95794

Создание модели угроз для встроенных информационных систем автомобиля

Дипломная

Информатика, кибернетика и программирование

Сбор информации о компонентах встроенных информационных систем автомобиля и способах их взаимодействия. Выявление точек и способов подключения к встроенным информационным системам автомобиля. Анализ средств защиты информации в заданной области. Анализ уязвимостей информационных систем.

Русский

2015-09-29

1.45 MB

5 чел.

Создание модели угроз для встроенных информационных

систем автомобиля.


Список сокращений и условных обозначений

ВИСА

- Встроенная информационная система автомобиля

ЗИ

- Защита информации

ИБ

- Информационная безопасность

ИС

- Информационная система

ИСА

- Информационная система автомобиля

ПО

- Программное обеспечение

ЭБУ

- Электронный блок управления

ABS

- Anti-lock braking system (антиблокировочная система)

ACU

- Airbag Control Unit (блок управления подушками безопасности)

BCM

- Body Control Module (Контроллер бортовой электроники)

CAN

- Control Area Network (сеть контроллеров)

CAN-, CAN_L, CAN LOW

- Отрицательная линия в шине CAN

CAN+, CAN_H, CAN HIGHT

- Положительная линия в шине CAN

CV RSS

- Continuously Variable road sensing suspension (подвеска с бесступенчатой изменяемой жесткостью амортизаторов)

DCU

- Door Control Unit (блок управления дверьми)

DIM

- Dashboard Integration Module (интегрированный модуль приборной панели)

ECM

- Engine Control Module (модуль управления двигателем)

GPS

- Gobal Positioning System (система глобального позиционирования)

OBD II

- On-Board Diagnostics (бортовая диагностика)

RFID

- Radio Frequency Identification (радиочастотная идентификация)


Оглавление

Задание на выпускную квалификационную работу 3

Аннотация 5

Список сокращений и условных обозначений 7

Введение 9

1 Общие сведения 11

1.1 Описание сетей автомобиля 11

1.2 Виды коммутации оборудования в автомобильных сетях 13

1.3 Обмен данными по шине CAN 15

1.4 Электронный блок управления 19

1.5 Телематика в автомобиле 23

2 Исходные данные для построения модели угроз 25

2.1 Точки возможного подключения и потенциальные методы доступа 25

2.2 Методы защиты информации в современном автомобиле и известные уязвимости, которые позволяют произвести деструктивное воздействие на встроенные системы 27

2.3 Потенциальные последствия деструктивного воздействия 31

3 Модель угроз для встроенных информационных систем 32

3.1 Определение исходной защищенности ВИСА 32

3.2 Определение возможных угроз и вероятности их реализации, опасность, коэффициент реализуемости и актуальность 34

3.3 Составление модели угроз 37

Заключение 41

Список использованных источников 42


Введение

Современные автомобили - это сложные машины, которые содержат более 70 встроенных электронных блоков управления, сеть для поддержки данных модулей, беспроводные, либо проводные интерфейсы для внешних устройств. К проводным интерфейсам можно отнести USB, CD, DVD, все виды flash card отличных от usb (sd, mmc, m2). Беспроводные интерфейсы – интерфейсы ближнего и/или дальнего радиусов действия, такие как WI-FI, Bluetooth, RFID, радио, GPS, мобильная связь. Беспроводные интерфейсы могут поддерживать множество функций, такие как удаленный мониторинг давления в шинах, спутниковый мониторинг транспорта, удаленный запуск двигателя, доступ к машине без ключа используя SmartKey. Мы также находимся на пороге глобального внедрения таких видов коммуникации как машина-машина/машина-инфраструктура и автомобильные встроенные системы становятся все более открытыми.

IBM писали, что «современный автомобиль содержит несколько миллионов строк кода – это больше чем в космическом шаттле», а Chevy Volt использует приблизительно 100 блоков управления. Так же все машины средней ценовой категории поставляются с круиз-контролем, который с каждым годом требует все меньшего и меньшего участия водителя в процессе управления автомобилем.

Учитывая все вышесказанное и принимая во внимание то, что все компоненты автомобиля объединены в единую сеть, и могут взаимодействовать друг с другом и оказывать влияние друг на друга, можно сделать вывод о усиливающейся значимости информационно безопасности в отрасли встроенных информационных систем автомобиля. В связи с этим тема выпускной квалификационной работы является актуальной.

Целью данной работы является повышение безопасности встроенных информационных систем автомобиля.

Для достижения этой цели в выпускной квалификационной работе поставлены следующие задачи:

  1.  Сбор информации о компонентах встроенных информационных систем автомобиля и способах их взаимодействия.
  2.  Выявление точек и способов подключения к встроенным информационным системам автомобиля
  3.  Анализ средств защиты информации в заданной области
  4.  Анализ уязвимостей информационных систем.
  5.  Создание модели угроз безопасности для встроенных ИС автомобиля

Новизна данной выпускной работы характеризуется тем, что на данный момент не известно ни одной работы по созданию модели угроз для встроенных информационных систем автомобиля сделанных в Российской Федерации на основе документов регулирующих органов данной страны.


1 Общие сведения

1.1 Описание сетей автомобиля

Для логичной разработки темы необходимо остановиться на абстрактном описании бортовых сетей и интерфейсов автомобиля, бортовая сеть состоит из различных сетей (табл. 1.1.), с различно связанными скоростями передачи данных и связанных между собой через шлюзы.

Таблица 1.1 - Полный перечень сетей ВИСА

Название сети

Физический уровень

Сетевая топология

Назначение

CAN

Витая пара, 9-пин D-sub

точка точка

трансмиссия, управление двигателем

LIN

Одиночный провод

Один Мастер ко множеству подчиненных

климат контроль, управление дверными замками

FlexRay

Электрический, оптический

Одно и двуканальный

Электронная цифровая система управления автомобилем, тормозами и прочее

MOST

Оптический

Кольцо

Данные информационно-развлекательного характера

BYTEFLIGHT

Оптический

Мастер/подчиненный

критически важные устройства, такие как подушка безопасности.

