BSIDESKyiv 2018 - ALEXANDER OLENYEV CAR HACKING: TODAY AND TOMORROW

и одно из направлений в котором мы работаем мы собственно компания связанная с автомобилем это connected к разрешение то есть устройство которое устанавливается в автомобиль слава богу устройство не наши она собирает телематические данные отправляют их облака для последующей обработки и представлению пользователю в удобоваримым виде там мобильным приложением в порталом и так далее я занимаюсь как раз низкоуровневой частью которая собственно интерфейс с автомобилем и во взаимодействии работа с ним и вот хочу с вами поделиться своими мыслями о том что у нас в данный момент вообще происходит автомобильной индустрии из частности с безопасностью и что с этим дальше делать вот этой вот машине мы немножко позже вернемся современные автомобили это уже давно не во первых не паровая машина да это даже

не механический конь наше время в автомобиле очень много электроники по количеству чипов и вообще начинки современный автомобиль он даже по хлеще чем самолет да и в принципе наверное в разы производительнее чем тот же аполлон-11 который доставил человека на луну большинство автомобилей я имею виду новых моделей они уже полу-автономных об автономности и про софт равен мы еще не говорим но такие фишки казалось бы простые как самостоятельная парковка да в новых там мерсах бмв это уже стандартная фича в удаленный старт-стоп автоматическое соблюдение дороги и ориентировка по разметке таких вещь появляется все больше и больше кроме того практически все новые автомобили подключены к интернету безопасность же все еще в автомобильной индустрии находится в зародыше просто по поводу этого еще не задумываясь вот

автоиндустрия чем-то напоминает aiuti воду так 3-4 назад когда про безопасность еще вообще не думали летят вперёд технологии давайте все везде подключать а про безопасность еще не особо и подумали ну естественно чем дороже автомобиль тем больше он напичкан электроникой и тем больше там потенциальных уязвимостей и вообще способов влезть и что-то там изменить или поломать внутри автомобиля становится естественно в разы больше современных автомобилях основой до единицей вычислительной мощности является electronic control unit is you это по сути небольшой блочок в современных автомобилях их может быть от 50 до 150 который выполняет строго какую-то определенную функцию ну например один отвечает за впрыск топлива это чисто его функция другой отвечает за переключение передач на трансмиссию 3 отвечает за усилитель руля

электрический 4 занимаются управлением педалями а педали у нас уже давно не механические а это просто кнопочки которые вы давите ногами возможно не кнопочки я там преобразователи из угла в напряжения а вся логика и все управление происходит уже давно на электронном уровне то же самое происходит с рулем вы просто поворачиваете какую-то колонку а там дальше идет электрический усилитель уже даже не hydra который вам собственно помогает в разы удобнее и проще пользоваться автомобилем это системы и таисию которая контролирует abs систему торможения систему стабилизации впрыск топлива зажигания все все все здесь вы видите они разделены по некоторым категориям powertrain то что отвечает собственно за ходовую часть шоссе то что отвечает за нормальную поведение автомобиля на дороге естественно есть

отдельное и сью которые управляют светом дворниками мультимедиа системой охлаждением парковочными сенсорами и так далее так далее у вас еще есть огромная евенко до аудио-видео entertainment system которая тоже куча электроники это всё между собой связано на самом деле внутри автомобиля тонны кода по недавнему исследованию наса они сравнили количество строк кода которая содержится в среднестатистическом автомобили это вот верхняя полосочка да там порядка 90 100 миллионов строк в одном автомобиле и здесь вам есть га сравнение еще facebook windows сколько кода используется в коллайдере боинг там chrome истребитель f-22 космический шаттл понятно чем меньше кода тем надежнее это логично вот эти все и сию между собой должны как-то связываться именно для этого в автомобиле есть целая куча шин ну естественно кроме вот этих

пяти что это за шины а это по сути информационные жилы по которым течет вся информация и все эти и сию обмениваются между собой данными если раньше когда автомобили были еще практически полностью механическими начали появляться некоторые электронные компоненты все равно от приборной панели вот дешворда от всех control of шли индивидуальные проводки каждому устройству внутри автомобиля внутри все компоненты были соединены отдельно проводами point-to-point соединение то с появлением can-шины который разрабатывал bosch 80-х впервые в автомобилях внедрил бмв в 95-м или девяносто шестом году они на одном автомобиле смогли сэкономить до 40 килограммов меди просто за счет экономии проводов более легковесные варианты это еще линши на по которой обычно ну то есть по can шине обмениваются практически все необходимые для минимального функционала

автомобиля устройство полин шине on кононов она в отличие от к на однопроводная то есть еще меньше проводов они усыпляют какие-то дешевые устройства типа стеклоподъемников иммобилайзера дверные замки и прочее прочее флаг ссср и это все еще существующей стандарт которому правда не отдают приоритет и новые производители по нему работает например система brake боевая accelerate бауэр стир боевая то есть по одному проводу практически от вашей педали кнопочки идет информационный сигнал и управляет там шторкой карбюратора далее заслонкой двигатель и отдельно это мост система медиа по сути помосту общаются между собой все высоко скоростные интерфейсы для обмена видео аудио то есть сиди ресиверы которые стоят в багажнике этом видео системы и так далее и так далее вот они у себя используют ethernet повально

