1. CAR HACKING
by C. Miller & C.Valasek
Emanuele Gargiulo, 2019
1
Sicurezza dei Dati
2. CONTENUTI
1. Introduzione alla sicurezza IOT
2. Panoramica sul Car Hacking
3. ‘Remote Exploitation of an UnalteredVehicle’
• Remote Attack Paradigm
4. Conseguenze della ricerca
3. IOT: CONNESSO =VULNERABILE?
• Una tendenza degli ultimi anni è quella di
connettere ad internet non solo computer e
smartphone, ma dispositivi di qualunque genere
• Un dispositivo connesso ad internet è per forza di
cose più soggetto ad attacchi esterni rispetto ad
un dispositivo non connesso
3
4. I PROBLEMI DELLA SICUREZZA IOT
• Spesso le aziende che si trovano a produrre ‘things’ connesse alla
rete non hanno grande esperienza di software e sicurezza
• I dispositivi IoT hanno risorse hardware limitate, quindi alcuni
approcci ‘classici’ alla sicurezza non sono applicabili
• Frequentemente nei dispositivi IoT vengono utilizzate credenziali
generiche e non uniche, quali “admin” e “password”
• Raramente i prodotti vengono supportati con update di sicurezza
dopo la vendita
4
5. LE AUTO NON FANNO ECCEZIONE
• Le auto moderne sono dotate di computer di
bordo, spesso connessi in rete e in grado di
eseguire app
• Includono connettività wifi, cellular, bluetooth…
• Questi sistemi e connettività sono potenziali punti
d’accesso per malintenzionati
5
6. CAR HACKING
Con il diffondersi di automobili sempre più “smart”,
anche gli studi sulla sicurezza delle vetture sono
fortemente aumentati.
Due tra i più noti ricercatori ad occuparsene sono
• Charlie Miller
• ChrisValasek
6
7. CAR HACKERS: MILLER &VALASEK
Charlie Miller
• Laureato in matematica
• Esperto di Cybersecutity
• Ex-dipendente NSA
• Celebre per aver scovato molteplici vulnerabilità in prodotti Apple
• Prima persona ad violare il primo iPhone e il primo smartphone
Android
7
8. CAR HACKERS: MILLER &VALASEK
Chris Valasek
• Laureato in informatica
• Esperto di Cybersecutity
• Ex-dipendente IBM
• Celebre per aver scovato molteplici vulnerabilità in sistemi
Windows
8
9. CAR HACKERS: MILLER &VALASEK
• A partire dal 2013, Miller eValasek diventano noti per le loro ricerche
nel campo della sicurezza informatica nel settore automobilistico
• La loro attività è culminata nell’hacking remoto di diverse vetture del
gruppo FCA
• Nel 2015 riescono ad accedere e controllare da remoto una
Jeep Grand Cherokee del 2014
• L’evento ebbe grande risonanza sui media, soprattutto dopo un
articolo su Wired
9
10. ‘Though I hadn't touched the dashboard, the vents in
the Jeep Cherokee started blasting cold air […]
Next the radio switched to the local hip hop station
[…]
I spun the control knob left and hit the power
button, to no avail.Then the windshield wipers
turned on […]
As I tried to cope with all this, a picture of the two
hackers performing these stunts appeared on the
car's digital display: Charlie Miller and ChrisValasek,
wearing their trademark track suits. […]
That's when they cut the transmission.
Immediately my accelerator stopped working.’
‘Miller andValasek’s full arsenal includes
functions that fully kill the engine, abruptly
engage the brakes, or disable them altogether.
The most disturbing maneuver came when
they cut the Jeep's brakes, leaving me
frantically pumping the pedal as the 2-ton SUV
slid uncontrollably into a ditch. […]
Their hack enables surveillance too:They can
track a targeted Jeep's GPS coordinates,
measure its speed, and even drop pins on a
map to trace its route.’
