Nesten alle biler har en alvorlig IT-sårbarhet som ikke kan fjernes

[Civilix]

Er det ikke ganske vanskelig å fysisk kutte kablene til en bil i fart? Dersom en kritisk enhet mangler i nettverket i det bilen skal startes opp, vil jeg tro at det blinkes litt med varsellampene.

 

Hvis en enhet feiler grunnet dette angrepet vil også en varsellampe lyse opp.

 

Tror ikke Tesla er sårbar denne gangen, de er en av få (eneste?) bilmerker som bruker to separate CAN-bus med en Linux gateway imellom. Det eneste du får muligheten til å gjøre i fra bilens CAN-bus port er å spørre pent om at bilen skal gjøre ting som den bare utfører hvis nødvendige kriterier er oppfylt.

Sier selvsagt ikke at Tesla er usårbare, bare at akkurat dette angrepet mener jeg de ikke er sårbare for. Så kanskje overskriften hadde passet bedre om den sa «alle nyere biler, unntatt Tesla» =).

 

Mange(de fleste) biler har to forskjellige nett som er enten er helt separate eller har en form for brannvegg mellom seg, dette er grunnen til at de fleste er ganske godt beskyttet mot å bli tuklet med via integrerte kommunikasjonsløsninger.

 

Problemet er at når vil forsikringsselskapa at du kobler den sikra delen av nettet rett ut på internett med odb-kontaktene.

 

Eller så vil man fortsatt med fysisk tilgang på bilen kunne koble seg til det sikre bus-nettverket og skape problemer, man bruker bare ikke kontakten som tesla vil at du skal bruke.

[Harald Brombach (digi.no)]

Hvis en enhet feiler grunnet dette angrepet vil også en varsellampe lyse opp.

 

Hvordan skjer i så fall det, sånn rent praktisk? At en eller annen kontrollenhet koblet til varsellampene ber alle andre enheter om status før motoren startes opp, er nå en ting. Men gjør den det mer eller mindre kontinuerlig?

 

Eller er det slik at enhetene selv varsler kontrollenheten når det er en feil ved dem? Jeg regner med at du ser svakheten ved det siste.

 

Mange(de fleste) biler har to forskjellige nett som er enten er helt separate eller har en form for brannvegg mellom seg, dette er grunnen til at de fleste er ganske godt beskyttet mot å bli tuklet med via integrerte kommunikasjonsløsninger.

 

Det er godt mulig at du har rett, men forskerne er tydeligvis av en annen mening, siden det er nettopp slik nettverkssegmentering de foreslår som et av tiltakene.

[Harald Brombach (digi.no)]

Nekter ikke for at du har gode poenger. Men det betyr ikke at det ikke finnes scenarier hvor et slik angrep som beskrevet er mer hensiktsmessig enn andre former for angrep.

 

Jeg mener ikke at man skal gå rundt å være redd for at noe av dette skjer. Sannsynligheten er jo mikroskopisk, i alle fall så lenge bilen ikke er koblet til internett på noen måte. Samtidig er det nok ikke uten grunn til at mange nå har satt søkelyset på IT-sikkerheten til biler, som stadig får mer funksjonalitet som kan utnyttes til å gjøre skade.

[tommyb]

For å ta dette innenfra og utover, og slik min subjektive oppfattelse av hvordan ting må ha skjedd, så var det liten grunn tidligere til å bygge disse systemene med beskyttelse mot annet enn programmeringsfeil. Men litt etter litt har det vært ønske om å utvide litt her og litt der, samtidig som bilene har begynt å bruke mer automatikk og sensorer. Underveis har det vært naturlig å bare legge til det som er nytt. Jeg kjenner meg igjen i det; på ett tidspunkt er det åpenbart at man har strukket systemet lengre enn det bør, men man skal bare legge til én liten ting. Man kan ikke ta kostnaden på å lage hele systemet fra scratch bare for den lille tingen, og spesielt ikke når det er en standard som brukes på tvers av alle som alle bare skal legge til én liten ting.

