Black Hat USA 2025: “evilDoggie”, het Argentijnse apparaat dat de veiligheid van moderne auto’s test

Twee Argentijnse hackers presenteerden donderdag, op de tweede dag van Black Hat , een van 's werelds grootste cybersecurityconferenties, "evilDoggie", een apparaat voor het testen van de beveiliging van computersystemen in auto's. Octavio Gianatempo en Gastón Aznarez van Faraday Security lieten zien hoe je met deze tool beveiligingslekken in sommige automerken kunt identificeren.

De naam van de tool is een woordspeling op het CAN -protocol (afkorting van Controller Area Network). Dit is een interne communicatiestandaard die in moderne auto's wordt gebruikt om verschillende interne computers (zoals de computers die de motor of remmen aansturen) met elkaar te laten communiceren.

Tijdens de presentatie in het "Arsenal" van de conferentie, een ruimte waar programma's en diverse hardware worden tentoongesteld, demonstreerden de onderzoekers hoe de tool te gebruiken. Deze tool bevat zelfs een schakelaar om over te schakelen van de monitoringversie (Doggie) naar de "kwaadaardige" versie, die wordt gebruikt om dit protocol aan te vallen . Ze organiseerden ook een workshop zodat deelnemers konden leren hoe ze de tool konden gebruiken.

Het onderzoek valt onder de noemer "Autohacking", een van de populairste onderwerpen op cybersecurityconferenties. "Autohacking richt zich op bestaande cybersecuritykennis, maar past deze toe op de netwerken die auto's gebruiken. De laatste jaren zijn voertuigen 'slimmer' geworden en werken ze samen met elektronische systemen. Om Elon Musk te parafraseren: het zijn 'computers op wielen'", legde Faraday Security uit aan deze site.

"Al deze netwerken zijn bedrijfseigen; ze zijn niet ontworpen met transparantie in gedachten. Daar komt de rol van beveiligingsexperts om de hoek kijken: begrijpen hoe deze technologieën werken en welke risico's ze met zich meebrengen ", voegden ze eraan toe.

Het onderzoek van het bedrijf begon als een verkenning van de veiligheid in de auto . "Toen we met ons onderzoek begonnen, realiseerden we ons dat we een tool nodig hadden om te communiceren met de computers van de auto. Maar we ontdekten dat er in Argentinië geen goede open optie beschikbaar was. Gastón had het idee om deze tool te ontwikkelen met een modulair ontwerp voor de firmware en hardware, zodat iedereen zijn eigen tool kon bouwen met de componenten die hij of zij tot zijn beschikking had, en zelfs andere versies kon ontwikkelen," vertelde Octavio Gianatiempo, onderzoeker bij het bedrijf, aan Clarín .

Gastón Aznarez legt uit hoe het project verschoof naar offensieve beveiliging , een tak van cybersecurity die zich richt op het aanvallen van systemen om kwetsbaarheden te vinden en uiteindelijk te verhelpen. "Deze eerste tool was Doggie, maar het idee groeide en we voegden offensieve mogelijkheden toe, wat uiteindelijk leidde tot evilDoggie, gericht op onderzoek naar de mogelijkheid om geavanceerde aanvallen uit te voeren op CAN-communicatie, zowel op protocol- als fysiek niveau, waarbij het circuit op elektrisch niveau wordt verstoord", legt hij uit.

"Doggie-functies en evilDoggie-aanvallen kunnen worden gebruikt om de communicatie tussen de ECU's (elektronische regeleenheden) van een auto te verstoren en onverwachte situaties te creëren. Tegenwoordig hebben auto's meerdere computers en worden bijna al hun functies via CAN-communicatie aangestuurd. Hoewel moderne auto's beveiligingsmaatregelen in deze communicatie integreren, zijn er gevallen bekend waarin dit type aanval een reële impact kan hebben ", voegde de hacker eraan toe.

"evilDoggie" is niet het eerste apparaat dat de beveiliging van een auto kan testen. Sterker nog, de "Flipper Zero ", ook wel bekend als het "Zwitserse zakmes van hackers", is al te zien geweest in verschillende virale video's waarin te zien is hoe je een autodeur opent zonder sleutel. Dit komt doordat het apparaat werkt met draadloze protocollen die verschillen van die waarop evilDoggie zich richt.

"De communicatie tussen de onderdelen van de auto, bijvoorbeeld tussen de motor en de wielen, verloopt via kabels. Om evilDoggie te gebruiken, moet je dus eerst toegang hebben tot de auto: het doel is om, eenmaal in de auto, te zien hoe veilig dit protocol is en hoe het verbeterd kan worden ", aldus Faraday.

Wat deze Argentijnse ontwikkeling biedt, is een open-sourceversie (het volledige constructie- en programmeerproces is toegankelijk voor raadpleging) en het lage niveau waarop het werkt, namelijk rechtstreekse interactie met de hardware of communicatieprotocollen van de auto. In plaats van gebruik te maken van vooraf ontworpen programma's of interfaces, biedt evilDoggie toegang tot lagen dichter bij de chips die in moderne auto's zijn ingebouwd, zoals dit CAN-protocol.

"Cybersecurity beperkt zich niet tot computers en servers, maar ook tot de technologie die we dagelijks gebruiken. Auto's vormen daarop geen uitzondering ", legt het bedrijf uit.

Clarín vroeg welke automodellen tijdens de tests werden aangevallen, maar Faraday wilde geen details geven.