Таблица 1.2 - Классификация сетей ВИСА по функционалу

SAE формально классифицировала автомобильные сети основываясь на их скорости передачи данных (табл. 1.2.). Конкретные стандарты существуют для каждой из этих сетей. Как уже упоминалось ранее в современном автомобиле используется более одного типа сети, ведь электронное оборудование, распределенное по современному автомобилю, поддерживает большой набор функций и его потребности часто охватывает более одной сетевой системы.

Классификация

Скорость

Применение

Класс A

<10 kb/s

Функционал для обеспечения комфорта.

Класс B

10 – 125 kb/s

Самодиагностика.

Класс C

125 kb/s – 1 Mb/s

Управление в реальном времени.

Например, сетевое взаимодействие между системой управления двигателем и системой тяги должно быть строго определено, например, для уменьшения пробуксовки необходимо снижение тяги путем отключения пары цилиндров, уменьшения подачи топлива или изменения угла опережения зажигания. Другой пример - система навигации, которая может запросить информацию с некоторого количества систем, например, запросить у ABS информацию о положении колес, угле поворота ведущих колес, а у GPS – данные со спутников и RDS-TMC.

В таблице 1.1 показаны решения для реализации автомобильной сети, это широкий спектр автомобильных сетей отражающий разный функционал и экономические ниши. Сети с широкой пропускной способностью используют для автомобильного мультимедиа, где цена не так критична. Надежные, быстро реагирующие сети необходимы для критичных функций управления в режиме реального времени, таких как управление трансмиссией и динамикой автомобиля, здесь функциональные потребности господствуют над экономическими и иногда необходимо реализовывать сети с отказоустойчивой избыточностью. Системы обеспечения комфорта, такие как электрорегулировка стекла или сиденья требуют времени реакции лишь немного превосходящее время восприятия человеком. Системы комфорта намного более чувствительны к стоимости, поэтому связанные сети и модули точно настроены для большей экономической выгоды. Определенные функции автомобиля могут быть реализованы в минимальной сети, поддерживающей простейшие функции, такие как: открытие багажника, центральное управление замками и прочее, где задержки в секунду приемлемы, для этих целей часто используют сеть single wire, которая работает на скорости 10 kb/s.

В Европе и США используется протокол CAN разработанный инженерами фирмы R. Bosch Gmbh для применения в автомобилях и соответствующий стандартам ISO 11898 и ISO 11519, поскольку подавляющее количество автомобилей использует этот протокол в своих сетях ведь Протокол CAN обладает важнейшим достоинством: идентификаторы сообщений используются не только для алгоритма разрешений коллизий, но и для описания сообщений, когда применяется не прямая адресация данных, а лишь отмечается характер информации, представленной в сообщении (например, «давление масла»). Поэтому большинство автомобилестроителей выбрали этот протокол для построения сетей именно класса С, следовательно, дальше разговор пойдет в основном о нем.

1.2 Виды коммутации оборудования в автомобильных сетях

Автомобильные системы выполняются по схеме «звезда», «кольцо», «шина». В «звезде» мы имеем центральное управляющее устройство и остальные узлы, для обмена данными между узлами необходимо прохождение данных через центральное управляющее устройство, эта схема проста, в исполнении, но требует большого объема проводов и обладает высокой задержки. В «кольце» мы имеем несколько функциональных блоков соединенных между собой, они свободно передают информацию друг другу, но при разрыве цепи между ними или выхода из строя одного функционального блока становиться невозможным получение информации со всех узлов, подключенных к нему, так же при добавлении нового функционального блока задержка увеличивается. В «шине» функциональные блоки работают в общей среде передачи данных и при подключении новых функциональных блоков не нужны доработки, а время передачи данных крайне мало. 

Наиболее удобным с точки зрения эксплуатации является вариант соединения «шина», но существуют блоки управления и мониторинга критически важных параметров, а есть блоки комфорта, при одновременной передаче по шине сигнала, например для тормозов и для климат-контроля, может случиться так, что данные для тормозной системы не дойдут или, что не летально и не критично, данные не дойдут до системы климат-контроля, для этого шины разделяют физически и все критически важные системы обмениваются данными на скорости, превышающей скорости обмена данными остальных систем автомобиля.

Для создания мульти сетевой инфраструктуры используются шлюзы. Шлюза могут осуществлять фильтрацию данных между независимыми сегментами сети, позволяя только данным запрошенным одним функциональным устройством с одного сегмента сети у другого функционального устройства из другого сегмента сети курсировать между сегментами. Например, бортовому компьютеру необходимо запросить уровень топлива в бензобаке для определения оптимальной точки для дозаправки, он может получить данные которые были порождены узлом сети класса А, эти данные могут пройти через шлюз в сеть класса B и затем, опять же через шлюз в сеть класса С.

Шлюзы выполняют следующие функции:

  1.  Объединение шин.
  2.  Арбитраж трафика по уровню критичности.
  3.  Не пропускают трафик не запрошенные данные из одной шины в другую.
  4.  Имеют порт для подключения диагностического оборудования.

В заключении можно добавить, что иногда сети типа А и B объединяют в единую сеть, и получается первая проблема безопасности управление замком/иммобилайзером и медиа системной/климат-контролем оказываются не разделены логически.

1.3 Обмен данными по шине CAN

Для дальнейшего рассмотрения угроз встроенным информационным системам автомобиля невозможно продолжить подробно, не описав принцип обмена данными по шине CAN, поскольку большинство угроз исходит именно от нее.