во всех автомобилях используются именно коншина де факто она стала стандартом и с 2005 года она обязательно во всех автомобилях которые выпускаются в с 2008 соединенных штатах что это вообще такое и то двухпроводная шина то есть у вас есть два проводника по сути которым параллельно подключаются все все все устройства то есть вам нужно всего два провода еще 3 общей который земля соответственно именно по этим данным по этим проводам летят все данные но здесь вы видите справа такая схематическое изображение у вас есть естественно какой-то центральный контроллер гей твой в современных автомобилях коншин бывает ни одна несколько они разделяются по функциям но все равно gateway отвечает за взаимодействие между ними то есть у вас can шине подключается приборная

панель контроллер двигателя контроля впрыска топлива и все-все-все вот что я перечислял на прошлых слайда так как она изначально именно для автомобильной индустрии не разрабатывалось но хорошо подошла изначально в ней не закладывали те идеи которые нам бы сейчас пригодились в текущей нашей ситуации с подключенными машинами максимальная скорость обмена данными всего лишь 1 мегабит в секунду что довольно-таки мало причем в пакете в одном может быть до восьми байт соответственно здесь у вас очень узкое пространство для того чтобы куда то там еще влепить шифрование у вас будет over трафик большой казалось бы можно просто взять ethernet да и использовать его но автомобильная индустрия настолько консервативно наверное это наверно одна из самых консервативных вообще индустрии производства поэтому там вот так вот все

легко поменять естественно невозможно еще один важный нюанс который есть эта шина по сути в которой все слышат все то есть у вас на этой шине сидит там 50100 устройств они все отправляют в нее данные и принимает из нее данные соответственно все устройства видят и слышат все что отправляют другие а просто потом для себя отфильтровывает то что им нужно и собственно это как-то реагирует или изменяют ход проведения автомобиля сообщение которое летает скольжение можно условно поделить на три класса это информационное по сути которая не какой пример информационного сообщения вы нажали на педаль передается угол педали газа вы повернули руль там модуль который отвечает за электрическое усиление руля передает текущей угол поворота эти сообщения транслируются с определенной регулярностью но если вы точно такие же

сообщение начнете отправлять шину ничего по сути не поменяется да у вас руль сам от этого не начнет поворачиваться совсем по-другому обстоят дела с управляющими сообщениями здесь например aps может отправить сигнал системе торможения для того чтобы она физически включила тормоз если вы подобное сообщение начнете отправлять шину с большой долей вероятности может произойти что машина среагирует точно так же на какое-то вообще левое сообщение и третий класс это диагностические очень часто и вообще это стандартном заложено в автомобилях необходимо наличие диагностического модуля который вам с легкостью сможет сказать где там какая неполадка за счет его очень большой сложности и наличие большого коли ства узлов просто так прозвонить мультиметром у вас уже проверить где что есть неисправна не получится именно

поэтому часто модули сами за себя говорят и вот я думаю вот эти обиде и tracker у кого есть автомобиль и наверное сталкивались они вам банально могут показать список каких-то ошибок которые в данный момент у вас присутствует и вы тогда пойди на авторизованный сервис где еще специальным сканером эту машину более глубокое диагностическое сканирование и выполнит определят неисправность он заменит компоненты или что-то почистят или обновить прошивку и так далее какие существуют данный момент проблемы ну во первых это огромное количество узлов и чрезмерная сложность взаимодействия между ними внутри автомобиля как я думаю вы уже успели понять can шине вообще отсутствует проверка подлинности сообщения в принципе на уровне архитектуры устройства например какой то модуль принимает сигнал например вот какого-то другого модуля он не знает

действительно это тот сигнал который был отправлен или это кто-то еще подключился к can-шине и шлет туда что-то другое отсутствует шифрование сообщений как таковое то есть все данные летают в сыром виде единственный нюанс который немного осложняет работу хакеров взломщиков том что коншина вам стандартизировать только нижние уровни модели osi грубо говоря транспорт на это максимум все что идет сверху то есть в какие пакеты под какими а идиш никами какие данные вкладывать ну например на в пакете с айди 18 в пятом байте хранится текущее значение угла педали тормоза или педали акселератора в каких пакетах какие данные летают это определяет каждый производитель по-своему эта информация которую они не разглашают но которую относительно несложно можно вычислить ривер snuff этот весь протокол более

того у одного и того же производителя от модели к модели вот этот имплементация того какие данные под какими псевдонимами летают меняется более того у одной и той же модели разных годов или разных рынков она тоже может быть по другому соответственно если вы хотите иметь какое-то устройство которое будет например собирать телематику и вы хотите там добавить или установить сигнализацию у современных сигнализаций у них есть там функция например поставить снять с охраны с отправив команды они заставляют машину стать на свою штатную либо можно вообще удаленно запустить остановить двигатель что для этого нужно вот это устройство до сигнализация которую вы туда еще доставили она должна знать какие пакеты с какой последовательностью с какими задержками с какими данными отправить и только