 

Det største hoppet, slik jeg ser det, var når de koblet sammen andre systemer med multimedia. En åpenbar funksjon fordi man ikke skulle trenge to skjermer for å styre f.eks. musikk og aircondition, man kunne dele denne og det ville være bedre. Da var tidspunktet de skulle revurdert arkitekturen fra bånn av. Selv da var det ikke åpenbart at dette ville være en sikkerhetstrussel mot angrep, men da ble det slik at bugs i multimediesystemet i verste fall kan blokkere driftssystemer. 

Så kom bluetooth, så kom wifi, og alle disse var bare naturlige forlengelser av et system som burde vært remodellert lenge før. 

 

Den dagen de begynner å betale ut erstatninger for folk som dør er det tidspunktet hvor det blir økonomisk lønnsomt å lage et nytt system fra bunnen av. Da henter de kanskje inn ferdige løsninger fra IT-selskaper, hvem vet. 

[Civilix]

Hvordan skjer i så fall det, sånn rent praktisk? At en eller annen kontrollenhet koblet til varsellampene ber alle andre enheter om status før motoren startes opp, er nå en ting. Men gjør den det mer eller mindre kontinuerlig?

Eller er det slik at enhetene selv varsler kontrollenheten når det er en feil ved dem? Jeg regner med at du ser svakheten ved det siste.

Det er godt mulig at du har rett, men forskerne er tydeligvis av en annen mening, siden det er nettopp slik nettverkssegmentering de foreslår som et av tiltakene.

 

Nei, det varsles bare ved feil, men når en enhet blir ignorert/slås av regnes det som en feil på enheten og lampen lyser.

Du kan se dette i proof of consept videoen. (redigert, spol til 18:00 og se de neste 2 minuttene)

 

Nekter ikke for at du har gode poenger. Men det betyr ikke at det ikke finnes scenarier hvor et slik angrep som beskrevet er mer hensiktsmessig enn andre former for angrep.

 

Hvis man ser på forslaga for bilbransjen i fjor kommer ingen av de til å løse problemet med DOS-angrep på busen.

https://www.gao.gov/products/GAO-16-350

 

Har man fysisk tilgang til kablene i busen kan man gjøre skade, på samme måte som man kan fysisk sabotere deler av bilen. Eneste løsning på det er å gå for en helt annen type bus(helst ett stjernenett) med innebygd sikkerhet som vil gjøre biler langt dyrere og kompliserte. Det er en grunn til at man bruker CAN-bus fortsatt, det er billig og enkelt.

 

Når det kommer til separate nett mener jeg å ha lest for en del år siden at de mest avanserte Mercedes kunne ha opp til 8 separate can-buser.

Endret 18. august 2017 av Civilix

[avo]

 

 

De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

1087443.jpg

 

Er det ikke ganske vanskelig å fysisk kutte kablene til en bil i fart? Dersom en kritisk enhet mangler i nettverket i det bilen skal startes opp, vil jeg tro at det blinkes litt med varsellampene.

Nå sier vel ICS CERT at det kreves fysisk tilgang ( requires physical access) Så dette fungerer vel ikke nødvendigvis så bra i fart heller.

Greit nok gir disse Bluetooth greiene fra Kina en vei inn, men om folk som er dumme nok til å plugge en slik inn i diagnosekontakten på bilen, gir vel også bort koder etc til nettbank for å gi en kul app mulighet til å hjelpe deg med budsjettet.

[tommyb]

Nå sier vel ICS CERT at det kreves fysisk tilgang ( requires physical access) Så dette fungerer vel ikke nødvendigvis så bra i fart heller.