CAN это ISO стандартизированный автомобильный сетевой протокол, который расшифровывается как «контроллерная сеть», стандарты относящееся к данному сетевому протоколу это ISO 11898 и ISO11519-2. Протокол CAN может быть использован как сеть типа A, B или C. [1]

CAN шина это интерфейс состоящий из двух проводов, двух линий:

  1.  CAN+, CAN_H, CAN HIGH — сигнал положительного импульса;
  2.  CAN-, CAN_L, CAN LOW — сигнал отрицательного импульса.

CAN – дифференциальный интерфейс и 0 - передается сразу по всем линиям (рис.1.1.), это сделано для того, что бы избавиться от шумов.

В CAN 0 – активный сигнал, а 1 – пассивный, таким образом, 0 доминирует над 1 при передаче по данной шине, т.е если два датчика одновременно будут передавать данные на функциональный блок, то на него придет только 0, таким образом обеспечивается арбитраж доступа. [7]

Рисунок 1.1 - Сигнал CAN

Шина CAN это шина последовательной передачи данных, т.е передача битов от старшего к младшему, а 15-битовый циклический контроль избыточности обеспечивает высокий уровень целостности данных. Теоретически число подсоединяемых к ней устройств не ограничено. Скорость передачи данных задается программно (не более 1 Мбит/с)

Обмен данными производится фреймами. Фрейм состоит из четырех основных полей(рис.1.2.):

  1.  идентификатор отправителя, он же является основой арбитража передачи данных;
  2.  управляющее поле;
  3.  данные;
  4.  контрольная сумма.

Фрейм идет слева на право для того что бы реализовать метод недеструктивного арбитража.

Рисунок 1.2 - Структура CAN фрейма

Суть метода недеструктивного арбитража заключается в следующем (рис.1.3.): в случае, когда несколько контроллеров начинают одновременную передачу CAN-кадра в сеть, каждый из них сравнивает бит, который собирается передать на шину, с битом, который пытается передать на шину конкурирующий контроллер. Если значения этих битов равны, оба контроллера передают следующий бит, и так происходит до тех пор, пока значения передаваемых битов не окажутся различными. Теперь контроллер, который передавал логический ноль (более приоритетный сигнал), будет продолжать передачу, а другой (другие) контроллер прервет свою передачу до того времени, пока шина вновь не освободится. Конечно, если шина в данный момент занята, то контроллер не начнет передачу до момента ее освобождения.[1]


Рисунок 1.3 - Недеструктивный арбитраж доступа

В настоящее время действующей спецификацией для протокола CAN служит «СAN Specification version 2,0», состоящая из двух частей: А и В, первая описывает обмен данными по сети с использованием 11-битного идентификатора, а вторая - 29-битного. Если узел CAN поддерживает обмен данными только с использованием 11-битного идентификатора, не выдавая при этом ошибки на обмен данными с использованием 29-битного идентификатора, то его обозначают «CAN2.0A Active, CAN2.0B Passive»; если с использованием и 11 -битного, и 29-битного идентификаторов - то «CAN2.0B Active». Существуют также узлы, которые поддерживают обмен данными с использованием только 11-битного идентификатора, а при обнаружении в сети данных с 29-битным идентификатором выдают ошибку. Но на автомобилях устанавливают, естественно, только согласованные системы. Они работают в двух сетях, имеющих разные (250 и 125 кбит/с) скорости передачи данных. Первые обслуживают основные системы управления (двигатель, автоматическая коробка передач, АБС и т.д.), вторые - вспомогательные (стеклоподъемники, освещение и пр.). Сеть CAN состоит из узлов с собственными тактовыми генераторами. Любой ее узел посылает сообщение всем системам, подсоединенным к шине, а получатели решают, относится ли данное сообщение к ним. Для этого предусмотрена аппаратная реализация фильтрации сообщений. Протокол CAN обладает исключительно развитой системой обнаружения ошибок и сигнализации о них, включающей поразрядный контроль, прямое заполнение битового потока, проверку пакета сообщений CRC-полиномом, контроль формы пакета сообщений, подтверждение верного приема пакета данных. В итоге общая вероятность не обнаружения ошибки не превышает . Кроме того, имеющаяся система арбитража протокола CAN исключает потерю информации и времени при «столкновениях» на шине.

Итак, протокол CAN есть коммуникационная система, управляемая сообщениями, которые посылаются, если компьютер узла запрашивает передачу сообщения и канал не занят. Но если другие узлы в данный конкретный момент времени тоже хотят послать сообщение, то посылается сообщение с наибольшим приоритетом. [7]

1.4 Электронный блок управления

Как уже ранее говорилось в современном автомобиле количество ЭБУ может достигать значения в 100 штук. Так что же такое ЭБУ? ЭБУ – электронный блок управления определенной области автомобиля, например, двигателя, он является коммуникационным и вычислительным центром этой области, он принимает сигналы от датчиков и по заранее определенным алгоритмам управляет исполнительными устройствами. ЭБУ состоит из:

  1.  программируемого постоянного запоминающего устройства
  2.  оперативного запоминающего устройства
  3.  электрически репрограммируемого запоминающего устройства
  4.  центрального процессора
  5.  формирователя входных сигналов.
  6.  формирователя выходных сигналов.

Коммуникация в автомобиле является широковещательно-ориентированной, именно поэтому ЭБУ должны игнорировать все сообщения не предназначенные конкретно для них, а при коммутации с внешним источником (например при диагностике или пришивке), напротив, каждый ЭБУ определяется со своим уникальным адресом. [4]

Ниже представлены примеры систем автомобиля с использованием ЭБУ:

ABS (Anti-lock braking system) - Антиблокировочная система.

ACU (Airbag Control Unit) - Блок управления подушками безопасности.

