战略需要思考,战术需要观察。
——Max Euwe
2002年5月7日,Bennett Todd在一个漏洞开发邮件列表中提到,他在审查无线网络时偶然发现了一个UDP端口,该端口是用来远程调试VxWorks操作系统的,VxWorks是Wind River Systems公司开发的一款实时操作系统(Real-Time Operating System,RTOS),现已被英特尔收购。他审查的无线网络产品中有一些默认开启了这个端口。Todd还不知道他发现的这个17185 UDP端口会导致一个更广泛的漏洞,将影响到大量运行着VxWorks操作系统的不同网联设备。
2010年8月,在Todd公开他的发现8年后,HD Moore在Defcon第23届大会上,向观众们展示了他在Todd 2002年研究的基础上,针对每一台VxWorks设备进行详尽测试所得到的成果。
在Wind River Systems公司于2010年8月2日发布的漏洞说明中,这个端口被证实为它的WDB目标代理,这是一个在目标中驻留的运行时工具,开发期间主机工具需要通过这个工具与VxWorks系统进行连接。WDB调试代理的访问是不安全的,Moore通过抓取内存漏洞,发现部署VxWorks的系统存在一个巨大的安全漏洞,允许远程攻击者在无需有效凭证的情况下对内存中的数据进行读写。
发现漏洞时,Todd在他的文章中只提到了无线接入点受到的影响,并没有意识到VxWorks是嵌入式系统的实时操作系统,它用途广泛,而不只是被无线接入点使用。Wind River还被用在其他设备中,包括Thales公司的Astute级潜水艇潜望镜、波音AH-64阿帕奇攻击直升机、NASA的Mars Rover,甚至宝马2008年以后生产的车型使用的iDrive系统等,这里仅列举了几个例子。
在病毒学中,一种病毒被引入一个新的宿主物种中,并通过新的宿主种群进行传播的过程,被称为外溢或跨物种传播(Cross-species Transmission,CST)。同样的事情也会发生在信息安全中,目标设备或产品的漏洞被公布,会意外导致病毒外溢到其他产品中。
1996年,德国的Rohde & Schwarz公司开始销售第一款IMSI捕捉器(GA 090),该捕捉器允许用户强迫身份不明的移动用户传输其SIM卡的IMSI。后来,在1997年,该捕捉器还支持监听用户呼出的电话。
在2001年4月举行的Blackhat Briefings Asia大会上,Emmannuel Gadaix公布了第一个已知的GSM漏洞,通过中间人(Man-In- The-Middle,MITM)攻击和取消注册拒绝服务(Denial of Service,DoS)攻击影响移动电话的使用。
2010年,Karsten Nohl发布了一款名为Kraken的破解工具,以破解用于保护GSM流量的A5/1加密技术,该工具利用彩虹表来破解A5/1加密技术,之后被称为“柏林表”。Nohl的工具后来在同一年被Kristen Paget修改,后者在Defcon 18大会上透露了如何使用伪基站(Base Transceiver Station,BTS)或IMSI捕捉器来拦截移动电话和短信,而根本不需要破解。
今天的网联汽车、自动驾驶车辆的OTA(Over-The-Air,空中下载)更新和其他功能非常依赖与后端的通信。虽然那些关于GSM的漏洞最初是针对移动电话及其用户的,但它们后来导致漏洞外溢到汽车领域中。
Paget在演讲中使用了一个价值约1500美元的通用软件无线电外设(Universal Software Radio Peripheral,USRP),该设备比之前的GA 090便宜数十万美元,她还提出一个这样的想法:与其通过嗅探GSM电话和短信进行离线破解,不如选择另一个策略。Paget使用手机创建了一个连接到她笔记本电脑的基站,从而能完全禁用A5/1加密,使得离线破解变成了多余的操作。
Paget后来开始为特斯拉工作——无疑是将她之前对移动网络黑客技术的研究应用到了网联汽车的安全问题上。现在她作为一名黑客为Lyft工作。Paget在会议期间观察到,GSM规范本身要求在网络加密(A5/0)功能被禁用时向用户发出警告通知,而该警告在蜂窝网络上被故意禁用,这一点尤其令人震惊,凸显了汽车制造商在其远程通信基础设施方面依赖的手机运营商的系统性问题。
