SlideShare una empresa de Scribd logo

Car Hacking by C.Miller and C.Valasek

E
Emanuele Gargiulo

A brief overview of the hacking of a 2014 Jeep Grand Cherokee, as carried out by Charlie Miller and Chris Valasek in 2015

Tecnología
1 de 84
Descargar para leer sin conexión
CAR HACKING by C. Miller & C.Valasek Emanuele Gargiulo, 2019 1 Sicurezza dei Dati
CONTENUTI 1. Introduzione alla sicurezza IOT 2. Panoramica sul Car Hacking 3. ‘Remote Exploitation of an UnalteredVehicle’ • Remote Attack Paradigm 4. Conseguenze della ricerca
IOT: CONNESSO =VULNERABILE? • Una tendenza degli ultimi anni è quella di connettere ad internet non solo computer e smartphone, ma dispositivi di qualunque genere • Un dispositivo connesso ad internet è per forza di cose più soggetto ad attacchi esterni rispetto ad un dispositivo non connesso 3
I PROBLEMI DELLA SICUREZZA IOT • Spesso le aziende che si trovano a produrre ‘things’ connesse alla rete non hanno grande esperienza di software e sicurezza • I dispositivi IoT hanno risorse hardware limitate, quindi alcuni approcci ‘classici’ alla sicurezza non sono applicabili • Frequentemente nei dispositivi IoT vengono utilizzate credenziali generiche e non uniche, quali “admin” e “password” • Raramente i prodotti vengono supportati con update di sicurezza dopo la vendita 4
LE AUTO NON FANNO ECCEZIONE • Le auto moderne sono dotate di computer di bordo, spesso connessi in rete e in grado di eseguire app • Includono connettività wifi, cellular, bluetooth… • Questi sistemi e connettività sono potenziali punti d’accesso per malintenzionati 5
CAR HACKING Con il diffondersi di automobili sempre più “smart”, anche gli studi sulla sicurezza delle vetture sono fortemente aumentati. Due tra i più noti ricercatori ad occuparsene sono • Charlie Miller • ChrisValasek 6
CAR HACKERS: MILLER &VALASEK Charlie Miller • Laureato in matematica • Esperto di Cybersecutity • Ex-dipendente NSA • Celebre per aver scovato molteplici vulnerabilità in prodotti Apple • Prima persona ad violare il primo iPhone e il primo smartphone Android 7
CAR HACKERS: MILLER &VALASEK Chris Valasek • Laureato in informatica • Esperto di Cybersecutity • Ex-dipendente IBM • Celebre per aver scovato molteplici vulnerabilità in sistemi Windows 8
CAR HACKERS: MILLER &VALASEK • A partire dal 2013, Miller eValasek diventano noti per le loro ricerche nel campo della sicurezza informatica nel settore automobilistico • La loro attività è culminata nell’hacking remoto di diverse vetture del gruppo FCA • Nel 2015 riescono ad accedere e controllare da remoto una Jeep Grand Cherokee del 2014 • L’evento ebbe grande risonanza sui media, soprattutto dopo un articolo su Wired 9
‘Though I hadn't touched the dashboard, the vents in the Jeep Cherokee started blasting cold air […] Next the radio switched to the local hip hop station […] I spun the control knob left and hit the power button, to no avail.Then the windshield wipers turned on […] As I tried to cope with all this, a picture of the two hackers performing these stunts appeared on the car's digital display: Charlie Miller and ChrisValasek, wearing their trademark track suits. […] That's when they cut the transmission. Immediately my accelerator stopped working.’ ‘Miller andValasek’s full arsenal includes functions that fully kill the engine, abruptly engage the brakes, or disable them altogether. The most disturbing maneuver came when they cut the Jeep's brakes, leaving me frantically pumping the pedal as the 2-ton SUV slid uncontrollably into a ditch. […] Their hack enables surveillance too:They can track a targeted Jeep's GPS coordinates, measure its speed, and even drop pins on a map to trace its route.’ 10
I PRECEDENTI… Miller eValasek erano riusciti ad ottenere già negli anni precedenti il controllo su alcune autovetture (Ford Escape, Toyota Prius) • Questi attacchi prevedevano però una connessione fisica tra il computer degli hacker e la porta di diagnostica della vettura • Per tale motivo non vennero presi sul serio dalle case automobilistiche 11
REMOTE EXPLOITATION OF AN UNALTEREDVEHICLE A partire dal 2014, i due hacker si concentrano sulla Remote Exploitation of an unaltered vehicle, vale a dire sull’hacking remoto di un veicolo non modificato. • L’attacco è molto più serio, non richiedendo accesso fisico alla vettura né modifiche preventive su di essa • Un’enorme quantità di veicoli risulta “comodamente attaccabile dal salotto di casa”. 12
REMOTE ATTACK PARADIGM L’attacco remoto ad una vettura non modificata si articola in 4 fasi 1. Remote Compromise 2. Lateralization 3. CAN Messages analysis 4. CAN Message injection 13
LAVETTURA SCELTA 14 Prima di iniziare l’attacco, è indispensabile scegliere una vettura da usare come target… ?
LAVETTURA SCELTA L’auto scelta come target è una Jeep Grand Cherokee del 2014. • Scelta perchè, pur avendo un costo relativamente contenuto, ha molta dotazione tecnica atta alla guida assistita. 
 Più parti fisiche controllabili dalla centralina implica più parti fisiche potenzialmente controllabili in seguito ad un attacco remoto 15
LAVETTURA SCELTA La dotazione comprende… • Cruise control adattivo • Sistema di avviso per prevenire le collisioni • Controllano i freni • Avviso di superamento della linea di corsia • Parcheggio assistito • Controllano lo sterzo 16
IL SISTEMA ‘UCONNECT’ La Jeep Gran Cherokee del 2014, così come molte altre vetture del gruppo FCA e non solo, monta un computer di bordo detto UCONNECT, prodotto da Harman Kardon. Esso integra tutta la tecnologia dedicata all’infotainment, tra cui Radio,Wifi, Cellular, GPS, possibilità di eseguire app… 17
IL SISTEMA ‘UCONNECT’ • Contiene anche un microcontrollore e del software che permettono di comunicare con altri moduli elettronici presenti nel veicolo, utilizzando il Controller Area Network. 18 Il Controller Area Network è uno standard seriale utilizzato soprattutto nell’ambito dei trasporti per collegare diverse unità di controllo elettronico (ECU). Esso funziona sfruttando un protocollo basato su messaggi che permettono di richiedere una determinata azione
IL SISTEMA ‘UCONNECT’ • Dietro al display LCD sono presenti due schede figlie. • La prima scheda ospita il processore principale, prodotto daTexas Instruments, e l’hardware relativo alla connettività Cellular (fornita dall’operatore SPRINT) • La seconda scheda monta un processore RenesasV850, molto comune nei veicoli, che è a basso consumo e ha il compito specifico di mandare messaggi al CAN • Le due schede sono apparentemente separate da un airgap, quindi tramite il processore principale non dovrebbe essere possibile inviare messaggi CAN • Vedremo che in realtà non è proprio così… 19 Airgap: misura di sicurezza utilizzata per assicurarsi che un computer con compiti cruciali sia elettronicamente isolato (concetto di air-gap) da altri componenti connessi alla rete
IL PROCESSORE PRINCIPALE • Il processore principale dell’UCONNECT è un ARM Texas Instruments 32-bit • OMAP-DM3730 system on a chip • Utilizza un sistema Linux-like detto QNX • Supporta molti dei comandi di Linux, il che rende l’interazione con il sistema piuttosto agevole 20
QNX • Un ulteriore vantaggio del sistema QNX dal punto dei vista degli hacker, era la possibilità di installarlo in macchina virtuale • Era facilmente scaricabile tramite internet l’ISO utilizzata per gli updates e la reinstallazione del sistema • Gran parte del testing e dell’esaminazione del codice poteva essere fatto anche senza avere un sistema UCONNECT fisico • Avendo il sistema in macchina virtuale si poteva, ad esempio, studiare la struttura delle cartelle 21
