“Хакнуть” авто через порт OBD-II

oreh
Ну, не сразу Москва строилась. Мало ли.

Oreh, извини, я не совсем согласен.

Отвечу опять же переводом из все той же статьи:

"При кажущейся изолированности этих (CAN и др.) комм. сетей (шин), к примеру систем безопасности, развлечения и т.д., одна от другой, на самом деле они коммуницируют друг с другом. Например, центральное закрытие дверей - система однозначно должна мониторить физические показатели замков закрытия (армит- микрики), беспроводные сигналы с ключей (армит - беспроводной intelligent вход, как в Кашкае), и дистанционные команды на открырие дверей. Но дополнительно такие системы должны быть также соединены с системой аварий, для того, чтобы двери разблокировались в случае аварии, и открыли доступ к выходу из машины...".

И дальше: "...как и у большинства производителей автомобилей, наша (тестовая) машина была оборудована Controller Area Network (CAN). ... Этот протокол представляет возможность "добраться" и "опросить" любого компонент."
(в оригинале - As with most automobile
manufacturers, our vehicles use a variant of the Controller Area Network (CAN) protocol for communicating among vehicle components .... Through this protocol, any component can be accessed and interrogated...


Таким образом получается, что КАНАЛ датчика давления может быть использован как выход на шину, через который можно будет либо снять любую нужную информацию, либо ввести любую дезу (отключить тормоза, ускорить, замедлить, и т.д). Если, конечно, этот канал не защищен.

Nik писал(а):Ну, не сразу Москва строилась.

+ 100, дело приоритетов и времени, и только.

armit
Все хорошо, только каким боком датчик давления касается CAN?
Конечно, если у тебя есть физический контакт, то да, конечно по КАН можно сделать все что позволяется в конкретном авто (н-р, в кашкае открыть/закрыть двери можно, а вот поднять/опустить стекла или свернуть уши - никак).
И какиебы ты данные не посылал вместо датчика ты не попадешь в КАН.

oreh писал(а):И какиебы ты данные не посылал вместо датчика ты не попадешь в КАН.

Я думал. что предыдущий пост обьясняет. Кстати, считаю необходимым оговориться: я отнюдь не претендую на истину в последней инстанции, просто есть кое-какой опыт.

Так вот - попадешь (повторю: "Этот протокол представляет возможность "добраться" и "опросить" любого компонент." ; вот и Сигналкин подтверждает - "CAN шина для этого дела вполне подходящая штука. Ведь по ней бегает ВСЯ инфа от всех систем автивки. Начиная от датчика открытия дверей и заканчивая управлением инжектором. Так что датчики в колесах не нужны") - .

Это не то, что, скажем, косноязычный PLC (да простят меня инженеры по КИП и автоматике, я и сам такой) , в котором если я зацепился за аналоговый вход скажем температуры, все, на что я смогу повлиять, так это канал измерения температуры, и связанную с этим логику. Здесь не так - вошел на шину через канал давления, но говорю со всей системой.


По-прежнему остается вопрос, а как собственно передается сигнал от преслoвутого датчика давления, и на каком этапе этот сигнал "переводтится" в CAN. Но это совершенно не принципиально - мы ведь не говорим о конкретной марке машины, а о принципе. Есть Bluetooth, и есть куча систем о которых говорилось выше, через которые или уже, или скоро можно будет зацепиться за CAN.

armit писал(а):Есть Bluetooth

Теплится надежда об изолированности блютуза от БК и кан-шины.

Зацепиться за CAN не вопрос. Вопрос зацепиться теми кодами и на том "языке",которым программировали и на котором общается контроллер.Например: с помощью ELM-327 я могу по CAN прочитать состояние устройств,но например выключить евросвет или поменять чувствительность датчика света я не смогу,потому как для этого нужны не стандартные свободно распространяемые протоколы диагностики ,а двусторонние спецпротоколы работы с процессором,то есть знать "волшебное слово",которое можно передать потом по той же шине.Только "стырив" это слово при работе с дилерским сканером,можно его узнать.Это в общем-то простая и недорогая задача для тех,кто готов потом получить значительно большие барыши. А вот волшебные слова для перепрошивки ЭБУ даже дилерским сканером не отловишь.Тут нужно либо откровенно ломать блок на программном уровне,докапываться до исходных кодов,либо иметь готовый инструмент.

elektron

Вот мы и выходим на финишную прямую:

Вопроса два: насколько тяжело открыть дверь (а на нашей терминологии - зацепиться са CAN), и что можно натворить за этой дверью (то есть, а можно ли подать соответсвующие команды на, скажем, акселерацию, или работу тормозов, и так далее).

