Miliony aut trzeba zamykać na kłódkę. Elektroniczne zabezpieczenia złamane sprzętem za 40 dolarów

Kryptosystemy używane w latach 90 zeszłego stulecia już dawnopowinny zostać odesłane do muzeów. Po części tak się stało,przynajmniej w branży komputerowej. Gorzej jest z telekomunikacją,gdzie wciąż używa się bezwartościowych szyfrów dozabezpieczenia np. rozmów telefonicznych w sieci GSM. A jeszczegorzej jest w branży motoryzacyjnej. Zabezpieczenia, które wydawałysię kiedyś nie do złamania, dziś można pokonać z wykorzystaniemsprzętu wartego kilkadziesiąt dolarów. Złodzieje samochodów mogązacierać ręce – praktycznie każde auto grupy Volkswagen (Audi,Seat, Sˇkoda, Volkswagen) wyprodukowane po 1995 roku może być ich.Przesiadka na modele innych marek też niewiele pomoże, ponieważniemal równocześnie odkryto słabość w zabezpieczeniach używanychw autach marek takich jak Alfa Romeo, Citroen, Fiat, Ford,Mitsubishi, Nissan, Opel czy Peugeot.

Dzisiaj, ostatniego dnia konferencji Usenix, podczas panelupoświęconego cyberfizycznym systemom, grupa badaczy z University ofBirmingham oraz firmy Kasper & Oswald GmbH, przedstawi wynikiswoich badań nad bezpieczeństwem pilotów do aut. Choć dooficjalnej prezentacji zostało jeszcze kilka godzin, już wiemy, żeto będzie katastrofa dla branży motoryzacyjnej – wystarczyzgłębić artykułpt. Lock It and Still Lose It – On the (In)Security ofAutomotive Remote Keyless Entry Systems, który znalazł się jużw archiwum materiałów konferencyjnych.

W możliwości autorów nie można wątpić. Stojący na czelezespołu badaczy Flavio Garcia już w 2013 roku odkrył, jak obejśćimmobilizery w autach korzystających z systemu Megamos Crypto, wszczególności autach Volkswagena. Przerażony odkryciem niemieckikoncern przez dwa lata próbował nie dopuścić do publikacji –zobaczyliśmyją dopiero w 2015 roku (notabene ciekawie sobie wyobrazić minęprawników Volkswagena, gdy praca ta, wypełniona po brzegi algebrą,wylądowała na ich biurkach).

Teraz Garcia z kolegami pokazuje, że nie tylko można odpalićauta bez kluczyków, ale też wejść do nich bez kluczyków.Tegoroczna praca przedstawia właściwie dwa ataki. W obuwykorzystuje się tanią elektronikę, płytki Arduino i układyradiowe, ale można to wszystko zrobić też za pomocąoprogramowania, wykorzystując software’owo zdefiniowane radiopodłączone do laptopa. W ten czy inny sposób dostajemy w efekcie wpełni programowalny odpowiednik pilota do auta.

Zacznijmy od pierwszego ataku, wymierzonego w schematy komunikacjipilotów z autem opracowane przez Volkswagena. Badacze wykorzystującauta swoje i swoich przyjaciół zgromadzili sporą bazę sygnałówużywanych w takiej komunikacji. Zgadnięcie ich modulacji ikodowania okazało się proste – przeważało kluczowanie amplitudy(ASK), czasemzdarzało się kluczowanie częstotliwości (FSK), same dane byłykodowane za pomocą Manchesteralub szerokością impulsów. Szybkość takiej komunikacji nieoszałamia, najstarsze piloty osiągały niecały 1 Kb/s, nowsze do20 kB/s. W przekazywanym pakiecie znajduje się nagłówek zunikatowym identyfikatorem, inkrementowany licznik, ładunek mówiącyo naciśniętym przycisku pilota, a do tego jakiś mechanizmuwierzytelnienia (najczęściej symetryczne szyfrowanie ładunku,albo obliczanie kodów MAC). Oczywiście o tym szyfrowaniu nic niebyło wiadomo, takie sobie security through obscurity.

W trakcie analiz wykryto conajmniej siedem takich schematów, z czego wybrano cztery, obejmującerazem największą grupę aut. Są tu modele produkowane od 1995 rokudo dzisiaj. Te pozostałe obejmują niektóre modele Audi 2005-2011,VW Passatów od 2005 roku, oraz nowe Golfy 7 – i mogą być podobnedo tamtych przebadanych.

Po zgromadzeniu bazy sygnałówbadacze pozyskali przeróżne piloty do aut i wzięli się za analizęich elektroniki. Odwrotna inżynieria nie była prosta, tym bardziejże badacze nie posiadali odpowiedniego sprzętu mikroskopowego, aleokazało się, że można uzyskać zrzuty ich firmware za pomocąstandardowych narzędzi deweloperskich dla procesorówwykorzystywanych w motoryzacji. To już bowiem nie proste 4- czy8-bitowe procesorki stosowane zwykle w pilotach, ale 16- i 32-bitowekontrolery z udokumentowanymi interfejsami.

