01
CAN總線
1.1 CAN總線是什么?
CAN是控制器局域網(wǎng)絡(luò)(Controller Area Network, CAN)的簡(jiǎn)稱��,是ISO國(guó)際標(biāo)準(zhǔn)化的串行通信協(xié)議��,由以研發(fā)和生產(chǎn)汽車電子產(chǎn)品著稱的德國(guó)BOSCH公司開發(fā)���,并最終成為國(guó)際標(biāo)準(zhǔn)(ISO 11898)����。CAN總線是國(guó)際上應(yīng)用最廣泛的現(xiàn)場(chǎng)總線之一����。
1.2 為什么要使用CAN總線�?
在汽車產(chǎn)業(yè)中,出于對(duì)安全性���、舒適性��、方便性�����、低功耗��、低成本的要求�,各種各樣的電子控制系統(tǒng)被開發(fā)出來。由于這些系統(tǒng)之間通信所用的數(shù)據(jù)類型及對(duì)可靠性的要求不盡相同�����,由多條總線構(gòu)成的情況很多���,線束的數(shù)量也隨之增加�����。為適應(yīng)“減少線束的數(shù)量”“通過多個(gè)LAN�����,進(jìn)行大量數(shù)據(jù)的高速通信”的需要���,1986 年德國(guó)電氣商博世公司開發(fā)出面向汽車的CAN 通信協(xié)議。此后����,CAN 通過ISO 11898及ISO 11519進(jìn)行了標(biāo)準(zhǔn)化,在歐洲已是汽車網(wǎng)絡(luò)的標(biāo)準(zhǔn)協(xié)議�����。
圖1 汽車CAN總線(From gast-auto.com)
1.3 CAN總線的網(wǎng)絡(luò)安全威脅分析
CAN網(wǎng)絡(luò)不是一個(gè)封閉的內(nèi)部網(wǎng)絡(luò),可直接通過車內(nèi)的OBD診斷接口接入CAN總線���,也可通過智能手機(jī)�、云服務(wù)器等與T-Box建立連接間接接入CAN總線�����,這樣就給不法者入侵CAN網(wǎng)絡(luò)提供了可乘之機(jī)��。通過對(duì)CAN總線協(xié)議與網(wǎng)絡(luò)特性進(jìn)行簡(jiǎn)要的TARA(Threat Analysis and Risk Assessment)分析��,可將CAN網(wǎng)絡(luò)的威脅安全屬性總結(jié)為以下幾方面:
(1)機(jī)密性
CAN總線的通信方式是全局廣播�,因此只要接入CAN總線的任一節(jié)點(diǎn)����,就能輕易訪問CAN總線上所有流量信息。CAN數(shù)據(jù)以明文形式傳輸���,沒有任何消息驗(yàn)證碼��、數(shù)字簽名的保護(hù)���。
(2)可用性
CAN總線采用基于優(yōu)先級(jí)的仲裁方式���,即當(dāng)有多條消息同時(shí)需要發(fā)出時(shí),優(yōu)先級(jí)高的先行發(fā)出����,因此攻擊者可以利用這一點(diǎn),在某節(jié)點(diǎn)以高頻發(fā)送具有高優(yōu)先級(jí)的報(bào)文以阻塞其他節(jié)點(diǎn)的消息發(fā)出����,進(jìn)而導(dǎo)致ECUs無法正常工作。
(3)真實(shí)性
CAN報(bào)文數(shù)據(jù)內(nèi)容不包含發(fā)送方的任何信息�����,這使節(jié)點(diǎn)無法判斷消息的來源是其他合法節(jié)點(diǎn)還是攻擊者���,因此外部攻擊者可以偽裝成任一ECU節(jié)點(diǎn)發(fā)送惡意消息����。
(4)完整性
CAN協(xié)議本身雖然有CRC校驗(yàn)對(duì)傳輸過程進(jìn)行完整性驗(yàn)證�����,但不能防止數(shù)據(jù)被第三方惡意修改后重新注入。
02
滲透測(cè)試
2.1 什么是滲透測(cè)試
滲透測(cè)試是一種通過模擬惡意攻擊者的技術(shù)和方法��,挫敗目標(biāo)系統(tǒng)的安全控制措施���,取得訪問控制權(quán)�����,并發(fā)現(xiàn)具有業(yè)務(wù)影響后果安全隱患的一種安全測(cè)試與評(píng)估方式����。
2.2 為什么要對(duì)CAN總線做滲透測(cè)試����?