Ответ на первый вопрос общими усилиями мы получили - зацепиться за CAN не вопрос. Это же, как я уже писал, подтверждают американцы в своей статье на http://www.autosec.org/pubs/cars-oakland2010.pdf

Они же дают ответ на второй вопрос. Я уже писал, что они смогли запустить фальш-информацию, и большая часть запущенных ими пакетов информации смогли изменить состояние автомобиля.

На десятой странице статьи они дают очень подробный отчет о том, что они смогли контролировать, и в каких условиях. Не буду внедряться, но повторю - они погуляли на славу, смогли завладеть тормозами, игрались оборотами двигателя, и другими жизненными параметрами автомобиля.

А стало быть, ответ на второй вопрос - если мы верим этим исследователям (а почему нет?) - команды подать можно, и эффект может быть самым печальным.

armit писал(а):

oreh писал(а):И какиебы ты данные не посылал вместо датчика ты не попадешь в КАН.

Я думал. что предыдущий пост обьясняет.

Хм... я тоже думал, что понятно пояснил. Причем тут КАН??? Датчик давления и КАН это разные вещи. Вот, кстати, блютуз, если существует девайс-мост (а он, скорее всего существует в каких-то авто) блютуз-КАН, вот это да, это другое дело!

armit писал(а):"CAN шина для этого дела вполне подходящая штука. Ведь по ней бегает ВСЯ инфа от всех систем автивки.

100% Я это тоже писал и раньше

armit писал(а):Это не то, что, скажем, косноязычный PLC (да простят меня инженеры по КИП и автоматике, я и сам такой) , в котором если я зацепился за аналоговый вход скажем температуры, все, на что я смогу повлиять, так это канал измерения температуры, и связанную с этим логику. Здесь не так - вошел на шину через канал давления, но говорю со всей системой.

Здесь именно так!!! С той лишь разницей, что датчик оцифрован, упакован в посылку и передан по другому каналу связи (радиоканал). Чтоб ты не слал, это не будет управляющими коммандами КАН шины, это будет всего лишь инфа от датчика и то, если ты ее правильно обвернешь в посылку.

Добавлено спустя 2 минуты 13 секунд:

armit писал(а):Ответ на первый вопрос общими усилиями мы получили - зацепиться за CAN не вопрос. Это же, как я уже писал, подтверждают американцы в своей статье на http://www.autosec.org/pubs/cars-oakland2010.pdf

Ну и где они там утверждают что получили доступ к КАН по радиоканалу??? Они имели ФИЗИЧЕСКИЙ контакт с шиной. Ты всех пускаешь к своему авто?

Добавлено спустя 1 минуту 40 секунд:

armit писал(а):А стало быть, ответ на второй вопрос - если мы верим этим исследователям (а почему нет?) - команды подать можно, и эффект может быть самым печальным.

Мы верим, но у нас нет вирусофобии

armit

Интел ключ - первый пример.Это радиосигнал.Однако пока на сегодняшний день никто не смог гарантированно взломать коды,чтобы открыть двери НИССАН.Другие машины взломаны,Тойоты там,Мерсы и т.п,а НИССАН пока держится (тьфу-тьфу и еще 999 раз тьфу!):степень шифрования очень высокая.Пока только по запросу номера брелока и базе данных НИССАН можно перепрограммировать другой такой же брелок при утере родного.
А так просто подойти к этой теме...не так и просто.То есть попасть на саму шину можно,а дальше что?
Теоретически никакой новости в этой новости нет.

oreh писал(а):Мы верим, но у нас нет вирусофобии

А можно, дружище, с этого места по-подробнее? У американцев есть, а у "нас" - нет. "Мы" - это кто, чтобы я правильно понял?

oreh писал(а):Датчик давления и КАН это разные вещи.

Повторюсь еще раз: "По-прежнему остается вопрос, а как собственно передается сигнал от преслoвутого датчика давления, и на каком этапе этот сигнал "переводтится" в CAN. Но это совершенно не принципиально - мы ведь не говорим о конкретной марке машины, а о принципе. Есть Bluetooth, и есть куча систем о которых говорилось выше, через которые или уже, или скоро можно будет зацепиться за CAN."

