Автомобильная безопасность - Automotive security

Часть серии о
Информационная безопасность
Инциденты информационной безопасности по категориям, 2014 финансовый год.svg
Связанные категории безопасности
Угрозы
Оборона

Автомобильная безопасность относится к отрасли компьютерной безопасности, ориентированной на киберриски, связанные с автомобильной средой. Растущее количество ЭБУ в транспортных средствах и, наряду с этим, реализация множества различных средств связи от транспортного средства и к нему удаленным и беспроводным способом, привело к необходимости отрасли кибербезопасности, посвященной угрозам, связанным с транспортными средствами. Не путать с автомобильной безопасностью .

Причины

Внедрение нескольких ЭБУ (электронных блоков управления) в транспортных средствах началось в начале 70-х годов благодаря разработке интегральных схем и микропроцессоров, которые сделали экономически целесообразным производство ЭБУ в больших масштабах. С тех пор количество ЭБУ увеличилось до 100 на автомобиль. В настоящее время эти устройства контролируют практически все в автомобиле, от простых задач, таких как активация дворников, до более связанных с безопасностью задач, таких как проводное торможение или ABS (антиблокировочная тормозная система). Автономное вождение также сильно зависит от внедрения новых сложных ЭБУ, таких как ADAS , а также датчиков ( лидаров и радаров ) и их блоков управления.

Внутри автомобиля блоки управления соединены друг с другом через кабельные или беспроводные сети связи, такие как CAN-шина (сеть контроллеров), шина MOST (мультимедийно-ориентированный системный транспорт), FlexRay или RF (радиочастота), как во многих реализациях TPMS. (Системы контроля давления в шинах). Важно отметить, что многим из этих ЭБУ требуются данные, полученные через эти сети, которые поступают от различных датчиков для работы и использования этих данных для изменения поведения транспортного средства (например, круиз-контроль изменяет скорость транспортного средства в зависимости от сигналов, поступающих от кнопка обычно находится на руле).

С момента появления дешевых технологий беспроводной связи, таких как Bluetooth , LTE , Wi-Fi , RFID и т. Д., Производители автомобилей и OEM-производители разработали электронные блоки управления, которые реализуют такие технологии с целью повышения качества обслуживания водителя и пассажиров. Системы безопасности, такие как OnStar от General Motors , телематические устройства, связь между смартфонами и динамиками автомобиля через Bluetooth, Android Auto и Apple CarPlay .

Модель угрозы

Модели угроз автомобильного мира основаны как на реальных, так и на теоретически возможных атаках. Большинство реальных атак направлены на безопасность людей в автомобиле и вокруг него, изменяя киберфизические возможности транспортного средства (например, рулевое управление, торможение, ускорение, не требуя действий со стороны водителя), в то время как теоретические атаки предполагались чтобы сосредоточиться также на целях, связанных с конфиденциальностью, таких как получение данных GPS о транспортном средстве или улавливание сигналов микрофона и тому подобное.

Что касается поверхностей атаки транспортного средства, они обычно делятся на поверхности дальнего действия, ближнего действия и локальные поверхности атаки: LTE и DSRC можно считать дальнобойными, в то время как Bluetooth и Wi-Fi обычно считаются ближними, хотя все еще беспроводной. Наконец, USB , OBD-II и все поверхности атаки, требующие физического доступа к автомобилю, определяются как локальные. Злоумышленник, который может осуществить атаку через поверхность большого радиуса действия, считается более сильным и опасным, чем тот, которому требуется физический доступ к транспортному средству. В 2015 году возможность атак на автомобили, уже имеющиеся на рынке, была доказана Миллером и Валасеком, которым удалось помешать управлению Jeep Cherokee при удаленном подключении к нему через удаленную беспроводную связь.

Атаки на сеть контроллеров

Наиболее распространенной сетью, используемой в транспортных средствах, и той, которая в основном используется для связи , связанной с безопасностью, является CAN , из-за ее свойств в реальном времени, простоты и дешевизны. По этой причине большинство реальных атак было реализовано против ЭБУ, подключенных через этот тип сети.

Большинство атак, продемонстрированных либо против реальных транспортных средств, либо на испытательных полигонах, относятся к одной или нескольким из следующих категорий:

Нюхать

Обнюхивание в области компьютерной безопасности обычно относится к возможности перехвата и регистрации пакетов или, в более общем смысле, данных из сети. В случае CAN, поскольку это шинная сеть , каждый узел прослушивает все коммуникации в сети. Злоумышленнику полезно прочитать данные, чтобы изучить поведение других узлов сети, прежде чем реализовывать фактическую атаку. Обычно конечная цель злоумышленника не состоит в том, чтобы просто перехватить данные по CAN, поскольку пакеты, проходящие по этому типу сети, обычно не имеют ценности просто для чтения.