W opublikowanej pracy znajdzieciedokładną analizę szyfrowania używanego w tych czterechschematach. Jedyne co badacze zachowali dla siebie, by nie ułatwiaćpracy przestępcom, to niektóre szczegóły metod odwrotnejinżynierii, numery analizowanych mikrokontrolerów, oraz conajważniejsze – same klucze kryptograficzne. Tak, dobrzeprzeczytaliście. Volkswagen umieścił w swoich schematach czteryklucze. Ich odczytanie daje dostęp do jakichś stu milionów aut.Jak później zauważają badacze, dopiero najnowszy kryptosystemużyty przez Volkswagena w Golfach 7 używa unikatowych kluczy.

Z takim kluczem atak jesttrywialny. Napastnik musi znaleźć się w promieniu około 100metrów od ofiary, przechwycić sygnał pilota, gdy np. ofiarawychodzi i zdalnie zamyka swoje auto, a następnie dysponującprzejętym unikatowym identyfikatorem i wydobytym z pilota kluczemwygenerować sygnał z poleceniem otwarcia drzwi o właściwym, ojeden większym liczniku. Nie trzeba kraść auta od razu poprzejęciu sygnału – mając w ręku programowalnego klona pilotamożna dowolnie ustawiać licznik, tak że kilka dni później też„zaskoczy”, niezależnie od tego, ile razy właściciel zamykałi otwierał drzwi.

Drugi z ataków, jaki zostaniezaprezentowany na Useniksie, dotyczy kryptosystemu HiTag2,stosowanego wciąż w dziesiątkach milionów aut różnych marek,mimo że ma on już 18 lat. Tutaj nie trzeba było wydobywać żadnychkodów z pilotów. Było jeszcze prościej. Hitag 2 okazuje siębowiem być żartem, a nie porządnym kryptosystemem. Już wcześniejwiedziano, jak go łamać – najlepszy znany atak wymagał dotądprzechwycenia 136 prób uwierzytelnienia. W realnych warunkach byłoto jednak praktycznie nie do zastosowania – jak przechwycićsekwencję 136 sygnałów? Osiągnięciem badaczy jest tu opracowanienowego ataku, któremu wystarczy znacznie mniej przechwyconychsygnałów-śladów (od 4 do 8 – i to nie pod rząd, mogą byćzebrane w dowolnym czasie) i około minuty pracy procesora na typowymlaptopie.

Schemat ataku opisany w jegoalgebraicznych szczegółach znajdziecie oczywiście w pracy, wskrócie można powiedzieć, że zastosowany tu szyfr wykorzystujerejestr przesuwający z liniowym sprzężeniem zwrotnym (LFSR),w którym liniowość przełamuje się jakąś specjalną funkcjąfiltrującą. Niezbyt skutecznie: jak badacze pokazali, dysponującodpowiednią liczbą śladów i manipulując okienkiem przesunięciamogą poprawnie zgadnąć klucz. Do tego pozostaje jeszcze trafićodpowiednią wartość licznika – łącznie od przechwyceniasygnałów śladów do otworzenia auta mija nie więcej niż 10minut. Jak pisze sam Garcia – dzisiaj żaden dobrykryptograf nie zaproponowałby takiego systemu.

Wiele wskazuje na to, żewłamania i kradzieże z wykorzystaniem podobnych technik już sięodbywają w USA. Policja w Kalifornii dysponuje nagraniami wideo, naktórych widać, jak nocą mężczyźni w przydużej odzieży, z wykorzystaniemtajemniczych elektronicznych gadżetów, otwierają samochody od strony pasażera iokradają je z zawartości.

Co możemy wam dzisiaj poradzić?Powiedzmy sobie szczerze: żaden producent auta nie dostarczy Wamłatek do auta. To po prostu fizycznie niemożliwe. Po prostuzałóżcie, że auto nie jest sejfem, że może być okradzione –a także ukradzione, pomimo tych wszystkich immobilizerów. Niezostawiajcie cennych przedmiotów w samochodach.

Jeśli zaś to tylko możliwe,pomyślcie o zabezpieczeniu mechanicznym. Specjaliści od elektronikirzadko kiedy są jednocześnie specjalistami od mechaniki. Dobrablokada skrzyni biegów z niewyciąganym trzpieniem, wykorzystującazamki dyskowe, powinna kosztować maksymalnie tysiąc złotych (wzależności od modelu auta). Jej montaż w certyfikowanym warsztacieto kolejne kilkaset złotych. Niewiele, w porównaniu do ceny nowegoauta.