Речь в статье идет не о конкретном датчике давления в конкретной модели, а о современных технологиях, и тех возможностях хакерства, которые они представляют. А эти технологии, согласно авторам (еще раз повторюсь) ..." такие как аудио- системы, подключаются к этим сетям и предоставляют возможность подключения через другие беспроводные устройства, как Bluetooth и системы давления шин, и т.д. ...В настоящее время разрабатываются и уже применяются новые дистанционные системы, как например GM ОнСтар для авттоматической регистрации аварий, дистанционой диагностики,...краденых авто, которые будут осуществлятся беспроводно через селлюлярные сети. Некоторые пошли даже дальше, предлагая автомобиль как платформу для програм, разработанных третьими лицами (компаниями). И в заключение, предлагаемые коммукационные системы V2V (машина-к-машине) и V2X (машина-к-инфраструктуре) только увеличат возможность и опасность атаки."

Добавлено спустя 7 минут 54 секунды:

elektron писал(а):о есть попасть на саму шину можно,а дальше что?

Ребят, не, так дело не пойдет, я и вправду сдаюсь. Я как-то по жизни привык прислушиваться к оппоненту, и от других ожидаю того же. Ведь в статье все написано, и все факты приведены, а я пытался перевести суть, чтобы показать, что согласно авторам ( а не мне), они написали кусок софтины, вошли в систему (на саму шину, то есть), и с помощью этой софтины погуляли там на славу ("К нашему удивлению, наши примитивные попытки запустить фальш-информацию оказались очень успешными, и большая часть пакетов информации, которые мы запустили, смогли изменить состояние автомобиля.")

Я уже несколько раз повторял, что они завладели тормозами, оборотами, и так далее. Откройте страницу 10 и сами посмотрите; нужно - переведу. Страница 12: "...в частности, мы смогли завладеть тормозами до такой нстепени, что вне зависимости от давления на педаль, водитель не смог активировать тормоза. Несмотря на то, что мы ожидали такого эффекта, это по-прежнему был пугающий опыт для нашего водителя". А ты говоришь "а дальше что..."

Да, они работали через порт, но в той же статье доходчиво обьяснили, какие в потенциале каналы коммуникации можно рассматривать для хакерства. Это тоже переведено.


Напоследок поделюсь своим собственным опытом шестилетней давности. Новый с нуля Renailt Espace 4 с сенсорами давления.

Я установил в нем навигацию (Siemens VDO) , и Bluetooth Нокиевский.

На навигацию у меня ушло 2 дня, было совсем непросто, машина только появилась на рынке - ни схем, ничего. Проишлось врезаться в приборную панель, искать куда подключиться, но в результате все получилось прекрасно. От простенького Bluetooth a я не ожидал никаких неожиданностей.

На эту установку ушло часа 2-3, я позвонил домой проверить как работает - все прекрасно. Попытался завести машину, и тут почалось - загорелись ВСЕ аварийные лампы, и машина просто никак не отреагировала. История длинная, чего я и аварийка только не пробовали; в конце-концов согласно Рено оказалось, что Bluetooth вошел в конфликт с датчиками давления, и сбил систему с панталыку. Они ссылались на какое-то исследование BMW, нo я твердо понял, что Рено Голландия понятия не имел ни о теории этого дела, ни о возможном эффекте.

Вот вам и датчик давления.

armit писал(а):

oreh писал(а):Мы верим, но у нас нет вирусофобии

А можно, дружище, с этого места по-подробнее? У американцев есть, а у "нас" - нет. "Мы" - это кто, чтобы я правильно понял?

Мы - это те, кто не боится взлома авто по радиоканалу от датчика давления шин (даже еслибы он у нас был)

armit писал(а):

oreh писал(а):Датчик давления и КАН это разные вещи.

Повторюсь еще раз: "По-прежнему остается вопрос, а как собственно передается сигнал от преслoвутого датчика давления, и на каком этапе этот сигнал "переводтится" в CAN.

Еще раз... Это не имеет значения. см. мой пост выше

armit писал(а): Но это совершенно не принципиально - мы ведь не говорим о конкретной марке машины, а о принципе. Есть Bluetooth, и есть куча систем о которых говорилось выше, через которые или уже, или скоро можно будет зацепиться за CAN."
Речь в статье идет не о конкретном датчике давления в конкретной модели, а о современных технологиях, и тех возможностях хакерства, которые они представляют. А эти технологии, согласно авторам (еще раз повторюсь) ..." такие как аудио- системы, подключаются к этим сетям и предоставляют возможность подключения через другие беспроводные устройства, как Bluetooth и системы давления шин, и т.д. ...В настоящее время разрабатываются и уже применяются новые дистанционные системы, как например GM ОнСтар для авттоматической регистрации аварий, дистанционой диагностики,...краденых авто, которые будут осуществлятся беспроводно через селлюлярные сети. Некоторые пошли даже дальше, предлагая автомобиль как платформу для програм, разработанных третьими лицами (компаниями). И в заключение, предлагаемые коммукационные системы V2V (машина-к-машине) и V2X (машина-к-инфраструктуре) только увеличат возможность и опасность атаки."

