Автомобильная безопасность

Внедрение нескольких электронных блоков управления внутри автомобилей началось в начале 1970-х годов благодаря развитию интегральных схем и микропроцессоров, что сделало массовое производство ЭБУ экономически целесообразным^[1]. С тех пор их число увеличилось до 100 на один автомобиль. Современные ЭБУ управляют практически всеми функциями транспортного средства — от простых задач, таких как включение стеклоочистителей, до связанных с безопасностью, например, электронные тормоза или ABS. Автономное вождение также во многом зависит от внедрения новых, более сложных ЭБУ, таких как системы помощи водителю, а также сенсоров (лидаров и радаров) и их управляющих блоков.

Внутри автомобиля ЭБУ связаны между собой с помощью проводных или беспроводных сетей, таких как CAN-шина (Controller Area Network), MOST (Media Oriented System Transport), FlexRay или RF, как это реализовано во многих системах контроля давления в шинах. Многие из этих ЭБУ используют данные, поступающие с различных датчиков по этим сетям, чтобы корректировать поведение автомобиля (например, круиз-контроль регулирует скорость машины в зависимости от сигналов с кнопок на руле).

С развитием недорогих беспроводных технологий — Bluetooth, долговременная эволюция, Wi-Fi, RFID и других — производители автомобилей и поставщики комплектующих начали разрабатывать ЭБУ, использующие такие технологии для улучшения опыта водителя и пассажиров. К системам, связанным с безопасностью, относятся сервис OnStar^[2] от General Motors, телематические системы, коммуникация между смартфонами и мультимедиа-устройствами автомобиля по Bluetooth, Android Auto^[3] и Apple CarPlay^[4].

Модели угроз в автомобильной сфере включают как реальные, так и теоретически возможные атаки. Большинство реальных атак направлено на безопасность людей внутри и вокруг автомобиля посредством управления киберфизическими свойствами транспортного средства (например, управление рулём, торможением, ускорением без участия водителя^[5][6]), в то время как теоретические атаки могут быть направлены и на нарушение конфиденциальности (например, получение GPS-координат автомобиля, перехват аудиосигналов с микрофонов и др.^[7][8]).

Поверхности атаки на автомобиль принято делить на дальние, ближние и локальные:^[9] к дальним относят LTE и DSRC, к ближним — Bluetooth и Wi-Fi (обе беспроводные технологии), а к локальным — USB, OBD-II и другие интерфейсы, требующие физического доступа к авто. Атакующий, способный использовать дальнюю поверхность атаки, считается более опасным, чем тот, кто требует физического доступа к машине. В 2015 году была продемонстрирована возможность атак на серийные автомобили: Миллер и Валасек смогли вывести из строя управление Jeep Cherokee, подключившись к нему по беспроводной связи^[10][11].

Самая распространённая сетевая технология автомобиля и ключевая для передачи сообщений о безопасности — CAN-шина благодаря её свойствам реального времени, простоте и низкой стоимости. Большинство практических атак осуществляются именно против ЭБУ, подключённых к такой сети^{[5][6][10][11]}.

Большинство атак, проведённых как на реальных автомобилях, так и на тестовых стендах, можно отнести к одной или нескольким категориям:

Перехват (sniffing) в области компьютерной безопасности — это возможность перехвата и записи пакетов, а также других данных из сети. В случае CAN-шины, являющейся шинной структурой, каждое устройство может принимать все сообщения. Для атакующего полезно анализировать передаваемые данные, чтобы понять поведение других узлов сети перед осуществлением атаки. Обычно целью злоумышленника является не сам перехват данных, так как они не представляют ценности только в виде чтения^[9].

Отказ в обслуживании (DoS) в информационной безопасности — атака, направленная на недоступность системы или сети. Атаки DoS против ЭБУ в CAN могут быть реализованы либо на уровне сети (например, злоупотреблением арбитражем при передаче), либо индивидуально против блочного устройства, используя протоколы обработки ошибок CAN^[12]. Во втором случае злоумышленник маркирует сообщения жертвы как ошибочные, убеждая ЭБУ в некорректности своей работы и вынуждая выйти из сети^[12].