CD Changer (Проигрыватель компакт-дисков).

BCM (Body Control Module) - controls door locks, electric windows, courtesy lights, etc. - Контроллер бортовой электроники.

CV RSS (Continuously Variable road sensing suspension) - Подвеска с бесступенчатой изменяемой жесткостью амортизаторов).

DCU (Door Control Unit) - Блок управления дверьми.

DIM (Dashboard Integration Module) - Интегрированный модуль приборной панели.

Driver Information Center - (Система информации водителя).

ECM (Engine Control Module) - Модуль управления двигателем.

EPS (Electric power steering) - Электрический усилитель руля.

ESP (Elektronic Stability Program) - Электронный контроль устойчивости.

ETACS (Electronic Timing And Control System) - Электронная система полного управления автомобилем

TCS (Traction control system) - Антипробуксовочная система

Как мы видим электронные блоки контролируют почти все функции современного автомобиля, поэтому я считаю важным отметить что все ЭБУ работают по, как ранее говорилось, определённым алгоритмам, заложенным в ПО конкретного ЭБУ. Ранее ПО, используемое в ЭБУ, находилось в непрограммируемой памяти. Таким образом, манипуляция с этим ПО была труднореализуема, к примеру, только посредством замены памяти. При внедрении флеш-программируемых ЭБУ в автомобиль возможности осуществить манипуляции с ПО несложным способом расширились. Замена ПО со стороны неавторизованной персоны более не связана с заменой аппаратных частей, а может быть осуществлено новым программированием без особых затруднений. Использование памяти такого вида имеет свои преимущества, но также несет риски и опасности. ПО для ЭБУ можно теперь просто загружать, без аппаратного изменения, обновление уже загруженного ПО также возможно. Для фазы тестирования ПО внедрение флеш-памяти уменьшает стоимость процесса, поскольку не всегда должен программироваться новый EEPROM, и таким образом можно сэкономить время. Недостатком использования такой памяти, однако, является отсутствие защитных механизмов. В принципе, можно каждое ПО в отдельном таком ЭБУ заменить собственной версией. Манипуляция (тюнинг), саботаж или уничтожение не исключаются. Так как в этом случае возникают юридические проблемы (например, ответственность за продукт, возмещение убытков, гарантия от манипуляций и т.д.) были приняты меры по разработке алгоритмов и способов, предотвращающих изменение оригинального ПО, ведь только после этого может быть обеспечено высокое качество и надежность автомобиля. [6]

На данный момент разработаны способы защиты от неавторизованного доступа к диагностическим данным ЭБУ, защите от неавторизованного изменения ПО ЭБУ, обхода защиты замены ПО ЭБУ путем простой замены самого блока на новый, с уже установленной необходимой сторонней прошивкой, но необходимо понимать, что эти исследования еще не скоро будут внедрены в производство, так же, как правило, если эти способы защиты несут в себе исключено измененную прошивку устройства для закрытия способов внешнего воздействия на системы, то стоит принят во внимание тот факт, что обновить прошивку в домашних условиях невозможно и все действия по обновлению ПО возможны лишь в специализированных центрах, что приводит к тому, что новые версии ПО могут быть не установлены годами, в силу воздействия человеческого фактора, а некоторые изменения несут в себе модификацию ЭБУ на уровне железа, что во многих случаях исключает модификацию уже выпущенных автомобилей.

Так же я считаю необходимым в этой главе подробно рассмотреть принцип работы какой-либо системы автомобиля, где используется ЭБУ, возьмем, например, систему ABS (рис.1.3.).

Рисунок 1.3 - Устройство системы ABS

ABS препятствует блокировке колес автомобиля при торможении и тем самым обеспечивает безопасность движения и быструю остановку автомобиля. Автомобильное колесо в процессе торможения замедляет свое вращение в широком диапазоне скоростей от свободного качения до полного блокирования, т.е. движется относительно дорожного полотна с проскальзыванием. Степень проскальзывания определяется отношением разности скорости автомобиля и окружной скорости вращения колеса к скорости автомобиля. От этой величины зависит коэффициент сцепления колеса с дорогой, а, следовательно, и тормозная сила на колесе автомобиля.

АБС состоит из следующих основных компонентов:

  1.  датчики скорости либо ускорения (замедления), установленные на ступицах колёс транспортного средства;
  2.  управляющие клапаны, которые являются элементами модулятора давления, установленные в магистрали основной тормозной системы;
  3.  блок управления, получающий сигналы от датчиков и управляющий работой клапанов.

Как только начинается торможение начинается, ЭБУ ABS получает данные с датчиков скорости каждого колеса и, если, одно, несколько или все колеса автомобиля начнут замедлять скорость своего вращения быстрее расчетной, то ЭБУ подаст сигнал на гидроусилитель тормозной системы для того, чтобы тот уменьшил давление тормозной жидкости для приведения в норму скорости колеса либо колес. [1]

1.5 Телематика в автомобиле

Примерно в середине 90-х годов производители автомобилей начали совмещать более мощные ЭБУ – предоставляющие полное UNIX-о подобное окружение- с периферийными устройствами, такими как GPS (Global Positioning System – Глобальная Система Позиционирования) и добавлением компонентов использующих сигнал вышек сотовой связи для передачи трафика. Самой известной и инновационной из таких систем является GM`s (General Motors) OnStar которая на май 2015 года предоставляет такие функции как:

  1.  Автоматическое оповещение диспетчеров об аварии.
  2.  Вызов экстренных служб по нажатию кнопки к вашему месторасположению.
  3.  Удаленная блокировка запуска двигателя.
  4.  Удаленное ограничение скорости автомобиля при угоне.
  5.  Навигация.
  6. OnStar может создать точку доступа WI-FI в машине.
  7.  Позволяет принимать звонки и звонить без использования рук.
  8.  Оповещение о необходимости пройти диагностику автомобиля.
  9.  Удаленная разблокировка автомобиля.

