Black Hat USA 2025: „evilDoggie”, argentyńskie urządzenie testujące bezpieczeństwo nowoczesnych samochodów

Dwóch argentyńskich hakerów zaprezentowało „evilDoggie”, urządzenie do testowania bezpieczeństwa systemów komputerowych w samochodach, w czwartek, drugiego dnia konferencji Black Hat , jednej z największych na świecie konferencji poświęconych cyberbezpieczeństwu. Octavio Gianatempo i Gastón Aznarez z Faraday Security zademonstrowali, jak za pomocą tego narzędzia identyfikować luki w zabezpieczeniach w niektórych markach samochodów.

Nazwa narzędzia jest grą słów nawiązującą do protokołu „ CAN ” (skrót od Controller Area Network), który jest wewnętrznym standardem komunikacyjnym stosowanym w nowoczesnych samochodach w celu umożliwienia różnym wewnętrznym komputerom (na przykład tym, które kontrolują silnik lub hamulce) komunikowania się ze sobą.

Podczas prezentacji w „Arsenalu” konferencji, przestrzeni, w której prezentowane są programy i różnorodne urządzenia, naukowcy zademonstrowali, jak korzystać z tego narzędzia, które zawiera nawet przełącznik umożliwiający zmianę wersji monitorującej (Doggie) na „złą” wersję, służącą do ataków na ten protokół. Przeprowadzili również warsztaty, podczas których uczestnicy mogli nauczyć się, jak z niego korzystać.

Badania wpisują się w nurt „hakowania samochodów”, jednego z najpopularniejszych tematów konferencji poświęconych cyberbezpieczeństwu. „Hakowanie samochodów koncentruje się na istniejącej wiedzy z zakresu cyberbezpieczeństwa, ale odnosi ją do sieci używanych przez samochody. W ostatnich latach pojazdy stały się „mądrzejsze” i współistnieją z systemami elektronicznymi. Parafrazując Elona Muska, są „komputerami na kołach” – wyjaśnił Faraday Security w rozmowie z tym portalem.

„Wszystkie te sieci są zastrzeżone; nie zostały zaprojektowane z myślą o przejrzystości. Właśnie tu pojawia się rola ekspertów ds. bezpieczeństwa: zrozumienie, jak działają te technologie i jakie zagrożenia stwarzają ” – dodali.

Badania firmy rozpoczęły się od eksploracji bezpieczeństwa motoryzacyjnego . „Kiedy rozpoczynaliśmy badania, zdaliśmy sobie sprawę, że będziemy potrzebować narzędzia do komunikacji z komputerami samochodu. Okazało się jednak, że w Argentynie nie ma dobrego, otwartego rozwiązania. Gastón wpadł na pomysł opracowania tego narzędzia z modułową konstrukcją oprogramowania sprzętowego i oprogramowania układowego, dzięki czemu każdy mógłby zbudować własne narzędzie z dowolnych dostępnych komponentów, a nawet opracować inne wersje” – powiedział Octavio Gianatiempo, badacz z firmy, w wywiadzie dla Clarín .

Gastón Aznarez wyjaśnia, jak projekt ewoluował w kierunku bezpieczeństwa ofensywnego , gałęzi cyberbezpieczeństwa poświęconej atakowaniu systemów w celu znalezienia luk w zabezpieczeniach i ich ostatecznego usunięcia. „Pierwszym narzędziem był Doggie, ale pomysł się rozwinął i dodaliśmy funkcje ofensywne, co ostatecznie dało początek evilDoggie, skoncentrowanemu na badaniach nad możliwością przeprowadzania zaawansowanych ataków na komunikację CAN zarówno na poziomie protokołu, jak i fizycznym, ingerując w obwody na poziomie elektrycznym” – wyjaśnia.