Атаки с подменой (spoofing) включают случаи, когда атакующий, модифицируя данные, отправляет сообщения как будто бы от другого узла сети. В автомобильной безопасности выделяют два типа подмены: маскарадные атаки и атаки воспроизведения (replay). Последние заключаются в отправке перехваченных ранее данных для имитации жертвы, а маскарадные — в генерации данных злоумышленником самостоятельно^[13].

Исследователи в области безопасности Чарли Миллер и Крис Валасек сумели доказать возможность удалённого доступа к множеству систем управления автомобилем, выбрав в качестве мишени Jeep Cherokee. Им удалось управлять радио, климатической установкой, стеклоочистителями, а также некоторыми функциями двигателя и тормозов^[11].

Взлом был осуществлён за счёт внедрения запрограммированного микрочипа в CAN-шину автомобиля. С помощью этого чипа можно было отправлять произвольные сообщения в шину, имитируя команды других устройств. По словам Миллера, опасность CAN-шины заключается в особенностях протокола: сигналы распространяются по всей сети, и злоумышленники могут их перехватить.

Управление автомобилем осуществлялось полностью дистанционно, без физического контакта. Миллер утверждает, что теоретически мог бы контролировать любой из 1,4 млн автомобилей в США независимо от их местоположения — требуется лишь, чтобы кто-то включил автомобиль^[14].

Работа Миллера и Валасека повторила более ранние исследования, проведённые и опубликованные учёными в 2010 и 2011 годах на другом автомобиле^[15]. Ранние работы показали возможность взлома автомобиля удалённо по нескольким беспроводным каналам (включая сотовые сети), а также управления критическими системами транспортного средства (например, телематическим блоком и тормозами) после компрометации. Хотя академические исследования были опубликованы в рецензируемых журналах^[16][17] и освещались в СМИ^[18], работа Миллера и Валасека привлекла к проблеме гораздо большее внимание общественности.

Рост сложности устройств и сетей в автомобильной среде требует внедрения защитных мер для ограничения возможностей потенциального атакующего. С начала 2000-х гг. было предложено и частично внедрено множество контрмер. Наиболее распространённые меры защиты:^[9]

• Подсети — для ограничения возможностей злоумышленника при удалённом доступе через ЭБУ сети автомобиля делятся на несколько подсетей; наиболее критические ЭБУ размещаются в изолированных подсетях, недоступных для устройств с удалённым доступом^[9]
• Шлюзы — подсети разделяют защищённые шлюзы или межсетевые экраны, не пропускающие «чужие» сообщения между подсетями.^[9]
• Системы обнаружения вторжений (IDS) — на каждой критической подсети одно из подключённых устройств анализирует все сообщения, выявляя вредоносные (созданные злоумышленником) согласно определённым правилам.^[19]. IDS позволяют выявлять необычные сообщения и уведомлять владельца^[20].
• Протоколы аутентификации — на сетях, где не реализована аутентификация (например, CAN), можно разрабатывать специальные протоколы аутентификации на более высоких уровнях модели OSI, используя часть полезной нагрузки сообщения^[13].
• Модули аппаратной безопасности — поскольку многие ЭБУ недостаточно производительны для реализации криптографических функций в реальном времени, между ЭБУ и сетью может устанавливаться специализированный аппаратный модуль безопасности^[7].
• Реактивные меры (IDS и IT-экспертиза) — меры по выявлению и расследованию нарушений^[21].

В июне 2020 года Европейская экономическая комиссия ООН в рамках Всемирного форума по согласованию правил транспортных средств выпустила два регламента, R155 и R156, определяющих «чёткие требования к производителям автомобилей» в части кибербезопасности и обновления программного обеспечения^[22].