21:26
9/2/2014

CHT to skrót od CAN Hacking Tools, niewielkiego urządzenia, które pozwala na przejęcie kontroli nad samochodowymi systemami zarządzania (np. hamulcami, zamkiem centralnym, światłami lub oknami). Pierwszy raz o hackowaniu samochodów pisaliśmy 4 lata temu, ale teraz, za sprawą CHT atakowanie samochodów jest zdecydowanie łatwiejsze.

Włamywanie się do samochodów

Aby przejąć kontrolę nad samochodowym komputerem należy najpierw podpiąć CHT do CAN (Controller Area Network), czyli samochodowej sieci komputerowej, do której podpina się wszystkie czujniki i kontrolery. Instalacja różni się w zależności od modelu samochodu: czasem trzeba będzie otworzyć maskę lub bagażnik (by dostać się do złącza OBD2), ale niekiedy wystarczy po prostu wczołgać się pod samochód. Generalnie, na podpięcie atakujący potrzebują ok. 5 minut. Urządzenie zasila się z samochodu, a więc po instalacji może pozostać w nim “na zawsze”.

cht-2

Po podpięciu, CHT może albo automatycznie przeprogramować odpowiednie systemy sterujące samochodem lub pozostać w uśpieniu i zacząć wydawać odpowiednie (np. złośliwe) komendy dopiero po jakimś czasie. CHT pozwala także na bezprzewodowy dostęp do samochodu, a to otwiera następujący scenariusz dla atakującego.

Ofiara porusza się po autostradzie. 2 samochody dalej jedzie atakujący, który podpina się do zainstalowanego wcześniej w samochodzie ofiary CHT i zaczyna wydawać polecenia. Te mogą być dowcipne (ograniczenie prędkości, włączenie świateł awaryjnych i opuszczenie szyb) lub tragiczne w skutkach (przejęcie kontroli nad systemami sterowania i hamulcami).

Już teraz właśnie na “hacking” wskazują niektórzy, jako przyczynę pewnych “tajemniczych” wypadków samochodowych, w których zginęli np. Michaela Hastingsa, kontrowersyjny dziennikarz, mający ujawnić rządowy spisek lub aktor Paula Walkera, który rzekomo trafił na aferę z firmami farmaceutycznimi w tle.

Jak na razie, do CHT podpiąć można się poprzez Bluetooth, ale autorzy, Javier Vazquez-Vidal i Alberto Garcia Illera zapowiadają, że wkrótce dorobią obsługę modemu GSM. Niewykluczone, że niebawem w trasę będziemy więc musieli ruszać wyposażeni w podręczny jammer, aby uniemożliwić potencjalnym atakującym dostęp do naszego samochodu.

Hackowanie samochodów jest łatwe

Projekt CHT ma zwrócić uwagę na to, że większość producentów (coraz “inteligentniejszych”) samochodów w ogóle nie implementuje jakichkolwiek mechanizmów bezpieczeństwa na poziomie magistrali CAN. A to oznacza, że wystarczy się do niej dostać …i można już praktycznie wszystko. Z drugiej strony, w starszych samochodach wystarczyło odpowiednio naciąć przewody hamulcowe…

Co ciekawe, nie zawsze atakujący musi podpinać się do gniazda serwisowego — czasami wystarczy włożyć odpowiednią płytę CD do samochodowego odtwarzacza — bo jest on również podpięty do CAN, a więc skomunikowany z resztą samochodowych systemów.

Na koniec warto też nadmienić, że błędy w oprogramowaniu samochodów już nie raz przyczyniły się do łatwiejszych kradzieży — tak było np. w przypadku BMW.

Aktualizacja 22:38

Jachty też mają CAN-a

Napisał do nas Piotrek:

[D]okładnie taka sama magistrala jest stosowana do komunikacji urządzeń jachtowych wielu producentów (np. Raymarine SeaTalk 2, Raymarine SeaTalkNG, Simrad Simnet czy Furuno CAN). Magistrala ta głównie służy do przekazywania takich informacji z czujników (kompas, głębokościomierz, itd.) do innych urządzeń. Zatem z powodzeniem dało by się ją “zhakować” dokładnie tym samym urządzeniem.

O ile przekłamanie takich informacji jak głębokość nie miała by żadnego znaczenia, to fakt że tą magistralą sterowany jest także autopilot jest już dużo poważniejszy. Ba, niektóre autopiloty mają podłączone automatyczne “sprzęgło” które rozpina manualny i automatyczny system sterowania.

Magistrala ta nie jest tylko stosowana na małych żaglówkach, ale także na kutrach czy jachtach motorowych. Można sobie zatem wyobrazić co by się stało zmieniając kurs rozpędzonej motorówki wprost na falochron, załoga nie miała by szans stwierdzić co się stało, a tym bardziej zareagować.

Nasi analitycy donoszą, że nie stwierdzono, aby Titanic miał CAN-a…

Przeczytaj także:

93 komentarzy

Dodaj komentarz
  1. Chciałoby się powiedzieć, że jak ma się dostęp fizyczny do maszyny to nic nie obroni nas przed… oh wait, przecież to samochód, dostęp do interfejsów jakichkolwiek powinien być możliwy dopiero po naruszeniu alarmu czyli właściwie znalezieniu się w środku pojazdu.

    echo date(“Y”);
    To celowy błąd w stopce? ;)

    • Googlnij “niebezpiecznik stopka”

    • Ah, kompromitacja ;)

    • Najwyższy czas na zabezpieczenia interfejsu, od którego zależy bezpieczeństwo. Taki słaby punkt bardzo ułatwia rozmaite zamachy, ale teoretycznie pozwala też zmodyfikować oprogramowanie w taki sposób, by pewne polecenia były niemożliwe do wykonania zdalnie bez udziału kierowcy. Sa nawet firmy tuningowe dokonujące cyfrowego tuningu, czyli modyfikacji oprogramowania sterującego silnikiem.

  2. Ja ze swoim pełnoletnim samochodem to najwyżej awarii się boję ;)

  3. Przejęcie kontroli nad systemem hamulców przypomina mi akcję z filmu Szybcy i Wściekli. W szóstej części właśnie było jak podczas pościgu, ścigani blokowali jedno z kół samochodów, które ich ścigały. Przy pełnym zablokowaniu jednego z kół można wyobrazić sobie co się działo.