10
11. I PRECEDENTI…
Miller eValasek erano riusciti ad ottenere già negli anni
precedenti il controllo su alcune autovetture (Ford Escape,
Toyota Prius)
• Questi attacchi prevedevano però una connessione fisica tra
il computer degli hacker e la porta di diagnostica della vettura
• Per tale motivo non vennero presi sul serio dalle case
automobilistiche
11
12. REMOTE EXPLOITATION OF AN
UNALTEREDVEHICLE
A partire dal 2014, i due hacker si concentrano sulla
Remote Exploitation of an unaltered vehicle, vale a dire
sull’hacking remoto di un veicolo non modificato.
• L’attacco è molto più serio, non richiedendo accesso
fisico alla vettura né modifiche preventive su di essa
• Un’enorme quantità di veicoli risulta “comodamente
attaccabile dal salotto di casa”.
12
13. REMOTE ATTACK PARADIGM
L’attacco remoto ad una vettura non modificata si articola in
4 fasi
1. Remote Compromise
2. Lateralization
3. CAN Messages analysis
4. CAN Message injection
13
15. LAVETTURA SCELTA
L’auto scelta come target è una
Jeep Grand Cherokee del 2014.
• Scelta perchè, pur avendo un
costo relativamente contenuto,
ha molta dotazione tecnica
atta alla guida assistita.
Più parti fisiche controllabili
dalla centralina implica più
parti fisiche potenzialmente
controllabili in seguito ad un
attacco remoto
15
16. LAVETTURA SCELTA
La dotazione comprende…
• Cruise control adattivo
• Sistema di avviso per prevenire le
collisioni
• Controllano i freni
• Avviso di superamento della linea
di corsia
• Parcheggio assistito
• Controllano lo sterzo
16
17. IL SISTEMA ‘UCONNECT’
La Jeep Gran Cherokee del
2014, così come molte altre
vetture del gruppo FCA e
non solo, monta un computer
di bordo detto UCONNECT,
prodotto da Harman Kardon.
Esso integra tutta la tecnologia
dedicata all’infotainment, tra cui
Radio,Wifi, Cellular, GPS,
possibilità di eseguire app…
17
18. IL SISTEMA ‘UCONNECT’
• Contiene anche un microcontrollore e del software che
permettono di comunicare con altri moduli elettronici
presenti nel veicolo, utilizzando il Controller Area
Network.
18
Il Controller Area Network è uno standard seriale utilizzato soprattutto
nell’ambito dei trasporti per collegare diverse unità di controllo
elettronico (ECU).
Esso funziona sfruttando un protocollo basato su messaggi che
permettono di richiedere una determinata azione
19. IL SISTEMA ‘UCONNECT’
• Dietro al display LCD sono presenti due schede figlie.
• La prima scheda ospita il processore principale, prodotto daTexas Instruments, e
l’hardware relativo alla connettività Cellular (fornita dall’operatore SPRINT)
• La seconda scheda monta un processore RenesasV850, molto comune nei veicoli, che
è a basso consumo e ha il compito specifico di mandare messaggi al CAN
• Le due schede sono apparentemente separate da un airgap, quindi tramite il
processore principale non dovrebbe essere possibile inviare messaggi CAN
• Vedremo che in realtà non è proprio così…
19
Airgap: misura di sicurezza utilizzata per assicurarsi che un computer con compiti
cruciali sia elettronicamente isolato (concetto di air-gap) da altri componenti
connessi alla rete
20. IL PROCESSORE PRINCIPALE
• Il processore principale dell’UCONNECT è un ARM
Texas Instruments 32-bit
• OMAP-DM3730 system on a chip
• Utilizza un sistema Linux-like detto QNX
• Supporta molti dei comandi di Linux, il che rende
l’interazione con il sistema piuttosto agevole
20
21. QNX
• Un ulteriore vantaggio del sistema QNX dal punto dei vista degli
hacker, era la possibilità di installarlo in macchina virtuale
• Era facilmente scaricabile tramite internet l’ISO utilizzata per gli
updates e la reinstallazione del sistema
• Gran parte del testing e dell’esaminazione del codice poteva
essere fatto anche senza avere un sistema UCONNECT fisico
• Avendo il sistema in macchina virtuale si poteva, ad esempio,