Отказ в обслуживании

Отказ в обслуживании ( DoS ) в области информационной безопасности обычно описывается как атака, цель которой - сделать машину или сеть недоступными. DoS- атаки на ЭБУ, подключенные к шинам CAN, могут быть выполнены как против сети, злоупотребляя протоколом арбитража, используемым CAN, чтобы всегда выигрывать арбитраж, так и нацеливаясь на один ЭБУ, злоупотребляя протоколом обработки ошибок CAN. Во втором случае злоумышленник помечает сообщения жертвы как ошибочные, чтобы убедить жертву в том, что они взломаны, и поэтому отключается от сети.

Спуфинг

Атаки со спуфингом включают все случаи, когда злоумышленник, фальсифицируя данные, отправляет сообщения, выдавая себя за другой узел сети. В автомобильной безопасности атаки спуфинга обычно делятся на атаки Masquerade и Replay . Атаки с воспроизведением определяются как все атаки, при которых злоумышленник выдает себя за жертву и отправляет перехваченные данные, которые жертва отправила в предыдущей итерации аутентификации. Напротив, маскарадные атаки - это атаки со спуфингом, при которых полезные данные создаются злоумышленником.


Пример автомобильной угрозы из реальной жизни

Исследователи в области безопасности Чарли Миллер и Крис Валасек успешно продемонстрировали удаленный доступ к широкому спектру средств управления транспортными средствами, используя в качестве цели Jeep Cherokee . Они могли управлять радио, системой контроля окружающей среды, дворниками, а также некоторыми функциями двигателя и тормозов.

Метод, использованный для взлома системы, заключался в внедрении предварительно запрограммированного чипа в шину сети контроллеров (CAN). Вставив этот чип в CAN-шину, он смог отправить произвольное сообщение на CAN-шину. Еще одна вещь, на которую указал Миллер, - это опасность шины CAN, поскольку она передает сигнал, сообщение которого могут быть перехвачены хакерами по всей сети.

Управление транспортным средством осуществлялось дистанционно, без какого-либо физического взаимодействия с системой. Миллер заявляет, что он мог контролировать любой из примерно 1,4 миллиона транспортных средств в Соединенных Штатах, независимо от местоположения или расстояния, единственное, что нужно, - это чтобы кто-то включил транспортное средство, чтобы получить доступ.

Меры безопасности

Возрастающая сложность устройств и сетей в автомобильном контексте требует применения мер безопасности для ограничения возможностей потенциального злоумышленника. С начала 2000 года было предложено и в некоторых случаях применено множество различных контрмер. Ниже приводится список наиболее распространенных мер безопасности:

  • Подсети : чтобы ограничить возможности злоумышленника, даже если ему / ей удастся получить доступ к автомобилю удаленно через удаленно подключенный ЭБУ, сети автомобиля разделены на несколько подсетей, и наиболее важные ЭБУ не помещаются в те же подсети ЭБУ, к которым можно получить удаленный доступ.
  • Шлюзы : подсети разделены безопасными шлюзами или межсетевыми экранами, которые блокируют передачу сообщений из одной подсети в другую, если они не были предназначены для этого.
  • Системы обнаружения вторжений (IDS) : в каждой критической подсети один из подключенных к ней узлов (ECU) имеет цель считывать все данные, передаваемые в подсети, и обнаруживать сообщения, которые с учетом некоторых правил считаются вредоносными ( сделано злоумышленником). Произвольные сообщения могут быть перехвачены пассажиром с помощью IDS, который уведомит владельца о неожиданном сообщении.
  • Протоколы аутентификации : для реализации аутентификации в сетях, где она еще не реализована (например, CAN), можно разработать протокол аутентификации, который работает на более высоких уровнях модели ISO OSI , используя часть полезной нагрузки данных сообщение для аутентификации самого сообщения.
  • Модули аппаратной безопасности : поскольку многие ЭБУ недостаточно мощны, чтобы поддерживать задержки в реальном времени при выполнении процедур шифрования или дешифрования, между ЭБУ и сетью можно разместить аппаратный модуль безопасности, который управляет его безопасностью.

Законодательство

В июне 2020 года Всемирный форум Европейской экономической комиссии Организации Объединенных Наций (ЕЭК ООН) по гармонизации правил в отношении транспортных средств выпустил два новых правила, R155 и R156, устанавливающих «четкие требования к производительности и аудиту для производителей автомобилей» с точки зрения кибербезопасности автомобилей и обновлений программного обеспечения.

