作者 |肖博陽(yáng)上海控安可信軟件創(chuàng)新研究院研發(fā)工程師

來(lái)源 |鑒源實(shí)驗(yàn)室

01 CAN總線(xiàn)

1.1 CAN總線(xiàn)是什么？

CAN是控制器局域網(wǎng)絡(luò)(Controller Area Network, CAN)的簡(jiǎn)稱(chēng)，是ISO國(guó)際標(biāo)準(zhǔn)化的串行通信協(xié)議，由以研發(fā)和生產(chǎn)汽車(chē)電子產(chǎn)品著稱(chēng)的德國(guó)BOSCH公司開(kāi)發(fā)，并最終成為國(guó)際標(biāo)準(zhǔn)（ISO 11898）。CAN總線(xiàn)是國(guó)際上應(yīng)用最廣泛的現(xiàn)場(chǎng)總線(xiàn)之一。

1.2 為什么要使用CAN總線(xiàn)？

在汽車(chē)產(chǎn)業(yè)中，出于對(duì)安全性、舒適性、方便性、低功耗、低成本的要求，各種各樣的電子控制系統(tǒng)被開(kāi)發(fā)出來(lái)。由于這些系統(tǒng)之間通信所用的數(shù)據(jù)類(lèi)型及對(duì)可靠性的要求不盡相同，由多條總線(xiàn)構(gòu)成的情況很多，線(xiàn)束的數(shù)量也隨之增加。為適應(yīng)“減少線(xiàn)束的數(shù)量”“通過(guò)多個(gè)LAN，進(jìn)行大量數(shù)據(jù)的高速通信”的需要，1986 年德國(guó)電氣商博世公司開(kāi)發(fā)出面向汽車(chē)的CAN 通信協(xié)議。此后，CAN 通過(guò)ISO 11898及ISO 11519進(jìn)行了標(biāo)準(zhǔn)化，在歐洲已是汽車(chē)網(wǎng)絡(luò)的標(biāo)準(zhǔn)協(xié)議。

圖1汽車(chē)CAN總線(xiàn)（From gast-auto.com）

1.3CAN總線(xiàn)的網(wǎng)絡(luò)安全威脅分析

CAN網(wǎng)絡(luò)不是一個(gè)封閉的內(nèi)部網(wǎng)絡(luò)，可直接通過(guò)車(chē)內(nèi)的OBD診斷接口接入CAN總線(xiàn)，也可通過(guò)智能手機(jī)、云服務(wù)器等與T-Box建立連接間接接入CAN總線(xiàn)，這樣就給不法者入侵CAN網(wǎng)絡(luò)提供了可乘之機(jī)。通過(guò)對(duì)CAN總線(xiàn)協(xié)議與網(wǎng)絡(luò)特性進(jìn)行簡(jiǎn)要的TARA（Threat Analysis and Risk Assessment）分析，可將CAN網(wǎng)絡(luò)的威脅安全屬性總結(jié)為以下幾方面：

（1）機(jī)密性

CAN總線(xiàn)的通信方式是全局廣播，因此只要接入CAN總線(xiàn)的任一節(jié)點(diǎn)，就能輕易訪問(wèn)CAN總線(xiàn)上所有流量信息。CAN數(shù)據(jù)以明文形式傳輸，沒(méi)有任何消息驗(yàn)證碼、數(shù)字簽名的保護(hù)。

（2）可用性

CAN總線(xiàn)采用基于優(yōu)先級(jí)的仲裁方式，即當(dāng)有多條消息同時(shí)需要發(fā)出時(shí)，優(yōu)先級(jí)高的先行發(fā)出，因此攻擊者可以利用這一點(diǎn)，在某節(jié)點(diǎn)以高頻發(fā)送具有高優(yōu)先級(jí)的報(bào)文以阻塞其他節(jié)點(diǎn)的消息發(fā)出，進(jìn)而導(dǎo)致ECUs無(wú)法正常工作。

（3）真實(shí)性

CAN報(bào)文數(shù)據(jù)內(nèi)容不包含發(fā)送方的任何信息，這使節(jié)點(diǎn)無(wú)法判斷消息的來(lái)源是其他合法節(jié)點(diǎn)還是攻擊者，因此外部攻擊者可以偽裝成任一ECU節(jié)點(diǎn)發(fā)送惡意消息。