    BTW. Gdyby można by było np. lekko przyhamowywać jedną stroną samochodu, to dzięki temu można by sterować jego kierunkiem jazdy (ew. przejąć kontrolę nad silniczkami wspomagania układu kierowniczego).

  4. Ta małą niebieska płytka to zdaje się Arduino Pro Mini. Jeśli tak, to dodanie komunikacji Po GSM czy WiFi jest tylko kwestią dodania odpowiedniego shielda i zaprogramowania całości.

    • Tak, to dokładnie ten model, pisałem na niego parę dni temu. :D

      Ale to akurat niczego nie zmienia, shielda można użyć z dowolną płytką (tylko wtedy więcej lutowania) – Adruino jest fajne tylko do prototypowania. :)

  5. inaczej mówiąc autem porządnego CAN hackera powinien być jakiś 15-letni wóz (albo starszy) bez żadnych komputerków sterujących i automatyki, co oznacza zwiększoną popularność maluchów, poldków, starych golfów itede itepe. Wtedy CAN-hacker pozostanie “nieuchwytny” dla innych CAN-namierzaczy. No i nie będzie łatwo go “powstrzymać”. Pozostają wobec tego inteligentne jammery… bluetooth, GSM i WiFi tak na wszelki wypadek. ;)))

    • Challenge accepted: http://www.youtube.com/watch?v=Y0pq7h330Do :D

    • @Piotr – na co Wy narazacie biednych czytelnikow niebezpiecznika???
      “Niestety, ten materiał muzyczny wytwórni SME jest niedostępny w Niemczech, ponieważ organizacja GEMA nie przyznała YouTube odpowiednich praw do publikowania muzyki. ”

      Internety schodza coraz bardziej na psy :(

  6. CHT to także skrót od Centrum Handlowe Tandeta w Krakowie :-P

  7. Złącze nazywa się OBD a nie ODB

    • Jak najbardziej nazywa się ODB2. Google is your friend.

    • @whocares On Board Diagnostics – OBD

  8. Przeszukałem całe Tico, i nadal nie wiem gdzie mam się wpiąć :(

    • A to Ty go nie sprzedałeś jednak?

    • W Mercedesa sąsiada.

  9. Na szczęście u mnie w samochodzie sieć CAN steruje tylko silnikiem, więc co najwyżej mogą odciąć paliwo od silnika.
    Ciekawe czy można odpalić poduszki powietrzne przez sieć CAN.

    Żadne jammery nie uratują życia. Kiedy taki CHT zostanie zaprogramowany, aby spowodować wypadek. Kiedy samochód osiągnie 130km/h.

    Co do przecinania przewodów hamulcowych to jest tylko pomysł z TV. Podczas wyjeżdżania z miejsca parkingowego zorientujesz się że pedał hamulca idzie bez oporów.

    • “Co do przecinania przewodów hamulcowych to jest tylko pomysł z TV. Podczas wyjeżdżania z miejsca parkingowego zorientujesz się że pedał hamulca idzie bez oporów.”

      I tu się mylisz. Nie chodzi o to by przeciąć przewody hamulcowe tylko je podciąć. Spora różnica.

    • Odcięcia paliwa z silnika może być tragiczne w skutkach przy 140 km/h…

      A nie można tak naciąć przewodu hamulcowego, żeby przy wyjeżdżaniu z parkingu jeszcze się trzymał, a poszedł przy przyłożeniu większej siły?

    • Kiedy zabraknie paliwa przy 140 auto po prostu pojedzie dalej.
      Przewód hamulcowy może puścić dopiero przy większym obciążeniu ale jest to dalej kwestia losowości.

      Ale np kiedy zmusi się po CAN żeby ABS się włączał zawsze i kiedy np jedziesz te 140, wciskasz hamulec a ABS z pełną siłą popuszcza, skończyć może się to na nie wyhamowaniu i wjechaniu w czyjś kuper.
      Nie wiem jak działa elektryczne wspomaganie, czy można nim sterować w każdym aucie z takim, ale np są auta z Park Assist, które same parkują i się kręcą. Dał bym sobie rękę uciąć że można nad tym przejąć kontrole po CAN i np wjechać w zwyczajnie w świecie w bandę przy tej naszej prędkości 140.

      To takie realniejsze scenariusze :)

    • Yaaaawn….. tryb testowy ABS – rozsuwa zaciski. W każdym sofcie diagnostycznym typu VAG-COM pojawia się wielkie ostrzeżenie “upewnij się, że samochód się nie porusza”.

    • “Odcięcia paliwa z silnika może być tragiczne w skutkach przy 140 km/h…”

      Zgadzam się – miałem jakiś czas temu uszkodzony zawór EGR w aucie i podczas jazdy na autostradzie przy 160 kmph potrafił przydusić na sekundę silnik – skutkowało to strasznym szarpnięciem całego samochodu i jesli spadek mocy byłby dłuższy to prawdopodobnie straciłbym panowanie nad kierownicą albo wpadł w poślizg.

    • Odcięcie paliwa przy każdej prędkości jest w pełni bezpieczne. Bardzo wiele osób tak codziennie robi puszczając pedał “gazu” :)

    • Zawór EGR steruje przepływem spalin. Zdusiło, bo silnik miał kompresję na wydechu. Zdejmij nogę z gazu nawet przy 200 i sprawdź, czy wpadniesz w poślizg ;)

    • @Mrozu: No nie wiem… a odcięcie paliwa podczas wyprzedzania, kiedy pedał gazu jest wciśnięty do oporu?

    • Oczywiście, że można odpalić poduszki poprzez CAN. Istnieje nawet dyrektywa unijna oraz narzędzia do odpalania poduszek podczas złomowania auta:

      http://www.atfprofessional.co.uk/airbagtools.aspx

    • Odpalarka do airbagow jest stuprocentowo analogowym urządzeniem – posiadam takie w warsztacie, to prymitywny zapłonnik – generator prądu zmiennego (airbagow nie daje sie odpalic za pomoca DC ze wzgledow bezpieczenstwa).

