Black Hat USA 2025: «evilDoggie» — аргентинское устройство для проверки безопасности современных автомобилей.

В четверг, во второй день Black Hat , одной из крупнейших в мире конференций по кибербезопасности, два аргентинских хакера представили устройство «evilDoggie» для проверки безопасности компьютерных систем автомобилей. Октавио Джанатемпо и Гастон Азнарес из Faraday Security продемонстрировали, как с помощью этого инструмента выявлять уязвимости в системах безопасности некоторых марок автомобилей.

Название инструмента образовано от аббревиатуры протокола « CAN » (сокращение от Controller Area Network), который представляет собой стандарт внутренней связи, используемый в современных автомобилях для обеспечения связи между различными внутренними компьютерами (например, теми, которые управляют двигателем или тормозами).

Во время презентации в «Арсенале» конференции, где представлены программы и различные устройства, исследователи продемонстрировали, как использовать инструмент, включая переключатель для переключения с версии для мониторинга (Doggie) на «злую» версию, используемую для атаки на этот протокол. Они также провели семинар, чтобы участники могли научиться пользоваться инструментом.

Исследование относится к теме «Взлом автомобилей» — одному из самых популярных направлений конференций по кибербезопасности. «Взлом автомобилей основан на существующих знаниях в области кибербезопасности, но применяет их к сетям, используемым автомобилями. В последние годы автомобили стали «умнее» и сосуществуют с электронными системами. Перефразируя Илона Маска, они — «компьютеры на колёсах»», — пояснили представители Faraday Security этому изданию.

«Все эти сети являются частными; они не разрабатывались с учётом прозрачности. Именно здесь и начинается роль экспертов по безопасности: они должны понимать, как работают эти технологии и какие риски они представляют », — добавили они.

Исследования компании начались с изучения автомобильной безопасности . «Когда мы начали исследования, мы поняли, что нам понадобится инструмент для связи с компьютерами автомобиля. Но мы обнаружили, что в Аргентине нет подходящего открытого решения. У Гастона возникла идея разработать этот инструмент с модульной конструкцией прошивки и аппаратного обеспечения, чтобы любой мог собрать его самостоятельно из имеющихся компонентов и даже разработать другие версии», — рассказал Октавио Джанатиемпо, исследователь компании, изданию Clarín .

Гастон Азнарес объясняет, как проект перешёл к наступательной безопасности — разделу кибербезопасности, посвящённому атакам на системы с целью поиска уязвимостей и их последующего устранения. «Первым инструментом был Doggie, но идея развивалась, и мы добавили наступательные возможности, что в конечном итоге привело к появлению evilDoggie, ориентированного на исследования возможности проведения сложных атак на CAN-коммуникации как на уровне протокола, так и на физическом уровне, вмешиваясь в работу схемы на электрическом уровне», — объясняет он.

«Функции Doggie и атаки evilDoggie могут использоваться для нарушения связи между электронными блоками управления (ЭБУ) автомобиля и создания непредвиденных ситуаций. Сегодня автомобили оснащены несколькими компьютерами, и практически все их функции управляются ими по шине CAN. Хотя современные автомобили включают меры безопасности в эту связь, известны случаи, когда подобные атаки могут иметь реальные последствия », — добавил хакер.

«evilDoggie» — не первое устройство, способное проверить безопасность автомобиля. Более того, « Flipper Zero », известный как «швейцарский армейский нож хакеров», уже появлялся в нескольких вирусных видеороликах, демонстрирующих, как открыть дверь автомобиля без ключа. Это связано с тем, что устройство работает по беспроводным протоколам, отличным от тех, на которые нацелен evilDoggie.

«Связь между частями автомобиля, например, между двигателем и колёсами, осуществляется по проводам. Поэтому для использования evilDoggie сначала необходимо получить доступ к автомобилю: цель — убедиться, находясь внутри, насколько безопасен этот протокол и как его можно улучшить », — говорит Фарадей.

Эта аргентинская разработка предлагает версию с открытым исходным кодом (весь процесс разработки и программирования доступен для ознакомления) и низкоуровневый интерфейс, то есть непосредственное взаимодействие с аппаратным обеспечением или протоколами связи автомобиля. Вместо использования готовых программ или интерфейсов, evilDoggie обеспечивает доступ к слоям, расположенным ближе к чипам, встроенным в современные автомобили, например, к этому протоколу CAN.

«Кибербезопасность не ограничивается компьютерами и серверами, но также технологиями, которые мы используем каждый день: автомобили не являются исключением », — пояснили в компании.

Кларин спросил о моделях автомобилей, которые подверглись атакам во время испытаний, но Фарадей отказался предоставить подробности.

Выставка в Арсенале вызвала интерес у многих посетителей, желающих приобрести инструмент.