Для предоставления данных функций OnStar подключён ко всем важным шинам в автомобиле, что обеспечивает гибкость системы и предоставляет доступ по требованию к интернету через сети сотовой связи. Но OnStar General Motors не уникален, у каждого производителя автомобилей есть подобные решения:

  1. Ford –Sync.
  2. Chrysler – Uconnect.
  3. BMW – Connected Drive.
  4. Lexus – Enform.

Которые выпускаются при сотрудничестве с Verizon Telematics и ATX Group, так же на рынке появляются устройства, например, Zubie, предоставляющие меньший спектр возможностей, представленных выше систем, но для их использования достаточно купить устройство и установить его в диагностический порт автомобиля, который всегда находиться в пределах досягаемости водителя, что может оснастить современным функционалом любой автомобиль.

И так, вездесущий автоматизированный контроль, распределенные методы внутреннего подключения и встроенная телематика все больше и больше переплетаются для обеспечения платформы прикладного программного обеспечения с доступом во внешние сети. Таким образом появляются вполне понятные причины пересмотреть состояние компьютерной безопасности автомобиля.


2 Исходные данные для построения модели угроз

После описания устройства автомобиля с определенной степенью абстракции, чтобы исключить все, что не касается темы, нам необходимо ответить на следующие вопросы:

  1.  Точки возможного подключения к автомобилю
  2.  Потенциальные методы доступа
  3.  Методы защиты информации в современном автомобиле
  4.  Известные уязвимости защиты информации, которые позволяют произвести деструктивное воздействие на систему.
  5.  Потенциальные последствия деструктивного воздействия на систему.

2.1 Точки возможного подключения и потенциальные методы доступа

Я разобью точки возможного подключения на типы три типа:

  1.  Проводное подключение
  2.  Беспроводное подключение - короткого диапазона действия
  3.  Беспроводное подключение – дальнего диапазона действия

Тип подключения

Точка подключения

Проводное подключение

OBD-II Port

Диагностические порты

Бортовая сеть автомобиля

CD/DVD плеер

Порт для зарядки автомобиля

Беспроводное - короткого радиуса действия

Радио частота (например, брелок для блокировки/разблокировки дверей)

Ближняя бесконтактная связь

WI-FI

Bluetooth

выделенные коммуникации ближнего радиуса действия

Беспроводное - дальнего радиуса действия

GPS ресивер

GSM/CDMA

Теперь можно отсортировать точки подключения по указанным типам, удобнее всего это будет сделать в таблице (табл.2.1.)

Таблица 2.1 - Точки подключения

Следует остановиться подробнее на OBD-II порте, данный порт стандартизирован и предназначался изначально для подключения диагностического оборудования и обновления прошивки ЭБУ, но теперь выпускаются устройства, которые расширяют функционал автомобиля при подключении их к данному порту, более подробно я затрону эту тему при рассмотрении способов нарушения и уязвимостях ЗИ, сейчас я лишь продемонстрирую вам назначение выводов данного разъёма (рис.2.1.), на нем видно, что данный порт предоставляет нам доступ к высокоскоростным и низкоскоростным шинам CAN. [4]

Рисунок 2.1 - Назначение выводов в разъеме OBD II

Для рассмотрения потенциальных я разбил их на три группы по типам методов доступа:

  1.  Внешние сети
  2.  С помощью компонентов автомобиля
  3.  Портативные

Теперь отсортируем методы доступа в соответствии с типами и приведем их в виде таблицы (табл.2.2.).

Таблица 2.2 - Методы доступа к ВИСА

Тип доступа

Метод доступа

Внешние сети

сеть - колл-центр

сеть - сервис центр

сеть - домашняя сеть

сеть - сотовая сеть

Компонент

компонент подделка

Модифицированный компонент

Портативный

Ноутбук

универсальный ключ

Смартфон

Переносные носители, в том числе CD/DVD

сделанный на заказ/самодельный ЭБУ

музыкальные плееры

Радиочастотные репитеры/трансиверы

2.2 Методы защиты информации в современном автомобиле и известные уязвимости, которые позволяют произвести деструктивное воздействие на встроенные системы 

Как защищается информация в автомобиле, в котором около сотни мини-компьютеров, есть доступы в автомобильную сеть извне, выход из строя или промедление в реакции устройств реального времени может привести к непоправимому финансовому ущербу, травмам или смерти? Для этого в стандартах разработаны следующие положения:

  1.  Шина CAN физически разделена на низкоскоростную и высокоскоростную, к разным шинам подключены разные по критичности компоненты.
  2.  Высокоскоростная шина более доверена нежели низкоскоростная.
  3.  Шлюза могут быть перепрограммированы с высокоскоростных в низкоскоростные, но не наоборот.
  4.  ЭБУ можно прошить только тем ПО, который подписан закрытым ключом производителя, проверка производится в ЭБУ на основе отрытого ключа.
  5.  Невозможно прошить ПО разработанное только для конкретной машины в ЭБУ другой машины, поскольку в данном случае при генерации закрытого и открытого ключа используется уникальный идентификатор автомобиля
  6.  Полномочия получившего доступ к автомобильной сети различаются, в зависимости от того, как он получил доступ напрямую или через телефонную сеть, для получение локальный полномочий в системе, удаленным пользователям необходимо пройти дополнительную авторизацию в ЭБУ.
  7.  Для обхода запрета прошивки методом замены ЭБУ в ЭБУ и модуле безопасности на заводе изготовителе вшиты секретные ключи авторизации, защищенные от чтения, авторизация в сети автомобиля происходит методом «оклик-отзыв», ЭБУ обязан через определенные промежутки времени авторизоваться в модуле безопасности алгоритмом на основе знания этого ключа, если авторизация не пройдена – ЭБУ не определяется в системе.
  8.  Запрет на отключение коммуникации ЭБУ по шине CAN, если это небезопасно, например, в движении.
  9.  Передача конфиденциальных данных из/в машину производиться только после шифрования гибридным методом, используется открытый ключ для передачи симметричного ключа.