      Nie ma zadnego wystandaryzowanego ID ani protokolu odpalania przez CAN.

  10. yes, we CAN :)

  11. Nic tylko czekac az samochody beda musialy obowiazkowo byc wyposazone we wmontowane juz takie urzadzenie od nowosci… Oczywiscie wszystko z mysla o naszym bezpieczenstwie :) (w ue niedlugo maja chyba byc obowiazkowo wmontowane gps’y ktore ‘beda dawaly znac gdzie jestesmy jesli dojdzie do wypadku’ cos tak kojarze)

    • Pod koniec stycznia na kilku stronach pojawiła się informacja o planach UE na wprowadzenie tego. Zdalne unieruchamianie silnika przez policję.

      No nic, będzie trzeba zacząć jeździć w klatce faradaya :}

    • To już wiemy dlaczego cena benzyny rośnie i to całe krzyczenie że samochody dają za dużo dymu. Chodzi byśmy nie mogli jeździć starymi samochodami bez tej elektroniki.

  12. Nawet jak na 20$, to strasznie słabo to wykonane (w sensie jakości). Z tego co widzę, to same standardowe komponenty. Nie mniej ładniej szłoby to zrobić. Sam wstydziłbym się w internecie pokazywać coś takiego…

    Mam pytanie – ile takich złącz OBD jest w samochodzie – jeśli tylko jedno to chyba można włożyć w nie własne urządzenie z wyprowadzoną kontrolką w widocznym miejscu…

    • Raczej ma to na celu pokazanie że prawie* każdy może to sobie zrobić … ;)

      * prawie, bo niektórzy mają 2 lewe kopyta i musk z iq porównywalnym do kamienia ze Stonehenge…

    • W nowszych samochodach co najmniej 2 – zgodnie z przepisami jedno musi być w kokpicie w odległości kilkudziesięciu cm od kierownicy, drugie zwykle jest w komorze silnika (i dlatego może być dostępne od spodu samochodu).

    • Z tego co kojarzę to w większości aut jest jedno złącze. W starych skodach za dużo poza odczytami się nie zrobi ale np. w nowszych bmw można prawie wszystkim sterować.

    • Niekoniecznie musisz się wpinać w OBD, wystarczy wpiąć się w dowolną wiązkę którą idzie sygnał CAN. W którymś samochodzie nawet po wyjęciu kluczyka i zamknięciu samochodu moduł CAN w lusterku był aktywny i dało się otworzyć ten samochód wyłamując lusterko i podpinając do wiązki.

    • To już wiemy dlaczego cena benzyny rośnie i to całe krzyczenie że samochody dają za dużo dymu. Chodzi byśmy nie mogli jeździć starymi samochodami bez tej elektroniki.

  13. Ciekawa wzmianka o jachtach. Jednak ośmielę się zauważyć, że hackowanie głębokościomierza może akurat mieć tragiczne skutki – pomyślcie, że przed sobą (albo POD sobą) macie skały albo mieliznę, a sonda wskazuje dużą głębokość… IMHO jest to dużo niebezpieczniejsze o hackowania autopilota, którego można sprawnie rozłączyć manualnie (śrubokręt) i sterować sposobami awaryjnymi. A bez echosondy to dzisiaj trudno by było bezpiecznie nawigować.

    • Fakt przykład głębokości może nie był zbyt trafiony, ale chodziło mi bardziej o to że w magistrali są przesyłane informacje bez których da się obejść. Może lepszym przykładem by była np. temperatura wody. Co do autopilota to się nie zgodzę, o ile armatorzy (ale i tu zdarzają się wyjątki) przeważnie wiedzą gdzie dokładnie znajduje się autopilot i jak działa i jak go w razie awarii odłączyć, tak większość, którzy czarterują łajbę czy motorówkę raz na rok przez tydzień w Chorwacji takiej wiedzy nie mają.

    • No to tacy, którzy nie poznają przed wypłynięciem newralgicznych miejsc jednostki, sami się proszą o tragedię. Przecież nie jest potrzebny jakis wielki atak “hakierski”, żeby coś się zacięło/odpadło/zepsuło/zawiesiło – a takie rzeczy się dzieją i to często. W przypadku takich osobników to dobór naturalny działa; ewentualny sabotaż tylko przyspieszy nieuniknione ;)

    • “Magistrala ta nie jest tylko stosowana na małych żaglówkach, ale także na kutrach czy jachtach motorowych. Można sobie zatem wyobrazić co by się stało zmieniając kurs rozpędzonej motorówki wprost na falochron, załoga nie miała by szans stwierdzić co się stało, a tym bardziej zareagować.”

      Hmmm… w takim przypadku po prostu przechodzi sie na sterowanie reczne i olewa automatyke, ktorej generalnie zdarza sie szwankowac takze z powodow duzo bardziej prozaicznych (brudne czujniki, uszkodzenia przewodow, doziemienia, itp.).

      Podpisano: serwisant automatyki okretowej ;)

    • Tak oczywiście że to co piszesz jest prawdą, jednakże zauważ że mówię to o konkretnej sytuacji, w której owego czasu na reakcję mogło by być za mało.

    • Szczerze mowiac, przy normalnej eksploatacji statku teoretycznie takiej sytuacji byc nie moze. Od tego sa wachty zalogi. Ogolnie-praktyka pracy na statkach (i, jak podejrzewam-w samolotach, pociagach, itp.) nakazuje zachowanie ograniczonego zaufania do automatyki wszelkiego rodzaju.

      Podejrzewam wrecz, ze gdyby sytuacja opisana w przykladzie redakcyjnym miala miejsce… nikt by sie nawet specjalnie nie zdziwil ;). Elektronika po prostu szwankuje i gdyby autopilot zaczal zachowywac sie dziwnie-oficer wachtowy przeszedlby “na reke” i w wolnej chwili napisal rutynowego maila do serwisu, ze cos sie skopalo z autopilotem.

      Oficer nie ma nawet specjalnej mozliwosci “zasniecia” na wachcie, gdyz jest cos takiego jak BNWAS (odpowiednik czuwaka w pociagach.

      Tak, ze bez paniki ;).

