Чтобы дистанционно затормозить автомобиль, движущийся со скоростью более 100 километров в час, американскому исследователю в области безопасности Стивену Чековею было достаточно использовать установленный в автомобиле программный аудиоплеер и подключенный к нему смартфон. «Если бы программное обеспечение не было подключено к внутренней сети, так называемой CAN-шине этого седана среднего класса, тогда Checkoway пришлось бы работать усерднее», — объясняет Стефан Нюрнбергер, возглавляющий лабораторию интеллектуальных систем в German Research. Центр искусственного интеллекта (DFKI).Шина CAN была разработана в 1983 году автомобильной промышленностью, чтобы избежать установки метровых канатных дорог в автомобилях. Преимущество шинной структуры заключается в том, что используется только одна линия передачи, которая связывает все устройства и позволяет им связываться друг с другом.
Шина CAN соединяет не только датчики, например, для управления скоростью, но и исполнительные механизмы, такие как серводвигатели. Устройства рулевого управления, такие как ассистент парковки, также отправляют свои команды через автобус. «С точки зрения ИТ-безопасности, однако, это таит в себе существенный недостаток: как только одно из устройств на шине контролируется злоумышленником, оно может маскироваться под другое устройство и подделывать сообщения», — объясняет Нюрнбергер. .Поэтому Нюрнбергер работает вместе с Кристианом Россоу, профессором ИТ-безопасности в Саарландском университете, чтобы гарантировать, что такие компоненты, как ассистент экстренного торможения на шине CAN, не должны сомневаться в подлинности отправителя или правдивости отправленной информации. Программное обеспечение, которое они разработали для этой цели, «vatiCAN», выполняет это, поскольку только действительный отправитель может прикреплять требуемые коды аутентификации к своим сообщениям.Это делает возможной следующую проверку безопасности: ассистент экстренного торможения, как и прежде, посылает команду на тормоза.
После этого он вычисляет с помощью секретного ключа код аутентификации, который действителен только для одного пакета данных и также отправляется на тормоза. Между тем, тормоза сами вычислили код аутентификации и сравнили его с кодом, отправленным по шине CAN. Если коды идентичны, тормоза могут быть уверены, что сообщение не было обработано, и выполнить заказ. «Тормоза косвенно знают, что сообщение могло поступить только от ассистента торможения, потому что в противном случае ассистент не смог бы вычислить правильный код», — говорит Нюрнбергер.
Исследователи борются с другими атаками, например с записью и повторной отправкой сообщений (атаками повторного воспроизведения), добавляя к сообщению временную метку. Если оно не актуально, значит, с сообщением что-то не так. «С дополнительными вычислениями передача сообщения занимает всего две миллисекунды», — сообщает Нюрнбергер, который тестировал vatiCAN на VW Passat.
Это также приемлемо для контрольных процедур, когда требуется немедленная реакция. «Когда пакеты данных задерживаются на две миллисекунды, то при скорости 130 километров в час тормозной путь увеличивается на семь сантиметров», — говорит Нюрнбергер. Исследователи уже представили свой метод на международной конференции в Санта-Барбаре, штат Калифорния.
Их программное обеспечение можно свободно использовать и доступно для загрузки в Интернете.