TORNANDO A NOI… • Abbiamo visto una breve panoramica della vettura scelta, la Jeep Grand Cherokee del 2014 • E’ arrivato il momento di passare all’attacco vero e proprio • La prima fase è quella di Remote Compromise… 22
COME CONNETTERSI AL SISTEMA? Remote Compromise
1: REMOTE COMPROMISE La prima cosa da fare è individuare i servizi attaccabili sul veicolo • Wifi • Bluetooth • Cellular • Chiave elettronica • Sensori di pressione pneumatici Sono tutti potenziali punti d’accesso per un attacco 24
La Jeep Grand Cherokee del 2014 aveva molti potenziali punti d’accesso: • Protezione Antifurto passiva • Sistema di monitoraggio della pressione gomme • Sistema di avvio keyless • Bluetooth • Radio data system • Wifi • Connessione cellular, 25 1: REMOTE COMPROMISE
I servizi nei quali era più probabile trovare vulnerabilità utili alla fase di Remote Compromise sono risultati essere quelli relativi alle connessioni Wifi e Cellular, in quanto hanno raggi d’azione più ampi e interagiscono direttamente con il computer di bordo della vettura… 26 1: REMOTE COMPROMISE
ATTACCO WIFI • La funzione di hotspot WIFI, che permette a dispositivi in vettura di collegarsi ad internet, è un potenziale punto d’accesso al sistema 27 • La prima cosa da fare è riuscirsi a connettere all’hotspot wifi della vettura • La rete è protetta da una password WPA-2
IL PROBLEMA DELLA PASSWORD • Analizzando il software, è stato scoperto che il generatore della password utilizzava come seed la data (precisa al secondo) del primo avvio del sistema • Se si conosce orientativamente la data di produzione della vettura, si può molto restringere lo spazio dei seed da utilizzare: 28 Conoscendo il mese del primo avvio: 15 milioni di password da provare Conoscendo il giorno del primo avvio: 7 milioni di password da provare
IL PROBLEMA DELLA PASSWORD • Il numero di password da provare non è enorme • Si può assumere che il primo avvio non sia avvenuto di notte, riducendo ulteriormente i seed da provare • Secondo alcuni, usando metodi di cracking offline si possono provare 133000 password al secondo • E’ una stima probabilmente ottimistica ma comunque indicativa 29 2 Minuti per provare i seed relativi ad ogni mese Meno di un’ora per provare i seed relativi all’intero anno
IL PROBLEMA DELLA PASSWORD 30 Situazione ancora non pratica! Ma in questo lasso di tempo bisognerebbe rimanere nel range del wifi di un veicolo acceso, e quindi presumibilmente in movimento…
TUTTAVIA… • Se la vettura non riesce a ottenere la data dalla rete al primo avvio, essa viene impostata di default al 1 Gennaio 2013. 31
IL PROBLEMA DELLA PASSWORD 32 • Risulta che quasi tutte le password usano come seed la data di default! • Ad esempio, la password di Charlie Miller eraTyYMxfPhZxkp • Eseguendo un attacco bruteforce su tutte le possibili date-seed, scoprono che la data utilizzata corrisponde all’EpiochTime 0x50e22720… cioè al 1 Gennaio 2013, ore 00.00.32s. • La funzione che genera la password va in esecuzione a circa 32 secondi dall’avvio del sistema, quando la data impostata è quella di default e non c’è ancora stato il tempo di recuperare la vera data
IL PROBLEMA DELLA PASSWORD 33 Il range di timestamp che sono possibili seed si riduce a pochi secondi! Ci sono poche decine di password da provare! La password si può trovare quasi istantaneamente
LE PORTE APERTE 34 • Una volta connessi all’hotspot wifi della vettura, eseguendo Nmap, hanno scoperto che molte porte sono aperte
PORTA 6667 35 • Tramite questa porta è possibile accedere al D-Bus, che è un sistema di comunicazione tra processi e per la chiamata remota di procedure • Potrebbe richiedere autenticazione… • Non la richiede sulla Jeep!
SERVIZI OFFERTI DAL D-BUS 36 • Utilizando il tool DFeet, è stata ottenuta una lista dei servizi offerti dal D-Bus. • L’idea era quella di trovare un servizio che permettesse code injection
ESEGUIRE CODICE ARBITRARIO 37 • Molti servizi erano vulnerabili a code injection • Era possibile passare come parametri dei metodi comandi da eseguire • Ciò si rivela comunque non necessario… • In alcuni servizi era addirittura presente un metodo “execute”, che consentiva di eseguire liberamente comandi shell!
E I PRIVILEGI? 38 • Un dubbio legittimo: come ottenere i privilegi necessari ad eseguire tutti i comandi? Sorpresa: Ogni comando veniva automaticamente eseguito come root!
REMOTETERMINAL 39 • Una volta ottenuta la possibilità di eseguire i comandi, la cosa più semplice da fare è configurare il protocollo SSH sulla vettura • A quel punto possiamo semplicemente collegarci via SSH ed eseguire comandi tramite il terminale remoto!
CONTROLLARE L’ UCONNECT 40 • Per controllare molti dei servizi, non serviva neppure eseguire codice • Bastava infatti invocare i servizi già forniti dal D-Bus, che consentivano di controllare la maggior parte delle funzioni gestite direttamente dall’UCONNECT, tra cui il gps, la radio, e tanti altri servizi non gestiti tramite CAN Un paio di esempi…
TANTE POSSIBILITÀ 41 • Una possibile applicazione: richiedere a intervalli regolari la posizione GPS della vettura attaccata e visualizzarla su una mappa, tracciandone percorso e velocità
TANTE POSSIBILITÀ 42 • Un ulteriore esempio: gestire il volume della radio dell’auto attaccata Una volta fatto ciò, la manopola della radio non è in grado di modificarlo nuovamente, e l’impostazione viene mantenuta anche se il veicolo viene spento e riacceso
SVANTAGGI DELL’ATTACCO WIFI 43 • L’hotspot WiFi si attiva con un abbonamento, quindi non molte persone lo terranno in funzione • Bisogna essere nel range del wifi per portare un attacco alla vettura
ATTACCO CELLULAR • La vettura dispone anche di una scheda cellular • La connessione cellular, a differenza dell’hotspot wifi, è sempre attiva su tutte le vetture • Un attacco cellular significherebbe non essere vincolati al range wifi! 44
LE PORTE? ANCORA APERTE • Utilizzando NETSTAT, risulta che la porta 6667 è aperta per tutte le interfacce, quindi oltre che da WIFI è accessibile anche da cellular 45
COME MODIFICARE L’ATTACCO? • La risposta è banale: Lo stesso identico attacco è valido anche per la rete cellular, basta sostituire l’IP cellular all’IP wifi usato in precedenza! 46 • Nota: Senza accesso diretto al veicolo o senza confrontare dati geografici noti con posizioni ottenute tramite l’attacco, è difficile individuare un IP cellular specifico.
DA QUANTO LONTANO? • Inizialmente ipotizzavano si potesse eseguire l’attacco solo essendo nella stessa ‘cella’ telefonica del veicolo target • Successivamente scoprono che bastava collegarsi tramite rete Sprint per avere accesso a tutti i veicoli vulnerabili indipendentemente dalla loro posizione • Riescono con successo ad effettuare un attacco da Pittsburgh a un veicolo a St Louis (oltre 900 km in linea d’aria) 47
QUALIVETTURE? • Connettendosi a diverse vetture, hanno potuto interrogarne le centraline per ottenere informazioni sul modello. • Erano presenti molte vetture prodotte tra il 2013 e il 2015 a marchi RAM, CHRYSLER, DODGE, JEEP… 48 2013 DODGEVIPER 2013 RAM 1500 2013 RAM 2500 2013 RAM 3500 2013 RAM CHASSIS 5500 2014 DODGE DURANGO 2014 DODGEVIPER 2014 JEEP CHEROKEE 2014 JEEP GRAND CHEROKEE 2014 RAM 1500 2014 RAM 2500 2014 RAM 3500 2014 RAM CHASSIS 5500 2015 CHRYSLER 200 2015 JEEP CHEROKEE 2015 JEEP GRAND CHEROKEE