De tentoonstelling in het Arsenaal wekte de interesse van meerdere bezoekers die het gereedschap wilden kopen.

Ook Federico Pacheco en Diego Staino, onderzoekers van het Argentijnse bedrijf BASE4, presenteerden bij Arsenal een tool die valt onder de noemer 'cybermisleiding'. Dit zijn virtuele vallen die analisten op netwerken plaatsen om hackers te misleiden die een systeem willen binnendringen en er informatie uit willen halen.

Misleidingsstrategieën komen veel voor in dreigingsanalyses. Het is een redelijk goed onderzocht gebied binnen offensieve beveiliging. Tijdens de Ekoparty-editie van 2024 demonstreerde lokaal onderzoeker Sheila Berta hoe een specifiek type systeem, een zogenaamde " honeypot ", werd gebruikt op openbare systemen.

"Het probleem met traditionele honeypot-vallen is dat geavanceerdere aanvallers ze soms kunnen detecteren omdat ze er te schoon of leeg uitzien , of omdat er weinig activiteit is. BUDA is een tool die deze vallen veel geloofwaardiger maakt", vertelde Pacheco aan dit medium. BUDA staat voor Behavioral User-driven Deceptive Activities Framework.

"Daartoe genereert het fictieve 'gebruikersprofielen' op basis van het normale gedrag van het netwerk en de systemen zelf. Deze profielen voeren vervolgens taken uit die een normale medewerker zou doen, zoals inloggen op een systeem , documenten openen, e-mails versturen of op internet surfen", vervolgt de specialist.

Tijdens de lezing bij Arsenal benadrukten de onderzoekers het belang van het creëren van een samenhangend ‘narratief’ voor bedrog, zodat aanvallers zich niet realiseren dat ze met een honeypot te maken hebben.

"De tool maakt het mogelijk om profielen zo te orkestreren dat ze autonoom handelen en typische gedragspatronen volgen. Door dit gedrag te simuleren, wordt de valkuil veel realistischer en hebben aanvallers meer reden om te geloven dat ze te maken hebben met een systeem met legitieme gebruikers, wat meer tijdverspilling oplevert en het moeilijker maakt om echt van nep te onderscheiden ", voegde Diego Staino eraan toe.

"Omdat fictieve gebruikers op echte of neppe systemen en middelen kunnen ingrijpen, kan met de tool gesimuleerd gedrag worden uitgevoerd dat lijkt op dat van een aanvaller of kwaadwillende actor. Zo kunnen netwerk- en systeemverdedigingsmaatregelen worden getest", concludeert de specialist.

Het werk werd deze week gepresenteerd in een whitepaper, onder academische toetsing, op de Argentijnse conferentie over Informatica in Operations Research.

Een ander belangrijk onderdeel van Black Hat zijn de trainingen, die enkele dagen voor de lezingen en conferenties beginnen. Ze zijn niet toegankelijk voor het grote publiek, maar dienen als intensieve lessen voor diverse specialisten en professionals uit de industrie.

Eén daarvan werd gegeven door Sebastián García en Verónica Valeros, Argentijnse onderzoekers aan de Tsjechische Technische Universiteit in Praag (CTU). Het was een geavanceerd trainingsprogramma om te leren hoe je malware (virus)-verkeer kunt detecteren en dit in kritieke situaties kunt onderscheiden van legitiem verkeer , zo legden ze uit.

"Het waren twee zeer praktische en intensieve dagen met echte aanvallen. Veel oefeningen waren gericht op het leren over verborgen malware, botnets, spyware, hoe om te gaan met grote hoeveelheden data en hoe kunstmatige intelligentie te gebruiken om de detectie van bedreigingen te verbeteren", voegden ze eraan toe.

Black Hat is een van de meest invloedrijke cybersecurityconferenties ter wereld. Het werd in 1997 opgericht door Jeff Moss en staat in de hackerswereld bekend als "The Dark Tangent". Hoewel de hoofdconferentie in de Verenigde Staten wordt gehouden, zijn er ook edities in Azië en Europa.

Tijdens de opening van de editie van 2025 hield Moss een politieke toespraak en kondigde Mikko Hypponen, een gerenommeerd Fins hacker , zijn afscheid van de hackindustrie aan. Op de tweede dag riep voormalig New York Times- journaliste Nicole Perlroth op tot reflectie op de uitdagingen die kunstmatige intelligentie (AI) vormt in het dreigingslandschap.

" We komen net terug van een huwelijksreis met AI. We bereiken ongelooflijke niveaus van efficiëntie. En ik denk dat, wat betreft de vraag of AI de verdediging of de aanval zal bevoordelen, de eerste indicaties erop wijzen dat de aanval in het voordeel zal zijn. Maar we kunnen dat nog veranderen. We hebben een korte periode, maar die sluit zich snel, en zodra AI is ingebed in onze infrastructuur, in onze besluitvorming en in onze verdediging, zullen de kosten van falen alleen maar toenemen . Veilig ontwerpen is nog nooit zo urgent geweest ", aldus Perlroth.

De conventie brengt experts van over de hele wereld samen om kwetsbaarheden, wereldwijde dreigingen, verdedigingstechnieken en baanbrekende bevindingen op het gebied van cybersecurity te bespreken. In tegenstelling tot DEF CON, dat in 1993 werd opgericht en een informelere sfeer heeft, richt Black Hat zich op het bedrijfsleven.

De conferentie dient als showcase voor de wereld van cybersecurity, maar ook als laboratorium voor het huidige dreigingslandschap.