В том-то и дело, что в статье речь идет о возможном появлении дыр в будущем, и наплели сюда все в кучу, а ты вцепился в датчик давления как в патенциальную дыру! Но он не может быть дырой, это не интеллектуальный девайс и протокол обмена с ним, уверен, приметивен до безобразия и не предполагает передачи каких либо комманд или данных кроме "давление - хх, мой номер-уу"

armit писал(а):Да, они работали через порт, но в той же статье доходчиво обьяснили, какие в потенциале каналы коммуникации можно рассматривать для хакерства. Это тоже переведено.

Может я слепой... Но какого-либо доходчивого объяснения я не заметил (ты имеешь ввиду предыдущий абзац? или там еще что-то было?)

armit писал(а): оказалось, что Bluetooth вошел в конфликт с датчиками давления, и сбил систему с панталыку. Они ссылались на какое-то исследование BMW, нo я твердо понял, что Рено Голландия понятия не имел ни о теории этого дела, ни о возможном эффекте.
Вот вам и датчик давления.

И что удивляет? Кто-то выбрал не те частоты или не тот алгоритм для реализации системы и датчики не распознались и по заложенному алгоритму машина отказалась ехать! Что здесь должно удивлять?

oreh писал(а):Может я слепой... Но какого-либо доходчивого объяснения я не заметил (ты имеешь ввиду предыдущий абзац? или там еще что-то было?

Хотелось бы все же, чтобы ты почитал повнимательнее, вникнул, а уж потом... . дай-ка я в последний раз попробую просуммировать очень вкратце:

Пользуя твою же терминологию, и в статье, и в моих переводах со ссылками речь идет о ряде возможных потенциальных дыр, одной (вовсе не означает что единственной) из которых являются КАНАЛЫ датчиков давления. Но потенциальные дыры этим не ограничены, они показывают стратегические направления развития индустрии с точки зрения создания этих потенциальных дыр, и это именно то, что я пытался обьяснить, используя выдержки из статьи.

Я смею думать, что авторы статьи разбираются в вопросе ну уж никак не меньше твоего, и явно больше моего. Если ты не согласен... что ж, не вижу смысла переубеждать.

Еще одно, кстати: я бы все же выбирал выражения: "вцепился", "...фобии", как-то не совсем подходит ни для этого форума, ни для технической дискуссии.

Nik писал(а):armit
Сигналкин
А как безпроводной доступ злоумышленников через приемник , который получает информацию с колесных датчиков беспроводно - в радиодиапазоне?
Дальше с приемника информация проводно передается на эбу и борт.компьютер?

Ну это если речь идет о штатной системе TPMS, которая интегрируется с БК по шине данных... А вот у меня установлена система TPMS (Hella), но никакой связи с электроникой автивки (кроме бортового питания) она не имеет.
Так что, юные радиохакеры меня не сильно парят... а TPMS - штука очень даже полезная на скоростях от 100 км/ч.

armit писал(а):

oreh писал(а):Может я слепой... Но какого-либо доходчивого объяснения я не заметил (ты имеешь ввиду предыдущий абзац? или там еще что-то было?

Хотелось бы все же, чтобы ты почитал повнимательнее, вникнул, а уж потом... . дай-ка я в последний раз попробую просуммировать очень вкратце:

Пользуя твою же терминологию, и в статье, и в моих переводах со ссылками речь идет о ряде возможных потенциальных дыр, одной (вовсе не означает что единственной) из которых являются КАНАЛЫ датчиков давления. Но потенциальные дыры этим не ограничены, они показывают стратегические направления развития индустрии с точки зрения создания этих потенциальных дыр, и это именно то, что я пытался обьяснить, используя выдержки из статьи.

То что там написано - это не доходчивое объяснение, это наведение ужаса и страха.

armit писал(а):Я смею думать, что авторы статьи разбираются в вопросе ну уж никак не меньше твоего, и явно больше моего. Если ты не согласен... что ж, не вижу смысла переубеждать.

Да пусть они хоть гении, но есть одно "но". Ты не знаешь какие конкретно цели они преследуют написанием этой статьи.

armit писал(а):Еще одно, кстати: я бы все же выбирал выражения: "вцепился", "...фобии", как-то не совсем подходит ни для этого форума, ни для технической дискуссии.

Хм.... извини, не думал, что ты так нежен.