CC BY
62
КАЛИНЦЕВ1 Николай Николаевич МИХАЙЛОВ2 Дмитрий Михайлович, кандидат технических наук
АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС ОБНАРУЖЕНИЯ ЖУЧКОВ В ИНФРАСТРУКТУРЕ АВТОМОБИЛЯ
В данной статье рассказывается, об аппаратно-программном, комплексе обнаружения жучков в инфраструктуре автомобиля. В настоящее время электроника полностью управляет, автомобилем, при этом, практически у всех систем, есть проблема — уязвимость на аппаратном, уровне, злоумышленники могут получить доступ не только к антиблокировочной системе, но и бортовому компьютеру.
Ключевые слова: обнаружение жучков, уязвимость аппаратного уровня, автомобильная, безопасность.
This article deals with, the hardware-software complex detecting bugs in the vehicle infrastructure. Currently electronics fully drive a vehicle and almost all systems have a problem. — the vulnerability at the hardware level, attackers can gain access not only to anti-lock braking system, but also to the onboard computer. Keywords: detecting bugs, hardware-level vulnerability, vehicle safety.
Сфера автомобильной безопасности сегодня приобретает абсолютно новое значение. Сегодня электроника управляет всеми системами автомобиля: двигателем, тормозами, курсовой устойчивостью, подушками безопасности, климат-контролем и другими. Без электроники более половины этих систем в автомобиле не удалось бы реализовать. Но у всех этих систем есть серьезная проблема — уязвимость на аппаратном уровне. Если ранее все риски сводились к внешним либо техногенным факторам, то сегодня сам автомобиль может служить источником угрозы. На сегодняшний день все производители автомобилей используют электронные блоки управления [1 — 5]. Подавляющее большинство произведенных машин используют для связи блоков между собой интерфейс CAN.
CAN (Control Area Network) — это последовательная магистраль, обеспечивающая связку в сеть устройств ввода-вывода, датчиков и исполнительных устройств. Эта система характеризуется протоколом, обеспечивающим возможность нахождения на магистрали нескольких ведущих устройств, осуществляющих передачу данных в реальном времени и исправление ошибок, а также высокой помехоустойчивостью.
Вначале CAN использовалась для передачи данных с модуля управления двигателем на компьютер, т.е. для диагностики. Сейчас каждый блок внутри автомобиля связан с другим через этот интерфейс: блок управления двигателем, блок управления кузовом, блок антиблокировочной и антипробуксовочной систем, блок климат-контроля, блок подушек безопасности, иммобилайзер, аудиоси-
стема — все они «общаются» по двум проводам [6].
Среднестатистический автомобиль имеет четыре типа шины, разных по скорости и значимости передаваемых данных:
♦ HS-CAN — высокоскоростная шина, скорость передачи данных 500 кбит/с;
♦ MS-CAN — среднескоростная шина, скорость передачи данных 100 кбит/с;
♦ LS-CAN — низкоскоростная шина, скорость передачи данных 33 кбит/с;
♦ MM-CAN — мультимедийная шина, скорость передачи данных 500 кбит/с [6].
Подключившись к любой из шин, можно получить контроль над остальными, т.к. модуль управления кузовом (BCMi) является шлюзом для всех шин. У всех подобных систем есть
' - НИЯУ МИФИ, инженер. 2 - НИЯУ МИФИ, доцент.
уязвимость на аппаратном уровне: чтобы один из блоков выполнил то, что требуется злоумышленнику, достаточно подделать одну или несколько команд.
Например, отправив в сеть команду открытия дверей, можно подделать сообщения иммобилайзера, которое выдается при снятии автомобиля со штатной охраны. Отправляя команду перезапуска иммобилайзера циклически, т.е. вводя его в режим постоянной перезагрузка, можно блокировать запуск двигателя.
Существуют наборы сервисных команд, используемые диагностическим оборудованием для выявления неисправностей и контроля работы систем. Так, например, можно обратиться к блоку антиблокировочной и антипробуксовочной системы, ввести его в сервисный режим и принудительно закрыть клапаны (данный режим используется для замены тормозной жидкости). В этом случае на педаль тормоза будет просто невозможно нажать.
Таким же образом можно закрыть один или несколько клапанов и включить насос жидкости, что приведет к подтормаживанию колес по правому или левому борту машины. Если выполнить это на скорости, то автомобиль уведет в сторону. Кроме того, есть возможность отправить по среднескоростной шине команды о срабатывании датчиков удара, что, в свою очередь, приведет к срабатыванию одной или
HS-CAN (500 kbps) £
РСМ
□с
I Keyless
MS-CAN (100 kbps)£;
Ж
I SEAT I
LS-CAN (33 kbps)
X
АПК
I OBDII |
I
I GPS I I IPDM
А\г Вад
X
I Hatch |
It
X
VI-CAN (500 kbps)£
I Audio | | Camera I | BlueTooth]
Display
zu:
Рис. 1. Подключение АПК
нескольких подушек безопасности. Таких примеров может быть множество.