studiare la struttura delle cartelle
21
22. TORNANDO A NOI…
• Abbiamo visto una breve panoramica della vettura
scelta, la Jeep Grand Cherokee del 2014
• E’ arrivato il momento di passare all’attacco vero e
proprio
• La prima fase è quella di Remote Compromise…
22
24. 1: REMOTE COMPROMISE
La prima cosa da fare è individuare i servizi attaccabili sul veicolo
• Wifi
• Bluetooth
• Cellular
• Chiave elettronica
• Sensori di pressione pneumatici
Sono tutti potenziali punti d’accesso per un attacco
24
25. La Jeep Grand Cherokee del 2014 aveva
molti potenziali punti d’accesso:
• Protezione Antifurto passiva
• Sistema di monitoraggio della pressione
gomme
• Sistema di avvio keyless
• Bluetooth
• Radio data system
• Wifi
• Connessione cellular,
25
1: REMOTE COMPROMISE
26. I servizi nei quali era più
probabile trovare vulnerabilità
utili alla fase di Remote
Compromise sono risultati
essere quelli relativi alle
connessioni Wifi e Cellular,
in quanto hanno raggi d’azione
più ampi e interagiscono
direttamente con il computer
di bordo della vettura…
26
1: REMOTE COMPROMISE
27. ATTACCO WIFI
• La funzione di hotspot WIFI, che permette a
dispositivi in vettura di collegarsi ad internet, è un
potenziale punto d’accesso al sistema
27
• La prima cosa da fare è
riuscirsi a connettere
all’hotspot wifi della
vettura
• La rete è protetta da una
password WPA-2
28. IL PROBLEMA DELLA PASSWORD
• Analizzando il software, è stato
scoperto che il generatore della
password utilizzava come seed la
data (precisa al secondo) del
primo avvio del sistema
• Se si conosce orientativamente la
data di produzione della vettura, si
può molto restringere lo spazio
dei seed da utilizzare:
28
Conoscendo il mese del primo avvio: 15
milioni di password da provare
Conoscendo il giorno del primo avvio: 7
milioni di password da provare
29. IL PROBLEMA DELLA PASSWORD
• Il numero di password da provare non è enorme
• Si può assumere che il primo avvio non sia avvenuto di notte,
riducendo ulteriormente i seed da provare
• Secondo alcuni, usando metodi di cracking offline si possono
provare 133000 password al secondo
• E’ una stima probabilmente ottimistica ma comunque indicativa
29
2 Minuti per provare i seed
relativi ad ogni mese
Meno di un’ora per provare i
seed relativi all’intero anno
30. IL PROBLEMA DELLA PASSWORD
30
Situazione ancora non pratica!
Ma in questo lasso di tempo bisognerebbe rimanere nel range
del wifi di un veicolo acceso, e quindi presumibilmente in
movimento…
31. TUTTAVIA…
• Se la vettura non riesce a ottenere la data dalla rete al
primo avvio, essa viene impostata di default al 1 Gennaio
2013.
31
32. IL PROBLEMA DELLA PASSWORD
32
• Risulta che quasi tutte le password usano come seed la data di default!
• Ad esempio, la password di Charlie Miller eraTyYMxfPhZxkp
• Eseguendo un attacco bruteforce su tutte le possibili date-seed,
scoprono che la data utilizzata corrisponde all’EpiochTime
0x50e22720… cioè al 1 Gennaio 2013, ore 00.00.32s.
• La funzione che genera la password va in esecuzione a circa 32
secondi dall’avvio del sistema, quando la data impostata è quella di
default e non c’è ancora stato il tempo di recuperare la vera data
33. IL PROBLEMA DELLA PASSWORD
33
Il range di timestamp che sono possibili seed si riduce a pochi secondi!
Ci sono poche decine di password da provare!
La password si può trovare quasi istantaneamente
34. LE PORTE APERTE
34
• Una volta connessi all’hotspot wifi della vettura, eseguendo
Nmap, hanno scoperto che molte porte sono aperte
35. PORTA 6667
35
• Tramite questa porta è possibile accedere al D-Bus, che è
un sistema di comunicazione tra processi e per la chiamata
remota di procedure
• Potrebbe richiedere autenticazione…
• Non la richiede sulla Jeep!
36. SERVIZI OFFERTI DAL D-BUS
36
• Utilizando il tool
DFeet, è stata
ottenuta una lista
dei servizi offerti
dal D-Bus.
