Riasztók

[xpet]

Eddig azt hittem, hogy ennek a Corolla Versonak is hagyományos kulcsa van. De ahogy látom, itt a távirányító bedugása után külön gombbal indul és nem kulcs elfordításával. Akkor storno a kérdésem.

[Peti755]

Igen gyári kulcs van hozzá. Sima nyit és zár gomb illetve az oldalából lehet kihúzni a kulcsot ha netán lemerülne benne az elem. Ahogy a korábbi hozzá szóló is írta ebben a távirányítót kell bedugni és start-stop gombbal indul be. Automata váltós, nem tudom, hogy ez befolyásoló tényező-e.

[music]

Bár nem riasztó, de az autók biztonságával és ellopásával függ össze.
Egy cikk a kulcsnélküli autók lophatóságáról.
Itt az eredeti, német nyelvű teszt, ami a cikk alapjául szolgál.

[afekete]

Egy érdekes - angol nyelvű - írás hogyan lehet kulcs nélkül lopni modern autókat. (A CAN bus meghackelésével.)
Az áldozat egy RAV4 volt, de írják, hogy bármilyen nem titkosított CAN bus-os jármű lehet áldozat.
És tök jól, érthetően írja le.

[vd1234]

Ehhez kapcsolódóan szerintem:
https://telex.hu/tech/2023/04/09/ket-perc-alatt-a-fenyszoron-at-lopjak-a-toyotakat-hitech-tolvajok
Azon gondolkodtam, hogy ha pl. a fényszóró fényforrásai 1-2 soros diódán keresztül kapnák a tápellátásukat, akkor az nem zárná-e le a tolvajok jeleit?

[afekete]

A fényszórónál nem a tápfesz érdekes, hanem hogy ott van a nem titkosított/hitelesített CAN bus, amin ott van a kulcs ECU is.
Lehet más autónál a féknél vagy a hátsó lámpánál könnyebb hozzáférni.
A magyar cikk nem sokat ír - valószínűleg nem is olvasták az eredetit, ott leírják.
Nagyjából ez történik: ráakasztanak egy eszközt a CAN bus-ra, ami elnémítja a buszon lévő többi eszközt - Toyotáknál jellemzően 3 CAN bus van. Folyamatosan küldi a jelet a bus-ok közti gateway-nek, hogy a kulcs itt van, lehet nyitni, indítani az autót (“valid smart key” üzenet). Meg egy ajtónyitás üzenetet üzenetet gombnyomásra.
Erre leginkább a CAN bus-on az eszközök közötti üzenetek hitelesítése, esetleg titkosítása.

[robi (Robi)]

Igen, ez várható. Minél okosabb az autó, annál inkább ki lesz téve a kiberbűnözésnek.
A CANbus egy '80-as évek elején kitalált megoldás volt, mely (ModBUS-hoz hasonlóan, amit az ipari automatizációra találtak ki) semmilyen módon nem fókuszált a rajta küldött adat biztonságára. Amikor ezeket fejleztették, úgy vélték, hogy mechanikailag levédeni a kábeket elég.

Hát mára már ott tartunk hogy olyan dolgokra is használják ezt az adatcsatornát, ami nem kéne - indítás - mert így könnyen ellophatóvá válik a kocsi. És mekkora hiba az is, hogy a fizikai védelem sincs ezek szerint meg, a fényszóró alatt vezetik a buszt...?

Új adatátviteli szabvány kell ide is... Már az autók is lassan csak kerekekkel felszerelt számítógépek...

A ModBUS ugyanez a baj, pl. ipari energiaellátó rendszerek ModBUS/SCADA-t használnak, ugyanez a veszély ott is fennáll... Amikor azt olvassuk a hirekben hogy kibertámadások vannak energiaellátó rendszerek ellen, akkor ami történik lényegében az hasonló ahhoz, amit ezek műveltek a RAV4-el...

A szoftverfrissítés itt nem segít... a probléma abban van, hogy a CAN/Mod elvi szinten sebezhető. Fizikailag kell megakadályozni a hozzáférést...

[afekete]

Az, hogy a CAN bus 80-as évek beli találmány, az szerintem nem probléma. Az IPv4 is csak ‘83 óta van, https pedig 2000-től.
A cikkben is írják, hogy firware update-tel meg lehetne csinálni az authentikálást. Szerintem nagyobb probléma az autógyártók hozzáállása. Meg ilyenkor minden ECU-t frissíteni kéne, ami nem biztos, hogy lehetséges.
A fizikai védelem szerintem egy autón elég nehéz, az utastérbe nem nehéz bejutni, ott pedig biztos elérhető kell legyen egy ECU.
(De amúgy valahol nem a sárvédőt kell letépni, hanem a hűtőrácson kell egy lukat csinálni.
A SCADA rendszerek közül meg leginkább ott van baj, amikor elérhető az internetről, mert ott a fizikai védelem általában elég jó.