тогда машина среагируют как должна соответственно что делают производители тех же автосигнализации они берут автомобиль на грузовом лифте рассказываю про одного из про одну из компаний с которыми работы у них есть грузовой лифт на улице

там соответственно они разбирают полностью высматривают что где происходит спустя там неделю у них есть полностью риверс ну ты и протокол дав какие данные где находятся соответственно это сигнализация просто будучи условленной машине и подключена двумя проводами и больше даже ничего не нужна она может увидеть там обороты температуру двигателя уровень топлива может сама поставить снять с охраны открыть закрыть замки может удаленно запустить двигатель может заблокировать запуск двигателя и так далее и так далее если у вас есть естественно эта информация там в открытом доступе не имеется но что-то подобное можно даже сделать самому имея несколько нехитрых устройств еще одна проблема это в том что современные машины имеют очень много модулей которые связываются будь то с вашим смартфоном будь то просто с интернет да по

gsm-связи раздает вайфай точки и так далее и так далее и они собственно представляют собой одну из наибольших уязвимостей по той простой причине что таким образом автомобиль можно хакнуть удаленно а используя просто какой-то коммуникационный канал так вот зачастую те модули которые стучатся в интернет а не физический и никак не изолирован от всех остальных модуль поэтому единоразово хакнул в какой-то коннект это интерфейс например там аудио-видео систем вы получив доступ заменен на ней прошивку там какой-нибудь ремонт кодексе кувшин банально во 2 слова так или что-то подобное заменив или там исполнен на ней какой-то свой кусочек кода вы получаете практически доступ к can-шине и можете туда слать что угодно еще одна проблема это то что я уже так сколь сказал это не

стандартизации то есть каждый производитель решает свои проблемы по-своему и эти все инициативы они идут как лебеди рак и щука в разные стороны тоже довольно таки серьезная проблема что в данный момент можно сделать с автомобилем практически все самое простое это перехватить управление ну банально ускорить или отключить тормоза повернуть рулевую колонку при определенных условиях и он сейчас даже видео демонстрации покажу выключить двигатель пока там машина едет где-нибудь по трассе или просто заблокировать ее удаленно и там бумажечку на капоте оставить как с номерами прослушивать салон так как у вас есть audiovideo система до в ней сто пудово есть микрофон вы же хотите по блютусу через автомобиль разговаривать с кем-то по своему телефону микрофон там уже есть соответственно не исключено что можно

получить доступ к этому метка водителя маленький брелочек который чаще всего используется для того чтобы автомобилем нельзя был автомобиль нельзя было завести пока водитель находится где-то далеко это сейчас используется практически во всех ключах там ставится маленькая батарейка есть маленький чип собственно возле ключа в ключевых автомобилях да где есть ключ еще по-прежнему вы когда вставляете замок в ключ в замок зажигания соответственно там между собой происходит общение между автомобилем ключом если они опознали друг друга когда автомобиль там разблокируется работу стартера и топливного насоса например тогда вы сможете собственно завести автомобиль и поехать те автомобили у которых кнопка старт-стоп там ключах такового вообще не всем там не используется тогда просто если метка находится внутри салона тогда возможен запуск автомобиля так вот вот эти все

метки особенно стоковые до которые идут с автомобилями с завода тоже можете просто на youtube и набрать киев ремонт sniffing и увидеть несколько вариантов где собственно банально можно эту метку угнать либо повторить либо вообще угнать автомобиль пока вы сидите где-то в starbucks открыть замок снять с охраны угнать автомобиль соответственно это тоже понятно отслеживать местоположение у вас в машине есть навигационная система вот это примерно в сторону прослушки салона можно как-то за спамить внутренние системы автомобиля чтобы он либо резко остановился либо что-то отказала но это уже такие более гипотетические сценарии но как то нарушили работу систем безопасности которые вообще обеспечивают работу автомобиля ну и в крайнем случае всегда из автомобиля можно сделать какой-нибудь свою моду ботнета про всякие китайские роутер и и прочие

вот буквально года не прошло к это все отгремела ждите то же самое будет в автомобилях я вам гарантирую про вот это все знает уже довольно-таки давно но серьезно задумываться насчет безопасности в автомобилях начали относительно недавно вот эти два парня я думаю вы даже могли видеть видео про них чарли миллер и крис волосик один работает в твиттере работал экспертом по безопасности в стиле нет они после этого уже поработали из убером из по моему маска они засветились в свое время они взяли грант darpa это оборонное знаете предприятие в соединенных штатах бостон дайнэмикс это все вот оттуда да вот эти бегающие собаки роботы в тринадцатом году они когда выиграли этот грант получили его несчастных 80000 долларов на которой они

