Názory k článku Postřehy z bezpečnosti: kritická chyba, která vás může stát i život

Dokud bude možnost mít diagnostiku, tak to auto ovládat půjde. Přes OBD se dá komunikovat s jakýmkoli modulem v autě :-)

Diagnostika klidně může (a měla by) být read-only. Vážně nevidím, jak je tohle problém.

A jak aktualizuješ SW v řídících jednotkách? Víš vůbec jak to v autě funguje? Normálně se přes OBD flashují jednotky. Ať už autorizovaně nebo to dělají "tuneři" Tak ještě jednou jak to chceš přes read only udělat?

pres mechanicky prepinac pro write-protect.

Nápad dobrej, akorát jsem ho ještě na žádným autě neviděl :-) Tím skončí všechny powerboxy na bázi OBD modifikace příkazů do řídících jednotek. Jedině, že by to šlo za jízdy přepnout do write mode, což asi je nežádoucí, že?

no tak 2x switch, jeden na write-protect a druhej na wireless-off ;)
dosahnes snad jiz vsech pozadovanejch moznosti:
ro w-off - pro bezpecnost
rw w-off - pro bezpecnost s moznosti powerboxu
ro w-on - pro relativni bezpecnost
rw w-on - pro ty co nejsou teroristi ani nesirej detske porno

A ono je žádoucí za jízdy modifikovat příkazy do řídící jednotky?

V soucasnych autech je zabudovano cca 70 ridicich jednotek. Opravdu chcete mit na kazde z nich prepinac a lezt do ruznych casti vozidla ten prepinac prepinat?

A co se tyka tech oddelenych pocitacu nebo sbernic, tak o tom se tu diskutovalo minuly tyden. Predstavte si, ze mate palubni pocitac, takovou tu velkou obrazovku na stredovem panelu. Tenhle pocitac vizualizuje radio, zobazuje mapu, musi znat z internetu objizdky, zobrazit seznam mp3 na vlozene flashce, pres bluetooth si povida s vasim mobilem. Ale tenhle pocitac musi vedet, ze couvate, aby vam zobrazil zadni kameru. Musi vam umet zobrazit ujetou vzdalenost a spotrebu. Podobne chytry musi byt i pocitac, co v palubovce u budiku. Ten taky umi navigovat, vizualizovat radio, ale take vi, jaky mate zarazen rychlostni stupen, jak rychle a daleko jedete. Jak tohle chcete oddelit?

Jedna věc je mít možnost získat nějaké informace nebo ovládat kameru a druhá věc je mít možnost zablokovat brzdy.

A tomu, že by bylo potřeba 70 přepínačů snad sám nevěříte, to si nehrajte na blbýho, stačí aby kritické řídící jednotky měly s jednotkou připojenou do internetu pouze read-only rozhraní, (a popř. jeden přepínač, který u nich najednou přepne ro/rw). Ale dalo by se tu řešit i jinak, třeba s něčím jako Capsicum (https://www.cl.cam.ac.uk/research/security/capsicum/)

Vezmu to odzadu. To Capsicum se mi jevi jakoby urcene do vyrazne chytrejsich procesoru, nez je v ridicich jednotkach. Vzdyt ono to predpoklada nejaky operacni system nebo co.

Mate pravdu, ze kritickych jednotkek muze byt tak do 20 (motor, turbo, volant, abs, posilovac rizeni, prevodovka, svetla...). Nicmene i takova trivialni vec, jako kalibrace skritici klapky (u meho auta asi tak 2 minuty na notebooku) se najednou zmeni v rozebirani steracu a sundavani plastu u celniho skla, abych se dostal k ridici jednotce motoru... No a kdyz jsme u teche svetel. Na palubnim pocitaci si muzete nastavit parametry denniho sviceni, podle kterych se pak zrejme prislusna svetla ridi. (Presne do toho nevidim, tak chytre auto nemam.) Jak byste to delal? Prepnul RO/RW prepinac, nastavil parametry a prepnul prepinac zpatky? Aby vam nejaky hacker v noci na dalnici nezhasnul svetla? Analogicky mate moznost z palubniho pocitace vypinat a zapinat ruzne brzdici a stabilizacni asistenty? Taky kvuli tomu polezete k ridici jednotce ABS/ESP/ASR... prepnout prepinac? Mimochodem to ASR ma vliv i na plynovy pedal, polezete i kridici jedotce motoru?

Nepochybuji, ze reseni existuje. Ale nebude to tak jednoduche, jako to je ted. A to uz ted mi ty auta moc jednoducha neprijdou. Mame v rodine jeste jednoho favorita bez vstrikovani, hezky s karburatorem. To je panecku strojovna.

>Vezmu to odzadu. To Capsicum se mi jevi jakoby urcene do vyrazne chytrejsich procesoru, nez je v ridicich jednotkach. Vzdyt ono to predpoklada nejaky operacni system nebo co.

Tak počítám, že palubní počítač, kde to má největší smysl, nějaký OS má, takže tam by se daly částečně izolovat procesy které se připojují k internetu, aby měly přístup jen k tomu co opravdu potřebují. Neexistuje jediný důvod, proč by navigace měla mít možnost odstavit brzdy, stejně tak by systém na dálkové zastavení vozidla neměl mít přímý přístup ke všem funkcím, o bezpečné zastavení za krajnicí se může palubní počítač postarat sám. Už takovýmhle oddělením funkcí/práv výrazně zvýšíte bezpečnost a velmi znesnadníte provedení útoku který by ohrozil posádku.

Ten počítač taky při couvání se zapnutejma předníma stěračema zapne stěrač zadní, přestaví zpětný zrcátka do polohy pro couvání, zasune opěrky hlav u zadních sedadel pokud sedadla nejsou obsazený a rozsvítí couvací světlo. A něco dalšího by se možná našlo.