[robi (Robi)]

Az a baj, hogy nem elég az ECU/MCU frissítés, az összes perifériát is fel kellene hozni ugyanarra a biztonsági szintre, különben fabatkát sem ér az egész frissítés. Egy mai autóban több száz ilyen periféria van, ami a különféle CAN buszokra küld adatot

Az IPv4 hasonlat nem áll meg, mert míg IP esetén számtalan OSI layeren zajlik a kommunikáció, melyek csillió féle adatátviteli szabvány egymás melletti együttélésre ad lehetőséget, a CAN/Mod busz jóval primitívebb és egyszerűbb. Nyilván lehetne kvázi biztonságosabbá tenni elvi szinten de gyakorlatban, egy már meglévő autónál, ahol minden egyes szenzor, vezérlő csipje annyit tud amennyit, az olcsóság jegyében, nem tudsz utólag nagy áttörést elérni. Ha a kommunikácio nincs egyesével letitkosítva minden egyes szenzor által küldött adatcsomagnál, akkor bármikor rá lehet cuppanni a buszra és rákamuzni szenzor adatokat. Arról nem is beszélve, hogy a titkosítás milyensége is újabb kérdéseket vet majd fel.

Új fejlesztés, új autókban, új adatátviteli szabvány kell - most hogy ezt CAN verzió X-nek hívjuk vagy másnak, az már részletkérdés, csak sajnos a meglévő autókon ez mit sem segít.

Ez megint az az ultraciki hozzáállás gyártók részéről mint az autórádiók a 2000-es években. Gyárilag még mindig kazettás meg jó esetben CD-s fejegységek kerültek, amikor az MP3 már évtizede tarolt.

[afekete]

Ebben nem értünk egyet - a TCP/IP pedig pont felrúgja az OSI szabványt.
Mivel az intelligencia az ECU-kban van, bőven elég volna azokat authentikálni. A kulcs szenzortól kapott jelről az ECU dönti el, hogy az éppen nyitja-e az autót. Hosszabb távon lehet minden szenzor is ilyen, de ezzel ki lehetne húzni ennek a támadásnak a méregfogát.
Ha az OSI modellt nézzük, akkor a CAN bus az alsó két layer-t fedi - tehát mint az Ethernet. Odáig az internet se használ jellemzően authentikálást.
Azzal viszont maximálisan egyet értek, hogy az autó gyártok nem foglalkoznak ezzel - addig míg nem lesz ebből valami komoly baleset vagy balhé.

[robi (Robi)]

Az OSI nem egy szabvány, az csak egy elméleti modell... nyilván csak úgy lehet fejlődni ha ezt mankóként használjuk, mint egy iránymutatást. Amúgy pedig azért elég jó dolgok valósultak meg TCP/IP-n, pont azért mert az OSI modellt elég rugalmasan lehetett kezelni.

És így van ahogy írod, mivel a CAN és hasonló buszok csak az alsó két layer-t fedik, nincs hová fejlődni tovább, magasabb szintű adatvédelmi megoldásokat beiktatva, a meglévő hardverek ennyit tudnak, nincs feljebb. És ez a baj, hogy igen A kulcs szenzortól kapott jelről az ECU dönti el, hogy az éppen nyitja-e az autót. Csak hogy azt az ECU nem tudja sose megkülönböztetni, hogy a beérkező jel az eredeti kulcstól érkezett vagy a kulcsot klónozó/imitáló ketyerétől, mert a kábelre "rábeszélt" jel pontosan ugyanúgy néz ki, tehát nem különböztető meg. Akármilyen förmver van az ECU-ban, ha a kulcs szenzora ugyanolyan jelet küld frissítés után is, akkor az új förmver is az ECU-ban ugyanúgy el fogja hinni hogy az érkező jel az valódi, mert a kulcsban, illetve a kulcs szenzorában nem változott semmi, az ugyanolyan jelet küld továbbra is, tehát a kamu jelet is ugyanúgy lehet tovább is használni a beindításhoz.

Hogy ez ne történhessen meg nem csak az ECU-t, hanem a kulcsot illetve a kulcs-olvasó szenzor förmverét is frissíteni kellene (valamiféle autentikációs algoritmussal), már ha egyáltalán van benne ilyesmi, és nem fix áramkörök csinálják az egészet (mert úgy olcsóbb és egyszerűbb a fejlesztés). És nem csak kulcsra, minden szenzorra ki kellene terjeszteni mindezt, mert be lehet csapni az ECU-t egyéb kamu adatokkal is, amik közvetetten vezethetnek egyéb problémákhoz.