купили два автомобиля toyota prius и по моему ford какое-то еще и у них было немного еще денег на то чтобы собственно разработать какие-то инструменты что-то сделать в тринадцатом году они смогли и хакнуть автомобиль подключившись к нему проводами то есть они разобрали приборную панель сидели на заднем сиденье с ноутбуком соответственно будучи подключенными сразу кончине отправляли туда некоторую информацию и смогли таким образом покрутить рулем отключить тормоза они смогли самая банальная там просто включить сирену на постоянку тоже мало и удовольствие в пятнадцатом же году вот это то что вы наверное кто-то из вас мог видеть в интернете они удаленно хакнули jeep cherokee то есть в этот раз после 13 года когда они показали что вот смотрите что мы

можем и никто от этого не защищен особо автопроизводители не начали реагировать но они говорят ну смотрите вы же сидели в машине разобрали полкорпуса подключились провода миссии все сидите делаете так каждый может давайте покажите нам чтобы можно было сидеть и не будет там в двух кварталах которые в другом городе и тогда ребята зашевелится вот в 15-м году это у них получилось и после этого автомобильная индустрия начала срочно мобилизироваться и думать вообще о том как защищать автомобили от подобных атак хочу показать небольшое видео как это собственно происходило они сидят это вот видео атаки на джип они сидят у себя где-то в укромном местечке вот здесь должна была быть фраза типа несмотря ни на что не паникуй и типа все будет нормально вот это был

первый х где они сидели на заднем сидении в приусе после этого они начали доставать этого журналистов уайлд они включили на всю музыку радио на жесткую громкость вот судя по всему это подождите давайте попробую со звуком сейчас так и сделаю

садыков читала оля улучшить столицу . [музыка]

[музыка]

[музыка]

[музыка]

[музыка] они теперь решили обратно двигателями машины не запускается после этого они еще показали кусочек демонстрации где они на вот этот хак был возможен на больших скоростях с блокировкой двигателя остановка этом управление всей практически всеми аксессуарами управление рулевой колодка и было доступно только на низких скоростях когда работает автоматическая система парковки в автомобиле это предусмотрена и банально ограничено максимальная скорость при которой можно управлять рулевой колонкой вот они собственно выбрались на улицу и решили это продемонстрировать lax

[музыка]

а вот чему это была картинка на заглавном слайде именно после вот этих видео ребята начали ну то есть вся автоиндустрия начала реально беспокоиться ну потому что в чем в чем вообще была идея их атаки это был джип grand cherokee у них есть и там уже была в 15-м году внедрена connected к разрешение то есть внутри автомобиля стоит 3g модем спринтерский там стоит симкарта и он соответственно периодически отправляя данные этом есть мобильное приложение для удаленного управления все что ребята сделали это осознали что имея дешевые там 50 долларов и телефон в той же сети что и он там сначала они думали что им нужно находиться хотя бы в той же сети в которой находится автомобиль потом выяснилось что им даже достаточно

находиться просто в той же сети национального оператора спринт по сути что они сделали они удаленно используя специальный режим работы в том мобильном телефоне подключились к магнитоле внутри этого джипа перепрошили его и собственно смогли отправлять что угодно в can шину то о чем я говорил вот она уже работает три года назад после этого конечно все очень сильно то есть это видео наконец-то на автопроизводители подействовало и они начали шевелиться какие собственно могут быть векторы атаки на автомобиле ну в первую очередь это can шина при чем здесь есть два варианта либо вы локально подключаетесь к ней проводами и просто отправляете и какие то сообщения со своего внешнего устройства это не так эффектно да это может работать когда у вас автомобиль

запаркован и там рядом больше никого нет теоретически можно подойти подключиться и что-то сделать это удаленный доступ к ну вот через какие-то мультимедиа системы connected решения и так далее это работа с метками водителей такие fob из иммобилайзерами это работа с infotainment system и через любые интерфейс и вайфай и bluetooth через юсб увожу штамп скорее всего есть и избегнут и infotainment это хакинг каких-то просто телематических устройств или даже мобильного приложения с помощью которого вы можете управлять автомобилем то есть безопасность автомобиля который connected она далеко не в самом ум и над далеко не самим автомобилем оканчивается оно оканчивается всей инфраструктурой которые тафта этот автомобиль обслуживает с одной стороны у вас должно быть все в порядке в автомобиле с другой

стороны в коммуникационных каналах между автомобилем и там серверами мобильным приложением какими-то другими устройствами и в самом приложении том же мобильном или там в портале это все та же подвержены атакам ну и последнее пока что еще футуристическое это системы связи и why can't we call it infrastructure да это когда у нас будет умные города там автомобили будут между собой общаться и сообщать свою текущую позицию для того чтобы они там самостоятельно разгуливали проблемы на дороге там светофор будет заранее отправлять время через который он будет переключиться переключаться и автомобиль сами примет решение успевает он не успевает там вариантов много начнем естественно и теперь мы чуть чуть подробнее разберем некоторые из этих пунктов естественно самое интересное то поковыряться в машине разобрать проводку