  14. Magistrala CAN nie może być zabezpieczona ponieważ nasza kochana UE wydała rozporządzenie że każdy mechanik powinien mieć dostęp do CAN żeby nie tworzyć monopolu na serwis aut. Z tego powodu jest kradzionych więcej aut “chodliwych” typu bmw, vag itp. bo “nowy właściciel” kupuje urządzenie w chinach i np może kodowac kluczyki do auta (w chinach dlatego że jest dużo taniej niż w EU czy USA) jakby dobrze poszperać to można wyciągnąć specyfikację obd każdej firmy bo jest ona dostępna przepisy to nakazują :-). Btw kiedyś widziałem na YT jak studenci z niemieckiej uczelni z mostu nad autostradą haczyli BT w autach :-)

    • No bez przesady, dostęp może być powiązany z kryptografią asymetryczną. Klucz posiada właściciel auta. Serwis bez klucza nic nie zrobi. (Jak z kodowaniem radia – i tak, wiem, że można przekodować z pominięciem klucza ;).

    • A od tego juz tylko krok do podwójnego uwierzytelniania i niebezpiecznikowych kursow dla samochodowych pentesterow ;)

  15. Tak samo niezabezpieczone są inne magistrale… ot, choćby KNX (tzw. inteligentne budynki). Dojście do magistrali jest m.in. w każdym włączniku.

  16. Od lat już analogiczne interfejsy można kupić na allegro. Albo maja port USB albo BT. Jedynym problemem jest soft który będzie w stanie odczytać / sterować danymi w magistrali. Swoją droga część producentów szyfruje transmisję w całości lu tylko w kluczowych jej elementach. Tyle że w USA podpięcie pod CAN wykonywane jest w trakcie przeglądu samochodu więc nie byłoby problemem wyciągniecie info o szyfrowaniu skoro musiałby zostać ona przekazana wielu firmom których producent nie kontroluje w żaden sposób.

    • W USA raczej korzystają wyłącznie ze standardowych funkcji diagnostyki pojazdu a nie wnikają w konkretne ramki danego producenta, więc nic nie stoi na przeszkodzie żeby zaszyfrować pozostałe ramki.

    • Mówisz o ELM którym nic nie zrobisz poza prostą diagnostyką silnika, on nie da rady namieszać w sieci CAN… To co opisuje artykuł to urządzenie które potrafi nasłuchiwać sieć CAN i może być wyzwolone np. ramką mówiącą o prędkości po czym wstrzykuje inną ramkę np. otwierającą szyby(udaje moduł sterowania szybami).

    • Wiekszośc implementacji hardware’owych interfejsu ELM323/ELM327 ZAWIERAJĄ w sobie interfejs CAN.

      Prawie każdy nowy samochód ma wyprowadzony CAN na gnieździe diagnostycznym OBD – co więcej – im nowsze auto tym większa tendencja żeby całą diagnostykę koncentrować na CAN zamiast na indywidualnych liniach diagnostycznych (tzw K-Lines).

      Inna sprawa czy ten CAN jest galwanicznie połączony lub chociaż zbramkowany z jakimś interesującym nas systemem -ale to juz kwestia konkretnej implementacji w danym wózku

      Reszta jest wyłącznie kwestią tego co potrafi software, a od tego mądrzy ludzie mają głowy zeby wydłubać sobie własny jeśli czegoś im brakuje :)

  17. z moim samochodem to większy problem, gdyby mi ukradli – to na bank od razu by porzucili bo normalnie nie da się jeździć … i dostałbym mandat ze straży miejskiej za pozostawianie wraków na parkingach

  18. wydaje mi sie ze na morzu standardem komunikacji jest nmea a nie can. plywam juz 20 lat, na wielu jednostlach, w tym najnowoczesniejszych drill shipach 6 i 7 generacji dp 3 zwodowanych w 2011 i 2013 i nigdzie nie bylo can tylko nmea.

    • Też mam takie wrażenie że NMEA jest bardzo rozpowszechniona. Problem jest tylko że symulację pakietów NMEA jest dużo prościej zrobić, bo interfejs fizyczny jest prostszy a i format pakietów publicznie znany.

    • Panowie, NEMA2000 (bo zapewne o tej mówicie a nie o NEMA0183) jest niejako standardem warstwy aplikacji. Tj. standaryzuje format wiadomości itd. Warstwy niższe są zaczerpnięte z CAN (http://en.wikipedia.org/wiki/NMEA_2000), dlatego tym urządzeniem można by było wprowadzać do magistrali CAN fałszywe wiadomości standardu NEMA.

  19. Smiac mi sie chce jak niektorzy eksperci wypowiadaja sie o czyms o czym nei maja zielonego pojecia. Doktorat z informatyki nie upowaznia jeszcze do wypowiadania sie na tematy zwiazane z motoryzacja.

    Zacznijmy od tego ze w nowoczesnym aucie jest co najmniej 2 CANy – jeden jest to CAN tzw napędowy a drugi CAN wyposazenia komfortowego. W praktyce, auta produkowane po 2008-2009 roku moga posiadac nawet do pięciu sieci CAN:

    – front CAN (sprzega np. uklad regulacji wysokosci reflektorow, inteligentne oswietlenie (tak – teraz zeby zapalic dlugie w xenonie nie zapina sie 12v na pin tylko podaje komende po CANie; w przypadku usterki cana lampa “awaryjnie” zapala swiatlo mijania po podani zasilania) itp
    – chassis CAN, czyli trakcja/hamulce, napęd, aktywne zawieszenie, radarowe tempomaty itp
    – comfort CAN czyli szyby, elektryczne fotele, klimatyzacje i tym podobne historie
    – entertainent CAN czyli radia, nawigacje itp
    – CAN diagnostyczny
    Dodatkowo moze wystepowac jeszcze jakas szybka pętla stricte do transmisji mediow, najczesciej wykonana swiatlowodowo albo po prostu Ethernet jak w ostatnich BMW

    CANy połączone są ze sobą za pomocą bramki (np. w Mercedesach kiedyś rolę tę pełniła stacyjka, w niektorych autach pełnią ją zegary, w Saabie był to OBC) a obecnie zazwyczaj jest do tego specjalizowana puszka – mozna powiedziec ze taki router (chociaz CAN nie jest connection-oriented).