Az a baj hogy ez egy róka fogta csuka mindig, mert akármeddig lehet tekeredni az ide-oda ugró kódokkal stb. míg csak két fél dönti el egymásról (kulcs vs. ECU) hogy megbízhatók egymással szemben, addig mindig lesz feltörés amivel vissza lehet élni, és el lehet érni azt, hogy bármi más klónketyere hiteles kulcsnak adja ki magát az ECU-nak. Erre mindig meglesz a "piaci" igény...
Egy harmadik fél beiktatása nélkül ez sose lesz 100%-osan biztonságos, kvázi olyasmire volna szükséges elvi szinten mint a 2 faktoros autentikáció.

[afekete]

Az OSI nem egy szabvány, az csak egy elméleti modell... nyilván csak úgy lehet fejlődni ha ezt mankóként használjuk, mint egy iránymutatást. Amúgy pedig azért elég jó dolgok valósultak meg TCP/IP-n, pont azért mert az OSI modellt elég rugalmasan lehetett kezelni.

OK, modell. De a TCP/IP enm igazán igazodik ehhez a modelhez. Nincs semmi gond a TCP/IP-vel. (A DECnet például elég jól megfelelt neki, de már alig használják/ismerik.)

És így van ahogy írod, mivel a CAN és hasonló buszok csak az alsó két layer-t fedik, nincs hová fejlődni tovább, magasabb szintű adatvédelmi megoldásokat beiktatva, a meglévő hardverek ennyit tudnak, nincs feljebb.

Kell hogy legyen feljebb, mert egy MAC address nem tud alkalmazással kommunikálni. Hogy a felette levő réteg mennyire bonyolult, az már más kérdés.

És ez a baj, hogy igen A kulcs szenzortól kapott jelről az ECU dönti el, hogy az éppen nyitja-e az autót. Csak hogy azt az ECU nem tudja sose megkülönböztetni, hogy a beérkező jel az eredeti kulcstól érkezett vagy a kulcsot klónozó/imitáló ketyerétől, mert a kábelre "rábeszélt" jel pontosan ugyanúgy néz ki, tehát nem különböztető meg. Akármilyen förmver van az ECU-ban, ha a kulcs szenzora ugyanolyan jelet küld frissítés után is, akkor az új förmver is az ECU-ban ugyanúgy el fogja hinni hogy az érkező jel az valódi, mert a kulcsban, illetve a kulcs szenzorában nem változott semmi, az ugyanolyan jelet küld továbbra is, tehát a kamu jelet is ugyanúgy lehet tovább is használni a beindításhoz.

De ha elolvastad a cikket, akkor látod, hogy ez a feltörés nem így működik. Ehhez ugyanis tudni kéne a jó kulcsnál mit küld a szenzor. Itt pedig nem kell a kulcs relay.
A szenzor nem azt tudja, hogy jó vagy rossz kulcstól kapott jelet, mert ezt az ECU tudja.

Az a baj hogy ez egy róka fogta csuka mindig, mert akármeddig lehet tekeredni az ide-oda ugró kódokkal stb. míg csak két fél dönti el egymásról (kulcs vs. ECU) hogy megbízhatók egymással szemben, addig mindig lesz feltörés amivel vissza lehet élni, és el lehet érni azt, hogy bármi más klónketyere hiteles kulcsnak adja ki magát az ECU-nak.

Szerintem itt egy előre letöltött certificate alapú hitelesítés még elég volna.

[Nagycitrom]

Mondjuk azt, hogy kb értem, amiről a diszkurzus megy.

A CANbus rendszer hiányosságából adódó biztonsági rés minden CANbus rendszert érint vagy csak a kártyás nyitású/indítású autókat?

Gondolom a RAV 4 azért került itt előtérbe, mert annak épppen a fényszóró alatt, hozzáférhető részen fut egy adat kábel, ami könnyen megcsapolható.

[afekete]

Az kell hogy a kulcsot egy ECU kezelje.
A Priusnál a kulcs ECU-ja utastérből könnyen hozzáférhető, ott azt szokták olyanra cserélni, amelyikre már fel van tanítva a kulcs.
Itt annyival könnyebb a helyzet, hogy nem kell bejutni az utastérbe se.
A RAV4 azért került ide, mert a cikk írójától épp ilyet loptak el, de más típusok, más márkák is vihetők ezzel a technikával, csak kell némi tipusismeret.
Talán a Teslánál volt, hogy a homloklemezt kellett egy helyen megfúrni. De mehet a CAN bus a hátsó lámpákhoz is, a csomagtérajtóhoz, bárhova, csak könnyen hozzáférhető legyen.
Ja, és a kütyünek is ismerni kell a típust, hogy megfelelő jelsorozatot küldjön.

[Nagycitrom]

Az kell hogy a kulcsot egy ECU kezelje.

Köszi!