QUANTEVETTURE? • Analizzando un campione di IP di vetture vulnerabili identificate, gli hacker stimarono si trattasse di circa 400000 vetture • Successivamente, i dati ufficiali hanno svelato che si trattava in realtà di circa 49 1,4 milioni di vetture!
REMOTE COMPROMISE
IL PUNTO DELLA SITUAZIONE • Ottenuto accesso al chip OMAP del sistema UCONNECT tramite cellular • Possibilità di utilizzare i servizi forniti direttamente dal D-Bus • Possibilità di eseguire comandi tramite console remota • Impossibilità di inviare messaggi CAN arbitrari • I messaggi CAN vengono inviati dal secondo chip, ilV850 • Poter inviare messaggi CAN è indispensabile se si vuole interagire con sistemi fisici dell’auto quali freni, sterzo… 51
ACCESSO AL CHIPV850 Lateralization
2: LATERALIZATION 53 • I due chip, apparentemente separati, sono in realtà connessi da una linea seriale • Il chip OMAP è in grado di aggiornare il firmware delV850, procedura normalmente eseguita connettendo una usb-stick con l’aggiornamento
2: LATERALIZATION 54 • L’idea a questo punto è quella di sfruttare la capacità dell’OMAP di aggiornare ilV850 per caricare da remoto un firmware con una backdoor, che consenta poi di inviare messaggi CAN arbitrari
2: LATERALIZATION 55 • Ancora una volta l’inadeguatezza dei sistemi di sicurezza dell’UCONNECT viene incontro agli hacker… I firmware delV850 non hanno alcuna firma digitale!
FASE DELICATA… 56 • L’installazione del nuovo firmware comporta un riavvio del computer di bordo. Un utente attento potrebbe capire che sta succedendo qualcosa di strano e spegnere la vettura. • Errori in questa fase o nel firmware utilizzato per l’aggiornamento comportano il brick della UConnect…
FASE DELICATA… 57 • …e infatti Charlie Miller fu costretto a diverse visite al meccanico • Per sua fortuna, il veicolo era in garanzia: fingendo di non sapere cosa fosse successo, riuscì a farsi sostituire l’UConnect con una nuova unità!
LATERALIZATION
CAPIRE I MESSAGGI CAN CAN Messages analysis & injection
3: CAN MESSAGES ANALYSIS • Utilizzando uno sniffer, gli hacker hanno potuto ricostruire a quale messaggio CAN corrispondesse una determinata azione 60
4: CAN MESSAGES INJECTION • Una volta fatto ciò, è possibile replicare i messaggi CAN visti nel traffico reale sul CAN network per ottenere le azioni ad essi associate • Non è ancora possibile creare “nuovi” messaggi CAN… 61
4: CAN MESSAGES INJECTION • I messaggi CAN utilizzavano un checksum per verificarne l’integrità, quindi per inviarne di arbitrari è stato necessario un reverse engineering per capire come venisse calcolato… • Ciò richiese diversi mesi di lavoro! 62
SORGENTI IN CONFLITTO • In alcune occasioni, la centralina della vettura potrebbe ricevere messaggi CAN contrastanti • I messaggi inviati dagli hacker potrebbero andare in conflitto con i normali messaggi inviati dalla vettura • Alcune vetture obbediscono al comando ripetuto più volte, altre (è il caso della jeep) si spegnono 63
SOLUZIONE • Una soluzione ovvia è diventare l’unica sorgente di messaggi CAN 64
DIVENTARE L’UNICA SORGENTE • Inizialmente, un metodo usato per diventare l’unica fonte di messaggi CAN è stato mettere l’ECU in modalità DIAGNOSTICA. 
 Ciò impediva alla vettura di inviare messaggi CAN normali, ma allo stesso tempo consentiva agli hacker di inviare messaggi solo a basse velocità (o veicolo fermo) 65
DIVENTARE L’UNICA SORGENTE • Nel 2016, risolsero il problema impostando l’ECU in Bootrom mode. In questa modalità, l’ECU non è correttamente avviata in quanto attende l’installazione del firmware. • Per entrare in bootrom mode è ancora necessario avviare una sessione diagnostica a bassa velocità, ma una volta entrati in questa modalità si può portare avanti l’attacco qualunque sia la velocità assunta dalla vettura • Contro: Spesso è necessario ri-flashare il firmware per restituire corretto funzionamento all’ECU. • Chiaramente ciò non è un problema per un attacker, che anzi potrebbe decidere di mandare in brick permanente l’ECU per assicurarsi che non invii più messaggi 66
CAN MESSAGES ANALYSIS & INJECTION
REMOTE ATTACK PARADIGM • Abbiamo completato i 4 step 68 1. Remote Compromise 2. Lateralization 3. CAN Message Analysis 4. CAN Message Injection
IL PUNTO DELLA SITUAZIONE • Ottenuto accesso al chip OMAP del sistema UCONNECT tramite cellular • Possibilità di utilizzare i servizi forniti direttamente dal D-Bus • Possibilità di eseguire comandi tramite console remota • E’ ora possibile comunicare con il chip V850 per inviare messaggi CAN arbitrari 69
RISULTATI SORPENDENTI 70 • Gli hacker sono riusciti a controllare liberamente funzioni quali tergicristalli, radio, chiusura porte, frecce, tachimetro… freni, sterzo. Vediamo qualche esempio…
TERGICRISTALLI 71
FRENI 72
STERZO 73
VEHICLE WORM 74 Siccome le vetture hanno la capacità di effettuare una scansione e trovare altri veicoli vulnerabili, e siccome l’attacco non richiede alcuna interazione da parte dell’utente, è teoricamente possibile creare un worm tale che un veicolo infetto possa ricercare ed infettare altri veicoli, alterandone poi il comportamento!
SITUAZIONE MOLTO GRAVE 75 • Appare evidente che vulnerabilità del genere siano estremamente gravi, e che nelle mani sbagliate avrebbero potuto portare a incidenti e situazioni incredibilmente rischiose
HACKER ‘WHITE HAT’ • Per fortuna, Miller eValasek sono hacker ‘white hat’, cioè lo scopo del loro lavoro è rendere consapevoli aziende e utenti delle vulnerabilità dei prodotti, affinché esse possano essere corrette 76
GLI EFFETTI • FCA era inizialmente riluttante a riconoscere l’importanza delle scoperte risultate dal lavoro di Miller eValasek • Una volta che la storia apparve sui media, il titolo crollò in borsa e furono costretti ad agire, richiamando 1,4 milioni di vetture 77
SUL NEWYORKTIMES… 78
OBBIETTIVO RAGGIUNTO 79 • Attraverso la loro ricerca, Miller eValasek sono stati in grado di attirare l’attenzione del grande pubblico sulla sicurezza informatica in campo automotive e di costringere l’azienda FCA a risolvere le vulnerabilità • La vicenda approdò anche al Senato USA, che si propose di introdurre nuove norme per proteggere i guidatori da pericoli di questo tipo
OBBIETTIVO RAGGIUNTO 80
LA PATCH • I problemi sono stati risolti da Jeep e Sprint bloccando le porte e disabilitando il sistema di hotspot wifi su tutti i veicoli che non avevano ricevuto un aggiornamento con il fix 81
CILIEGINA SULLATORTA… 82 • Una volta conclusasi la vicenda, il gruppo FCA iniziò a seguire ChrisValasek suTwitter!
GRAZIE PER L’ATTENZIONE
BIBLIOGRAFIA: 1. Video della conferenza in cui viene spiegato l’hack
 https://www.youtube.com/watch?v=OobLb1McxnI 2. Sito di C. Miller e C. Valasek dedicato al car hacking:
 http://illmatics.com/carhacking.html 3. Paper relativo all’hacking della jeep
 http://illmatics.com/Remote%20Car%20Hacking.pdf 4. Slide usate durante la conferenza DEF CON dai due hacker:
 https://www.syscan.org/slides/2015_EN_RemoteExploitationofanUnalteredPassengerVehicle_Charlie_Chris.pdf 5. Video che mostra possibili effetti fisici ottenibili tramite questo attacco:
 https://www.youtube.com/watch?v=MK0SrxBC1xs 6. Pagina WIKI dedicata a Charlie Miller:
 https://en.wikipedia.org/wiki/Charlie_Miller 7. Pagina WIKI dedicata a Chris Valasek:
 https://en.wikipedia.org/wiki/Chris_Valasek