就在2015年举办的DEFCON 23上,Charlie Miller和Chris Valasek演示了对一辆未经改装的乘用车的远程利用,与他们的第一次演示不同的是,这次并不需要物理访问汽车及其诊断接口。Miller和Valasek演示了汽车主机(HU)的一个漏洞,该漏洞允许他们在未经身份验证的情况下与TCP/6667(dbus)进行通信,因而他们可通过连接HU的WiFi热点向主机系统发送指令。更糟的是,由于移动运营商的蜂窝网中的防火墙太弱,他们可通过远程信息处理控制单元(Telematics Control Unit,TCU)的GSM接口访问dbus端口,执行相同的攻击。通过修改从网上下载的固件并重新刷入瑞萨V850微处理器,他们能重新编写微处理器的代码,将CAN消息直接发送至HU所连接的CAN总线,并实际控制汽车,如踩刹车、转动方向盘、熄火、开启雨刷和控制音响。
这是首次公开发布的针对网联汽车的远程黑客攻击。之前公开的利用技术都要求对汽车的OBD-II(调试)接口进行物理访问或连接。
自2015年以来,越来越多的漏洞被公布,这些被利用的漏洞存在于众多品牌和型号的网联汽车的内部组件中,而不仅是HU上。其中一些被利用的漏洞是由于原始设备生产商(Original Equipment Manufacturers,OEM)使用未签名的固件而造成的,未签名的固件允许研究人员在其中植入后门并重新刷入微处理器,之后,研究人员可将数据发送到CAN总线上,从而实现对车辆的物理控制。
这种漏洞外溢的情况不仅影响GSM,还会影响蓝牙、WiFi和汽车OEM厂商们使用的其他嵌入式操作系统。
从现代交通工具的角度来看软件代码的数量,F-35联合攻击战斗机大约需要570万行代码来操作它的系统。如今,高级网联汽车拥有近1亿行代码,运行在汽车整个车内网络中的70~100个基于微处理器的电子控制单元(Electronic Control Units,ECU)上。随着网联汽车和自动驾驶汽车复杂性的提高,根据Frost & Sullivan的估计,在不久的将来,汽车将需要2亿~3亿行代码,而当前召回的汽车中,60%~70%的问题都是由电子故障造成的。
一个无可争议的事实就是,网联汽车和自动驾驶汽车已不再是无法实现的未来,而是今天的现实。2020年,路上行驶的网联汽车和自动驾驶汽车的总数已超过1000万辆。
当然,汽车行业的技术进步无疑将有助于提高效率和增加收入。“追求舒适、便利”的这一代人在成长过程中期待着与电子邮件、网络和社交网络随时连接。KPMG UK估计,从2014年到2030年,自动驾驶汽车可减少2500起重大汽车安全事故;这份大胆的声明得到了本田研发部的美国负责人的支持,他为公司制定了到2040年实现零事故的目标。
虽然许多OEM厂商仍采用CAN总线等众多较旧的技术,但它们已经开始将ECU集成到汽车中,并使用基于以太网的TCP/IP进行通信。需要指出的是,在2015年,一辆汽车中的ECU数量最多约为80个,而今天,由于成本降低和整体重量下降,一辆豪车中ECU的数量可超过150个。
如今我们正处在第三次工业革命中,无人驾驶、自动驾驶汽车正迅速成为现实,而道德黑客/渗透测试人员也越来越重视研究如何识别和利用汽车中的漏洞。
正如Garth Brooks所述,无人驾驶汽车的出现,就像“我们曾经推迟到明天的事情现在变成了今天”。但汽车技术发展中的军备竞赛已经形成新的威胁格局,在这种威胁下,攻击的结果不再局限于被破坏的网站或被盗用的信用卡号码,而是潜在的生命损失。事实上,网联汽车不再仅被看作一堆由内燃机驱动的金属,通过转动曲轴来移动车轮,而黑客对其一无所知。现在,汽车不过是带有轮子的计算机,由多个CPU、嵌入式操作系统和可通过蓝牙、WiFi和GSM进行通信的应用程序组成的技术堆栈,由出价最低的竞标者支付并制造。
节选自《车联网渗透测试》
https://item.jd.com/13001431.html
3103
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