Jednotlivý čidla a akční členy sou prostě sdílený různejma systémama. Takže to všechno musí bejt propojený nějakým CAN busem. No a kabel z CAN busu pak vede i do multimediálního systému, protože i ten musí mluvit se zbytkem auta.

Nepřijde mi, že to celý jednoduše oddělit bude tak snadný.

Neříkal jsem "OBD by mělo být read-only", říkal jsem, že diagnostika [při přístupu zvenčí] by měla být read-only. Mít zařízení které tahá diagnostické informace z OBD a poskytuje je komunikačnímu modulu by fakt neměl být problém.

Čistě technicky, není problém dát navíc do toho modulu s displejem v palubovce jednoho brouka, v ceně auta se to ztratí. Byl by to jednočip s CANem a UARTem a SW bez možnosti update mimo fabriku. Jeho práce by byla

1) Bofferovat v RAMce data z CANu
2) Zpřístupnit je po UARTu jednotce displeje
3) Filtrovat na základě tabulky, která zráva projde z UARTu do CANu.

Z pojledu HW s to ztratí, SW je napdssaný a otestovaný do týdne. Nevidím v tom problém.

A co se write protect týká, tak na OBD II je tuším 16 pinů, z toho 11 volných pro použití výrobcem auta. Když by se přifdal jeden drát na svěrnici s významem "Není vyšší napětí než na baterce - neflashujeme" a do OBD adaptéru v servisu nábojová pumpa, tak servisák ani nic nepozná.

Například tak, že jakákoliv možnost zápisu, flashe, čehokoliv co není jen vyčítání diagnostických dat bude přístupná jen v případě, že auto stojí, má vypnutý motor a zataženou ruční brzda.

Jo? A jak se jednotka centrálního zamykání dozví, že auto stojí? Po CANu od řídící jednotky. Že je vypnutý motor taky zjistí po CANu z řídící jednotky. Že je zatažená ručka, to zjistí taky po CANu.

CAN nerozlišuje zdroj ani cíl zpráv, jenom jejich kód a prioritu. Pokud má útočník fyzicky přístup ke CANu, tak je tohle řešení to poslední, co by ho zastavilo. Stačí znát komunikační protokol a dá se předpokládat, že když se útočník cíleně dostal takhle daleko... ;)

Bejt diagnostika jen read-only, asi by byl problém už jen odvzdušnění brzd.

Test akčních členů nebo kalibrace škrticí klapky by pak bylo nejspíš sci-fi.

Vždycky ale narazíš na to, že je potřeba aby to nějak mezi sebou komunikovalo. Tj. záleží na tom, jak bezpečný bude to "API" který mezi těma dvouma systémama bude. A stejně to půjde obejít.

CAN je v pohodě, ale je to jeko se vším, při používání se musí myslet. Dokonce je i možnost rozšířit ho o "veto" v případě, že kterákoliv jednotka detekuje bezpečnostní problém.

Jedna sběrnice v autě je jako ethernetový router s jednou lajnou, rozstřelenou na LAN a WAN pomocí nemenežovanýho switche :Q Safety nic moc. Stačí, když spadne některá jednotka do stavu Dominant a nefunguje nic.

Pokud by bylo několik sběrnic a firewall mezi nima (fyzická krabička), tak s tím není problém. Update firmware jenom přes diag konektor (HW blokace) a hotovo.

Ano can je v pohode a dela přesně to na co byl navržen,
je asi nespravedlivé házet to jen na can, je to obdobné jak flash, pokud existuje program / komponenta která je děravá a přes kterou se lze prokousat až k api / zběrnici prostě systém sestřelíte / auto nabourá
no v tomto případě to bylo rádio
asi by se to v první řadě chtělo zabívat první linií obrany a pak i upravit další vrstvy,
ale je fakt že pokud potřebuji 1000 za sekundu číst info z nějakého čidla tak tam moc ochran nenarvem

Jako pročetl jsem si tohle vlákno a stále nemohu pochopit, proč je takový neřešitelný problém, hodit ty "kritické systémy" na jeden čip a to ostatní s netem, jako GPS, rádio, ... , na druhý a nechat na display jen read-only z prvního (na "kritické sys.") nebo klidně nechat krit. systémy ovládat řidiče i přes druhý display, aby se to vůbec nepotkalo, stejně je displajů v aute milión a jestli je to na displeji dole nebo na druhém je jedno, pokud ho někdo nedá do kastlíku ..., prostě na privátní (prostě bez wifi) a veřejný okruh, a pak teprve řešit, kde se dá obejít api atd ... jako to, že někde dám čitlo a čtu, třeba ty brzdy, ještě neznamená že se dá přes něj něco ovládat. Pokud tam teda necpu krom čidla jiný hovadiny. Je otázka, jestli je to priorita.
Možná je to nachystané na antiviry a protipirátské daně. U PC už to nikoho moc ne...e, tak možná teď ...

Jenže ono se to potkat musí. Těžko by si jinak mohla převodovka brát data z GPS, třeba.

A pokud by údaj o rychlosti byl jen na kritickým systému, těžko by mi nekritický rádio automaticky regulovalo hlasitost. A ono to „pitomý“ rádio si může brát údaje z víc věcí, třeba z celkem kritický jednotky stahování střechy u kabrioletu, aby mohlo příslušně nastavit DSP. (leda by od něj ved další drát k nějakýmu dalšímu mikrospínači...)

Je senzor zatížení sedačky kritickej, když rozhoduje jen o tom, jestli při couvání zatáhnout opěrku? Asi ne. A když se spolupodílí na rozhodnutí, jestli a s jakou intenzitou vystřelit airbag? Jak to chcete oddělit? Budeme mít senzory dva? :)