„Funkcje Doggie i ataki evilDoggie mogą być wykorzystywane do zakłócania komunikacji między elektronicznymi jednostkami sterującymi (ECU) w samochodzie i tworzenia nieoczekiwanych sytuacji. Obecnie samochody wyposażone są w wiele komputerów, a niemal wszystkie ich funkcje są przez nie kontrolowane za pośrednictwem komunikacji CAN. Chociaż współczesne samochody wdrażają środki bezpieczeństwa do tej komunikacji, znane są przypadki, w których tego typu ataki mogą mieć realny wpływ ” – dodał haker.

„evilDoggie” nie jest pierwszym urządzeniem, które może testować bezpieczeństwo samochodu. W rzeczywistości „ Flipper Zero ”, znany jako „szwajcarski scyzoryk hakerów”, pojawił się w kilku viralowych filmach pokazujących, jak otworzyć drzwi samochodu bez kluczyka. Dzieje się tak, ponieważ urządzenie obsługuje protokoły bezprzewodowe, które różnią się od tych, na które poluje evilDoggie.

„Komunikacja między częściami samochodu, na przykład między silnikiem a kołami, odbywa się za pomocą kabli. Dlatego, aby korzystać z evilDoggie, trzeba najpierw uzyskać dostęp do samochodu: celem jest sprawdzenie, po wejściu do środka, jak bezpieczny jest ten protokół i jak można go ulepszyć ” – mówi Faraday.

To argentyńskie rozwiązanie oferuje wersję open-source (cały proces konstrukcji i programowania jest dostępny do wglądu) oraz niski poziom działania, czyli bezpośrednią interakcję ze sprzętem lub protokołami komunikacyjnymi samochodu. Zamiast korzystać z gotowych programów lub interfejsów, evilDoggie umożliwia dostęp do warstw bliższych chipom wbudowanym w nowoczesne samochody, takich jak protokół CAN.

„Cyberbezpieczeństwo nie ogranicza się do komputerów i serwerów, ale dotyczy również technologii, z których korzystamy na co dzień: samochody nie są tu wyjątkiem ” – wyjaśnia firma.

Clarín zapytał o modele samochodów, które zostały zaatakowane podczas testów, ale Faraday odmówił podania szczegółów.

Wystawa w Arsenale wzbudziła zainteresowanie niejednego zwiedzającego, który chciał nabyć narzędzie.

Również w Arsenale Federico Pacheco i Diego Staino, badacze z argentyńskiej firmy BASE4, zaprezentowali narzędzie z zakresu tzw. „cyberoszustwa”, czyli wirtualnych pułapek , które analitycy pozostawiają w sieciach, aby oszukać hakerów chcących włamać się do systemu i wydobyć z niego informacje.

Strategie dezinformacji są powszechne w analizie zagrożeń. To dość dobrze zbadany obszar w dziedzinie bezpieczeństwa ofensywnego. Podczas konferencji Ekoparty w 2024 roku lokalna badaczka Sheila Berta zademonstrowała, jak w systemach publicznych wykorzystano specyficzny typ systemu zwanego „ honeypot ”.

„Problem z tradycyjnymi pułapkami typu honeypot polega na tym, że bardziej wyrafinowani atakujący potrafią je czasami wykryć, ponieważ wyglądają na zbyt czyste lub puste albo są nieaktywne. BUDA to narzędzie, które sprawia, że te pułapki są o wiele bardziej wiarygodne” – powiedział Pacheco. BUDA to skrót od Behavioral User-driven Deceptive Activities Framework (Behawioralny, sterowany przez użytkownika, dezorientujący framework działań).

„W tym celu generuje fikcyjne „profile użytkowników” oparte na normalnym zachowaniu sieci i samych systemów. Profile te wykonują następnie czynności, które wykonywałby normalny pracownik, takie jak logowanie się do systemu , otwieranie dokumentów, wysyłanie e-maili czy przeglądanie stron internetowych” – kontynuuje specjalista.

Podczas wystąpienia w Arsenale badacze podkreślili, jak ważne jest stworzenie spójnej „narracji” w przypadku oszustw, aby atakujący nie zdawali sobie sprawy, że mają do czynienia z pułapką typu honeypot .