Примечания

  1. ^ «Тенденции в полупроводниковой промышленности: 1970-е» . Японский музей истории полупроводников . Архивировано из оригинального 27 июня 2019 года . Проверено 27 июня 2019 .
  2. ^ "Главная страница сайта системы OnStar" . Дата обращения 3 июля 2019 .
  3. ^ "Страница веб-сайта Android Auto" . Дата обращения 3 июля 2019 .
  4. ^ "Страница веб-сайта Apple CarPlay" . Дата обращения 3 июля 2019 .
  5. ^ а б Кошер, К .; Czeskis, A .; Roesner, F .; Patel, S .; Коно, Т .; Checkoway, S .; McCoy, D .; Кантор, Б .; Андерсон, Д .; Shacham, H .; Сэвидж, С. (2010). «Экспериментальный анализ безопасности современного автомобиля». Симпозиум IEEE 2010 г. по безопасности и конфиденциальности : 447–462. CiteSeerX  10.1.1.184.3183 . DOI : 10,1109 / SP.2010.34 . ISBN 978-1-4244-6894-2.
  6. ^ a b "Комплексный экспериментальный анализ поверхностей атаки автомобилей | USENIX" . www.usenix.org .
  7. ^ a b «Защита бортовых ИТ-систем транспортных средств: проект EVITA» (PDF) . evita-project.org .
  8. ^ a b c d e Le, Van Huynh; ден Хартог, Джерри; Дзанноне, Никола (1 ноября 2018 г.). «Безопасность и конфиденциальность для инновационных автомобильных приложений: обзор». Компьютерные коммуникации . 132 : 17–41. DOI : 10.1016 / j.comcom.2018.09.010 . ISSN  0140-3664 .
  9. ^ a b Гринберг, Энди (1 августа 2016 г.). «Хакеры Jeep вернулись, чтобы доказать, что взлом автомобилей может стать намного хуже» . Проводной .
  10. ^ a b c Гринберг, Энди (21 июля 2015 г.). «Хакеры удаленно убивают джип на шоссе - со мной в нем» . Проводной . Проверено 11 октября 2020 .
  11. ^ a b Паланка, Андреа; Эвенчик, Эрик; Магги, Федерико; Занеро, Стефано (2017). «Скрытая, избирательная атака отказом в обслуживании канального уровня против автомобильных сетей». Обнаружение вторжений и вредоносного ПО, а также оценка уязвимости . Конспект лекций по информатике. Издательство Springer International. 10327 : 185–206. DOI : 10.1007 / 978-3-319-60876-1_9 . hdl : 11311/1030098 . ISBN 978-3-319-60875-4. S2CID  37334277 .
  12. ^ a b Раду, Андреа-Ина; Гарсия, Флавио Д. (2016). «LeiA: облегченный протокол аутентификации для CAN» (PDF) . Компьютерная безопасность - ESORICS 2016 . Конспект лекций по информатике. Издательство Springer International. 9879 : 283–300 . DOI : 10.1007 / 978-3-319-45741-3_15 . ISBN 978-3-319-45740-6.
  13. ^ Миллер, Чарли (декабрь 2019). «Уроки, извлеченные из взлома автомобиля». Дизайн и тестирование IEEE . 36 (6): 7–9. DOI : 10.1109 / MDAT.2018.2863106 . ISSN  2168-2356 .
  14. ^ Lokman, Siti-Фарханый; Осман, Абу Талиб; Абу-Бакар, Мухаммад-Хусаини (19.07.2019). «Система обнаружения вторжений в шинную систему CAN сети автомобильных контроллеров: обзор» . Журнал EURASIP по беспроводным коммуникациям и сетям . 2019 (1): 184. DOI : 10,1186 / s13638-019-1484-3 . ISSN  1687-1499 .
  15. ^ Гмиден, Мабрука; Гмиден, Мохамед Хеди; Трабелси, Хафед (декабрь 2016 г.). «Метод обнаружения вторжения для защиты CAN-шины в автомобиле». 2016 17-я Международная конференция по наукам и методам автоматического управления и вычислительной техники (STA) . Сус, Тунис: IEEE: 176–180. DOI : 10,1109 / STA.2016.7952095 . ISBN 978-1-5090-3407-9.
  16. ^ Наций, Европейская экономическая комиссия Организации Объединенных Наций, Информационное подразделение, Пале де; Женева 10, CH-1211; Switzerl. «Правила ООН по кибербезопасности и обновлениям программного обеспечения, чтобы подготовить почву для массового развертывания подключенных транспортных средств» . www.unece.org . Проверено 10 ноября 2020 .