 

 

 

Dette punktet er den ømme tåen. Inntil noen beviser et angrep under fart er produsentene svært motvillig til å gjøre endringer. Samtidig er det ingen teoretisk blokkering for at et angrep via f.eks. trådløsnett kan benytte svakheter i underliggende eller ikke-eksisterende sikkerhetsmekanismer mellom multimediasystem og buss. Det er jo funksjonalitet i apper som faktisk kan være problematiske om de manipuleres i fart, som har blitt manipulert i fart allerede. Det er funksjonalitet som har blitt manipulert over trådløsnettverket. Men enn så lenge vet jeg ikke om noen angrep som klarer alt dette uten en ondsinnet passasjer, for om man henger et trådløst tilgangspunkt under ei bru er det jammen ikke lenge den klarer være oppkoblet mot en passerende bil. Da er cloud-løsninger/app mye bedre mål for angrep. 

[avo]

Den reelle faren ligger vel i et angrep via en hacket mobil og en OBD-BT-ting.

I teorien kan det jo finnes svakheter mellom nav/info etc og bilens styringssystemer, men der vil jeg tro biøfabrikantene gjør en innsats for å hindre slikt.

Jeg vil tro mekanikk og fører er vel så svake punkter.

[Tommy Hove]

 

 

De hevder jo at det for første gang er mulig å utføre angrep som fungerer på tvers av nesten alle bilmodeller. Kan du vise til dokumentasjon på at dette har vært mulig tidligere?

1087443.jpg

 

Er det ikke ganske vanskelig å fysisk kutte kablene til en bil i fart? Dersom en kritisk enhet mangler i nettverket i det bilen skal startes opp, vil jeg tro at det blinkes litt med varsellampene.

Slipp tangen fra en bro over veien e.l....

[tommyb]

Den reelle faren ligger vel i et angrep via en hacket mobil og en OBD-BT-ting.

I teorien kan det jo finnes svakheter mellom nav/info etc og bilens styringssystemer, men der vil jeg tro biøfabrikantene gjør en innsats for å hindre slikt.

 

Nope. Biøfabrikantene gjør ingen innsats for å hindre slikt. OBD-BT og hackede mobiler er bare to av flere inngangspunkter til et relativt åpent system i bunnen. Det er nok gjerne multimedialøsningen som er punktet de ikke klarer få kontroll på.  

 

Miller og Valasek kjørte fjernangrep på en Jeep Cherokee via bilens stereo. Den er jo koblet til utenom OBD-BT, jeg hadde en Pioneer-radio som kunne vise bl.a. hastighet og turtall uten at jeg hadde gjort noe annet enn å koble til radioen. 

 

 

The result of their work was a hacking technique—what the security industry calls a zero-day exploit—that can target Jeep Cherokees and give the attacker wireless control, via the Internet, to any of thousands of vehicles.

https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

 

Etter at Jeep hadde en recall på de berørte bilene fortsatte hackerne å jobbe på hacket, så en upatchet bil ville kunne bli enda verre rammet, bl.a. direktekontroll over styringssystemet, for å nevne det mest åpenbare. Men på de patchede Jeepene måtte de som du sier brukt OBD-porten, for Jeepen hadde lukket det opprinnelige sikkerhetshullet etter den første avsløringen. 

 

Men, vi for å sitere de som tydeligvis kan noe om dette: 

 

 

 

And make no mistake, auto hackers say: there will be another wireless car attack method found sooner or later.

"There will almost certainly continue to be remote vulnerabilities in the future," says Karl Koscher, a researcher at the University of California at San Diego who found one of the first car-hacking techniques for GM's Onstar in 2010. Miller and Valasek's latest work shows, he says, that "if you can get on the right CAN bus through those vulnerabilities, you can use these techniques to take pretty dramatic control of the car."

Jeg tror heller ikke Miller & Valaseks angrep kan brukes vilkårlig, jeg vet ikke hvordan de fikk tilgang til bilstereoens firmware. Men dette er et relativt nytt interessefelt, og det finnes mange andre multimedieløsninger, GPS-løsninger og til og med On Call løsninger som kan angripes. Sikkerhetshull vil eksistere. Det avgjørende spørsmålet er om man legger inn løsninger i bilen som gjør disse sikkerhetshullene tilgjengelig fra internett eller IoT. 