Данные положения исключают какие-либо манипуляции с приватными данными, ЭБУ или сетью автомобиля, тогда почему же тема информационной безопасности встроенных систем все больше и больше набирает популярность? Дело в том, что практически все встроенные системы автомобиля произведены в разных компаниях, а такие вещи как CD-changer можно заменить в любой момент и зачастую они снабжены операционной системой на базе Android или Windows CE. Такое положение вещей не может гарантировать полную совместимость оборудования, отсутствия не декларированных возможностей или отсутствие уязвимостей, известные на данный момент уязвимости, дающие возможность реализации деструктивного воздействия на систему представлены ниже:

  1.  В CAN фрейме нет поля адреса, поле арбитража позволяет лишь определить приоритет фрейма в сети и каждый фрейм посылается на все узлы сети, которые затем решают, нужно ли им обрабатывать данный фрейм или нет. [1]
    1.  Как уже выше говорилось каждый фрейм всегда посылается на все узлы сети, сказывается широковещательная природа шины CAN, исходя из этого, можно внедрить любое устройство в сеть, которое сможет легко шпионить, а также внедрять необходимые злоумышленнику фреймы в трафик. [1]
    2.  Так же сочетание широковещательной природы сети и арбитража доступа делает сеть чувствительной к атаке типа DoS, достаточно лишь постоянно отправлять сеть фреймы, у которых поле арбитража не будет содержать ни единой единицы, тогда это будет главенствующий трафик в сети.[2]
    3. CAN фрейм не содержит полей аутентификации и идентификации, это значит, что любой компонент может инкогнито посылать фреймы на любой другой компонент, это же означает что в сети при компрометации компонента и использования его для генерации необходимого трафика его невозможно идентифицировать. [5]
    4.  Как говорилось выше, для модуля безопасности проверяет ЭБУ путем опроса и выявления знания секретного авторизационного ключа, сейчас алгоритмы, по которым преобразуются эти ключи для передачи их от ЭБУ к модулю безопасности хорошо известны, а как описано в стандарте, запрос и ответ занимают каждый всего по 16 бит, а поскольку проверка ЭБУ происходит каждые 10 секунд, перехват пары легко реализуем и при известном алгоритме легко получить исходные данные – секретный авторизационной ключ. [5]
    5.  Возможность исключительно программного обновления ЭБУ, может быть очень полезна для производителей автомобилей, который могут перепрошивкой, без замены ЭБУ решить проблему дефектного ПО ЭБУ, но это так же дает возможность атакующему, работающему в автосалоне прошить произвольное ПО в ЭБУ.
    6.  Исследованиями доказано, что вопреки требованиям стандартов во время движения возможно ввести ЭБУ в режим прошивки, что приводит к невозможности ЭБУ выполнять свои функции, например, управлять тормозами или двигателем, машина сразу же прекращает работу двигателя.
    7.  В некоторых автомобилях, некоторые ЭБУ отвечают на запрос об авторизации в независимости он входящих данных одинаковыми выходящими, это значит, что ответ в этих ЭБУ запрограммирован.
    8.  Поскольку в процессе производства необходимо выполнение запрещенных в обычной среде команд, таких как включение тормозов по команде, без нажатия педали тормоза, при движении, необходимо всего лишь получить доступ к ключу для аутентификации как производитель, но некоторые команды оказались доступны и без аутентификации.
    9.  Небезопасное соединение сетей – шлюзы не могут быть перепрограммированы с низкоскоростных в высокоскоростные, но иногда получается, что ЭБУ с телематикой можно из низкоскоростной сети заставить выполнить код и послать необходимые пакеты в высокоскоростную сеть.
    10.  Такие сервисы как OnStar и им подобные могут оказывать управляющее воздействие на автомобиль, следовательно, при взятии под контроль злоумышленниками серверов этих сервисов, появляется возможность деструктивного воздействия на все автомобили пользователей сервиса.
    11.  Возможность переполнения буфера CD-Changera с последующим выполнением произвольного кода.
    12.  Использование посторонних устройств совместно с OBD-II портом, одно из таких устройств – Zubie, оно предоставляет функционал подобный OnStar, но использует HTTP over GSM для обновления прошивки, на конференции о безопасности встроенных информационных систем в 2014 году было доложено о возможности реализации атаки man in the middle и загрузки произвольной прошивки в устройство с последующим удаленным контролем за устройством и машиной.

2.3 Потенциальные последствия деструктивного воздействия

  1.  Прекращение нормальной передачи данных в шине CAN
  2.  Введение в заблуждение водителя путем отображения на приборной панели ложных сведений.
  3.  Отвлечения водителя от управления транспортным средством
  4.  Кража конфиденциальных данных, например, о текущем местоположении транспортного средства.
  5.  Кража секретной информации, например, секретных ключей авторизации.
  6.  Создание аварийной ситуации на дороге, например, неконтролируемое ускорение транспортного средства или резкая блокировка колес.
  7.  Уничтожение транспортного средства и смерть водителя, например, при блокировке колес на большой скорости в повороте или в следствии отказа тормозов.

