[Hacking] Nieczyste zagrania w sporcie – jak zdalnie przewrócić cały peleton?

[Enadxx]

źródło: https://sekurak.pl/nieczyste-zagrania-w-sporcie-jak-zdalnie-przewrocic-caly-peleton/

 

Nieczyste zagrania w sporcie – jak zdalnie przewrócić cały peleton

 

Kolarstwo to bardzo technologiczny sport. Profesjonalne rowery wyścigowe – np szosowe, mimo ograniczeń (np. wagowych nakładanych przez UCI) to efekty lat pracy inżynierów różnych dziedzin. Charakteryzują się minimalnymi oporami aerodynamicznymi, niską wagą i dużą sztywnością. Standardem w wyścigach tourowych są elektryczne grupy napędowe. Wbrew nazwie, nie są to napędy elektryczne, a jedynie zmiana biegów odbywa się z wykorzystaniem silników elektrycznych oraz elektroniki pozwalającej na błyskawiczne ustawienie łańcucha w odpowiedniej pozycji. Zapobiega to problemom wynikającym z zastosowania klasycznych grup napędowych takich jak zakleszczające się w pancerzach linki, rozregulowanie się przerzutek w wyniku nadmiernego naprężenia na wózku (a także wprowadza nowe takie jak wyczerpujące się baterie czy… możliwość zdalnej kontroli).

Na rynku dostępnych jest kilka rozwiązań wiodących firm takich jak chociażby Shimano (seria Di2) czy SRAM (E-TAP) – znajdzie się coś również dla fanów włoskiej klasyki – marka Campagnolo również oferuje elektryczne grupy (Super Record). 

Rowery szosowe są rozpędzane do niebezpiecznie dużych prędkości, a kolarze chronieni są jedynie kawałkiem pianki na głowie. W przypadku finiszów sprinterskich, na korby przekładane są setki watów mocy, a zawodnicy ulegają widzeniu tunelowemu w pogoni za metą. Nie raz awaria napędu doprowadziła do kraksy, a przeskakujące biegi kosztowały cenne punkty lub medal. 

Badacze z bostońskiego uniwersytetu (Northeastern University) zaprezentowali serię prostych ataków na Shimano Di2, które mogą mieć wpływ nie tylko na wyniki ale także bezpieczeństwo sportu. 

Grupy napędowe Shimano Di2 (zarówno testowane serie 105 oraz Dura Ace) wykorzystują między innymi znane protokoły Bluetooth Low Energy oraz ANT+. Ten pierwszy używany jest do konfiguracji urządzenia, można zaprogramować działanie przycisków na klamkomanetkach (np. MultiShift – zmianę wielu biegów jednym przyciśnięciem) i wiele innych aspektów, dopasowując sprzęt pod zawodnika. Wszelkich zmian dokonuje się z poziomu aplikacji na telefonie. 

Innym protokołem wykorzystywanym szeroko w sporcie, a w szczególności przez badane urządzenia jest ANT+. Operuje on na częstotliwości od 2.400 GHz do 2.524 GHz. Normalnie ANT lub ANT+ spotkać można np. w sportowych smartwatchach czy też komputerach rowerowych oraz czujnikach, które raportują różne informacje (takie jak kadencja, tętno, poziom naładowania baterii czujnika czy generowana moc). Tak samo w tym przypadku, jest to protokół wykorzystywany do przesyłania telemetrii. 
Shimano wykorzystuje też własnościowy protokół operujący na częstotliwości 2.478 GHz do sterowania przerzutkami. Specyfika tego protokołu nie została opublikowana więc badacze musieli dokonać analizy na podstawie np. obserwacji widma przy pomocy radia definiowanego programowo (SDR – software defined radio).

Rysunek 1. Schemat transmisji między tylną przerzutką oraz klamkomanetką. (źródło: [1])

Udało się zidentyfikować wszystkie parametry transmisji a także odtworzyć i zdekodować dane przesyłane w ramach tej bezprzewodowej transmisji. 

Rysunek 2. Struktura pakietów Command i Acknowledgment (źródło: [1])

Przeprowadzone badania wykazały serię podatności, które są możliwe do eksploitacji przy użyciu niezbyt wyszukanego ekwipunku. Wystarczy komputer oraz SDR z możliwością nadawania (czyli sam RTL-SDR nie wystarczy, ale np. HackRF już tak).

Badacze wskazują, że protokół oferuje pewnego rodzaju szyfrowanie jednak nie zabezpiecza urządzenia przed nawet najprostszymi atakami typu reply. 

Rysunek 3. Atakujący przechwytuje transmisję i ponawia ją, doprowadzając do niekontrolowanej zmiany biegów (źródło: [1])

Jak zaznaczają autorzy, atakujący nie musi tworzyć od zera pakietów. Wystarczy, że odtworzy bez zmian przechwyconą transmisję. Wykorzystując podstawowego SDRa bez żadnych wzmacniaczy, udało się konsekwentnie przejmować kontrolę nad grupą napędową z odległości do 10m. Powyżej tego dystansu działanie atakującego nie miało powtarzalnego wyniku. Prostym zabezpieczeniem przed tego typu atakami byłoby dodanie timestampu do zaszyfrowanego pakietu (oczywiście z uwzględnieniem np. odporności szyfrowania na losowe zmiany bitów). 

Z drugiej strony, wykorzystywana technologia jest podatna na zagłuszenia. Przeprowadzone testy pokazują, że jamming częstotliwości 2.478 GH, skutecznie blokuje możliwość zmiany biegów we wszystkich urządzeniach w zasięgu. 

Oprócz tego zademonstrowano, że wykorzystywany protokół ANT+, używany do wymiany danych z komputerem rowerowym (taki bardziej rozbudowany licznik z GPSem etc.) umożliwia podsłuchiwanie metadanych takich jak np. ustawiony bieg. To z jednej strony może ułatwić rozgryzienie zespołowej taktyki (ustawienie rowerów) jak i usprawnić atak polegający na zmianie biegów opisany wyżej. 

Ataki zostały zademonstrowane również na filmie:

Reasumując, do ataków na samochody już się przyzwyczailiśmy. Skutery i hulajnogi elektryczne również korzystają z szyn CAN, a podpięte do nich elementy mogą być wykorzystane do przejęcia urządzenia. Natomiast świat sportu, elektronicznego osprzętu do rowerów, był do tej pory traktowany po macoszemu. Zarówno producenci takich urządzeń jak i użytkownicy, muszą być świadomi zagrożeń jakie niosą za sobą bezprzewodowe grupy napędowe. Tak samo jak w przypadku IoT, ten element wyposażenia musi jeszcze sporo nadrobić względem dojrzalszych dziedzin IT. Czasami można zobaczyć kolarzy podczas wyścigu ze słuchawką w uchu. Ciekawe jak realizowana jest komunikacja wewnątrz zespołu i czy konkurencyjne grupy nie wykorzystują skanerów do przechwycenia rozmów dotyczących defektów, taktyki i planowanych zagrań rywali… 

 

[JWO]

Watek juz istnieje:

 

[KrissDeValnor]

Temat został usunięty.Prawdopodobna przyczyna usunięcia:- pkt 2b zasad pisania - brak klamrowego nazewnictwa tematu- podobny temat już istnieje- narusza inne postanowienia i zasady regulaminu forum lub/i polityki prywatności.Zasady pisania na forum: http://www.forumrowerowe.org/topic/9018-zasady-pisania/