• L’idea era quella di
trovare un servizio
che permettesse
code injection
37. ESEGUIRE CODICE ARBITRARIO
37
• Molti servizi erano vulnerabili a code injection
• Era possibile passare come parametri dei metodi comandi da eseguire
• Ciò si rivela comunque non necessario…
• In alcuni servizi era addirittura presente un metodo “execute”, che consentiva
di eseguire liberamente comandi shell!
38. E I PRIVILEGI?
38
• Un dubbio legittimo: come ottenere i privilegi
necessari ad eseguire tutti i comandi?
Sorpresa: Ogni comando veniva automaticamente eseguito come
root!
39. REMOTETERMINAL
39
• Una volta ottenuta la possibilità di eseguire i comandi,
la cosa più semplice da fare è configurare il protocollo
SSH sulla vettura
• A quel punto possiamo semplicemente collegarci via
SSH ed eseguire comandi tramite il terminale remoto!
40. CONTROLLARE L’ UCONNECT
40
• Per controllare molti dei servizi, non serviva neppure
eseguire codice
• Bastava infatti invocare i servizi già forniti dal D-Bus, che
consentivano di controllare la maggior parte delle funzioni
gestite direttamente dall’UCONNECT, tra cui il gps, la
radio, e tanti altri servizi non gestiti tramite CAN
Un paio di esempi…
41. TANTE POSSIBILITÀ
41
• Una possibile applicazione: richiedere a intervalli regolari la
posizione GPS della vettura attaccata e visualizzarla su una
mappa, tracciandone percorso e velocità
42. TANTE POSSIBILITÀ
42
• Un ulteriore esempio: gestire il volume della radio
dell’auto attaccata
Una volta fatto ciò, la manopola della radio non è in grado di
modificarlo nuovamente, e l’impostazione viene mantenuta anche se
il veicolo viene spento e riacceso
43. SVANTAGGI DELL’ATTACCO WIFI
43
• L’hotspot WiFi si attiva con un abbonamento, quindi non molte
persone lo terranno in funzione
• Bisogna essere nel range del wifi per portare un attacco alla
vettura
44. ATTACCO CELLULAR
• La vettura dispone anche di una scheda cellular
• La connessione cellular, a differenza dell’hotspot wifi, è sempre
attiva su tutte le vetture
• Un attacco cellular significherebbe non essere vincolati al range wifi!
44
45. LE PORTE? ANCORA APERTE
• Utilizzando NETSTAT, risulta che la porta 6667 è
aperta per tutte le interfacce, quindi oltre che da
WIFI è accessibile anche da cellular
45
46. COME MODIFICARE L’ATTACCO?
• La risposta è banale: Lo stesso identico attacco è
valido anche per la rete cellular, basta sostituire l’IP
cellular all’IP wifi usato in precedenza!
46
• Nota: Senza accesso diretto al veicolo o
senza confrontare dati geografici noti con
posizioni ottenute tramite l’attacco, è
difficile individuare un IP cellular specifico.
47. DA QUANTO LONTANO?
• Inizialmente ipotizzavano si potesse eseguire l’attacco solo essendo nella stessa
‘cella’ telefonica del veicolo target
• Successivamente scoprono che bastava collegarsi tramite rete Sprint per avere
accesso a tutti i veicoli vulnerabili indipendentemente dalla loro posizione
• Riescono con successo ad effettuare un attacco da Pittsburgh a un veicolo a St
Louis (oltre 900 km in linea d’aria)
47
48. QUALIVETTURE?
• Connettendosi a diverse
vetture, hanno potuto
interrogarne le centraline
per ottenere informazioni sul
modello.