（4）完整性

CAN協(xié)議本身雖然有CRC校驗(yàn)對(duì)傳輸過(guò)程進(jìn)行完整性驗(yàn)證，但不能防止數(shù)據(jù)被第三方惡意修改后重新注入。

02 滲透測(cè)試

2.1 什么是滲透測(cè)試

滲透測(cè)試是一種通過(guò)模擬惡意攻擊者的技術(shù)和方法，挫敗目標(biāo)系統(tǒng)的安全控制措施，取得訪問(wèn)控制權(quán)，并發(fā)現(xiàn)具有業(yè)務(wù)影響后果安全隱患的一種安全測(cè)試與評(píng)估方式。

2.2 為什么要對(duì)CAN總線(xiàn)做滲透測(cè)試？

上文已經(jīng)對(duì)CAN總線(xiàn)的潛在風(fēng)險(xiǎn)與滲透測(cè)試做過(guò)簡(jiǎn)要的介紹，因此不難發(fā)現(xiàn)，對(duì)于有著一定潛在風(fēng)險(xiǎn)的通信協(xié)議，對(duì)其進(jìn)行滲透測(cè)試是不可或缺的。通過(guò)滲透測(cè)試，我們能對(duì)CAN存在的漏洞等安全脆弱點(diǎn)進(jìn)行探測(cè)、利用，進(jìn)一步得到目標(biāo)系統(tǒng)存在的安全隱患，使目標(biāo)機(jī)構(gòu)和組織可以參照生成的滲透測(cè)試報(bào)告進(jìn)行維護(hù)。

2.3滲透測(cè)試的方式

（1）模糊攻擊

模糊攻擊指的是通過(guò)生成一系列隨機(jī)、無(wú)效或非預(yù)期的報(bào)文后，將這些報(bào)文發(fā)送至目標(biāo)總線(xiàn)上，以達(dá)到目標(biāo)總線(xiàn)出現(xiàn)非預(yù)期的行為的一種滲透測(cè)試方式。模糊攻擊不需要了解攻擊對(duì)象本身的數(shù)據(jù)特點(diǎn)（如CAN報(bào)文的某一數(shù)據(jù)位所表示的意義），只需要構(gòu)建符合CAN報(bào)文格式的數(shù)據(jù)，因此可以通過(guò)模糊攻擊挖掘系統(tǒng)的潛在漏洞。

模糊攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做報(bào)文數(shù)據(jù)完整性校驗(yàn)的安全防護(hù)措施，若無(wú)安全防護(hù)措施，則被測(cè)對(duì)象將可能產(chǎn)生非預(yù)期的行為。模糊可以在不同層面上進(jìn)行，分別為：原始報(bào)文層、系統(tǒng)信號(hào)層、協(xié)議層。針對(duì)這三種層面，均可使用隨機(jī)模糊、遍歷模糊或自定義的模糊策略進(jìn)行模糊攻擊。

例如將報(bào)文ID設(shè)置為完全隨機(jī)、報(bào)文DLC設(shè)置為4、報(bào)文Data設(shè)置為”1X 12 34 56”，其中X表示需要模糊的數(shù)據(jù)，對(duì)CAN總線(xiàn)進(jìn)行模糊攻擊，可以看到發(fā)送的模糊報(bào)文如圖2所示。

圖2模糊攻擊報(bào)文信息

（2）重放攻擊

重放攻擊指的是惡意地將有效報(bào)文發(fā)送至目標(biāo)總線(xiàn)上，使目標(biāo)系統(tǒng)重現(xiàn)該報(bào)文所控制的行為或?qū)?yīng)的狀態(tài)的一種滲透測(cè)試方式。重放攻擊的前提即是上文介紹的CAN總線(xiàn)利用全局廣播進(jìn)行通信，攻擊者利用這點(diǎn)能夠輕而易舉地獲取到CAN總線(xiàn)上所有的報(bào)文信息。重放攻擊也不需要了解攻擊對(duì)象本身的數(shù)據(jù)特點(diǎn)或工作原理，只需原封不動(dòng)地將報(bào)文發(fā)送即可達(dá)到攻擊目的。重放攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做關(guān)于數(shù)據(jù)來(lái)源的真實(shí)性校驗(yàn)的安全防護(hù)措施，若沒(méi)有則被測(cè)對(duì)象將會(huì)執(zhí)行惡意重放報(bào)文的控制行為。