    Przedstawione w artykuje zagrozenia sa realne, ale z pewnymi zastrzezeniami: zazwyczaj dostanei sie do CANa wymaga po prostu włamu do auta – w dostepnych na zewnatrz elementach nie ma jak podpiąć sie do CAN.

    Są od tego pewne wyjątki – w niektórych modelach Mercedesa w okresie posrednim przed zmiana liftingową przednie reflektory podpięte były bezpośrednio do Chassis CAN (stalo sie tak dlatego ze nie bylo jeszcze gatewaya z dodatkowa “odnoga”) i tam pewnie najlatwiej byloby sie dobrac.

    Jesli chodzi o szyfrowanie czy jakakolwiek autentykacje urzadzen podpietych do magistrali – w praktyce w ogole sie z tym nie zetknalem. Zeby wywolac zamierzony skuten nalezy po prostu znac ID urzadzenia na szynie i wydac mu odpowiednia komende.

    Mielismy kiedys taki przypadek – na warsztacie zostal nam samochod ktory byl kompletnie zamkniety poza dostepem do bagaznika gdzie znajduje sie tylny SAM (modul akwizycji sygnalow i sterowania urz.wykonawcyzmi). Otworzenie auta bylo dosc trywialne – wyszyliśmy CAN w bagazniku, podpielismy do niego fabryczne urzadzenie diagnostyczne za pomoca ktorego wywolalismy zasterowanie silownikow centralnego zamka i pozamatane. Zero prucia i niszczenia auta. Ale podkreslam – bylismy juz w zasadzie “w srodku”.

    Jesi chodzi o game rzeczy ktora mozna zrobic to w zasadzie jest ona nieograniczona -od wyswietlania glupich napisow na zegarach czy wyswietlaczu radia poprzez sterowanie szybami, szyberdachem, klima, fotelem elektrycznym (o, niezly pomysl – zrobilismy kiedys taka probe na sucho – wysuwajac maksymalnie kierownice oraz dosuwajac fotel i prostujac oparcie mozna naprawde “uwiezic” pacjenta na miejscu kierowcy)

    Powazniejsze rzeczy zaczynaja sie na Chassis CAN- nowsze auta maja zaimplementowany tzw. Torque Interface na którym po prostu zadajemy całemu układowi jezdnemu polecenia w postaci: “a teraz poproszę 300Nm momentu napędowego” albo “a teraz 1200Nm momentu hamującego” i tu juz można narobić naprawdę niezłego błota.

    Z tym że dostępo do CAN C jest jeszcze trudniejszy niz CAN komfortowy, bo pracuje na innej predkosci a ponadto nie ma “trybu awaryjnego” czyli nie pracuje w trybie jednoprzewodowym – jesli cos kiepsko podepniemy to po prostu cała transmisja zdechnie. W przypadku canow od wnetrza, komfortu itp. tego typu akcja spowoduje co najwyzej zarejestrowanie jakichs usterek ale wszystko dalej bedzie dzialac.

    Aha – jest jeszcze jedna kwestia – na CAN napędowym najczesciej wisi tez immobilizer i autentykacja dostepu do wozu. Co prawda wiekszosc aut ma tu zaimplementowana poprawna kryptografie, otwartym tekstem po magistrali wymieniane sa tylko hashe ktore wyliczane sa neizaleznie przez kazda “puszke” uczestniczaca w procesie ale……

    …sa tu pewne hacki. Poniewaz z roznych powodow algo moze sie zawsze nieco rozjechac (bo zasilanie zaniklo itp) moduly dopuszczaja niewielki rozjazd hashy w jedna czy druga strone – w praktyce, mercedesy mozna bez problemu uruchomic 3- lub 5-krotnie za pomocą powtórzenia “zużytego” hasha bo miescimy sie w oknie. Wystarczy podsłuchać stary i….dalej nie musze opowiadać. Możliwośc te wykorzystuja np. “odpalarki” za pomoca ktorych zdalnie mozna uruchomic auto bez kluczyka – wysylaja na siec CAN polecenie zapiecia klemy 15/15R (czyli w skrocie wlaczaja plus po stacji) nastepnie wysylaja do silnika rownoczesnie polecenie rozruchu plus uzywany wczesniej hash do immo). I pozamiatane.

    Ogolnie cały temat jest mniej więcej tak “nowy” jak kolorowa telewizja…

    • Nowość tego tematu, w mojej ocenie, wynika z tego, że środowisko “hackerskie”, które do tej pory bawiło się webserwerami nagle przeskoczyło, za sprawą Internet of Things, na pompy insulinowe, czy też właśnie samochody. Dla środowiska moto (mechaników / serwisantów) na pewno te informacje to nie nowość, zresztą już my pisaliśmy o tym +4 lata temu — ale obstawiam, że ludzie z branży moto nie mają silnego doświadczenia z tzw. “teorią bezpieczeństwa”, a ludzie z branży IT, o ile mają to doświadczenie, to brakuje im skilla z samej motoryzacji. Stworzenie zespołu badawczego będącego połączeniem obu talentów może w mojej opinii uwypuklić pewne nowe, nieznane dotąd zagrożenia na warstwie zarówno architektury, logiki biznesowej jak i samego hardware’u stosowanego w samochodach.

      Na koniec, dzięki za komentarz – świetnie się czytało, może miałbyś ochotę opisać co ciekawsze “przypadki” w ramach dedykowanego artykułu na Niebezpieczniku?

    • Kolega MICHAL widze obeznany w temacie: krotkie pytanie . znam ID urzadzenia w sieci i polecenie jakie powinienem mu wyslac….np. otworzenie drzwi. Czy wystarczy podlacznie sie do sieci CAN ? Jakim modulem w najprostrzej wersji ? Jak samochod ma CAN+ i CAN – ? co to oznacza? pozdawiam

    • PS. Kolega Michał ma sporą przeszłość w IT, więc jest właśnie tym, który zajął się elektroniką samochodową i to zanim stało się to modne wśród harcerzy ;)

    • “Smiac mi sie chce jak niektorzy eksperci wypowiadaja sie o czyms o czym nei maja zielonego pojecia. Doktorat z informatyki nie upowaznia jeszcze do wypowiadania sie na tematy zwiazane z motoryzacja.”