Recomendados

Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Data Driven Innovation
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmateAlessandro Selli
 
Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecureLuigi Perrone
 
3 motivi per cui è necessario un nuovo modello di accesso remoto
3 motivi per cui è necessario un nuovo modello di accesso remoto3 motivi per cui è necessario un nuovo modello di accesso remoto
3 motivi per cui è necessario un nuovo modello di accesso remotoAkamai Technologies
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
 
Analisi sulla sicurezza di una autovettura moderna
Analisi sulla sicurezza di una autovettura modernaAnalisi sulla sicurezza di una autovettura moderna
Analisi sulla sicurezza di una autovettura modernaCe.Se.N.A. Security
 

Recomendados

Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Data Driven Innovation
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmateAlessandro Selli
 
Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecureLuigi Perrone
 
3 motivi per cui è necessario un nuovo modello di accesso remoto
3 motivi per cui è necessario un nuovo modello di accesso remoto3 motivi per cui è necessario un nuovo modello di accesso remoto
3 motivi per cui è necessario un nuovo modello di accesso remotoAkamai Technologies
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
 
Analisi sulla sicurezza di una autovettura moderna
Analisi sulla sicurezza di una autovettura modernaAnalisi sulla sicurezza di una autovettura moderna
Analisi sulla sicurezza di una autovettura modernaCe.Se.N.A. Security
 
Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch INGEGNI Tech Srl
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
Mobile Device Management And BYOD
Mobile Device Management And BYODMobile Device Management And BYOD
Mobile Device Management And BYODTechnology Transfer
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSMAU
 
Sviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliSviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliDominopoint - Italian Lotus User Group
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoAlfredo Morresi
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Agenda digitale Umbria
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroCentro di competenza ICT-SUD
 
Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001Roberto Gallerani
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingRoberto Martin
 
Introduzione al BYOD
Introduzione al BYODIntroduzione al BYOD
Introduzione al BYODSwitchup srl
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfSandro Fontana
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitalipiccimario
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo BordoniData Driven Innovation
 
HCIM08 - Mobile Applications
HCIM08 - Mobile ApplicationsHCIM08 - Mobile Applications
HCIM08 - Mobile ApplicationsStefano Sanna
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ? Lucio Gamba
 
Il Cloud è sicuro ?
Il Cloud è sicuro ?Il Cloud è sicuro ?
Il Cloud è sicuro ?Clouditalia Telecomunicazioni
 