Реализация описанных выше атак злоумышленника осуществляется посредством внедренных в систему автомобиля жучков.
Для обнаружения жучка в бортовой системе автомобиля предлагается использовать специально разработанный программно-аппаратный комплекс (АПК). Он подключается к CAN-шинам автомобиля и производит сканирование радиоволны от возможной передачи данных жучку (рис. 1).
Существуют 2 основных метода обнаружения и защиты от несанкционированного подключения: Л мониторинг резистивного и емкостного состояния шин;
блокировка команд, вводящих один или несколько блоков в сервисный режим.
Рассмотрим данные методы подробнее.
Мониторинг резистивного и емкостного состояния шин
Подключение любого дополнительного устройства влечет за собой умень-
Шина САМ
1
Трансивер
Устройство 1 Устройство 2
1
Трансивер
Устройство 3
1
Трансивер
Устройство 4
Автомобиль
Рис. 2. Дополнительное устройство на шине CAN
шение сопротивления и увеличение емкости на шине. Для проведения подобного мониторинга необходимо ввести в систему трансивер. Рассмотрим более детально такой трансивер. Каждый трансивер имеет сопротивление по CAN порядка 50 кОм, что позволяет обнаружить дополнительно подключенное устройство, т.к. общее сопротивление на шине снижается с каждым подключенным устройством. Кроме того, трансивер имеет внутреннюю емкость по CAN порядка 10 пико-фарад (пФ), что позволяет обнаружить неавторизованное устройство за счет того, что общая емкость при подключении такового возрастает. Подключение дополнительного
устройства к шине CAN проиллюстрировано рис. 2.
Блокировка команд, вводящих один или несколько блоков в сервисный режим
Жучок
АПК
Итог
Рис. 3. Защита от вредоносной последовательности
Блокировка команд достигается принудительным изменением состояния шины с доминантного на рецессивное, тем самым не давая последовательности отработать до конца (рис. 3). Как показано на рис. 3, принудительно поднимая логический уровень на шине можно получить совсем иную команду, которая не позволит ввести блоки в сервисный режим, тем самым защитить автомобиль.
В более подробном рассмотрении этот механизм защиты выглядит следующим образом. Для начала проводится проверка наличия вредоносной последовательности, которая состоит минимум из трех команд. При регистрации двух таких команд проводится дезактивация второй из них. Далее следует проверка состояния блоков: если имеются блоки в сервисном режиме, они из этого режима выводятся. Затем система подает отчетный сигнал об атаке.
Далее проверяются резистивно-ем-костные характеристики шины и их сравнение с эталонным состоянием для данного автомобиля. При обнаружении несоответствий система подает сигнал об атаке.
Затем проводится проверка наличия внешних радиоволн. При обнаружении таковых в первую очередь проводится анализ источника, чтобы исклю-
чить возможность не имеющих отношения к атаке волн (мобильная связь, Wi-Fi). Если вредоносные волны выявлены и проверены, система подает сигнал об атаке.
Предложенный в статье программно-аппаратный комплекс позволит значительно повысить уровень защищенности инфраструктуры автомобиля от вмешательства злоумышленника
Литература
1. Miucic R., Mahmud S.M. Wireless Reprogramming of Vehicle Electronic Control Units./ 5th IEEE Consumer Communications and Networking Conference, 2008. — Pages 754 — 755.
2. Vijay E.V., Rao C.V.R., Kumar E.V., Swamy G.N. Electronic control unit for an adaptive cruise control system. & engine management system, in a vehicle using electronic fuel injection./ International Conference on Emerging Trends in Robotics and. Communication. Technologies (INTERACT), 2010. — Pages 143 — 146.
3. Klausner M., Dietrich A., Hathout J.-P., Springer A., Seubert B., Stumpp P. Vehicle data management system, with remote access to electronic control unit-internal states./ International Conference on Advanced. Driver Assistance Systems (IEE Conf. Publ. No. 483), 2001. — Pages 68 — 72.
4. Wang Tianxu, Gong Mingde. Design electronic control unit of blend brake system, for heavy vehicle./ International Conference on Electronic and. Mechanical Engineering and Information Technology (EMEIT), 2011 — Volume 4. — Pages 1791 — 1794.
5. Novak J., Kocourek P. Automated. Testing of Electronic Control Units Compatibility in Vehicle CAN Networks./ Proceedings of the IEEE International Symposium, on Industrial Electronics, 2005. — Volume 4. — Pages 1423 — 1428.
6. Обмен данными посредством, шины. CAN I. Основы.. Программа самообучения. 238./ ООО «ФОЛЬКСВАГЕН Груп Рус», по состоянию на 10/01. URL: http:// www.autodela.ru/assets/files/books/VW/238_Shina_dannih_%20CAN%20I.pdf.
