Sebelum melanjutkan ke deskripsi kasus tertentu, mari kita buat pengantar singkat tentang masalah tersebut. Mobil penumpang tipikal generasi terbaru tidak hanya berisi mesin, tetapi juga lebih dari 100 juta baris kode. Bahkan model yang relatif sederhana memiliki sekitar 30 unit kontrol elektronik (ECU) yang dilengkapi dengan prosesor dan firmware sendiri. Mungkin ada lebih dari seratus blok seperti itu di mobil mewah. Untuk berkomunikasi satu sama lain, ECU ini terhubung melalui labirin bus digital. Di sini dan CAN (Control Area Network), dan Ethernet, dan FlexRay, LIN dan MOST. Semuanya beroperasi pada kecepatan yang berbeda, mentransfer jenis data yang berbeda, dan menyediakan koneksi antara berbagai bagian kendaraan.
ECU-lah yang mengontrol fungsi kritis mobil: mesin, komunikasi, suplai bahan bakar, sistem pengereman, dan keselamatan. Bagian dari kontrol komponen ini tersedia melalui head unit.
Mobil modern dilengkapi dengan modul geolokasi, dapat terhubung ke Internet seluler dan bahkan menggunakan jaringan Wi-Fi publik. โPonsel cerdas berodaโ seperti itu, seperti mitra saku yang lebih ringkas, memiliki antarmuka nirkabel dan dapat mendistribusikan Internet kepada penumpangnya.
Kami mempelajari desain jaringan otomotif dari pabrikan yang berbeda dan menemukan bahwa meskipun masing-masing vendor menerapkannya secara berbeda, semua arsitektur memiliki komponen yang sama: gateway, ECU, bus CAN, USB, dan antarmuka nirkabel. Terlepas dari semua perbedaan, mereka menjalankan fungsi yang serupa dan berinteraksi satu sama lain dengan cara yang sama. Berdasarkan data ini, kami membuat arsitektur umum untuk jaringan otomotif.
Diagram blok dari jaringan tipikal mobil yang terhubung. Sumber: Trend Micro
Diagram menunjukkan bahwa kendaraan yang terhubung memiliki antarmuka jaringan yang memungkinkannya diserang dari jarak jauh. Hasil dari serangan tersebut dapat berupa kompromi dari satu atau lebih ECU dan gangguan kontrol kendaraan sepenuhnya. Mari pertimbangkan beberapa kasus serangan dan kerentanan yang dieksploitasi oleh peretas.
Kasus 1: Jeep Cherokee yang Diretas Jarak Jauh pada tahun 2015
Pada 2015, Charlie Miller dan Chris Valasek berkolaborasi dengan Wired untuk meretas Jeep Cherokee yang terhubung dari jarak jauh .
Reporter itu melaju ke jalan raya, setelah itu para peneliti mengambil alih kendali sistem mobilnya - mereka menyalakan musik dan AC dengan tenaga penuh, memaksa bilah penghapus untuk bekerja, dan kemudian mengurangi kecepatan mobil menjadi 10 mil per jam, sehingga pengemudi lain membunyikan klakson peserta dalam percobaan, menyusulnya. Hal terburuk adalah dia benar-benar kehilangan kendali: peretas mengambil kendali atas sistem multimedia, AC, dan bahkan pedal gas.
Para peneliti menemukan jaringan IP Kelas A yang digunakan pabrikan, Chrysler, untuk memberi daya pada kendaraan yang terhubung. Dengan memindai port yang terbuka, mereka menemukan bahwa port 6667 terbuka di setiap mobil, di mana daemon perpesanan D-Bus menerima perintah melalui Telnet tanpa otentikasi. Mengirim perintah ke setan D-Bus, Miller dan Valasek sepenuhnya mengambil kendali kendaraan.
Rantai serangan Jeep Cherokee. Sumber: Trend Micro
Secara umum, dalam proses mempelajari struktur internal Jeep Cherokee, para peretas menemukan banyak hal yang menarik, misalnya:
- , CAN-IHS (CAN Interior High Speed), CAN-C (CAN Critical), Jeep ;
- Jeep , ;
- IP- Jeep -, โ , Chrysler D-Bus, 6667;
- Renesas V850 OMAP (Open Multimedia Applications Platform) Chrysler โ ( , SPI CAN CAN );
- CAN-, .
- โ , , CAN- , V850, - ;
- CAN, ;
- cara untuk memalsukan pesan CAN dari ECU asli atau menonaktifkan ECU ini sehingga pesan CAN berbahaya dijalankan alih-alih perintahnya.
Perhatikan bahwa meskipun kita berbicara tentang mobil dari pabrikan dan generasi tertentu, situasi ini sama sekali tidak jarang terjadi di industri - ini bukan masalah Chrysler, tetapi masalah sistemik.