Más contenido relacionado

Similar a Car Hacking by C.Miller and C.Valasek

Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch INGEGNI Tech Srl
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
Mobile Device Management And BYOD
Mobile Device Management And BYODMobile Device Management And BYOD
Mobile Device Management And BYODTechnology Transfer
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSMAU
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoAlfredo Morresi
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Agenda digitale Umbria
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001Roberto Gallerani
 
Introduzione al BYOD
Introduzione al BYODIntroduzione al BYOD
Introduzione al BYODSwitchup srl
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfSandro Fontana
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitalipiccimario
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo BordoniData Driven Innovation
 
HCIM08 - Mobile Applications
HCIM08 - Mobile ApplicationsHCIM08 - Mobile Applications
HCIM08 - Mobile ApplicationsStefano Sanna
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ? Lucio Gamba
 

Similar a Car Hacking by C.Miller and C.Valasek (20)

Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch Controllo di un impianto My Home da iPad iPhone-iPod touch
Controllo di un impianto My Home da iPad iPhone-iPod touch
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezza
 
Mobile Device Management And BYOD
Mobile Device Management And BYODMobile Device Management And BYOD
Mobile Device Management And BYOD
 
Smau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea pernaSmau milano 2012 arena expo comm andrea perna
Smau milano 2012 arena expo comm andrea perna
 
Sviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi MobiliSviluppare applicazioni Domino Web per dispositivi Mobili
Sviluppare applicazioni Domino Web per dispositivi Mobili
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe Paternò
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino Forestiero
 
Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001Telecamere-ip-e-sistemi-di-videosorveglianza-v001
Telecamere-ip-e-sistemi-di-videosorveglianza-v001
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Introduzione al BYOD
Introduzione al BYODIntroduzione al BYOD
Introduzione al BYOD
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
 
Metodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze DigitaliMetodologie Estrazione Evidenze Digitali
Metodologie Estrazione Evidenze Digitali
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
 
HCIM08 - Mobile Applications
HCIM08 - Mobile ApplicationsHCIM08 - Mobile Applications
HCIM08 - Mobile Applications
 
Cloud è sicuro ?
Cloud è sicuro ? Cloud è sicuro ?
Cloud è sicuro ?
 
Il Cloud è sicuro ?
Il Cloud è sicuro ?Il Cloud è sicuro ?
Il Cloud è sicuro ?
 