там нужно найти витую парочку которая являет собой коншина практически вот если так закрыть глаза и просто вот вся снять там несколько панелей дашборд вот так просто закрыл глаза ткнуть пальцем вы с вероятностью практически 100 процентов там в радиусе руки найдете провода can-шины найти его автомобиль и вообще не проблема все что вам нужно иметь это либо логический анализатор вот либо какой-то хороший навороченный либо вот такой простой китайский клон за 5 баксов что это такое это небольшое устройство которое смотрит логические уровни в той же can шине и соответственно выдает вам поток 0 единичек дальше у вас еще есть какой-то программный декодер которым вы это все соответственно де шифруете в сообщении и видите что происходит в can шине гораздо

конечно удобнее это использовать специализированный снифер can-шины такое устройство можно собрать за пять долларов вот это устройство собирал я сам ну потому что оно мне для работы необходимо значит здесь есть и какой-нибудь микроконтроллер но я пользуюсь с темпами поэтому вот эта вся плата стоит 2 доллара мне было лень брать долларов 80 мне конкретно этом чипе который просто самый массовый нету 1 нельзя одновременно использовать can i use поэтому я взял просто 21 работает как can you are 2 работает как you are two избе плюс вам все что нужен это еще трансивер до физический уровень к на и там буквально чуть-чуть обвязки все за пять или там 7 долларов вы получаете готовое устройство которое может вам видеть весь

трафик в can шине и вывести его себе на ноутбук на ноутбук с точки зрения тузов вы можете пользоваться например коли plus white shark can очень легко с помощью соки тк она становится с эльканом это такой же интерфейс открываемого и shark и просто видим все пакеты а ну там есть альтернативы под другие операционки как выглядит работа с can шиной реверс can-шины чтобы собственно узнать каких пакетах какие данные лежат вот это вам о чем-нибудь говорит артмани один-в-один ребята вам нужно иметь физический доступ к автомобилю естественно и дальше вы сидите и с ним там пару дней играетесь в атмане начинаете крутить ручки смотрите что происходит ну абсолютно аналогичным образом исключать и смотреть что там вообще где нет автомобиль при этом не

изменен до но мы таким образом можем легко определить где у нас какие данные в таких пакетах вот это основная ценность чтобы потом можно было либо воспроизвести эти данные и таким образом внешним устройством вот этот же несчастный конце эфир он умеет и отправлять данные в шину тоже вот соответственно либо вы просто будете дублировать то что вы прочитали либо отправлять какие-то другие сообщения например хотите сбить с толку какой-то модуль вы соответственно отправляете сообщение с не правильными данными дай начинаете их просто спамить с адской скоростью и рано или поздно у него заболит голова для того чтобы такой вариант легко позволяет выяснить где в can шине находятся такие статус и угол педали включено выключено я какая-то кнопка actuator дворники поворотники и

там и так далее и так далее для того чтобы риверс нуть команды которые нужно отправлять can шину чтобы автомобиль как-то среагировал здесь естественно нужно немного больше времени и сил потратить что по сути делают берут автомобиль если у вас есть достаточно столько денег да то есть работать с can шиной вообще хачить машин это дорогое удовольствие да вот это туза стоит 5 долларов до коробочка но вам ещё нужен автомобиль и собственно чтобы вы были готовы его потерять ну что чего нибудь там на полу жили все пора заказывать какую запчасть черти за сколько день ну и гарантий естественно вы сразу же от производителя потеряете что по сути делают берут индивидуальные какие-то модули да и сию помните у них там

функции у каждого я имею по функциям они разделяются отключают его и по сути портирует весь трафик который между и мы остальным автомобилем летает таким образом пытаются вычислять собственной какая информация летает между этими модулями если у вас нет возможности взять целый автомобиль вы можете купить какие-то куски электронных блоков остальное эмулировать самостоятельно либо просто вот на столе собрать какой то типа автомобиль да то есть он будет думать что он находится в автомобиле а вы просто будете смотреть весь трафик который там летает но это я так час вы будете смотреть весь трафик вы там может можете на это убить и месяц если не полгода чтобы что-нибудь расковырять естественно то что в автомобиле не предусмотрено для управления пока ну просто аппаратное

ограничение до него в ниве вообще кананит там он не нужен я по своей работе последнее время часто имею дело с индийским автопромом там автомобиль среднем стоит до 10 тысяч долларов а то и 5 а то и четыре а то и там по моему самая дешевая было за 2 или 3 естественно там будут экономить максимально это мне такие навороченные машины как там хотя бы медиум сегмент у нас выйдешь посмотришь на улицу диву даешься какие автомобили ездят да прям здесь вот можно из окна выглянуть соответственно если это автопроизводителем не предусмотрено да то есть этим нельзя управлять пока ну они там что-то сэкономили взяли вместо электроники что-то по аналогу просто подсоединили проводами естественно вы это удаленно никак уже