[Pandion]

Hovedproblemet er CAN-buss. Dette er ikke noe egentlig nettverk, men en måte å koble sammen chipper på et printkort. CAN er gammelt og primitivt som fy, og har dessverre ingen kapasitet til å dra en sikkerhetsprotokoll på toppen, Faktisk har den så dårlig kapasitet og addresseringsområde at bilfabrikantene allerede må segmentere dette i flere subnett med broer i mellom. Dette er forøvrig god business for broprodusenter siden alle bilprodusenter med litt avanserte modeller (ikke bare Tesla...) må ha flere slike subnett med bridging av kritiske data mellom subnettene. Dessverre for sikkerheten kan disse broene også kobles transparent når nettene står i servicemode, slik at OBD-II konnektoren også kan brukes til å flashe firmware i enhver av de 50-100 ECU'ene en normal bil har gjemt innenfor skallet.. Dette betyr at også malwareprodusentene kan få adgang. Heldigvis er dette vanskelig. Dette er et felt med "security by obscurity". Selv innen samme merke og samme årsmodell er det gjerne store forskjeller på type ECU, addressering, bridging osv. De som driver service og konfigurering av moderne biler vet nøyaktig hva jeg snakker om - selv ikke produsenten selv vet alltid hva som går på de enkelte bussene.

Hva kan gjøres?

Bilindustrien og leverandørindustrien har lenge vært klar over problemet, og løsningen er enkel: Lag en ny nettstruktur som er tilpasset behovet, og hvor sikkerhet er en integrert del. Men som noen har vært inne på er problemet penger. Allerede i dag koster elektriske systemer i en ny bil 60-70% av totalprisen. Motor, karosseri, hjul, og slikt er bare blåbær nå. Og når en ny nettarkitektur kanskje øker prisen på hver ECU med 10-20%, så er det liten vilje fra OEM til å ta en slik kostnad.

Men vi i EU-systemet har allerede jobb på gang for å kreve tilgang på bilgenererte data på en sikker og åpen måte, så det er godt mulig at noen nye direktiver vil hjelpe på dette problemet. Det vil i alle fall ikke bli bedre etterhvert som vi kobler inn kooperativ automatisering som krever veldig mye kommunikasjon med omgivelsene.

(beklager, det ble litt langt dette, men temaet er viktig og vi har hedigvis mye eksertise i Norge på dette feltet)

[ATWindsor]

Elektriske systemer koster 2/3 av en bil? Det vil jeg gjerne ha noe data som underbygger.

 

AtW

[Pandion]

Elektriske systemer koster 2/3 av en bil? Det vil jeg gjerne ha noe data som underbygger.

 

AtW

 

Godt spørsmål. 2/3 er et tall som ofte blir slengt rundt på møtene, men jeg har aldri sett dokumentasjon. Prosenten er åpenbart også kommersielt sensistivt og svært variabelt avhengig av bilmodell og hvor mye man krysser på opsjonslisten, så det er ikke liketil å underbygge dette.

Jeg har Googlet litt, og det ser ut som korridor-tallet stemmer rimelig bra:

https://www.statista.com/statistics/277931/automotive-electronics-cost-as-a-share-of-total-car-cost-worldwide/

Har ikke tilgang på rådata , men dette er gjennomsnittet for alle biler. De bilene som kjører i vår del av verden er helt klart i den øvre del av skalaen pga sikkerhet og avgasskrav som krever mange ekstra (dyre) ECUer og sensorer/aktuatorer. Husk også at dette er bare elektronikken, og at alle øvrige elektriske systemer (kabling, elmotorer, dynamo, batteri, lamper, osv, osv) kommer i tillegg.

[TheBoz]

Tror min 1996 modell Hyunai Accent er trygg..

[Ove Kvam]

Tror min 1996 modell Hyunai Accent er trygg..