Car Hacking by C.Miller and C.Valasek

  • 1. CAR HACKING by C. Miller & C.Valasek Emanuele Gargiulo, 2019 1 Sicurezza dei Dati
  • 2. CONTENUTI 1. Introduzione alla sicurezza IOT 2. Panoramica sul Car Hacking 3. ‘Remote Exploitation of an UnalteredVehicle’ • Remote Attack Paradigm 4. Conseguenze della ricerca
  • 3. IOT: CONNESSO =VULNERABILE? • Una tendenza degli ultimi anni è quella di connettere ad internet non solo computer e smartphone, ma dispositivi di qualunque genere • Un dispositivo connesso ad internet è per forza di cose più soggetto ad attacchi esterni rispetto ad un dispositivo non connesso 3
  • 4. I PROBLEMI DELLA SICUREZZA IOT • Spesso le aziende che si trovano a produrre ‘things’ connesse alla rete non hanno grande esperienza di software e sicurezza • I dispositivi IoT hanno risorse hardware limitate, quindi alcuni approcci ‘classici’ alla sicurezza non sono applicabili • Frequentemente nei dispositivi IoT vengono utilizzate credenziali generiche e non uniche, quali “admin” e “password” • Raramente i prodotti vengono supportati con update di sicurezza dopo la vendita 4
  • 5. LE AUTO NON FANNO ECCEZIONE • Le auto moderne sono dotate di computer di bordo, spesso connessi in rete e in grado di eseguire app • Includono connettività wifi, cellular, bluetooth… • Questi sistemi e connettività sono potenziali punti d’accesso per malintenzionati 5
  • 6. CAR HACKING Con il diffondersi di automobili sempre più “smart”, anche gli studi sulla sicurezza delle vetture sono fortemente aumentati. Due tra i più noti ricercatori ad occuparsene sono • Charlie Miller • ChrisValasek 6
  • 7. CAR HACKERS: MILLER &VALASEK Charlie Miller • Laureato in matematica • Esperto di Cybersecutity • Ex-dipendente NSA • Celebre per aver scovato molteplici vulnerabilità in prodotti Apple • Prima persona ad violare il primo iPhone e il primo smartphone Android 7
  • 8. CAR HACKERS: MILLER &VALASEK Chris Valasek • Laureato in informatica • Esperto di Cybersecutity • Ex-dipendente IBM • Celebre per aver scovato molteplici vulnerabilità in sistemi Windows 8
  • 9. CAR HACKERS: MILLER &VALASEK • A partire dal 2013, Miller eValasek diventano noti per le loro ricerche nel campo della sicurezza informatica nel settore automobilistico • La loro attività è culminata nell’hacking remoto di diverse vetture del gruppo FCA • Nel 2015 riescono ad accedere e controllare da remoto una Jeep Grand Cherokee del 2014 • L’evento ebbe grande risonanza sui media, soprattutto dopo un articolo su Wired 9
  • 10. ‘Though I hadn't touched the dashboard, the vents in the Jeep Cherokee started blasting cold air […] Next the radio switched to the local hip hop station […] I spun the control knob left and hit the power button, to no avail.Then the windshield wipers turned on […] As I tried to cope with all this, a picture of the two hackers performing these stunts appeared on the car's digital display: Charlie Miller and ChrisValasek, wearing their trademark track suits. […] That's when they cut the transmission. Immediately my accelerator stopped working.’ ‘Miller andValasek’s full arsenal includes functions that fully kill the engine, abruptly engage the brakes, or disable them altogether. The most disturbing maneuver came when they cut the Jeep's brakes, leaving me frantically pumping the pedal as the 2-ton SUV slid uncontrollably into a ditch. […] Their hack enables surveillance too:They can track a targeted Jeep's GPS coordinates, measure its speed, and even drop pins on a map to trace its route.’ 10
  • 11. I PRECEDENTI… Miller eValasek erano riusciti ad ottenere già negli anni precedenti il controllo su alcune autovetture (Ford Escape, Toyota Prius) • Questi attacchi prevedevano però una connessione fisica tra il computer degli hacker e la porta di diagnostica della vettura • Per tale motivo non vennero presi sul serio dalle case automobilistiche 11
  • 12. REMOTE EXPLOITATION OF AN UNALTEREDVEHICLE A partire dal 2014, i due hacker si concentrano sulla Remote Exploitation of an unaltered vehicle, vale a dire sull’hacking remoto di un veicolo non modificato. • L’attacco è molto più serio, non richiedendo accesso fisico alla vettura né modifiche preventive su di essa • Un’enorme quantità di veicoli risulta “comodamente attaccabile dal salotto di casa”. 12
  • 13. REMOTE ATTACK PARADIGM L’attacco remoto ad una vettura non modificata si articola in 4 fasi 1. Remote Compromise 2. Lateralization 3. CAN Messages analysis 4. CAN Message injection 13
  • 14. LAVETTURA SCELTA 14 Prima di iniziare l’attacco, è indispensabile scegliere una vettura da usare come target… ?
  • 15. LAVETTURA SCELTA L’auto scelta come target è una Jeep Grand Cherokee del 2014. • Scelta perchè, pur avendo un costo relativamente contenuto, ha molta dotazione tecnica atta alla guida assistita. 
 Più parti fisiche controllabili dalla centralina implica più parti fisiche potenzialmente controllabili in seguito ad un attacco remoto 15
  • 16. LAVETTURA SCELTA La dotazione comprende… • Cruise control adattivo • Sistema di avviso per prevenire le collisioni • Controllano i freni • Avviso di superamento della linea di corsia • Parcheggio assistito • Controllano lo sterzo 16
  • 17. IL SISTEMA ‘UCONNECT’ La Jeep Gran Cherokee del 2014, così come molte altre vetture del gruppo FCA e non solo, monta un computer di bordo detto UCONNECT, prodotto da Harman Kardon. Esso integra tutta la tecnologia dedicata all’infotainment, tra cui Radio,Wifi, Cellular, GPS, possibilità di eseguire app… 17
  • 18. IL SISTEMA ‘UCONNECT’ • Contiene anche un microcontrollore e del software che permettono di comunicare con altri moduli elettronici presenti nel veicolo, utilizzando il Controller Area Network. 18 Il Controller Area Network è uno standard seriale utilizzato soprattutto nell’ambito dei trasporti per collegare diverse unità di controllo elettronico (ECU). Esso funziona sfruttando un protocollo basato su messaggi che permettono di richiedere una determinata azione
  • 19. IL SISTEMA ‘UCONNECT’ • Dietro al display LCD sono presenti due schede figlie. • La prima scheda ospita il processore principale, prodotto daTexas Instruments, e l’hardware relativo alla connettività Cellular (fornita dall’operatore SPRINT) • La seconda scheda monta un processore RenesasV850, molto comune nei veicoli, che è a basso consumo e ha il compito specifico di mandare messaggi al CAN • Le due schede sono apparentemente separate da un airgap, quindi tramite il processore principale non dovrebbe essere possibile inviare messaggi CAN • Vedremo che in realtà non è proprio così… 19 Airgap: misura di sicurezza utilizzata per assicurarsi che un computer con compiti cruciali sia elettronicamente isolato (concetto di air-gap) da altri componenti connessi alla rete
  • 20. IL PROCESSORE PRINCIPALE • Il processore principale dell’UCONNECT è un ARM Texas Instruments 32-bit • OMAP-DM3730 system on a chip • Utilizza un sistema Linux-like detto QNX • Supporta molti dei comandi di Linux, il che rende l’interazione con il sistema piuttosto agevole 20
  • 21. QNX • Un ulteriore vantaggio del sistema QNX dal punto dei vista degli hacker, era la possibilità di installarlo in macchina virtuale • Era facilmente scaricabile tramite internet l’ISO utilizzata per gli updates e la reinstallazione del sistema • Gran parte del testing e dell’esaminazione del codice poteva essere fatto anche senza avere un sistema UCONNECT fisico • Avendo il sistema in macchina virtuale si poteva, ad esempio, studiare la struttura delle cartelle 21