сделать не сможете вот поэтому вот него это тачка которую нельзя захотите вам гарантируем в ланосе коншина есть к сожалению вот и после того как вы это все игра вилли до имеете какую-то информацию все что вам нужно это просто братья отправлять теперь эти данные в шину тут появляется небольшая проблема да то есть вы начинаете инжектить сообщение в существующую can шину ну это работает потому что нет никакой проверки подлинности соответственно те будьте блоки которым эти сообщения адресованы они вообще и понятия не имеют это отправляете их вы они соседней модуль который вам которого вы хотите подставить чаще всего в can шине сообщения отправляются периодически то есть у вас не отправляется одно сообщение на изменение статуса у вас эти

сообщения летят постоянно но просто модуль реагирует когда там произошло изменение статуса но сами сообщения летят с какой-то периодичностью первый вариант что вы можете сделать это просто за спамить такими же сообщениями тут есть у которой это отправляет он там сложит свои полномочия до и соответственно после этого коншина освободилась от тех фреймов которые вы хотите отправлять вы тогда спокойно начинаете отправлять свои альтернативный вариант это просто братья отправлять сообщение чаще тут просто зависит от того как какие сообщения вы хотите отправлять да какие параметры вы хотите изменять если это просто что-то информативная типа стрелки спидометра там естественно никакой проверки данных не происходит будете отправлять последовательность там в один момент времени у вас была скорость 100 километров час через пол секунды у вас

она стала 250 километров в час стрелка возьмет и начнет пытаться поворачиваться да или там цифровой индикатор там никакой проверки и усреднения данных нет каких-то более сложных модули они например смотрят десяток сообщений если там одно левое прилетела они его просто выброси а если они вид что сообщение не менялась тут какой то тут какое-то левое значение пролетела они его просто выбросят как с этим бороться просто начать отправлять чаще чем то что летит сейчас сделать чтобы правильное сообщение теперь стали левыми или лишними ну и совсем крутой хитрый джим это ввести этот я сию модуль который вы который вы хотите обмануть в режим обновления прошивки это делается точно также пока ну когда вы применяете например автомобиль к дилеру у него есть

специальный диагностический сканер которым он например может обновить прошивку какого-то модуля что он делает он же не идет там кнопочку рассветный в нем не зажимает правильно он подключается пока но отправляет определенную последовательность сигналов модуль перезагружается but not и соответственно него накатывается прошивка пока он сидит ввод воде естественно он свой функционал мне обеспечивает и отправлять свои данные в кончину не будет вот по сути что делали ребята джипом они вот-вот загоняли один из модулей которые переставлял отправлять данные вместо него начинали отправлять свои таким образом подставляя по сути то что физически летает в can шине из имея локальный доступ к can-шине можно много чего сделать не обязательно даже расковыривать автомобиль в каких-то моделях mazda на рубеже 10 12 14 годов

по моему mazda тройка их регулярно в том числе в киеве угоняли каким образом где-то вот честно сейчас не вспомню а если узнал наверное не сказал под крылом над колесом можно было там залезть и через определенную дырочку даже не открывая автомобиль добраться до кончины то есть там просто было очень криво разведена и был доступ can шине когда автомобиль вообще просто закрытом состоянии под охраной и так далее ребята отправляли то есть они находили эту can шину вам необязательно даже иметь или снялись чуть изоляции отправили несколько команд она снялась с охраны силе уехали таким образом в киеве была угнана очень много настроек буквально еще пару лет назад да конечно да тут смотря как это конструктивно сделано возможно он у него

про сами проводники изолированы внутри снаружи доступа нету если его отломать скорее всего начнет волноваться сигнализация потому что вы механические возмущение ей предадите нет у меня ни моста тройка у моего одногруппника mazda тройка было но пока не угнали альтернативные еще вариант это больше в сторону всяких лакшери автомобилей взять тот же porsche cayenne никогда по киева не видели porsche cayenne без фар и популярная штука там под к вернули фара выпадает как вы думаете как она подключена по can шине вот у вас сразу провода есть более того фару забрали с собой выставили на черном рынке я не рекомендации даю я просто рассказываю как делают в чем проб в чем проблема с этими фарами бедных владельцев калленов нет в лес-то такое

фара в момент первого соединения с автомобилем она с ним появится обменивается ключами она становится только его после того как файл вытащили к другому cayenne у ее уже не приделать никогда можно купить новую тысяч за 5 долларов в одну фару ставить она снова смириться и у вас новая фара гораздо проще пойти на черный рынок и начать искать свою чаще всего так и поступают фару вытащили а там у вас еще и коншина никто вам не мешает еще что-то туда отправить естественно вы для этого должны были провести там потратить кучу денег потратить кучу денег и отправлять собственно времени своего да и отправлять это все в коншин по поводу удаленного доступа здесь конечно фантазия может разгуляться куда угодно потому что чаще всего все модули сидят в