（3）DoS攻擊

DoS是Denial of Service的簡(jiǎn)稱(chēng)，即拒絕服務(wù)，指的是通過(guò)臨時(shí)或無(wú)限期干擾連接于網(wǎng)絡(luò)的服務(wù)。DoS攻擊基于上文介紹的CAN總線(xiàn)以報(bào)文優(yōu)先級(jí)進(jìn)行仲裁得以實(shí)現(xiàn)，對(duì)于CAN總線(xiàn)，DoS攻擊可以理解為頻繁向目標(biāo)總線(xiàn)發(fā)送高優(yōu)先級(jí)報(bào)文來(lái)占滿(mǎn)目標(biāo)總線(xiàn)的資源，提高總線(xiàn)負(fù)載率，使其他正常報(bào)文不可傳輸。DoS攻擊需要了解CAN報(bào)文的優(yōu)先級(jí)仲裁機(jī)制，即CAN報(bào)文的id位越小，CAN報(bào)文的優(yōu)先級(jí)越高；在具有相同id時(shí)，數(shù)據(jù)幀的優(yōu)先級(jí)大于遙控幀的優(yōu)先級(jí)、標(biāo)準(zhǔn)幀的優(yōu)先級(jí)大于拓展幀的優(yōu)先級(jí)。DoS攻擊可以測(cè)試當(dāng)前被測(cè)對(duì)象是否有做可用性保護(hù)的安全防護(hù)措施。

例如將報(bào)文ID設(shè)置為0x1、報(bào)文DLC設(shè)置為4、報(bào)文Data設(shè)置為“12 34 56 78”、期望負(fù)載率設(shè)置為40%，對(duì)CAN總線(xiàn)進(jìn)行DoS攻擊，可以看到總線(xiàn)負(fù)載率如圖3所示。

圖3 DoS攻擊時(shí)總線(xiàn)負(fù)載率圖

（4）UDS探測(cè)

UDS（Unified Diagnostic Services，統(tǒng)一的診斷服務(wù)）診斷協(xié)議是在汽車(chē)電子ECU環(huán)境下的一種診斷通信協(xié)議。UDS報(bào)文與普通報(bào)文不同，通常情況下在CAN總線(xiàn)中不會(huì)存在大量的UDS報(bào)文；當(dāng)用戶(hù)需要對(duì)ECU請(qǐng)求服務(wù)時(shí)，才會(huì)向CAN總線(xiàn)發(fā)送UDS報(bào)文，在接收到UDS報(bào)文后，ECU會(huì)以相應(yīng)的正響應(yīng)或負(fù)響應(yīng)進(jìn)行回復(fù)，可以將這一過(guò)程理解為一種問(wèn)答式的通信方式。基于這種問(wèn)答式的通信，用戶(hù)可以在CAN總線(xiàn)上實(shí)現(xiàn)基于ISO 14229協(xié)議中的許多服務(wù)，如診斷會(huì)話(huà)控制服務(wù)、通過(guò)ID讀數(shù)據(jù)服務(wù)，暴力破解安全進(jìn)入服務(wù)，進(jìn)一步得到用戶(hù)或者廠家的私密信息。

UDS探測(cè)并非是一種攻擊方式，而可以理解為一種為之后滲透測(cè)試攻擊所做的準(zhǔn)備工作。通過(guò)UDS探測(cè)，可以獲取到汽車(chē)所支持的服務(wù)類(lèi)型等信息，竊取用戶(hù)以及廠商的私密信息，也可采取進(jìn)一步的滲透測(cè)試，如前文所介紹的模糊攻擊等。

例如可先探測(cè)目標(biāo)網(wǎng)絡(luò)診斷物理尋址請(qǐng)求ID與ECU的響應(yīng)ID，為后續(xù)進(jìn)一步的滲透提供前置條件。探測(cè)效果圖如4所示。

圖4 UDS探測(cè)效果圖

03 總結(jié)

隨著汽車(chē)智能化、網(wǎng)聯(lián)化的高速發(fā)展，對(duì)于汽車(chē)通訊網(wǎng)絡(luò)的安全威脅越來(lái)越多，而CAN總線(xiàn)是目前汽車(chē)使用最廣泛的總線(xiàn)之一，因此對(duì)汽車(chē)CAN總線(xiàn)網(wǎng)絡(luò)安全威脅進(jìn)行滲透測(cè)試、挖掘潛在漏洞至關(guān)重要。

審核編輯：湯梓紅