  • 22. TORNANDO A NOI… • Abbiamo visto una breve panoramica della vettura scelta, la Jeep Grand Cherokee del 2014 • E’ arrivato il momento di passare all’attacco vero e proprio • La prima fase è quella di Remote Compromise… 22
  • 23. COME CONNETTERSI AL SISTEMA? Remote Compromise
  • 24. 1: REMOTE COMPROMISE La prima cosa da fare è individuare i servizi attaccabili sul veicolo • Wifi • Bluetooth • Cellular • Chiave elettronica • Sensori di pressione pneumatici Sono tutti potenziali punti d’accesso per un attacco 24
  • 25. La Jeep Grand Cherokee del 2014 aveva molti potenziali punti d’accesso: • Protezione Antifurto passiva • Sistema di monitoraggio della pressione gomme • Sistema di avvio keyless • Bluetooth • Radio data system • Wifi • Connessione cellular, 25 1: REMOTE COMPROMISE
  • 26. I servizi nei quali era più probabile trovare vulnerabilità utili alla fase di Remote Compromise sono risultati essere quelli relativi alle connessioni Wifi e Cellular, in quanto hanno raggi d’azione più ampi e interagiscono direttamente con il computer di bordo della vettura… 26 1: REMOTE COMPROMISE
  • 27. ATTACCO WIFI • La funzione di hotspot WIFI, che permette a dispositivi in vettura di collegarsi ad internet, è un potenziale punto d’accesso al sistema 27 • La prima cosa da fare è riuscirsi a connettere all’hotspot wifi della vettura • La rete è protetta da una password WPA-2
  • 28. IL PROBLEMA DELLA PASSWORD • Analizzando il software, è stato scoperto che il generatore della password utilizzava come seed la data (precisa al secondo) del primo avvio del sistema • Se si conosce orientativamente la data di produzione della vettura, si può molto restringere lo spazio dei seed da utilizzare: 28 Conoscendo il mese del primo avvio: 15 milioni di password da provare Conoscendo il giorno del primo avvio: 7 milioni di password da provare
  • 29. IL PROBLEMA DELLA PASSWORD • Il numero di password da provare non è enorme • Si può assumere che il primo avvio non sia avvenuto di notte, riducendo ulteriormente i seed da provare • Secondo alcuni, usando metodi di cracking offline si possono provare 133000 password al secondo • E’ una stima probabilmente ottimistica ma comunque indicativa 29 2 Minuti per provare i seed relativi ad ogni mese Meno di un’ora per provare i seed relativi all’intero anno
  • 30. IL PROBLEMA DELLA PASSWORD 30 Situazione ancora non pratica! Ma in questo lasso di tempo bisognerebbe rimanere nel range del wifi di un veicolo acceso, e quindi presumibilmente in movimento…
  • 31. TUTTAVIA… • Se la vettura non riesce a ottenere la data dalla rete al primo avvio, essa viene impostata di default al 1 Gennaio 2013. 31
  • 32. IL PROBLEMA DELLA PASSWORD 32 • Risulta che quasi tutte le password usano come seed la data di default! • Ad esempio, la password di Charlie Miller eraTyYMxfPhZxkp • Eseguendo un attacco bruteforce su tutte le possibili date-seed, scoprono che la data utilizzata corrisponde all’EpiochTime 0x50e22720… cioè al 1 Gennaio 2013, ore 00.00.32s. • La funzione che genera la password va in esecuzione a circa 32 secondi dall’avvio del sistema, quando la data impostata è quella di default e non c’è ancora stato il tempo di recuperare la vera data
  • 33. IL PROBLEMA DELLA PASSWORD 33 Il range di timestamp che sono possibili seed si riduce a pochi secondi! Ci sono poche decine di password da provare! La password si può trovare quasi istantaneamente
  • 34. LE PORTE APERTE 34 • Una volta connessi all’hotspot wifi della vettura, eseguendo Nmap, hanno scoperto che molte porte sono aperte
  • 35. PORTA 6667 35 • Tramite questa porta è possibile accedere al D-Bus, che è un sistema di comunicazione tra processi e per la chiamata remota di procedure • Potrebbe richiedere autenticazione… • Non la richiede sulla Jeep!
  • 36. SERVIZI OFFERTI DAL D-BUS 36 • Utilizando il tool DFeet, è stata ottenuta una lista dei servizi offerti dal D-Bus. • L’idea era quella di trovare un servizio che permettesse code injection
  • 37. ESEGUIRE CODICE ARBITRARIO 37 • Molti servizi erano vulnerabili a code injection • Era possibile passare come parametri dei metodi comandi da eseguire • Ciò si rivela comunque non necessario… • In alcuni servizi era addirittura presente un metodo “execute”, che consentiva di eseguire liberamente comandi shell!
  • 38. E I PRIVILEGI? 38 • Un dubbio legittimo: come ottenere i privilegi necessari ad eseguire tutti i comandi? Sorpresa: Ogni comando veniva automaticamente eseguito come root!
  • 39. REMOTETERMINAL 39 • Una volta ottenuta la possibilità di eseguire i comandi, la cosa più semplice da fare è configurare il protocollo SSH sulla vettura • A quel punto possiamo semplicemente collegarci via SSH ed eseguire comandi tramite il terminale remoto!
  • 40. CONTROLLARE L’ UCONNECT 40 • Per controllare molti dei servizi, non serviva neppure eseguire codice • Bastava infatti invocare i servizi già forniti dal D-Bus, che consentivano di controllare la maggior parte delle funzioni gestite direttamente dall’UCONNECT, tra cui il gps, la radio, e tanti altri servizi non gestiti tramite CAN Un paio di esempi…
  • 41. TANTE POSSIBILITÀ 41 • Una possibile applicazione: richiedere a intervalli regolari la posizione GPS della vettura attaccata e visualizzarla su una mappa, tracciandone percorso e velocità
  • 42. TANTE POSSIBILITÀ 42 • Un ulteriore esempio: gestire il volume della radio dell’auto attaccata Una volta fatto ciò, la manopola della radio non è in grado di modificarlo nuovamente, e l’impostazione viene mantenuta anche se il veicolo viene spento e riacceso
  • 43. SVANTAGGI DELL’ATTACCO WIFI 43 • L’hotspot WiFi si attiva con un abbonamento, quindi non molte persone lo terranno in funzione • Bisogna essere nel range del wifi per portare un attacco alla vettura
  • 44. ATTACCO CELLULAR • La vettura dispone anche di una scheda cellular • La connessione cellular, a differenza dell’hotspot wifi, è sempre attiva su tutte le vetture • Un attacco cellular significherebbe non essere vincolati al range wifi! 44
  • 45. LE PORTE? ANCORA APERTE • Utilizzando NETSTAT, risulta che la porta 6667 è aperta per tutte le interfacce, quindi oltre che da WIFI è accessibile anche da cellular 45
  • 46. COME MODIFICARE L’ATTACCO? • La risposta è banale: Lo stesso identico attacco è valido anche per la rete cellular, basta sostituire l’IP cellular all’IP wifi usato in precedenza! 46 • Nota: Senza accesso diretto al veicolo o senza confrontare dati geografici noti con posizioni ottenute tramite l’attacco, è difficile individuare un IP cellular specifico.
  • 47. DA QUANTO LONTANO? • Inizialmente ipotizzavano si potesse eseguire l’attacco solo essendo nella stessa ‘cella’ telefonica del veicolo target • Successivamente scoprono che bastava collegarsi tramite rete Sprint per avere accesso a tutti i veicoli vulnerabili indipendentemente dalla loro posizione • Riescono con successo ad effettuare un attacco da Pittsburgh a un veicolo a St Louis (oltre 900 km in linea d’aria) 47
  • 48. QUALIVETTURE? • Connettendosi a diverse vetture, hanno potuto interrogarne le centraline per ottenere informazioni sul modello. • Erano presenti molte vetture prodotte tra il 2013 e il 2015 a marchi RAM, CHRYSLER, DODGE, JEEP… 48 2013 DODGEVIPER 2013 RAM 1500 2013 RAM 2500 2013 RAM 3500 2013 RAM CHASSIS 5500 2014 DODGE DURANGO 2014 DODGEVIPER 2014 JEEP CHEROKEE 2014 JEEP GRAND CHEROKEE 2014 RAM 1500 2014 RAM 2500 2014 RAM 3500 2014 RAM CHASSIS 5500 2015 CHRYSLER 200 2015 JEEP CHEROKEE 2015 JEEP GRAND CHEROKEE