上文已經(jīng)對(duì)CAN總線的潛在風(fēng)險(xiǎn)與滲透測(cè)試做過簡(jiǎn)要的介紹,因此不難發(fā)現(xiàn)����,對(duì)于有著一定潛在風(fēng)險(xiǎn)的通信協(xié)議����,對(duì)其進(jìn)行滲透測(cè)試是不可或缺的。通過滲透測(cè)試�,我們能對(duì)CAN存在的漏洞等安全脆弱點(diǎn)進(jìn)行探測(cè)�����、利用����,進(jìn)一步得到目標(biāo)系統(tǒng)存在的安全隱患����,使目標(biāo)機(jī)構(gòu)和組織可以參照生成的滲透測(cè)試報(bào)告進(jìn)行維護(hù)。
2.3 滲透測(cè)試的方式
(1)模糊攻擊
模糊攻擊指的是通過生成一系列隨機(jī)�����、無效或非預(yù)期的報(bào)文后����,將這些報(bào)文發(fā)送至目標(biāo)總線上,以達(dá)到目標(biāo)總線出現(xiàn)非預(yù)期的行為的一種滲透測(cè)試方式��。模糊攻擊不需要了解攻擊對(duì)象本身的數(shù)據(jù)特點(diǎn)(如CAN報(bào)文的某一數(shù)據(jù)位所表示的意義)��,只需要構(gòu)建符合CAN報(bào)文格式的數(shù)據(jù)��,因此可以通過模糊攻擊挖掘系統(tǒng)的潛在漏洞�。
模糊攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做報(bào)文數(shù)據(jù)完整性校驗(yàn)的安全防護(hù)措施�����,若無安全防護(hù)措施��,則被測(cè)對(duì)象將可能產(chǎn)生非預(yù)期的行為��。模糊可以在不同層面上進(jìn)行�����,分別為:原始報(bào)文層�、系統(tǒng)信號(hào)層�、協(xié)議層。針對(duì)這三種層面�,均可使用隨機(jī)模糊、遍歷模糊或自定義的模糊策略進(jìn)行模糊攻擊�����。
例如將報(bào)文ID設(shè)置為完全隨機(jī)���、報(bào)文DLC設(shè)置為4���、報(bào)文Data設(shè)置為”1X 12 34 56”,其中X表示需要模糊的數(shù)據(jù)���,對(duì)CAN總線進(jìn)行模糊攻擊����,可以看到發(fā)送的模糊報(bào)文如圖2所示���。
圖2 模糊攻擊報(bào)文信息
(2)重放攻擊
重放攻擊指的是惡意地將有效報(bào)文發(fā)送至目標(biāo)總線上�����,使目標(biāo)系統(tǒng)重現(xiàn)該報(bào)文所控制的行為或?qū)?yīng)的狀態(tài)的一種滲透測(cè)試方式�����。重放攻擊的前提即是上文介紹的CAN總線利用全局廣播進(jìn)行通信�����,攻擊者利用這點(diǎn)能夠輕而易舉地獲取到CAN總線上所有的報(bào)文信息�。重放攻擊也不需要了解攻擊對(duì)象本身的數(shù)據(jù)特點(diǎn)或工作原理����,只需原封不動(dòng)地將報(bào)文發(fā)送即可達(dá)到攻擊目的�。重放攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做關(guān)于數(shù)據(jù)來源的真實(shí)性校驗(yàn)的安全防護(hù)措施���,若沒有則被測(cè)對(duì)象將會(huì)執(zhí)行惡意重放報(bào)文的控制行為����。
(3)DoS攻擊
DoS是Denial of Service的簡(jiǎn)稱�����,即拒絕服務(wù)����,指的是通過臨時(shí)或無限期干擾連接于網(wǎng)絡(luò)的服務(wù)。DoS攻擊基于上文介紹的CAN總線以報(bào)文優(yōu)先級(jí)進(jìn)行仲裁得以實(shí)現(xiàn)�����,對(duì)于CAN總線����,DoS攻擊可以理解為頻繁向目標(biāo)總線發(fā)送高優(yōu)先級(jí)報(bào)文來占滿目標(biāo)總線的資源,提高總線負(fù)載率���,使其他正常報(bào)文不可傳輸��。