      Czyli, ze sa jakies bledy w artykule? Czy moze, ze w prasie motoryzacyjnej problem zabezpieczen jest od dawna i czesto poruszany przez specjalistow w tej dziedzinie?

    • AVE…

      Fizycznie CAN przypomina ethernet, znaczy jest to para różnicowa. Od ethernetu różni się tym, że każde urządzenie w sieci może być zarówno nadajnikiem jak i odbiornikiem, i używa się do tego tylko jednej pary przewodów. Ethernet ma dwie pary różnicowe i jest siecią point-to-point. Dlatego jak znasz ID urządzenia w sieci CAN, wepniesz się odpowiednio w przewody to możesz wydać dowolne polecenie temu urządzeniu. Oznaczenia CAN Low i CAN High służą do rozróżniania przewodów w parze. Gdybyś podłączył odwrotnie, to nie udałoby Ci się nawiązać połączenia, choć są specjalizowane układy scalone, które rozpoznają polaryzację sieci CAN i sobie z tym radzą…

    • Nie chodzilo mi o bledy w artykule – jest on owszem na dosc wysokim poziomie abstrakcji, ale nie czepialbym sie zbytnio – chodzilo mi raczej o niektore wątki wygenerowane przez internałtów ;)

    • @Pawel:

      znajac ID i payload ktory wyzwala odpowiednia funkcje jestes “good to go”. Podpinasz sie interfejsem do CAN+ i CAN- (tak jak ktos juz to ladnie napisal jest to zwykla skretka, od ok. 2000r producenci przestali ja nawet ekranowac bo kabel byl za drogi a korzysci znikome ;)

      Ja do eksperymentow z CAN uzywam szwedzkiego Lawicel’a (http://canusb.com) maja do wyboru wiele roznych opcji interfejsow, wiekszosc jest stosunkowo niedroga, w komplecie przychodzi tez prosty soft ktorym mozna np. zlapac ramke i zrobic “replay” – do pierwszych eksperymentow czy ogolnie do celow edukacyjnych bardzo dobra sprawa.

      Ogolnie z dokumentacja do istniejacych topologii CAN w autach jest nędznie. Ja robie to tak, że podpinam sie interfejsem i nasłuchuję magistrale przy probie wysterowania za pomoca tego co jest na pokladzie. Jesli nie daje rady wywolac jakiegos zasteowania recznie to wywoluje je za pomoca narzedzia diagnostycznego producenta. Tak zlapany okaz komunikatu jest juz dobra podstawa zeby samemu cos wyslac.

      Uwaga tylko taka, ze w wiekszosci aut na CANie bedzie straszny szum i smietnik – oczywiscie mozna sobie to filtrowac, jak czlowiek WIE co filtrowac. Na poczatku mozna dobrac sie do koncentratora CAN (to po prostu zlaczka z rownolegle polaczonymi gniazdami upchana gdzies w roznych miejscach auta – najczesciej okolice kokpitu, progi itp – i mozna powypinac tymczasowo z magistrali urzadzenia nie uczestniczace w eksperymencie, zostawiajac tylko 2-3 niezbedne do dzialania. Wtedy jest troche “ciszej” i mniej roboty ze zgadywaniem czy cos co wlasnie przelecialo nas interesuje, czy nie.

  20. Super! W końcu bedzie można wyłaczyć ten irytujący dźwięk od “zapnij pasy, zapnij pasy”.
    Tak na marginesie, soft do zmiany ustawień jest dostępny na necie i to taki co go ASO używa, do tego interfrejs z allegro za 150 pln i nie trzeba jeździć do mechanika na “podpięcie do komputera” za 100.

    • Pomijasz niestety jeden aspekt – czytanie błędów z ekranu często ma sie nijak do przyczyny usterki, a do jej usuniecia nawet znajac kod i opis bledu droga jeszcze daleka.
      Nawet fabryczne narzedzie diagnotyczne (choc posiada ogromne mozliwosci) nie czyni z czlowieka diagnosty.

      Dam taki prosty przyklad – jesli mnie lub Ciebie (zakladam ze nie pracujesz w sluzbie zdrowia;) umieszcza w sali z kompletem instrumentow, lampa bezcieniową, kardiomonitorem, nozem do diatermii i Bog wie czym jeszcze – to czy automatycznie staniemy sie kardiochirurgami?

      Odpowiedz brzmi “nie”, a dodatkowo im potezniejsze narzedzia tym wieksza szansa uczynienia szkody.

      Dlatego ja oczywiscie zachecam do eksperymentow i edukacji (w koncu kto jak nie my bedzie naprawial przyszle samochody, skoro majster z mlotem nie da rady?;)
      ale trzeba to robic uwaznie i ostroznie. Znaczna czesc uszkodzonych komponentow elektroniki samochodowej jest de facto uszkodzona software’owo – uszkodzony program we flash czy zdeformowane dane i konfiguracja to chleb powszedni. Problem tylko taki ze czasami nie ma z czego ich odtworzyc.

  21. “O ile przekłamanie takich informacji jak głębokość nie miała by żadnego znaczenia”, to mógł napisać tylko szczur lądowy :-)

    • Zdziwił byś się… Natomiast już gdzieś tam wyżej odpisałem że nie był to przykład najbardziej trafiony, zresztą zmęczenie przy pisaniu robi swoje.
      Chodziło mi o nawiązanie do informacji, której zmiana nie wyrządzi samoistnie szkody (w przypadku głębokości musiała by ona zmylić sternika, który na jej podstawie zmienił by swoje działania). Natomiast zmiana kursu autopilota może się odbyć automatycznie bez ingerencji sternika.

  22. nie wiem jak w osobowkach ale w autobusach i ciezarowkach EBS “slucha” kilku bradcastow na raz i sam sygnal do zablokowania kol nie spowoduje hamowania, plus sam system hamulcowy jest raczej autonomiczna jednostka i wiecej nadaje niz odbiera, takie sa wymogi i standardy, dlatego nie sadze zeby bylo tak latwe jak opisane w artykule

    • oczywiscie nie wszystko jest zawsze takie proste – nowsze jednostki hamulcowe ATE/Continental na ten przykład nie przejdą w tryb diagnostyczny jeśli wykryją że pojazd jest w ruchu (i moim zdaniem tego typu protekcja, nieco bardziej rozwinięta niż obecnie, byłaby najskuteczniejszą obroną żeby ktoś nie próbował nas skutecznie zabić)
      ale z drugiej strony tryb diag. nie jest jedyną metodą narozrabiania w samochodzie.