• Erano presenti molte vetture
prodotte tra il 2013 e il
2015 a marchi RAM,
CHRYSLER, DODGE, JEEP…
48
2013 DODGEVIPER
2013 RAM 1500
2013 RAM 2500
2013 RAM 3500
2013 RAM CHASSIS 5500
2014 DODGE DURANGO
2014 DODGEVIPER
2014 JEEP CHEROKEE
2014 JEEP GRAND CHEROKEE
2014 RAM 1500
2014 RAM 2500
2014 RAM 3500
2014 RAM CHASSIS 5500
2015 CHRYSLER 200
2015 JEEP CHEROKEE
2015 JEEP GRAND CHEROKEE
49. QUANTEVETTURE?
• Analizzando un campione di IP di vetture vulnerabili
identificate, gli hacker stimarono si trattasse di circa
400000 vetture
• Successivamente, i dati ufficiali hanno svelato che si
trattava in realtà di circa
49
1,4 milioni di vetture!
51. IL PUNTO DELLA SITUAZIONE
• Ottenuto accesso al chip OMAP del sistema UCONNECT tramite cellular
• Possibilità di utilizzare i servizi forniti direttamente dal D-Bus
• Possibilità di eseguire comandi tramite console remota
• Impossibilità di inviare messaggi CAN arbitrari
• I messaggi CAN vengono inviati dal secondo chip, ilV850
• Poter inviare messaggi CAN è indispensabile se si vuole interagire con
sistemi fisici dell’auto quali freni, sterzo…
51
53. 2: LATERALIZATION
53
• I due chip, apparentemente separati, sono in realtà connessi da una
linea seriale
• Il chip OMAP è in grado di aggiornare il firmware delV850, procedura
normalmente eseguita connettendo una usb-stick con l’aggiornamento
54. 2: LATERALIZATION
54
• L’idea a questo punto è quella di sfruttare la capacità dell’OMAP
di aggiornare ilV850 per caricare da remoto un firmware con una
backdoor, che consenta poi di inviare messaggi CAN arbitrari
55. 2: LATERALIZATION
55
• Ancora una volta l’inadeguatezza dei sistemi di
sicurezza dell’UCONNECT viene incontro agli
hacker…
I firmware delV850 non hanno alcuna firma digitale!
56. FASE DELICATA…
56
• L’installazione del nuovo firmware comporta un riavvio
del computer di bordo. Un utente attento potrebbe
capire che sta succedendo qualcosa di strano e
spegnere la vettura.
• Errori in questa fase o nel firmware utilizzato per
l’aggiornamento comportano il brick della UConnect…
57. FASE DELICATA…
57
• …e infatti Charlie Miller fu costretto a diverse visite al meccanico
• Per sua fortuna, il veicolo era in garanzia: fingendo di non sapere
cosa fosse successo, riuscì a farsi sostituire l’UConnect con una
nuova unità!
60. 3: CAN MESSAGES ANALYSIS
• Utilizzando uno sniffer, gli hacker hanno potuto
ricostruire a quale messaggio CAN
corrispondesse una determinata azione
60
61. 4: CAN MESSAGES INJECTION
• Una volta fatto ciò, è possibile replicare i messaggi CAN visti
nel traffico reale sul CAN network per ottenere le azioni ad
essi associate
• Non è ancora possibile creare “nuovi” messaggi CAN…
61
62. 4: CAN MESSAGES INJECTION
• I messaggi CAN utilizzavano un checksum per verificarne
l’integrità, quindi per inviarne di arbitrari è stato necessario un
reverse engineering per capire come venisse calcolato…
• Ciò richiese diversi mesi di lavoro!
62
63. SORGENTI IN CONFLITTO
• In alcune occasioni, la centralina della vettura potrebbe ricevere
messaggi CAN contrastanti
• I messaggi inviati dagli hacker potrebbero andare in conflitto con
i normali messaggi inviati dalla vettura
• Alcune vetture obbediscono al comando ripetuto più volte, altre (è il
caso della jeep) si spegnono
63
65. DIVENTARE L’UNICA SORGENTE
• Inizialmente, un metodo usato per diventare l’unica fonte di
messaggi CAN è stato mettere l’ECU in modalità
DIAGNOSTICA.
Ciò impediva alla vettura di inviare messaggi CAN normali, ma
allo stesso tempo consentiva agli hacker di inviare messaggi
solo a basse velocità (o veicolo fermo)
65
66. DIVENTARE L’UNICA SORGENTE
• Nel 2016, risolsero il problema impostando l’ECU in Bootrom mode. In questa
modalità, l’ECU non è correttamente avviata in quanto attende l’installazione del
firmware.