  • 49. QUANTEVETTURE? • Analizzando un campione di IP di vetture vulnerabili identificate, gli hacker stimarono si trattasse di circa 400000 vetture • Successivamente, i dati ufficiali hanno svelato che si trattava in realtà di circa 49 1,4 milioni di vetture!
  • 51. IL PUNTO DELLA SITUAZIONE • Ottenuto accesso al chip OMAP del sistema UCONNECT tramite cellular • Possibilità di utilizzare i servizi forniti direttamente dal D-Bus • Possibilità di eseguire comandi tramite console remota • Impossibilità di inviare messaggi CAN arbitrari • I messaggi CAN vengono inviati dal secondo chip, ilV850 • Poter inviare messaggi CAN è indispensabile se si vuole interagire con sistemi fisici dell’auto quali freni, sterzo… 51
  • 53. 2: LATERALIZATION 53 • I due chip, apparentemente separati, sono in realtà connessi da una linea seriale • Il chip OMAP è in grado di aggiornare il firmware delV850, procedura normalmente eseguita connettendo una usb-stick con l’aggiornamento
  • 54. 2: LATERALIZATION 54 • L’idea a questo punto è quella di sfruttare la capacità dell’OMAP di aggiornare ilV850 per caricare da remoto un firmware con una backdoor, che consenta poi di inviare messaggi CAN arbitrari
  • 55. 2: LATERALIZATION 55 • Ancora una volta l’inadeguatezza dei sistemi di sicurezza dell’UCONNECT viene incontro agli hacker… I firmware delV850 non hanno alcuna firma digitale!
  • 56. FASE DELICATA… 56 • L’installazione del nuovo firmware comporta un riavvio del computer di bordo. Un utente attento potrebbe capire che sta succedendo qualcosa di strano e spegnere la vettura. • Errori in questa fase o nel firmware utilizzato per l’aggiornamento comportano il brick della UConnect…
  • 57. FASE DELICATA… 57 • …e infatti Charlie Miller fu costretto a diverse visite al meccanico • Per sua fortuna, il veicolo era in garanzia: fingendo di non sapere cosa fosse successo, riuscì a farsi sostituire l’UConnect con una nuova unità!
  • 59. CAPIRE I MESSAGGI CAN CAN Messages analysis & injection
  • 60. 3: CAN MESSAGES ANALYSIS • Utilizzando uno sniffer, gli hacker hanno potuto ricostruire a quale messaggio CAN corrispondesse una determinata azione 60
  • 61. 4: CAN MESSAGES INJECTION • Una volta fatto ciò, è possibile replicare i messaggi CAN visti nel traffico reale sul CAN network per ottenere le azioni ad essi associate • Non è ancora possibile creare “nuovi” messaggi CAN… 61
  • 62. 4: CAN MESSAGES INJECTION • I messaggi CAN utilizzavano un checksum per verificarne l’integrità, quindi per inviarne di arbitrari è stato necessario un reverse engineering per capire come venisse calcolato… • Ciò richiese diversi mesi di lavoro! 62
  • 63. SORGENTI IN CONFLITTO • In alcune occasioni, la centralina della vettura potrebbe ricevere messaggi CAN contrastanti • I messaggi inviati dagli hacker potrebbero andare in conflitto con i normali messaggi inviati dalla vettura • Alcune vetture obbediscono al comando ripetuto più volte, altre (è il caso della jeep) si spegnono 63
  • 64. SOLUZIONE • Una soluzione ovvia è diventare l’unica sorgente di messaggi CAN 64
  • 65. DIVENTARE L’UNICA SORGENTE • Inizialmente, un metodo usato per diventare l’unica fonte di messaggi CAN è stato mettere l’ECU in modalità DIAGNOSTICA. 
 Ciò impediva alla vettura di inviare messaggi CAN normali, ma allo stesso tempo consentiva agli hacker di inviare messaggi solo a basse velocità (o veicolo fermo) 65
  • 66. DIVENTARE L’UNICA SORGENTE • Nel 2016, risolsero il problema impostando l’ECU in Bootrom mode. In questa modalità, l’ECU non è correttamente avviata in quanto attende l’installazione del firmware. • Per entrare in bootrom mode è ancora necessario avviare una sessione diagnostica a bassa velocità, ma una volta entrati in questa modalità si può portare avanti l’attacco qualunque sia la velocità assunta dalla vettura • Contro: Spesso è necessario ri-flashare il firmware per restituire corretto funzionamento all’ECU. • Chiaramente ciò non è un problema per un attacker, che anzi potrebbe decidere di mandare in brick permanente l’ECU per assicurarsi che non invii più messaggi 66
  • 67. CAN MESSAGES ANALYSIS & INJECTION
  • 68. REMOTE ATTACK PARADIGM • Abbiamo completato i 4 step 68 1. Remote Compromise 2. Lateralization 3. CAN Message Analysis 4. CAN Message Injection
  • 69. IL PUNTO DELLA SITUAZIONE • Ottenuto accesso al chip OMAP del sistema UCONNECT tramite cellular • Possibilità di utilizzare i servizi forniti direttamente dal D-Bus • Possibilità di eseguire comandi tramite console remota • E’ ora possibile comunicare con il chip V850 per inviare messaggi CAN arbitrari 69
  • 70. RISULTATI SORPENDENTI 70 • Gli hacker sono riusciti a controllare liberamente funzioni quali tergicristalli, radio, chiusura porte, frecce, tachimetro… freni, sterzo. Vediamo qualche esempio…
  • 74. VEHICLE WORM 74 Siccome le vetture hanno la capacità di effettuare una scansione e trovare altri veicoli vulnerabili, e siccome l’attacco non richiede alcuna interazione da parte dell’utente, è teoricamente possibile creare un worm tale che un veicolo infetto possa ricercare ed infettare altri veicoli, alterandone poi il comportamento!
  • 75. SITUAZIONE MOLTO GRAVE 75 • Appare evidente che vulnerabilità del genere siano estremamente gravi, e che nelle mani sbagliate avrebbero potuto portare a incidenti e situazioni incredibilmente rischiose
  • 76. HACKER ‘WHITE HAT’ • Per fortuna, Miller eValasek sono hacker ‘white hat’, cioè lo scopo del loro lavoro è rendere consapevoli aziende e utenti delle vulnerabilità dei prodotti, affinché esse possano essere corrette 76
  • 77. GLI EFFETTI • FCA era inizialmente riluttante a riconoscere l’importanza delle scoperte risultate dal lavoro di Miller eValasek • Una volta che la storia apparve sui media, il titolo crollò in borsa e furono costretti ad agire, richiamando 1,4 milioni di vetture 77
  • 79. OBBIETTIVO RAGGIUNTO 79 • Attraverso la loro ricerca, Miller eValasek sono stati in grado di attirare l’attenzione del grande pubblico sulla sicurezza informatica in campo automotive e di costringere l’azienda FCA a risolvere le vulnerabilità • La vicenda approdò anche al Senato USA, che si propose di introdurre nuove norme per proteggere i guidatori da pericoli di questo tipo
  • 81. LA PATCH • I problemi sono stati risolti da Jeep e Sprint bloccando le porte e disabilitando il sistema di hotspot wifi su tutti i veicoli che non avevano ricevuto un aggiornamento con il fix 81
  • 82. CILIEGINA SULLATORTA… 82 • Una volta conclusasi la vicenda, il gruppo FCA iniziò a seguire ChrisValasek suTwitter!
  • 84. BIBLIOGRAFIA: 1. Video della conferenza in cui viene spiegato l’hack
 https://www.youtube.com/watch?v=OobLb1McxnI 2. Sito di C. Miller e C. Valasek dedicato al car hacking:
 http://illmatics.com/carhacking.html 3. Paper relativo all’hacking della jeep
 http://illmatics.com/Remote%20Car%20Hacking.pdf 4. Slide usate durante la conferenza DEF CON dai due hacker:
 https://www.syscan.org/slides/2015_EN_RemoteExploitationofanUnalteredPassengerVehicle_Charlie_Chris.pdf 5. Video che mostra possibili effetti fisici ottenibili tramite questo attacco:
 https://www.youtube.com/watch?v=MK0SrxBC1xs 6. Pagina WIKI dedicata a Charlie Miller:
 https://en.wikipedia.org/wiki/Charlie_Miller 7. Pagina WIKI dedicata a Chris Valasek:
 https://en.wikipedia.org/wiki/Chris_Valasek