_code. Toż to nawet MD5 Digest znany chyba 20 lat temu jest trudniejszy do złamania niż taki rolling code.

0

Większość ludzi pracujących w automotive to delikatnie przekwalifikowani elektronicy. Ponadto ta branża płaci nieco mniej niż inne gałęzie/branże powiązane z softwarem. Trafia się tu mniej ludzi kompetentnych w zakresie czystej teorii informacji i tematów powiązanych jak np. IT security i kryptografia.

0

Jak to niskie? :)

1

@Pole92 jeżeli wierzysz, że takiego Volkswagena czy Mercedesa nie stać na dobrych koderów i zatrudniają elektroników to trochę mało widziałeś, bez urazy :)

Powiedziałbym, że takie cuda jak wifi i Bluetooth w autach to relatywnie nowe wynalazki. Te systemy są szeroko testowane, ale pod kątem takich rzeczy jak EMC, odporność mechaniczna, niezawodność transmisji itd. Błędem jest wpinać radio z wifi do centralnego ECU robiąc w ten sposób dziurę w bezpieczeństwie, owszem.
Ale odnoszę wrażenie, że podejście jest takie:
a. mamy ludzi odpowiedzialnych za "bezpieczny realtime", czyli robiących komputerowe sterowanie wtryskiem, czujniki poduszek powietrznych itd. Tam nie ma miejsca na błąd.
b. radosną twórczość "frontendowców", gdzie uchodzi więcej, w założeniu nie ma zagrożenia życia... no bo jak ukradną to ukradną, klient kupi przecież nowe, nie? To jaki mają interes ładować w to kasę?

EDIT: to tak w skrócie, jakby kogoś interesowało jak to wygląda to mogę kolegów pracujących w TRW czy Delphi podpytać. Ale z tego co mi wiadomo to w przypadku sprzętu odpowiedzialnego za bezpieczeństwo kompromisów po prostu nie ma i wygląda to dość podobnie jak w mojej (kolejowej) branży. W przypadku radia z wifi...kompromisy jak widać są ;)

0

Radio z WiFi to jedno, ale wytłumacz w takim razie, czemu np. z poziomu radia można podmienić firmware do czegoś, co już bezpośrednio gada z realtime'ową częścią CAN? To raczej jest brak zabezpieczenia komponentu mającego krytyczny wpływ na bezpieczeństwo, a nie problem jedynie radia.

Poza tym jeśli problem dotyczyłby tylko frontendu, to czemu pewien model Toyoty w USA był znany z samoczynnego przyspieszania spowodowanego błędami w sofcie sterującym wtryskiem?

1

@alagner ale o jakim braku kompromisów piszesz w kontekście bezpieczeństwa? Przecież tam dokładnie pokazali co można zrobić z takim samochodem po jego przejęciu - wyłączyć hamulce, sterować kierownicą. Przecież to jest podstawowy brak bezpieczeństwa takiego sprzętu. Po zhakowaniu konkretnego auta możesz po prostu przy 130km/h wyłączyć hamulce i skręcić w prawo/lewo w np. filar wiaduktu i mamy kolejny wypadek, gdzie kierowca "z nieznanych przyczyn" zjechał z drogi zamiast morderstwa.

Jeśli ktoś uważa, że ci goście z DEF CON są pierwszymi, którzy wpadli na pomysł dostania się do samochodu to żyje w innym świecie, gdzie wszyscy są dobrzy, mili i uprzejmi...

BTW CAŁY system jest tak odporny jak jego NAJMNIEJ odporny element, więc pisanie o braku kompromisów w kontekście całego auta to śmiech na sali

0

Żebyście zobaczyli jaki jest stan security w systemach przemysłowych :))).

0
Rev napisał(a):

Żebyście zobaczyli jaki jest stan security w systemach przemysłowych :))).

Pewnie żaden, ale maszyny przemysłowej nie parkujesz i nie zostawiasz bez dozoru w miejscu publicznym, nie są też raczej podłączone do Internetu (a przynajmniej nie powinny).

Więc to bez znaczenia.

0

@abrakadaber @Krolik ja wiem co z tym można zrobić. I mam świadomość, że goście z DEFCON pierwszymi nie są i dano d... podczas integracji systemów. Pewnie tak. Ale porównywaliśmy kiedyś z kumplem w jaki sposób testowane są moje kolejowe softy w stosunku do jego samochodowych. I na poziomie modułów/podsystemów typu "czujnik airbaga" czy "czujnik ciśnienia oleju" naprawdę jest gęsto. Wpadki się zdarzają nawet najlepszym, popatrzcie na Raytheona czy Lockheeda. W F35 nie działa działko pokładowe np. ;)
Nie twierdzę, że jest idealnie ale @Rev ma rację, przemysłówka to jest dopiero totalny bajzel. A szczerze mówiąc producentowi aż tak bardzo nie zależy na niemożliwości ukradzenia samochodu, przecież wtedy kupisz sobie kolejny, prawda? Najważniejsze jest bezpieczeństwo użytkownika, a i to często załatwia się na poziomie mechaniki a nie softu. BTW: na poziomie mechaniki/elektryki też są wtopy. Ale przy tej ilości wyprodukowanych samochodów wciąż można mówić o całkiem niezłym bezpieczeństwie ;)