 

OBD2-port var påbudt i 1996 for alle biler som skulle selges i USA, men det kan hende Accenten ikke hadde dette da. De fleste andre biler fra den tiden har CAN-buss og OBD2-port.

[tommyb]

Ja, biler fra 1996 har nok i snitt 1,0 flere OBD2-porter enn trådløsnett. 

[ATWindsor]

 

Elektriske systemer koster 2/3 av en bil? Det vil jeg gjerne ha noe data som underbygger.

 

AtW

Godt spørsmål. 2/3 er et tall som ofte blir slengt rundt på møtene, men jeg har aldri sett dokumentasjon. Prosenten er åpenbart også kommersielt sensistivt og svært variabelt avhengig av bilmodell og hvor mye man krysser på opsjonslisten, så det er ikke liketil å underbygge dette.

Jeg har Googlet litt, og det ser ut som korridor-tallet stemmer rimelig bra:

https://www.statista.com/statistics/277931/automotive-electronics-cost-as-a-share-of-total-car-cost-worldwide/

Har ikke tilgang på rådata , men dette er gjennomsnittet for alle biler. De bilene som kjører i vår del av verden er helt klart i den øvre del av skalaen pga sikkerhet og avgasskrav som krever mange ekstra (dyre) ECUer og sensorer/aktuatorer. Husk også at dette er bare elektronikken, og at alle øvrige elektriske systemer (kabling, elmotorer, dynamo, batteri, lamper, osv, osv) kommer i tillegg.

 

 

Tallene viser jo 30%? Ikke 60-70%? Ikke vet jeg hvor de har det fra heller. Og regnes elmotor og lys som et elektrisk system i en bil? Kan jo forklare litt, men da begynner man i mine øyne å strekke på det. Er motoren også et elektrisk system, siden den har en tennplugg?

 

AtW

[Pandion]

 

Tallene viser jo 30%? Ikke 60-70%?

Det er riktig, og som nevnt ovenfor er dette for hele verdens bilpark mens Europa har langt strengere krav til sikkerhet og avgass enn store deler av øvrige verden med høy bilproduksjon (Kina, India osv) slik at våre biler har flere avanserte ECUer enn dette gjennomsnittet.

 

 

Ikke vet jeg hvor de har det fra heller.

Tallene på slike statistikker kommer fra bilprodusentene selv i anonymisert form.

 

 

Og regnes elmotor og lys som et elektrisk system i en bil? Kan jo forklare litt, men da begynner man i mine øyne å strekke på det.

Elektriske systemer er i all hovedsak grunnen til at vekten på bilene fortsatt går oppover enda bruk av høyfast stål, aluminium og kunststoff har eksplodert. I min fem år gamle Volvo XC60 D4 har jeg 6 elmotorer i hver fordør, 5 i hvert forsete, bråtesvis med sensorer type radar, lidar, fire kamera, åtte ultralydsensorer, brytere og lysdioder over alt og bokstavelig talt kilometervis med kobberkabel som binder alt sammen. Dette ER dyrt!

 

 

Er motoren også et elektrisk system, siden den har en tennplugg?

Nei, motoren er ikke regnet som en del av det elektriske systemet (unntatt for elbil ;-). Men de elektriske komponentene på motoren er regnet inn, slik at tennpluggene absolutt er kalkulert inn. De er ikke spesielt dyre i forhold til injeksjonssystem, lambdasonder, startmotor, dynamo og andre komponenter som er skrudd fast i motorblokken.

 

OK, tipper vi ikke kommer lengre på akkurat denne diskusjonen - takker for følget :-)

[Bob2]

Heldigvis har systemer basert på CAN funket bra i nærmere 30 år.

 

Det er ikke veldig sjokkerende at noen etter så mange år finner ut at det teoretisk er mulig å sabotere et slikt system hvis man kobler på nye typer utstyr som enten er laget med ondsinnet formål eller som har sikkerhetsmangler.

 

Synes ikke dette er noe å hisse seg voldsomt over.