Также в «Арсенале» Федерико Пачеко и Диего Стайно, исследователи из аргентинской компании BASE4, представили инструмент из области так называемого «киберобмана», представляющего собой виртуальные ловушки , которые аналитики оставляют в сетях, чтобы обмануть хакеров, желающих проникнуть в систему и извлечь из нее информацию.

Стратегии обмана широко распространены при анализе угроз. Это довольно хорошо изученная область в области наступательной безопасности. На конференции Ekoparty 2024 года местный исследователь Шейла Берта продемонстрировала, как особый тип системы, называемый « ханипот », использовался в общедоступных системах.

«Проблема с традиционными ловушками типа «ханипот» заключается в том, что более продвинутые злоумышленники иногда могут обнаружить их, потому что они выглядят слишком чистыми или пустыми , или потому что они не проявляют никакой активности. BUDA — это инструмент, который делает эти ловушки гораздо более достоверными», — рассказал Пачеко изданию. BUDA расшифровывается как Behavioral User-driven Deceptive Activities Framework (Фреймворк обманчивых действий, управляемых пользователем).

«Для этого он генерирует фиктивные «профили пользователей», основанные на нормальном поведении сети и самих систем. Эти профили затем выполняют действия, которые выполняет обычный сотрудник, например, входит в систему , открывает документы, отправляет электронные письма или просматривает веб-страницы», — продолжает специалист.

В ходе выступления в «Арсенале» исследователи подчеркнули важность создания связного «нарратива» для обмана, чтобы злоумышленники не понимали, что имеют дело с приманкой .

«Этот инструмент позволяет настраивать профили так, чтобы они действовали автономно, следуя типичным моделям поведения. Благодаря имитации такого поведения ловушка становится гораздо более реалистичной, и у злоумышленников появляется больше оснований полагать, что они имеют дело с системой с легитимными пользователями, что приводит к трате времени и усложняет распознавание настоящих и поддельных данных », — добавил Диего Стайно.

«Кроме того, поскольку фиктивные пользователи могут действовать на реальных или поддельных системах и активах, инструмент позволяет имитировать поведение злоумышленника или злоумышленника, что позволяет тестировать меры защиты сети и системы», — заключает специалист.

Работа была представлена на этой неделе в виде официального доклада и подвергнута академическому изучению на Аргентинской конференции по информатике в исследовании операций.

Ещё одним важным направлением Black Hat являются обучающие сессии, которые начинаются за несколько дней до докладов и конференций. Они не предназначены для широкой публики, а представляют собой интенсивные занятия для различных специалистов и работников отрасли.

Одну из них вели Себастьян Гарсия и Вероника Валерос, аргентинские исследователи из Чешского технического университета в Праге (ЧТУ). Это была «программа углубленного обучения по обнаружению вредоносного (вирусного) трафика и отличию его от легитимного трафика в критических ситуациях», — пояснили они.

«Это были два очень насыщенных и практических дня с реальными атаками. Многие упражнения были посвящены изучению скрытых вредоносных программ, ботнетов, шпионского ПО, работе с большими объемами данных и использованию искусственного интеллекта для улучшения обнаружения угроз», — добавили они.

Black Hat — одна из самых влиятельных конференций по кибербезопасности в мире. Она была основана в 1997 году Джеффом Моссом, известным в хакерском мире как «Тёмный Тангенс». Основная конференция проводится в США, но также имеет филиалы в Азии и Европе.

На открытии конференции 2025 года Мосс выступил с политическим обращением, а Микко Хиппонен, известный финский хакер , объявил о своём уходе из хакерской индустрии. Во второй день бывшая журналистка New York Times Николь Перлрот призвала задуматься о проблемах, которые искусственный интеллект создаёт в ландшафте угроз.

« Мы переживаем медовый месяц с ИИ. Мы достигаем невероятного уровня эффективности. И я думаю, что в вопросе о том, будет ли ИИ поддерживать оборону или нападение, предварительные данные указывают на то, что нападение будет иметь преимущество. Но мы всё ещё можем это изменить. У нас есть узкое окно возможностей, но оно очень быстро сокращается, и как только ИИ станет частью нашей инфраструктуры, процесса принятия решений и нашей обороны, цена ошибки только увеличится . Проектирование с учётом безопасности никогда не было столь актуальным », — сказал Перлрот.

Конференция объединяет экспертов со всего мира для обсуждения уязвимостей, глобальных угроз, методов защиты и новаторских открытий в области кибербезопасности. В отличие от DEF CON, основанного в 1993 году и сохраняющего более неформальную атмосферу, Black Hat ориентирован на корпоративный мир.

Конференция служит витриной мира кибербезопасности, а также лабораторией для изучения современного ландшафта угроз.