      Wystarczy użyc nieco wyobraźni i mozliwości są nieograniczone – wyobraźmy sobie na przykład że jadąc nocą gaśnie ci zewnętrzne oświetlenie plus zapalana jest z maksymalną siłą każda możliwa dioda i żaróweczka w środku – zanim nie zahamujesz to jestes po prostu ślepy. Albo podczas jazdy uruchamia się spryskiwacz przedniej szyby oraz zmywanie reflektorów chlapie wodą ile wlezie, ale jednoczesnie NIE możesz uruchomić wycieraczek – i co wtedy?

      Pomysłów jest tysiące…niestety

  23. aha – co do poduszek powietrznych – odpowiedz brzmi “tak, ale” – w nowszych autach diagnostyke ukladu poduszek powietrznych zaimplementowano juz na CANie, a w zestawie standardowych polecen obslugiwanych przez sterowniki np Bosch, Temic czy Autoliv jest, no cóż, “wysterowanie stopni końcowych zapłonników”. Widziałem auto po takiej akcji w której odpala jednocześnie CAŁA pirotechnika która jest na pokładzie – sytuacja praktycznie nie do pomyslenia przy kolizjach w realnym swiecie – wyglada to przerazajaco. A podczas wystrzalu to wole nawet nie wiedziec.

    Ale czesc sterowników ma diagnoze zaimplementowana po K-Line, a z zasady nawet jesli system jest rozproszony (tj ma wiecej niz tylko czujnik w samym module SRS) to informacje te NIE SĄ przekazywane po sieci Can tylko po jakichs prymitywnych jednoprzewodowych interfejsach albo wprost analogowo. Wtedy po CANie nic nie da sie odpalic – sluzy on w tych autach co najwyzej do zapalania lampki na desce rozdzielczej.

  24. Trochę stara prezentacja (10.2011) ogolnie o zagrożeniach bezpieczeństwa. Jest fragment o hackowaniu samochodów również zdalnie.

    http://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked.html

  25. A czym się to urządzenie różni od interfejsu co kosztuje na allegro jakieś 50 zł ?

  26. W nawiązaniu do komentarza Piotrka:
    Sieć CAN jest również bardzo powszechna w systemach tzw. inteligentnych domów. Wielu producentów tego typu systemów do komunikacji pomiędzy swoimi modułami używa sieci opartej o CAN. Mogę tu wymienić choćby bardzo popularny austriacki system Loxone, czy choćby polski system Darin z magistralą Tukan). I tylko od ich przezorności (czytaj: zabezpieczenia komunikacji) zależy, czy za pomocą takiego małego pudełeczka nie zapanujemy nad czyimś domem.

    Większym problemem jednakże okazuje się zainstalowanie takiego urządzenia. Nie obejdzie się bez wejścia do domu i zajrzenia np. do rozdzielnicy. No ale czego łomem się nie da, to socjotechniką. A wtedy pełne pole do popisu: zabawa oświetleniem, muzyką, roletami. Ale też rozbrajanie alarmu i usypianie monitoringu, czy choćby uciszanie czujek zalania/dymu/etc.

    • Wystarczy zameldować się w hotelu, który ma KNX (czy coś podobnego) w pokojach.

  27. “Tragiczne w skutkach przejęcie kontroli nad systemami sterowania i hamulcami” jest raczej niemożliwe, hamulce to czyste przełożenie mechaniczne opierające się na szkolnym prawie Pascala. Sterowana, często za pomocą elektroniki, pompa tylko wspomaga kierowce w hamowaniu.

    Układ kierowniczy to także przekładnie i drążki, dopiero układ wspomagania w małych autach jest elektroniczny, lecz bez niego też da się jechać.

    Można zrobić komuś psikusa w ten sposób, ale nie doszukiwałbym się w tym metody na zrobienie komuś krzywdy.

    • Krzysiek: a’propos hamulców Twoj komentarz moglby byc prawdziwy 13 lat temu – ale nie dzis. KAZDY uklad hamulcowy nowoczesnego pojazdu wyposazonego w chociazby najprostszy uklad kontroli trakcji (nawet nie musi byc ESP, wystaczy jakies proste ASR) ma mozliwosc wytworzenia dodatniego cisnienia w ukladzie hamulcowym (az po zablokowanie kola wlacznie) BEZ udzialu kierowcy tj. bez koniecznosci naciskania pedalu hamulca. Wlasnie z tego powodu zespoly zaworowe zespolone sa z pompa hydrauliczna wysokiego cisnienia – w koncu nie oczekujemy ze podczas np. interwencji ukladu kontroli trakcji bedziemy prosic kierowce zeby nam “napompowal” troche cisnienia noga?

      Otwierajac odpowiedni zawor oraz uruchamiajac pompe stawiamy poszczegolne kola albo i cale auto w miejscu. W niektorych konstrukcjach (patrz SBC w Mercedesie) nie jest nawet wymagane uruchomienie pompy – cisnienie rzedu 150 atmosfer utrzymywane jest w akumulatorze cisnienia. Komendy te wydawane są poprzez Torque Interface ktory opisalem w jednym z poprzednich komentarzy – w najprostszej postaci wysylasz po prostu komendę że potrzebujesz -1200Nm na hamowanie i reszta dzieje się sama.

      Jesli chodzi o uklad kierowniczy to moze jest to wciaz nieco mniej rozpowszechnione rozwiazanie, ale auta z “samoparkowaniem” maja pełną możliwośc wykonawczą w ukladzie kierowniczym bez udzialu kierowcy. Co prawda będziemy próbowali wyrwać mu kierownicę z rąk ale groźba jest wciąż realna.

    • Skoro ABS potrafi obniżać ciśnienie w układzie hamulcowym jak mocno cisnę na lodzie, to równie dobrze może to zrobić “sam” “niespodziewanie” w trakcie jazdy.