„Narzędzie umożliwia orkiestrację profili, tak aby działały autonomicznie, zgodnie z typowymi wzorcami zachowań. Symulując te zachowania, pułapka staje się znacznie bardziej realistyczna, a atakujący mają więcej powodów, by sądzić, że mają do czynienia z systemem z legalnymi użytkownikami, co marnuje czas i utrudnia odróżnienie prawdziwych danych od fałszywych ” – dodał Diego Staino.

„Ponadto, ponieważ fikcyjni użytkownicy mogą działać w oparciu o prawdziwe lub fałszywe systemy i zasoby, narzędzie pozwala symulować zachowanie przypominające zachowanie atakującego lub osoby o złych zamiarach, co pozwala na testowanie środków obronnych sieci i systemów” – podsumowuje specjalista.

Wyniki badań zaprezentowano w tym tygodniu w formie białej księgi na Argentyńskiej Konferencji Informatyki w Badaniach Operacyjnych, przed konsultacją ze środowiskiem akademickim.

Kolejnym ważnym obszarem Black Hat są sesje szkoleniowe, które rozpoczynają się na kilka dni przed prelekcjami i konferencjami. Nie są one otwarte dla szerokiej publiczności, lecz stanowią intensywne zajęcia dla różnych specjalistów i pracowników branży.

Jeden z nich, prowadzony przez Sebastiána Garcíę i Verónicę Valeros, argentyńskich naukowców z Politechniki Czeskiej w Pradze (CTU), był „zaawansowanym programem szkoleniowym, który miał na celu nauczenie , jak wykrywać ruch złośliwego oprogramowania (wirusów) i odróżniać go od legalnego ruchu w sytuacjach krytycznych” – wyjaśnili.

„To były dwa bardzo praktyczne i intensywne dni z atakami z życia wziętymi. Wiele ćwiczeń koncentrowało się na nauce ukrytego złośliwego oprogramowania, botnetów, oprogramowania szpiegującego, pracy z dużymi wolumenami danych oraz wykorzystaniu sztucznej inteligencji do usprawnienia wykrywania zagrożeń” – dodali.

Black Hat to jedna z najbardziej wpływowych konferencji poświęconych cyberbezpieczeństwu na świecie. Została założona w 1997 roku przez Jeffa Mossa, znanego w świecie hakerów jako „The Dark Tangent”. Chociaż główna konferencja odbywa się w Stanach Zjednoczonych, ma również edycje w Azji i Europie.

Podczas otwarcia edycji 2025, Moss wygłosił przemówienie polityczne, a Mikko Hypponen, znany fiński haker , ogłosił przejście na emeryturę z branży hakerskiej. Drugiego dnia, była dziennikarka „New York Timesa”, Nicole Perlroth, wezwała do refleksji nad wyzwaniami, jakie stawia sztuczna inteligencja w kontekście zagrożeń.

„ Za nami miesiąc miodowy z AI. Osiągamy niesamowity poziom wydajności. Myślę, że w kwestii tego, czy AI będzie faworyzować obronę, czy atak, wstępne sygnały sugerują, że to atak będzie miał przewagę. Ale wciąż możemy to zmienić. Mamy wąskie okno, ale szybko się zamyka, a gdy AI zostanie wbudowana w naszą infrastrukturę, w nasz proces decyzyjny i w naszą obronę, koszt porażki tylko wzrośnie . Bezpieczeństwo w fazie projektowania nigdy nie było bardziej pilne ” – powiedział Perlroth.

Konferencję gromadzą eksperci z całego świata, aby omówić luki w zabezpieczeniach, globalne zagrożenia, techniki obronne i przełomowe odkrycia w dziedzinie cyberbezpieczeństwa. W przeciwieństwie do DEF CON, który powstał w 1993 roku i ma bardziej nieformalny charakter, Black Hat jest skierowany do świata korporacji.

Konferencja jest nie tylko prezentacją świata cyberbezpieczeństwa, ale także laboratorium aktualnych zagrożeń.