3 Модель угроз для встроенных информационных систем

В данной главе будет составлена модель угроз для встроенных информационных систем автомобиля на основе ранее обработанных данных и адаптированных для данных систем методики ФСТЭК «методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», для того, чтобы составить модель угроз необходимо выполнить несколько условий:

  1.  Определить исходную защищенность системы
  2.  Определить возможные угрозы
  3.  Вероятность реализации
  4.  Опасность реализации
  5.  Коэффициент реализуемости.
  6.  Выделить из полного перечня угроз актуальные для данной системы
  7.  Составить из полученных данных модель угроз

3.1 Определение исходной защищенности ВИСА

Определение исходной защищенности ВИСА (Встроенных информационных систем автомобиля происходит) на основе адаптированной для данных систем таблицы, для данных систем была сделана следующая выборка:

  1.  Локальная ВИСА, развернутая в пределах одного транспортного средства – уровень защищенности высокий.
  2.  ВИСА имеет многоточечный выход в сеть общего пользования, следовательно, уровень защищенности низкий.
  3.  ВИСА, к которым имеет доступ владелец, а также любой обслуживающий персонал по соглашению с владельцем, следовательно, уровень защищенности низкий.
  4.  Интегрированная ВИСА, ВИСА использует не только свои данные, но также подвержена управляющему воздействию, следовательно, уровень защищенности низкий.
  5.  По легальным операциям с информацией в ВИСА относиться к низко защищенным, поскольку легальными операциями с данными являются чтение, передача, модификация, запись.
  6.  Сторонним пользователям, в данном случае любому, кто получил доступ к ВИСА предоставляется часть информации без предварительной обработки, следовательно, уровень защищенности средний.
  7.  В ВИСА данные передаются на все узлы сети, независимо необходимы они им или нет – следовательно уровень защищенности низкий.

Исходная степень защищенности определяется следующим образом.

ИС имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИС соответствуют уровню "высокий", а остальные - среднему уровню защищённости. ИС имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИС соответствуют уровню не ниже "средний", а остальные - низкому уровню защищённостью ИС имеет низкую степень исходной защищенности, если не выполняются условия для высокой, либо средней защищенность, следовательно, имея среди 7 решений 5 решений о низкой защищенности – ВИСА относиться к классу систем с низкой исходной защищенностью и в соответствии с требованиями коэффициент  [3]

3.2 Определение возможных угроз и вероятности их реализации, опасность, коэффициент реализуемости и актуальность

Следует определить угрозы и вероятность их реализации, при определении вероятности реализации каждой угрозе присваивается коэффициент  в зависимости от вероятности:

  1.  Маловероятно () - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
  2.  Низкая вероятность () - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
  3.  средняя вероятность () - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
  4.  высокая вероятность () - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. [3]

Коэффициент реализуемости угроз вычисляется по следующей формуле(1):

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

  1.  Eсли 0 </= Y </= 0,3, то возможность реализации угрозы признается низкой;
  2.  Eсли 0,3 </= Y </= 0,6, то возможность реализации угрозы признается средней;
  3.  
  1.  Eсли 0,6 </= Y </= 0,8, то возможность реализации угрозы признается высокой;

Eсли 0,6 </= Y </= 0,8, то возможность реализации угрозы признается высокой;

  1.  Если Y > 0,8, то возможность реализации угрозы признается очень высоко; [3]

Опасность угрозы оценивается исходя из следующих критериев:

  1.  Низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям
  2.  Средняя опасность - если реализация угрозы может привести к негативным последствиям
  3.  Высокая опасность - если реализация угрозы может привести к значительным негативным последствиям. [3]

В ходе выделения возможных угроз для ВИСА их было выделено 15 наименований, для них рассчитывались все требуемые коэффициенты и сводились в таблицу (табл.3.1.), далее, определилась степень актуальности каждой угрозы методом соотношения возможности реализации угрозы с показателем опасности угрозы, основываясь на табличных значениях (табл.3.2.).

Таблица 3.1 – Возможные угрозы

Продолжение таблицы 3.1

Таблица 3.2 - Актуальность угроз для ВИСА

Возможность реализации угрозы

показатель опасности угрозы

низкая

средняя

высокая

низкая

неактуально

неактуально

актуально

средняя

неактуально

актуально

актуально

высокая

актуально

актуально

актуально

очень высокая

актуально

актуально

актуально


3.3 Составление модели угроз

Модель угроз есть сортированный список угроз и методов противодействия им, на основе полученных ранее данных(см. табл.3.1-3.2) свелась таблица, которая была дополнена техническими способами противодействия угрозам и организационным методам противодействия угрозам, данные способы не смогут обеспечить полную безопасность ВИСА из-за специфики ИСА. Конечная таблица приведена в таблице 3.3.

Таблица 3.3 - Модель угроз для ВИСА

Наименование угрозы

Актуальность угрозы

меры по противодействия угрозе

технические

организационные

1

2

3

4

1. Кража ЭБУ

неактуально

Охранная сигнализация, закрепление бронекейса ЭБУ с помощью заклепок

Постановка транспорта на охраняемую стоянку, допуск к транспорту только доверенных лиц

2. Кража, уничтожение, изменение информации

актуально

Блокировка всех мест потенциального подключения нарушителя, установка сертифицированного оборудования, использование охранной сигнализации, мониторинг изменений параметров сети.

Постановка транспорта на охраняемую стоянку, допуск к транспорту только доверенных лиц, периодические проверки транспорта на изменения ПО устройств.

3. Вывод из строя каналов связи между компонентами ИС

актуально

Охранная сигнализация, помещение канала связи в усиленные кабель-каналы.