      Po Neo900 pora na open-source samochód. Sterowniki wtrysków już są (MegaSquirt) ;)

    • Marian: dokładnie taka jest róznica pomiędzy systemami generacji ABS a tymi które potrafią coś więcej (ASR/ESP) – w ABSie elektronicznie można tylko obniżyć ciśnienie w obwodach, nowsze potrafią odpuścić i docisnąć jesli jest potrzeba.

      W sumie jakby pomyśleć to przez gwałtowne obniżenie ciśnienia w odpowiednim momencie można spowodować co najmniej takie same szkody…

    • Zgadzam się jak najbardziej, że wywołanie po CAN-ie komendy np: 1200Nm, możnaby zblokować koła, ale tylko na chwilę. Przecież ten układ działa na zasadzie pętli sprzężenia zwrotnego. Czujniki ABS dostają sygnał, że koła są zblokowane. Informacja trafia do jednostki sterującej, która w ułamku sekundy odblokowuje koła. Poza tym ESP bierze też sygnały z czujnika prędkości obrotowej pojazdu wokół osi pionowej i czujnika przyśpieszeń poprzecznych. Jeżeli sterownik uzna, że owa anomalia wskazań czujników wynika najprawdopodobniej np z jakiś przekłamań lub usterki układu ABS ASR etc. to prawdopodobnie przejdzie w tryb awaryjny. Wtedy cała elektronika jest wyłączana i mamy zwykły hydrauliczny układ hamulcowy.
      Bo idąc tokiem myślenia powyższych wypowiedzi to tak naprawdę , każda usterka CAN, lub jakakolwiek inna elektroniczna, np: powstanie zwarcia mogłaby być przyczyną nieoczekiwanego zachowania układu hamulcowego. Jak wiadomo tak nie jest i CAN najczęściej składa się z dwóch przewodów High i Low własnie po to, aby unikać ewentualnych przekłamań w przesyłaniu sygnałów.
      Zbudowanie emulatora takich fałszywych sygnałów zapewne nie jest sprawą trudną i skomplikowaną, ale uważam, aby faktycznie ogłupić sterownik ESP należałoby by go po prostu przeprogramować, a to już nie jest taka prosta i szybka sprawa, bo samo emulowanie poleceń po CAN-ie co najwyżej narobi bigosu i układ przejdzie w tryb awaryjny. Tak mi się wydaje, bo nigdy nie próbowałem ;-)

  28. Witam

    Proponuje wszędzie gdzie sie tylko da zaimplemetować AES-a albo SSL/TLS, przewody ekranować stalową taśmą , “pudełka” urządzeń pozamykać w klatkach faraday-a, zasilać wszystko lokalnie z ogniw bateryjnych, wyeliminować całkowicie komunikacje radiową, do obsługi interfejsów GUI wymyślić nowy język np “polski-nextGeneration” + czcionki. Wszystkie zegary w urzadzeniach taktować cezem. Następnie spalić wszystkie biblioteki i zniszczyć wszystkie nośniki. A na koniec “zapomnieć” klucz prywatny do CA………
    Wszyscy zadowoleni ? :)

  29. Ciemna strona “postępu” :)
    Utwierdza mnie to w przekonaniu że za max. połowę ceny nowego auta warto wyremontować sobie na nowych częściach jakiegoś miłego youngtimera.

    .

  30. 20 dolarów? Za 30zł na alledrogo można kupić elm327 na BT i to od kilku lat.

    • Marcin: Elmem tego nie zrobisz.

  31. I wszystko jasne. Tupolew miał CANa !

    • CAN-a pełnego trotylu.

    • W obudowie z brzozy.

  32. @marsjaninzmarsa Wszystkie samochody z silnikiem na wtrysku w momencie puszczenia pedału gazu odcinają dopływ paliwa. Czy przy wyprzedzaniu odcięcie paliwa jest nie bezpieczne – pewnie jak kierowca się bedzie upierać żeby za wszelką cene wyprzedzić to jest to niebezpieczne. Ale rozsądny kierownik wcisnie pedał gazu i się zatrzyma. Koledzy wyżej podali dużo niebezpieczniejsze skutki dobrania sie do magistrali CAN w których kierowca ma sporo więcej problemów.

  33. Zaraz w d**** każdy będzie miał CAN’a i się ****a skończy.

  34. Zupelnie przypadkiem trafilem dzis na raport z wypadku lotniczego w ktorym jedna z przyczyn bylo zwarcie magistrali CAN. Samolot Airbus A330, a na CANie wiszą rzeczy typu wykrywacze dymu w cargo compartment…

    Polecam, Żanett Kaleta.

    http://www.aaib.gov.uk/cms_resources.cfm?file=/AAIB%201-2014%20G-VSXY.pdf

  35. […] Wyobraźmy sobie, że naszym celem jest uzyskanie dostępu do skrzynki e-mail niejakiego Jana Kowalskiego. Mamy jego rysopis i wydaje nam się, że namierzyliśmy podobną do niego osobę. Śledzimy ją i trafiamy na parking pod supermarketem, gdzie figurant zostawia swój samochód i zmierza ku wejściu do sklepu. Przy użyciu wbudowanego w telefon radia zagłuszamy komunikację pilota naszego celu z zamkiem centralnym w jego samochodzie, emitując fale na odpowiedniej częstotliwości. W efekcie auto nie zostało zamknięte. Zresztą nawet jeśli ten atak by się nie powiódł, zawsze możemy spróbować otworzyć samochód bezprzewodowo za pomocą odpowiedniego oprogramowania. […]

  36. Witam jakiś cza temu ktoś zdemontował mi lusterko boczne kierowcy do tego stopnia że dostał się do przewodów właściwie niczego nie uszkadzając .
    Jak pojechałem do mojego mechanika to uświadomił mnie że komuś chodziło nie o lusterko tylko chodziło o całe auto że była to próba kradzieży całego auta.
    Dodam że chodzi o pasat B6 z 2009r spodziewam się że ma magistrale cam bo kierunkowskazy migają 3razy po delikatnym dotknięciu manetki od kierunków

    Pytanie czy mój mechanik miał rację

    Pozdrawiam Marek

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: