Bezpieczeństwo samochodowe - Automotive security

Część serii na
Bezpieczeństwo informacji
Incydenty związane z bezpieczeństwem informacji według kategorii, rok obrotowy 2014.svg
Powiązane kategorie bezpieczeństwa
Zagrożenia
Obrony

Bezpieczeństwo motoryzacyjne odnosi się do gałęzi bezpieczeństwa komputerowego skoncentrowanej na zagrożeniach cybernetycznych związanych z kontekstem motoryzacyjnym. Coraz większa liczba ECU w pojazdach, a wraz z tym wdrożenie wielu różnych środków komunikacji z i do pojazdu w sposób zdalny i bezprzewodowy spowodował konieczność stworzenia gałęzi cyberbezpieczeństwa dedykowanej zagrożeniom związanym z pojazdami. Nie mylić z bezpieczeństwem samochodowym .

Powoduje

Wdrażanie wielu ECU (Electronic Control Units) wewnątrz pojazdów rozpoczęło się na początku lat 70. dzięki opracowaniu układów scalonych i mikroprocesorów, które umożliwiły ekonomicznie produkcję ECU na dużą skalę. Od tego czasu liczba ECU wzrosła do 100 na pojazd. Obecnie jednostki te kontrolują prawie wszystko w pojeździe, od prostych zadań, takich jak aktywowanie wycieraczek, po te bardziej związane z bezpieczeństwem, takie jak brake-by-wire lub ABS (Anti-lock Braking System). Jazda autonomiczna jest również silnie uzależniona od wdrożenia nowych, złożonych ECU, takich jak ADAS , wraz z czujnikami ( lidarami i radarami ) i ich jednostkami sterującymi.

Wewnątrz pojazdu ECU są połączone ze sobą za pomocą przewodowych lub bezprzewodowych sieci komunikacyjnych, takich jak magistrala CAN (Controller Area Network), magistrala MOST (Media Oriented System Transport), FlexRay lub RF (częstotliwość radiowa), jak w wielu implementacjach TPMS (Systemy monitorowania ciśnienia w oponach). Należy zauważyć, że wiele z tych ECU wymaga danych odbieranych przez te sieci, które przychodzą z różnych czujników do działania i wykorzystują takie dane do modyfikacji zachowania pojazdu (np. tempomat modyfikuje prędkość pojazdu w zależności od sygnałów przychodzących z przycisk zwykle znajdujący się na kierownicy).

Od czasu rozwoju tanich technologii komunikacji bezprzewodowej, takich jak Bluetooth , LTE , Wi-Fi , RFID i podobne, producenci samochodów i OEM zaprojektowali ECU, które wdrażają takie technologie w celu poprawy doświadczenia kierowcy i pasażerów. Systemy związane z bezpieczeństwem, takie jak OnStar firmy General Motors , jednostki telematyczne , komunikacja między smartfonami a głośnikami pojazdu przez Bluetooth, Android Auto i Apple CarPlay .

Model zagrożenia

Modele zagrożeń świata motoryzacji opierają się zarówno na rzeczywistych, jak i teoretycznie możliwych atakach. Większość ataków w świecie rzeczywistym ma na celu bezpieczeństwo osób znajdujących się w samochodzie i wokół niego poprzez modyfikację cyber-fizycznych możliwości pojazdu (np. kierowanie, hamowanie, przyspieszanie bez konieczności podejmowania działań przez kierowcę), podczas gdy przypuszczano ataki teoretyczne skupić się również na celach związanych z prywatnością, takich jak pozyskiwanie danych GPS w pojeździe lub przechwytywanie sygnałów mikrofonowych i tym podobnych.

Jeśli chodzi o powierzchnie ataku pojazdu, są one zwykle podzielone na powierzchnie dalekiego zasięgu, bliskiego zasięgu i lokalne: LTE i DSRC można uznać za dalekiego zasięgu, podczas gdy Bluetooth i Wi-Fi są zwykle uważane za bliskiego zasięgu, chociaż nadal bezprzewodowy. Wreszcie USB , OBD-II i wszystkie powierzchnie ataku, które wymagają fizycznego dostępu do samochodu, są zdefiniowane jako lokalne. Atakujący, który jest w stanie przeprowadzić atak przez powierzchnię dalekiego zasięgu, uważany jest za silniejszego i bardziej niebezpiecznego niż ten, który wymaga fizycznego dostępu do pojazdu. W 2015 r. Miller i Valasek udowodnili możliwość ataków na pojazdy już obecne na rynku, którym udało się zakłócić jazdę Jeepem Cherokee, jednocześnie zdalnie łącząc się z nim za pomocą zdalnej komunikacji bezprzewodowej.

Ataki na sieć kontrolera

Najpopularniejszą siecią używaną w pojazdach i tą, która jest używana głównie do komunikacji związanej z bezpieczeństwem, jest CAN , ze względu na jej właściwości w czasie rzeczywistym, prostotę i taniość. Z tego powodu większość rzeczywistych ataków została zaimplementowana przeciwko ECU podłączonym za pośrednictwem tego typu sieci.

Większość ataków wykazanych na rzeczywistych pojazdach lub na stanowiskach testowych należy do jednej lub kilku z następujących kategorii:

Wąchanie

Sniffing w dziedzinie bezpieczeństwa komputerowego ogólnie odnosi się do możliwości przechwytywania i rejestrowania pakietów lub bardziej ogólnie danych z sieci. W przypadku CAN, ponieważ jest to sieć magistrali , każdy węzeł nasłuchuje całej komunikacji w sieci. Dla atakującego przydatne jest odczytanie danych w celu poznania zachowania innych węzłów sieci przed realizacją ataku. Zwykle ostatecznym celem atakującego nie jest po prostu podsłuchiwanie danych w CAN, ponieważ pakiety przesyłane w tego typu sieciach nie są zwykle wartościowe do samego odczytu.

Odmowa usługi

Odmowa usługi ( DoS ) w bezpieczeństwie informacji jest zwykle opisywana jako atak, którego celem jest uniemożliwienie dostępu do maszyny lub sieci. Ataki DoS na ECU podłączone do magistral CAN mogą być przeprowadzane zarówno przeciwko sieci, nadużywając protokołu arbitrażowego używanego przez CAN, aby zawsze wygrywać arbitraż, jak i celując w pojedynczy ECU, nadużywając protokołu obsługi błędów CAN. W tym drugim przypadku atakujący oznacza wiadomości ofiary jako wadliwe, aby przekonać ofiarę do złamania zabezpieczeń i tym samym odciąć się od sieci.

Podszywanie się

Ataki spoofingowe obejmują wszystkie przypadki, w których atakujący, fałszując dane, wysyła wiadomości podszywające się pod inny węzeł sieci. W bezpieczeństwie samochodowym zwykle ataki typu spoofing dzielą się na ataki typu Masquerade i Replay . Ataki typu Replay są definiowane jako wszystkie te, w których atakujący udaje ofiarę i wysyła sniffowane dane, które ofiara wysłała w poprzedniej iteracji uwierzytelniania. Ataki maskaradowe to przeciwnie ataki polegające na fałszowaniu danych, w których ładunek danych został utworzony przez atakującego.


Przykład rzeczywistego zagrożenia motoryzacyjnego

Badacze bezpieczeństwa Charlie Miller i Chris Valasek z powodzeniem zademonstrowali zdalny dostęp do szerokiej gamy elementów sterujących pojazdami, używając Jeepa Cherokee jako celu. Mogli sterować radiem, kontrolą otoczenia, wycieraczkami przedniej szyby oraz niektórymi funkcjami silnika i hamulca.

Metodą włamania się do systemu była implementacja zaprogramowanego chipa do magistrali sieci kontrolera (CAN). Wkładając ten chip do magistrali CAN, był w stanie wysłać dowolną wiadomość na magistralę CAN. Kolejną rzeczą, na którą zwrócił uwagę Miller, jest niebezpieczeństwo magistrali CAN, ponieważ nadaje ona sygnał, który może zostać przechwycony przez hakerów w całej sieci.

Sterowanie pojazdem odbywało się zdalnie, manipulując systemem bez jakiejkolwiek fizycznej interakcji. Miller twierdzi, że mógłby kontrolować każdy z około 1,4 miliona pojazdów w Stanach Zjednoczonych, niezależnie od lokalizacji lub odległości. Jedyne, co jest potrzebne, to aby ktoś włączył pojazd, aby uzyskać dostęp.

Środki bezpieczeństwa

Rosnąca złożoność urządzeń i sieci w kontekście motoryzacyjnym wymaga stosowania środków bezpieczeństwa ograniczających możliwości potencjalnego napastnika. Od początku 2000 r. zaproponowano, aw niektórych przypadkach zastosowano wiele różnych środków zaradczych. Poniżej lista najczęstszych środków bezpieczeństwa:

  • Podsieci : aby ograniczyć możliwości atakującego, nawet jeśli uda mu się uzyskać zdalny dostęp do pojazdu za pośrednictwem zdalnie podłączonego ECU, sieci pojazdu są podzielone na wiele podsieci, a najbardziej krytyczne ECU nie są umieszczane w te same podsieci ECU, do których można uzyskać zdalny dostęp.
  • Bramy : podsieci są podzielone przez bezpieczne bramy lub zapory, które blokują przekazywanie wiadomości z jednej podsieci do drugiej, jeśli nie były do ​​tego przeznaczone.
  • Systemy wykrywania włamań (IDS) : w każdej krytycznej podsieci jeden z podłączonych do niej węzłów (ECU) ma na celu odczytanie wszystkich danych przesyłanych w podsieci i wykrywanie wiadomości, które zgodnie z pewnymi regułami są uważane za złośliwe ( wykonane przez atakującego). Dowolne komunikaty mogą zostać przechwycone przez pasażera za pomocą IDS, który powiadomi właściciela nieoczekiwaną wiadomością.
  • Protokoły uwierzytelniania : w celu wdrożenia uwierzytelniania w sieciach, w których nie jest jeszcze zaimplementowane (takich jak CAN), możliwe jest zaprojektowanie protokołu uwierzytelniania, który działa na wyższych warstwach modelu ISO OSI , wykorzystując część ładunku danych wiadomość do uwierzytelnienia samej wiadomości.
  • Sprzętowe moduły bezpieczeństwa : ponieważ wiele ECU nie jest wystarczająco wydajnych, aby zachować opóźnienia w czasie rzeczywistym podczas wykonywania procedur szyfrowania lub deszyfrowania, między ECU a siecią można umieścić sprzętowy moduł bezpieczeństwa, który zarządza jego bezpieczeństwem.

Ustawodawstwo

W czerwcu 2020 r. Światowe Forum ds. Harmonizacji Przepisów Pojazdów Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (EKG ONZ) opublikowało dwa nowe przepisy, R155 i R156, ustanawiając „jasne wymagania dotyczące wydajności i audytu dla producentów samochodów” w zakresie motoryzacyjnego bezpieczeństwa cybernetycznego i aktualizacji oprogramowania.

Uwagi

  1. ^ „Trendy w branży półprzewodników: 1970” . Japońskie Muzeum Historii Półprzewodników . Zarchiwizowane z oryginału w dniu 27 czerwca 2019 r . Źródło 27 czerwca 2019 .
  2. ^ "Strona główna serwisu OnStar" . Źródło 3 lipca 2019 .
  3. ^ „Strona witryny Android Auto” . Źródło 3 lipca 2019 .
  4. ^ „Strona internetowa Apple CarPlay” . Źródło 3 lipca 2019 .
  5. ^ B Koscher K .; Czeski, A.; Roesner F.; Patel S.; Kohno, T.; Checkoway, S.; McCoy, D.; Kantor B.; Anderson, D.; Shacham, H.; Dziki, S. (2010). „Eksperymentalna analiza bezpieczeństwa nowoczesnego samochodu”. Sympozjum IEEE na temat bezpieczeństwa i prywatności 2010 : 447–462. CiteSeerX  10.1.1.184.3183 . doi : 10.1109/SP.2010.34 . Numer ISBN 978-1-4244-6894-2.
  6. ^ a b „Kompleksowe analizy eksperymentalne samochodowych powierzchni ataku | USENIX” . www.usenix.org .
  7. ^ a b „Zabezpieczenie pokładowych systemów informatycznych pojazdu: Projekt EVITA” (PDF) . evita-project.org .
  8. ^ B c d e Le Van Huynh; den Hartog, Jerry; Zanone, Nicola (1 listopada 2018). „Bezpieczeństwo i prywatność w innowacyjnych zastosowaniach motoryzacyjnych: ankieta”. Komunikacja komputerowa . 132 : 17–41. doi : 10.1016/j.com.2018.09.010 . ISSN  0140-3664 .
  9. ^ B Greenberg, Andy (1 sierpnia 2016). „Hakerzy jeepów wracają, aby udowodnić, że hakowanie samochodów może być znacznie gorsze” . Przewodowy .
  10. ^ B c Greenberg, Andy (21 lipca 2015). „Hakerzy zdalnie zabijają jeepa na autostradzie — ze mną w tym” . Przewodowy . Źródło 11 października 2020 .
  11. ^ B Palanca Andrea; Eryk, Eryk; Maggi, Federico; Zanero, Stefano (2017). „Ukradkowy, selektywny atak typu „odmowa usługi” na warstwie łącza przeciwko sieciom samochodowym. Wykrywanie włamań i złośliwego oprogramowania oraz ocena podatności . Notatki z wykładów z informatyki. Wydawnictwo Springer International. 10327 : 185-206. doi : 10.1007/978-3-319-60876-1_9 . hdl : 11311/1030098 . Numer ISBN 978-3-319-60875-4. S2CID  37334277 .
  12. ^ B Radu Andreea-Ina; Garcia, Flavio D. (2016). „LeiA: lekki protokół uwierzytelniania dla CAN” (PDF) . Bezpieczeństwo komputerowe – ESORICS 2016 . Notatki z wykładów z informatyki. Wydawnictwo Springer International. 9879 : 283-300. doi : 10.1007/978-3-319-45741-3_15 . Numer ISBN 978-3-319-45740-6.
  13. ^ Miller, Charlie (grudzień 2019). „Lekcje wyciągnięte z hakowania samochodu”. Projektowanie i testowanie IEEE . 36 (6): 7–9. doi : 10.1109/MDAT.2018.2863106 . ISSN  2168-2356 .
  14. ^ Lokman, Siti-Farhana; Othman, Abu Talib; Abu-Bakar, Muhammad-Husaini (2019-07-19). "System wykrywania włamań dla systemu magistrali CAN (kontroler samochodowy): przegląd" . EURASIP Journal na temat komunikacji bezprzewodowej i sieci . 2019 (1): 184. doi : 10.1186/s13638-019-1484-3 . ISSN  1687-1499 .
  15. ^ Gmiden, Mabrouka; Gmiden, Mohamed Hedi; Trabelsi, Hafedh (grudzień 2016). „Metoda wykrywania włamań do zabezpieczania w pojeździe magistrali CAN”. 2016 XVII Międzynarodowa Konferencja Nauki i Techniki Automatyki i Inżynierii Komputerowej (STA) . Sousse, Tunezja: IEEE: 176-180. doi : 10.1109/STA.2016.7952095 . Numer ISBN 978-1-5090-3407-9.
  16. ^ Organizacja Narodów Zjednoczonych, Europejska Komisja Gospodarcza Organizacji Narodów Zjednoczonych Jednostka Informacyjna Palais des; Genewa 10, CH-1211; Szwajcaria. „Rozporządzenia ONZ w sprawie cyberbezpieczeństwa i aktualizacji oprogramowania utorują drogę do masowego wprowadzenia na rynek pojazdów podłączonych do sieci” . www.unece.org . Źródło 2020-11-10 .