Постановка транспорта на охраняемую стоянку, допуск к транспорту только доверенных лиц

Продолжение таблицы 3.3

Продолжение таблицы 3.3

Продолжение таблицы 3.3

Заключение

В ходе данной работы была составлена модель угроз для встроенных информационных систем автомобиля, используя которую можно значительно повысить защищенность встроенных информационных сетей автомобиля. При составлении модели угроз, я столкнулся с тем, что исходная защищенность системы минимальная, в качестве основной шины передачи данных используется CAN, которая очень уязвима к атакам «отказ в обслуживании», не гласному съему сетевого трафика и поскольку фреймы данной шины не поддерживают идентификацию отправителя, это делает невозможным обнаружение устройств, которые оказывают деструктивное воздействие через внутреннюю сеть, так же не было обнаружено ни одного документа разработанного на Российской Федерации о том, как следует защищать информационные системы автомобиля, анализ же заграничной информации показал, что там тема защиты ИС автомобиля бурно развивается и идет в ногу со временем.


Список использованных источников

  1.  Коваленко. О.Л. Электронные системы автомобилей: учебное пособие; Сев. (Арктич.) федер. ун-т им. М.В. Ломоносова. - Архангельск: ИПЦ САФУ, 2013. - 80 с.: ил. ISBN 978-5-261-00762-3
  2.  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. // Федеральная служба по техническому и экспортному контролю.
  3.  Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: методика: утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. // Федеральная служба по техническому и экспортному контролю.
  4. Dr. Charlie Miller & Chris Valasek. Adventures in Automotive Networks and Control Units. [Электронный ресурс] / URL: http://www.ioactive.com/pdfs/IOActive_Adventures_in_Automotive_Networks_and_Control_Units.pdf; режим доступа: свободный. Дата обращения 15.02.2015.
  5. Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, and Tadayoshi Kohno Department of Computer Science and Engineering; Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, and Stefan Savage Department of Computer Science and Engineering. Experimental Security Analysis of a Modern Automobile 2010. [Электронный ресурс] / URL: http://www.autosec.org/pubs/cars-oakland2010.pdf, режим доступа: cвободный. Дата обращения 15.02.2015.
  6. McCarthy, C., Harnett, K., & Carter, A. (2014, October). Characterization of potential security threats in modern automobiles: A composite modeling approach. (Report No. DOT HS 812 074). Washington, DC: National Highway Traffic Safety Administration. [Электронный ресурс] / URL: www.nhtsa.gov/DOT/NHTSA/NVS/Crash%20Avoidance/Technical%20Publications/2014/812074_Characterization_PotentialThreatsAutos(1).pdf, режим доступа: свободный. Дата обращения 15.02.2015.
  7. Pierre Kleberger, Tomas Olovsson, and Erland Jonsson, Department of Computer Science and Engineering,Chalmers University of Technology. Security Aspects of the In-Vehicle Network in the Connected Car. 2011. [Электронный ресурс] / URL: http://www.syssec-project.eu/m/page-media/3/connectedcar-iv-2011.pdf, режим доступа: cвободный. Дата обращения 15.02.2015.
  8. Stephen Checkoway, Damon McCoy, Brian Kantor, Danny Anderson, Hovav Shacham, and Stefan Savage University of California, San Diego Karl Koscher, Alexei Czeskis, Franziska Roesner, and Tadayoshi Kohno University of Washington. Comprehensive Experimental Analyses of Automotive Attack Surfaces 2011. [Электронный ресурс] / URL: http://www.autosec.org/pubs/cars-usenixsec2011.pdf, режим доступа: свободный. Дата обращения 15.02.2015.


 

А также другие работы, которые могут Вас заинтересовать

41927. Дослідження схем включення біполярних транзисторів (БТ) в посилювальних каскадах 1.04 MB
  Мета роботи: Дослідження посилю вальних каскадів на БТ. Результаты экспериментов Эксперимент 1. Исследовать схему включения транзистора с ОЭ.Схема експерименту Осцилограма вхідного і вихдного сигнала зображена на рис.1
41929. Створення малюнків за допомогою геометричних фігур 93.51 KB
  Актуалізація опорних знань Види геометричних фігур. Створення малюнків за допомогою геометричних фігур. Назвіть відомі вам геометричні фігури.
41931. Принцип дії та будова мікропроцесора 365.03 KB
  strtup Запуск програми mov BX vr1 – команда копіювання vr1 в BX mov DL vr2 – команда копіювання vr2 DL mov DH 0 – команда копіювання 0 в DH mov X 0 – команда копіювання 0 в X dd X BX – команда додавання DX до X dd X DX – команда додавання DX до X mov result X команда копіювання АХ в result . mov BX vr1 – команда копіювання vr1 в BX mov DL vr2 – команда копіювання vr2 DL mov DH 0 – команда копіювання 0 в DH mov X 0 – команда...
41932. Нахождение корней уравнения в MathCad на интервале [-2.5;2.5] 146.34 KB
  Тема: Нахождение корней уравнения в MthCd: на интервале Цель работы: нахождение корней уравнения в программе MthCd с использованием встроенных функций root polyroots символьного решения. Задание: 1 Нахождение корней уравнения в программе MthCd с использованием встроенной функции root.
41933. Выполнение действий с матрицами в программе MathCad 69.08 KB
  Задание: 1 Создать матрицы. 3 Найти ранг матрицы А ранг матрицы наибольший порядок минора этой матрицы который отличный от нуля: rnk. 4 В символьном виде выполнить транспонирование матрицы В т. заменить местами строки и столбцы матрицы В.
41934. Нахождение решений системы линейных уравнений в MathCad 60.43 KB
  Тема: Нахождение решений системы линейных уравнений в MthCd. Цель работы: нахождение решений системы линейных уравнений в программе MthCd. Коэффициенты при неизвестных Свободные члены...
41935. Нахождение решений системы нелинейных уравнений в MathCad 45.24 KB
  Тема: Нахождение решений системы нелинейных уравнений в MthCd. Цель работы: нахождение решений системы нелинейных уравнений в программе MthCd . Задание: 1 Найти решение системы нелинейных уравнений с использованием так называемого блока решений .