одной сети идеологически да у нас есть 1 кан который отвечает за ходовую другая коншина которая типа изолирована который отвечает за интерфейс и различные соответственно по идее между ними и взаимодействие быть не должно и должны стоять какие-то firewall и или прокси которая собственно будет изолировать это всё пропускать только то что можно скажу вам так за последние два года я river сил can шину примерно в 50 автомобилей вот только в одном это был более того коншина доступна в обиде коннекторе до в диагностическом по-хорошему через убеди коннектор диагностический вы можете только с помощью через убедить стандарт а это тоже использую обиде это по сути еще один из юна can шине вы ему отправляйте сообщения запросы например даме текущую

скорость или дай мне коды ошибок он вам отвечает по той же can шине теоретический и идеологически вот в этом убедить разъеме должен стоять какой-то прокси который будет разрешать поток трафика только убедить касательно современных же автомобилях там вы чили подключившись к обиде можете увидеть вообще все что происходит в автомобиле поэтому мне сейчас даже в последнее время не нужно разбирать приборную панель я просто в подключаюсь в обиде и начинают играться в артмани чем больше connects интерфейсов естественно тем больше уязвимостей потому что здесь мы уже выходим за пределы хакинга самого автомобиля его устройством достаточно хакнуть какой-то протокол или подключение внутри автомобиля а дальше мы запросто вот как ребята из джипа сможем отправлять просто сообщения в кончину уже валидный модулем то там будет тот же

принцип как у injection а но это будет список интерфейсов которым это можно сделать я думаю вы видите еще одна очень интересный сценарий атаки это - заметил для водительской метки что по сути происходит тут есть два варианта как сделать либо вы в начале имея специальную девайсе ну записываете тот сигнал который у вас отправляет ключ а у вас тут собственно define радио какой-нибудь вот чуть-чуть видно какой-то сигнал отправляется вы его записывайте потом воспроизводить и все автомобили у вас будет открываться закрываться

две беды тут от автомобиля к автомобилю есть разница у некоторых просто вшит какое-то ключи они им обменялись все нормально некоторые дают какую-то задачку она решается отправляет обратно результат тут еще зависит от автомобиля есть более интересные варианты как это делать у вас есть два ядерных чемоданчика один товарищ здесь например угнали мэрс возле дома по сути между ними есть радиосвязь один подходит к дому нащупывает где недалеко лежит меткой принимает его сигнал через свою радио связь транслирует второму которой стоит возле автомобиля автомобиль думает что ну то есть это просто удлинитель радиосигнала автомобиль думает что метка возле него заводится автомобиль и все вы можете уезжать

это повтор по моему вот соответственно человек уезжает если во время заведенного двигателя метку убрать из салона он вам просто пикнет на дашборде что парень что-то у тебя батарейка разрядилась наверное в метке пока у вас есть бензин и заведём двигатель вы можете ехать хоть через всю планету земля вам главное вовремя только заправляться вот выглядит это собственно вот таким образом то есть вы сначала одним модулем слушая эти сигнал метки и отправляете его ну то есть радиоудлинитель делаете двустороннюю коммуникацию такое очень часто например оставили автомобиль на парковке супермаркета и кто-то незаметно звание пристраивается с таким небольшим или сумка или кейс а мы просто идет возле вас радиус метки радиус работы метки и там 35 метров не обязательно даже находиться прямо непосредственно

возле вас естественно лучше ну да да да да согласен что же делать теперь вот с этим всем про что я вам рассказал него да это первый пункт критически важен новый какой-то интерфейс на замену can шине уже все автопроизводители понимают что коншина просто по своему принципу нет не позволит вам реализовать не шифрование не даже проверку а в античности целостности сообщений до подпись чтобы сейчас начать разрабатывать какой-то новый интерфейс у вас на этом и внедрить его автомобили у вас идет лет десять на учитывая консервативность автопроизводителей поэтому сейчас вот например nissan объявил о том что они будут пытаться поверх can-шины добавит шифрование то есть они поднимут уровень трафика там в несколько раз данной can шине но шифрование обеспечен

соответственно все эти и автосигнализации sniffer и они уже потеряют свою актуальность вот таким образом как временная затычка это можно использовать естественно необходимо какая-то авторизация модулей на то что они десятину то есть обязательно проверка аутентичности сообщения мы можем это либо подписывать либо шифровать то есть каждый модуль я сию внутри автомобиля должен быть каким-то образом авторизован этим могут заниматься они друг авторизовать друг друга либо один какой-то центральный модуль который этим будет заниматься и соответственно проверять валидные сообщения вообще летают в can шине или их отправляют а еще если их отправляет кто-то еще тогда возможно должна быть возможность маневра и тогда дружно все устройства переключаются на передачу данных в другом формате до или с другим ключом или с другой подписью тут необходима

гибкость естественно необходимые какие-то фаерволы и изоляция тех доменов которые работают с интернетом с облаком для того чтобы вот подобной ситуации как джипом когда получив доступ к магнитоле казалось бы что в этом сделаете а у вас полностью открыт весь автомобиль наизнанку и делайте с ним что хотите и естественно критично важно это возможность обновление по воздуху не для того чтобы вам нужно было вести автомобиль в к дилеру тратить на это кучу времени денег и сил да там будут обновлять каждый модуль у некоторых производителей в частности у той же теслы они уже разрабатывают обновление тех же модулей по воздуху плюс вам естественно нужно будет проверка проверка целостности прошивки и аутентичности но пока у нас с вами все подключено будут проблемы в том что в