Tak dla rozluźnienia:
http://royal.pingdom.com/2009/03/19/10-historical-software-bugs-with-extreme-consequences/

EDIT: a tu z branży samochodowej. Położył mnie Ford z wadliwym zbiornikiem paliwa:
https://www.carthrottle.com/post/9-shocking-car-fails-youll-never-believe-made-it-to-production/

0

Wiekszość firm ma głęboko w poważaniu bezpieczeństwo komputerowe. Automotive nie jest wyjątkiem.
Poza tym hakowanie samochodów to na razie ciekawostka, która przewija się jedynie na konferencjach. W prawdziwym życiu to są pewne marginalne przypadki, żeby przez zhackowany samochód zginął człowiek. Jak się zdarzy to firma po prostu zapłaci odszkodowanie.

0

Hackowanie samochodów w celu spowodowania wypadku to pewnie egzotyka (na szczęście), ale hackowanie samochodów w celu kradzieży to już zupełnie inna bajka. Ogólnie wygląda to tak, że złodziej podpina się gdzieś do elektroniki samochodu (złącze diagnostyzne? wifi?) ze swoim sprzętem i po chwili uruchamia go jakby miał kluczyk i odjeżdża. Nawet maski nie musi otwierać i niczego przepinać / odłączać.

Ja rozumiem, że się nie da zrobić zabezpieczenia 100%, bo w końcu jak jest fizyczny dostęp to złodziej może przyjść z własnym ECU, sterownikiem skrzyni biegów i czym tam jeszcze potrzebnym do jazdy, a w ostateczności na lawetę zabrać, ale żeby tak na bezczela software'owo?

2

zasadniczo im mniej elektroniki tym lepiej, bo w razie awarii jeszcze możesz się autem poruszać, dodatkowo słabo zabezpieczona elektronika przed np. mrozem i wilgocią tylko powoduje problemy

1

Tak szczerze to wolałbym żeby samochód miał jak najmniej skomputeryzowanych elementów, a jeśli już to żeby nie były ze sobą połączone..

Rozumiem że takie wtryski paliwa są sterowane mikrokontrolerem, albo ABS, ale jeden centralny komputer który jest jednocześnie władny ruszać wycieraczkami, otwierać drzwi, odpalać silnik i mieć access point wifi to nieporozumienie.

0

@Azarien od lat już to wszystko było naraz ale bez access pointa i jakoś tragedii nie było. ;-)

0

Nie wiem jak teraz, aler np. do samochod z grupy VW mozna bylo znalezc w necie tzw. odpalarki. Podlaczalo sie toto do gniazda diagnostycznego i uruchamialo samochod. Co ciekawe mialo to rodzaj zabezpieczenia ze mozna bylo tylko okreslona liczbe razy uzyc a pozniej trzeba bylo doladowac u tworcy :)

0

Z założenia software do automotive jest "safe", ale niekoniecznie "secure". Jak ktoś chce coś uszkodzić, to uszkodzi - wystarczy wejśc pod podwozie albo otworzyć maskę, nie trzeba bawić się w software.

0

Wydaje mi się, że złodziej nie ma czasu wchodzić pod samochód, czy grzebać pod maską. Natomiast jeśli można ataku dokonać ze środka, tak jak na filmiku, to się w ogóle nie rzuca w oczy. W ten sposób można kraść bez większego ryzyka nawet z parkingów strzeżonych czy miejsc często uczęszczanych, no bo facet w kapturze siedzący w samochodzie raczej nie budzi podejrzeń. Nie chodzi o to, aby całkowicie uniemożliwić kradzież, bo się nie da, ale aby tak utrudnić i by ryzyko złapania było na tyle duże, żeby nie był to opłacalny proceder na dłuższą metę.

Obawiam się, że (choć oczywiście nie wiem na pewno - bo niestety nie znam osobiście żadnego złodzieja samochodów), że ten trick z odpalarką na złącze diagnostyczne działa też na inne marki samochodów. A jeśli tak jest, to można uznać, że zabezpieczenia fabryczne nie są absolutnie nic warte. To tak jakby zostawiać samochód otwarty z kluczykami w środku.