Kasus 2: Meretas Tesla pada tahun 2016
Pada tahun 2016, spesialis lab keamanan Tencent Keen meretas Tesla Model S. Untuk menyerang, mereka mengeksploitasi rantai kerentanan yang kompleks untuk menyusupi komponen jaringan kendaraan dan memasukkan pesan CAN yang berbahaya.
Rantai serangan di Tesla Model S pada tahun 2016. Sumber: Trend Micro
- Peneliti telah memasang hotspot Tesla Guest palsu yang semua Tesla terhubung secara otomatis sesuai dengan standar pabrikan.
- Tesla, -, Linux CVS-2013-6282. AppArmor.
- , root- ยซยป, โ , Parrot, Bluetooth Wi-Fi, CAN.
- CAN-.
- Tesla Model S CAN-, . , .
- , / .
- , , CAN-.
- ESP, ABS, .
3: Tesla 2017
Setahun setelah demonstrasi kerentanan di Tesla, spesialis Tencent Keen memeriksa seberapa baik perusahaan Elon Musk menangani kesalahan tersebut. Hasilnya adalah kompromi lain dari kendaraan listrik.
Rantai serangan Tesla Model S tahun 2017. Sumber: Trend Micro
Serangan tersebut dimulai dari hotspot Tesla Guest palsu yang sama, yang terhubung dengan mobil secara terpercaya. Selanjutnya, para peneliti kembali mengeksploitasi kerentanan browser berdasarkan mesin Webkit. Meski kerentanannya berbeda, hasilnya tetap sama. Bahkan pembaruan vendor dari kernel Linux tidak membantu: para peretas kembali menonaktifkan AppArmor dan memperoleh akses root ke CID.
Setelah itu, para peneliti memodifikasi firmware untuk mengabaikan pemeriksaan EDS Tesla, dan kemudian meretas beberapa telur Paskah yang ada di dalam firmware mobil asli. Terlepas dari sifat menghibur dari telur Paskah, mereka memiliki akses ke berbagai ECU, yang digunakan para peneliti.
Kasus 4: Meretas BMW pada 2018
Untuk menunjukkan bahwa Tesla tidak sendirian dalam masalah keamanan, Tencent Keen mengembangkan tiga opsi serangan untuk kendaraan BMW: serangan lokal melalui USB / OBD-II dan dua serangan jarak jauh.
Skema penyerangan BMW pada 2018. Sumber: Trend Micro
Serangan pertama menggunakan eksekusi kode jarak jauh di BMW ConnectedDrive (serangkaian opsi mobil elektronik yang diperkenalkan pada tahun 2008) dengan mencegat lalu lintas HTTP:
- BMW ConnectedDrive HU-Intel BMW 2G 3G (TCB) HTTP, GSM GPRS- ;
- , , , URL; GSM, WebKit;
- -, root- HU-Jacinto, CAN;
- hasilnya adalah kemampuan untuk menggunakan fungsi CanTransmit_15E2F0 untuk mengirim pesan CAN sewenang-wenang.
Varian kedua dari serangan jarak jauh lebih kompleks dan mengeksploitasi kerentanan TCB melalui SMS yang tidak dilindungi.
Kesimpulan dan rekomendasi
Mobil yang terhubung hanyalah salah satu komponen dari jaringan transportasi pintar, ekosistem yang kompleks dengan jutaan koneksi, titik akhir, dan pengguna. Ekosistem ini memiliki empat komponen utama:
- mobil yang benar-benar terhubung;
- jaringan data yang memungkinkan kendaraan yang terhubung untuk berkomunikasi dengan backend;
- backend - server, database, dan aplikasi yang memastikan interaksi seluruh infrastruktur transportasi cerdas;
- pusat keamanan kendaraan (VSOC), yang mengumpulkan dan menganalisis pemberitahuan dari seluruh jaringan transportasi pintar.
Kompleksitas sistem transportasi pintar telah mencapai tingkat sedemikian rupa sehingga sangat sulit untuk memprediksi ke bagian mana dari perimeter serangan berikutnya akan diarahkan. Dalam hal ini, perlindungan kendaraan yang terhubung tidak terbatas pada perangkat lunak dan elektronik kendaraan. Penting juga untuk memastikan keamanan backend dan jaringan data.
Arsitektur gabungan dari mobil yang terhubung. Sumber: Trend Micro
Untuk perlindungan mobil:
- menggunakan segmentasi jaringan dalam jaringan mobil, memisahkan node kritis dari node "hiburan dan pengguna". Ini mengurangi risiko pergerakan ke samping dan meningkatkan keamanan secara keseluruhan.
- ISO SAE. โ ISO/SAE 21434 , .
- , , . ISO 31000.
- ISO/IEC 27001.
- ISO/AWI 24089 ยซ โ ยป
:
- ;
- ;
- .
-:
- , ;
- (NGFWs)/ (UTM), , (IPS), (IDS), , -, , ;
- ;
- , -, โ ;
- (BDS);
- IPS IDS โ , .