• Per entrare in bootrom mode è ancora necessario avviare una sessione
diagnostica a bassa velocità, ma una volta entrati in questa modalità si può
portare avanti l’attacco qualunque sia la velocità assunta dalla vettura
• Contro: Spesso è necessario ri-flashare il firmware per restituire corretto
funzionamento all’ECU.
• Chiaramente ciò non è un problema per un attacker, che anzi potrebbe decidere
di mandare in brick permanente l’ECU per assicurarsi che non invii più messaggi
66
68. REMOTE ATTACK PARADIGM
• Abbiamo completato i 4 step
68
1. Remote Compromise
2. Lateralization
3. CAN Message Analysis
4. CAN Message Injection
69. IL PUNTO DELLA SITUAZIONE
• Ottenuto accesso al chip OMAP del sistema UCONNECT
tramite cellular
• Possibilità di utilizzare i servizi forniti direttamente dal D-Bus
• Possibilità di eseguire comandi tramite console remota
• E’ ora possibile comunicare con il chip V850
per inviare messaggi CAN arbitrari
69
70. RISULTATI SORPENDENTI
70
• Gli hacker sono riusciti a controllare liberamente
funzioni quali tergicristalli, radio, chiusura porte,
frecce, tachimetro… freni, sterzo.
Vediamo qualche esempio…
74. VEHICLE WORM
74
Siccome le vetture hanno la capacità di effettuare una scansione e
trovare altri veicoli vulnerabili, e siccome l’attacco non richiede
alcuna interazione da parte dell’utente, è teoricamente possibile
creare un worm tale che un veicolo infetto possa ricercare ed
infettare altri veicoli, alterandone poi il comportamento!
75. SITUAZIONE MOLTO GRAVE
75
• Appare evidente che vulnerabilità del genere siano
estremamente gravi, e che nelle mani sbagliate
avrebbero potuto portare a incidenti e situazioni
incredibilmente rischiose
76. HACKER ‘WHITE HAT’
• Per fortuna, Miller eValasek sono hacker ‘white hat’, cioè lo scopo
del loro lavoro è rendere consapevoli aziende e utenti delle
vulnerabilità dei prodotti, affinché esse possano essere corrette
76
77. GLI EFFETTI
• FCA era inizialmente riluttante a riconoscere l’importanza delle
scoperte risultate dal lavoro di Miller eValasek
• Una volta che la storia apparve sui media, il titolo crollò in borsa e
furono costretti ad agire, richiamando 1,4 milioni di vetture
77
79. OBBIETTIVO RAGGIUNTO
79
• Attraverso la loro ricerca, Miller eValasek sono stati in
grado di attirare l’attenzione del grande pubblico sulla
sicurezza informatica in campo automotive e di
costringere l’azienda FCA a risolvere le vulnerabilità
• La vicenda approdò anche al Senato USA, che si propose di
introdurre nuove norme per proteggere i guidatori da
pericoli di questo tipo
81. LA PATCH
• I problemi sono stati risolti da Jeep e Sprint bloccando le
porte e disabilitando il sistema di hotspot wifi su tutti i
veicoli che non avevano ricevuto un aggiornamento con
il fix
81
84. BIBLIOGRAFIA:
1. Video della conferenza in cui viene spiegato l’hack
https://www.youtube.com/watch?v=OobLb1McxnI
2. Sito di C. Miller e C. Valasek dedicato al car hacking:
http://illmatics.com/carhacking.html
3. Paper relativo all’hacking della jeep
http://illmatics.com/Remote%20Car%20Hacking.pdf
4. Slide usate durante la conferenza DEF CON dai due hacker:
https://www.syscan.org/slides/2015_EN_RemoteExploitationofanUnalteredPassengerVehicle_Charlie_Chris.pdf
5. Video che mostra possibili effetti fisici ottenibili tramite questo attacco:
https://www.youtube.com/watch?v=MK0SrxBC1xs
6. Pagina WIKI dedicata a Charlie Miller:
https://en.wikipedia.org/wiki/Charlie_Miller
7. Pagina WIKI dedicata a Chris Valasek:
https://en.wikipedia.org/wiki/Chris_Valasek