той ситуации в которой мы находимся сейчас автомобилей не пользуйтесь connected к разрешение у меня все спасибо

вопросы у меня вопрос какая вообще от конструктивная логика за соединением всего в одну сеть даже не говоря о том что там это куча трафика лишнего куча всего да какая затем уже может быть логику подсоединять магнитолу к рулю или что-то в этом роде экономия денег проводов меньше провода это самая дорогой в автомобиле есть еще по поводу трафика коншина в среднем загружено не больше чем на 5 процентов то есть принципе там запас по трафику хороший и она по своей структуре позволяет делать сама и и физика создает арбитраж наши не просто устройство которое обладает меньшим айди то есть ближе к нулю выигрывает арбитраж физический уровень нет ни оптика это как правило дифференциальная пара

вот вопрос был по поводу того почему на оптику нельзя перейти на оптику можно перейти к на оптике есть те же мерсы допустим свои evolve щас делают никакой проблемы нет can-интерфейс как таковой регламентирует только доминантный рецессивный бит в оптике доминантным будет соответственно есть сигнал да то есть есть фотон рецессивным нет фотона то есть она подходит идеально еще вопросы задавал не до конца понятно насчет индивидуальность внутри общение по can шине то есть ты говоришь что она никак не определяет какой модуль ему что отсылает но при этом тоже пора к янская может бен делиться на верх она еще конечно есть целая куча разных протоколов где уже поверх can-шины вот в эти байты что вкладывается то есть в к

иене это реализовано там еще есть определенный стек поверх которой это реализует в большинстве же вот более дешевом сегменте там вот все летит сыром виде на это и ориентирован в первую очередь вопрос еще ну тогда у меня вопрос значит can шина шина предполагает выбор и правильно коншина предполагает выбор и кто и сью кто сенсор и так далее как эти выборы проходят и как на это можно повлиять ну здесь единственное что есть это арбитраж то есть кто в данный момент выигрывает время наши ни кто из них то есть все модули производитель когда спроектирует автомобили он заранее закладывает что например этот модуль будет отправлять данные под таким-то айтишником в таком-то байте и все остальные модули об этом тоже

знают тут вот таким образом

маленький вопрос насчет перехвата трафик от конкретного устройства для того чтобы понять что он посылает и как как именно о чем не работает грубо говоря просеивание отсеивание сигналов то есть берешь например за 10 минут какой там время выборку всего чтобы не проходит танака это нажимаешь на педаль тормоза записываешь отдельно там одну секундочку от нажимал на тормоз и там смотрят что изменилось к новый сигнал появился к новой точнее пакет появился в сети то есть также пойди тоже можно оценивать риски это проблемы с таким подходом сути это оно и есть но здесь ты ничего не нужно разбирать машину ты можешь просто получится себе по обиде 2 и все и слушать а потом отсеивать нукаба из разных наборов из разных потоков

трафика и так мы собственно вот то что я описывал это она и есть подключаемся к шине и науки просто рассказал отдельно про то что можно поставить перехватчик сигнала между конкретным устройством и can шиной слушать типа прям то что с него упала так вот я про это и говорил да это можно избежать получается если просто палубе redwap отличиться служат всю машину но не нужно разбирать свои сделать ее там прямо сюда но так вы не узнаем конкретно что модуль отправляет мы будем видеть все но от кого она конкретно мы не узнаем но если мы будем пользоваться таким образом мы легко от 7 и узнаем а вот команды управления здесь уже нужно знать что конкретно от какого модуля отправляется но команд рублей не

что же везде как команда что управление наш тоже подкаст и будет и навсегда ну вот ну нажимаешь на тормоз как бы смотришь прошло после нажать на тормоза изменилось всегда лишь драки новый пакет и появились ну с тормозом там все просто когда например нужно завести удаленно двигатель там отправляется 15 20 разных команд новый вы сиять их ну то есть can шине там тысячи сообщений в секунду если не больше одновременно не одновременно естественно друг за другом поток нас ну это не так просто на практике окей на вопрос про сложности такого подхода что это не получится с удаленных забота понятному штуки то есть примеры и в принципе все спасибо все вопрос еще до спасибо все что я просто сделал это вот

у меня есть коншина из целых двух нот да вот у меня одна и вот вторая они сейчас между собой обмениваются информацией а вот это собственно тот снифер который он показывал на слайде вот сейчас например вам покажу как это работает до

это же убери же 11 вот соответственно вы можете видеть сверху меня тикают сообщение в can шине даст какой-то просто определенной периодичностью слева я вижу айдишник они у меня по нему сортируются справа у меня летят данные остается только сидеть и слушать [аплодисменты]