DoS攻擊需要了解CAN報(bào)文的優(yōu)先級(jí)仲裁機(jī)制��,即CAN報(bào)文的id位越小�,CAN報(bào)文的優(yōu)先級(jí)越高����;在具有相同id時(shí),數(shù)據(jù)幀的優(yōu)先級(jí)大于遙控幀的優(yōu)先級(jí)��、標(biāo)準(zhǔn)幀的優(yōu)先級(jí)大于拓展幀的優(yōu)先級(jí)���。DoS攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做可用性保護(hù)的安全防護(hù)措施��。
例如將報(bào)文ID設(shè)置為0x1���、報(bào)文DLC設(shè)置為4、報(bào)文Data設(shè)置為“12 34 56 78”�����、期望負(fù)載率設(shè)置為40%�����,對(duì)CAN總線進(jìn)行DoS攻擊,可以看到總線負(fù)載率如圖3所示�。
圖3 DoS攻擊時(shí)總線負(fù)載率圖
(4)UDS探測(cè)
UDS(Unified Diagnostic Services,統(tǒng)一的診斷服務(wù))診斷協(xié)議是在汽車電子ECU環(huán)境下的一種診斷通信協(xié)議�����。UDS報(bào)文與普通報(bào)文不同���,通常情況下在CAN總線中不會(huì)存在大量的UDS報(bào)文�����;當(dāng)用戶需要對(duì)ECU請(qǐng)求服務(wù)時(shí)��,才會(huì)向CAN總線發(fā)送UDS報(bào)文���,在接收到UDS報(bào)文后,ECU會(huì)以相應(yīng)的正響應(yīng)或負(fù)響應(yīng)進(jìn)行回復(fù)�,可以將這一過程理解為一種問答式的通信方式?;谶@種問答式的通信,用戶可以在CAN總線上實(shí)現(xiàn)基于ISO 14229協(xié)議中的許多服務(wù)�,如診斷會(huì)話控制服務(wù)��、通過ID讀數(shù)據(jù)服務(wù)�����,暴力破解安全進(jìn)入服務(wù)���,進(jìn)一步得到用戶或者廠家的私密信息�����。
UDS探測(cè)并非是一種攻擊方式���,而可以理解為一種為之后滲透測(cè)試攻擊所做的準(zhǔn)備工作����。通過UDS探測(cè)��,可以獲取到汽車所支持的服務(wù)類型等信息�,竊取用戶以及廠商的私密信息,也可采取進(jìn)一步的滲透測(cè)試����,如前文所介紹的模糊攻擊等�����。
例如可先探測(cè)目標(biāo)網(wǎng)絡(luò)診斷物理尋址請(qǐng)求ID與ECU的響應(yīng)ID��,為后續(xù)進(jìn)一步的滲透提供前置條件��。探測(cè)效果圖如4所示�����。
圖4 UDS探測(cè)效果圖
參考文獻(xiàn)
[1] 上??匕玻很囕d總線滲透測(cè)試分析,構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系https://baijiahao.baidu.com/s?id=1718375736217722507.
[2] Nilsson D K, Larson U E. Simulated attacks on CAN buses: vehicle virus[C]. Lasted International Conference on Communication Systems and Networks. ACTA Press,2008:66-72.
[3] Miller C, Valasek C. A survey of remote automotive attack surfaces[J]. Black hat USA, 2014.
[4] 孟旭. 車載CAN網(wǎng)絡(luò)信息安全研究與測(cè)試平臺(tái)設(shè)計(jì)[D]. 華中科技大學(xué),2020.
[5] 宋澤峰. 面向CAN總線的車內(nèi)網(wǎng)絡(luò)滲透測(cè)試研究與實(shí)現(xiàn)[D]. 電子科技大學(xué),2018.