I najbardziej mnie irytuje, że przecież producent jakby chciał to mógłby to porządnie zabezpieczyć. Wystarczy, że firmware musiałby być podpisany cyfrowo kluczem producenta oraz żeby przed jakąkolwiek komunikacją diagnostyczną dokonywać autentykacji za pomocą klucza wydawanego użytkownikowi, przypisanego do samochodu (oczywiście klucz nigdy nie opuszcza urządzenia, tak jak w kartach chipowych do bankomatu). Nie masz kluczyków do auta, nic z komputerem nie pogadasz.

0

@Krolik ale jaki ma w tym interes? Jak chcesz zepsuć to prościej przeciąć przewody hamulcowe, jak chcesz ukraść katalizator to zrobisz to w 15 sekund odpowiednim narzędziem do cięcia wydechów, jak chcesz ukraść całą furę to a. podjedziesz lawetą (niektóre alarmy wyłączają się kiedy auto jest pod odpowiednim kątem, tak przynajmniej kiedyś było). b. jakkolwiek nie odpalisz i tak musisz najpierw wejść do środka więc i tak ominąć alarm/immobilizer. Paradoksalnie najlepszym zabezpieczeniem przed kradzieżą jest lokalizator gps i firma śledząca albo pręty na sprężynach łamiące nogi (taki wynalazzek kolega miał w aucie odkupionym z ambasady ;) )

0

Interes jest choćby taki, że jak samochód jest często kradziony, to rosną stawki ubezpieczeń AC, a jak rosną stawki ubezpieczeń, to klientów stać na mniej i wolą kupować tańsze auta albo marek, które są uważane za mniej chodliwe. I np. zamiast wziąć wyższą opcję wyposażenia, musisz wydać odłożone pieniądze na AC i dodatkowe zabezpieczenia. Znam co najmniej jedną osobę, która zrezygnowała z zakupu samochodu, bo jest na liście top 10 najczęściej kradzionych.

Co do tego, że nie warto się starać "bo i tak ukradną":

  • Lawetą na parking podziemny nie wjedziesz.
  • Samochodu z automatem na lawetę nie wciągniesz, dopóki nie przerzucisz blokady skrzyni biegów na N - czyli dopóki nie dostaniesz się do środka.
  • System otwierania zamków da się zrobić tak, aby nie dało się go złamać drogą elektroniczną nie mając klucza.
  • Komputer oraz inne elektroniczne elementy samochodu da się zrobić tak, aby nie dało się ich uruchomić bez klucza. Wystarczyłoby, aby np. sterownik skrzyni biegów też miał odpowiednią autentykację wymaganą do uruchomienia i już to widzę, jak złodziej demontuje skrzynię biegów aby się do niego dostać i go podmienić (no chyba że producent dla ułatwienia sobie serwisu umieści go w kabinie zamiast w skrzyni - wcale bym się nie zdziwił) :D

Co do zabezpieczeń na GPS, to akurat te są nic nie warte, bo złodzieje nauczyli się zagłuszać GPS/GSM.

Wiadomo, że się nie da zabezpieczyć całkowicie, bo w ostateczności złodziej przyjdzie z własnym silnikiem, skrzynią i kołami, ale przynajmniej producenci samochodów mogliby nie robić głupot. Np. takich jak w Maździe 6, gdzie wszystkie samochody mają ustawione to samo hasło roota w infotainmencie (czy ma to wpływ na kradzieże - nie wiem, ale tak czy inaczej, nie jest to zgodne z zasadami sztuki). Albo jak w tym Chryslerze z filmiku, gdzie wszystkie porty były otwarte i zbindowane do wszystkich interfejsów. Patrząc na to, mam podejrzenia, że takie same kwiatki są w systemie otwierania centralnego zamka.

0

Ciężko się ni zgodzić, ale śmiem twierdzić, że patrzysz na to przez pryzmat lokalnych realiów. Ale bez słupków trudno się o to spierać.

0

Patrzę na to przez pryzmat kogoś, kto się po prostu interesuje zagadnieniami bezpieczeństwa. Po prostu łatwiej mi sobie wyobrazić, że złodziej łamie zabezpieczenia w sposób mechaniczny (łamiąc zamek, czy zakładając bypassy na immobilizer) niż że łamie poprawnie zaprojektowane zabezpieczenia elektroniczne bez fizycznej ingerencji w komputer.

1

Pracuję w firmie związanej z automotive. Wygląda to mniej węcej tak, przychodzi przedstawiciel Mercedesa i mówi, zrób taki i taki system ale ma kosztować nie więcej niż xxx Euro. Taką kwotę dzieli się na hardware, software, mechanikę(np. wykonanie obudowy) etc. Często jest tak, że aby firma odniosła zyski na takim projekcie, musie ciąć koszty i właśnie np. oprogramowanie jest do kitu, lub PCB jest jakości chińskich zabawek(przykład z życia wzięty). Na pewno nie jest to wina słabych programistów, inżynierów.

1 użytkowników online, w tym zalogowanych: 0, gości: 1