Автомобильная безопасность относится к отрасли компьютерной безопасности, ориентированной на киберриски, связанные с автомобильным контекстом. Растущее количество ЭБУ в транспортных средствах и, наряду с этим, реализация множества различных средств связи от и к транспортному средству удаленным и беспроводным способом привело к необходимости отрасли кибербезопасности, посвященной угрозам, связанным с транспортными средствами. Не путать с автомобильной безопасностью .
Причины
Внедрение нескольких ЭБУ (электронных блоков управления) внутри транспортных средств началось в начале 70-х годов благодаря разработке интегральных схем и микропроцессоров, которые сделали экономически целесообразным производство ЭБУ в больших масштабах. [1] С тех пор количество ЭБУ увеличилось до 100 на автомобиль. В настоящее время эти устройства контролируют практически все в автомобиле, от простых задач, таких как активация дворников, до более связанных с безопасностью задач, таких как проводное торможение или ABS (антиблокировочная тормозная система). Автономное вождение также сильно зависит от внедрения новых сложных ЭБУ, таких как ADAS , а также датчиков ( лидаров и радаров ) и их блоков управления.
Внутри автомобиля блоки управления соединены друг с другом через кабельные или беспроводные сети связи, такие как CAN-шина (сеть контроллеров), шина MOST (мультимедийная транспортная система), FlexRay или RF (радиочастота), как во многих реализациях TPMS (Системы контроля давления в шинах). Важно отметить, что многим из этих ЭБУ требуются данные, полученные через эти сети, которые поступают от различных датчиков для работы и использования этих данных для изменения поведения транспортного средства (например, круиз-контроль изменяет скорость транспортного средства в зависимости от сигналов, поступающих от кнопка обычно находится на руле).
С момента появления дешевых технологий беспроводной связи, таких как Bluetooth , LTE , Wi-Fi , RFID и т. Д., Производители автомобилей и OEM-производители разработали электронные блоки управления, которые реализуют такие технологии с целью повышения качества обслуживания водителя и пассажиров. Системы обеспечения безопасности, такие как OnStar [2] от General Motors , телематические устройства, связь между смартфонами и динамиками автомобиля через Bluetooth, Android Auto [3] и Apple CarPlay . [4]
Модель угрозы
Модели угроз автомобильного мира основаны как на реальных, так и на теоретически возможных атаках. Большинство реальных атак нацелены на безопасность людей в автомобиле и вокруг него, изменяя киберфизические возможности автомобиля (например, рулевое управление, торможение, ускорение, не требуя действий со стороны водителя [5] [6] ), в то время как теоретические атаки должны были быть сосредоточены также на целях, связанных с конфиденциальностью, таких как получение данных GPS на транспортном средстве или захват сигналов микрофона и тому подобное. [7]
Что касается поверхностей атаки транспортного средства, они обычно делятся на поверхности дальнего действия, ближнего действия и локальные поверхности атаки: [8] LTE и DSRC можно считать дальнобойными, в то время как Bluetooth и Wi-Fi обычно считаются короткими. -диапазон, хотя по-прежнему беспроводной. Наконец, USB , OBD-II и все поверхности атаки, требующие физического доступа к автомобилю, определяются как локальные. Злоумышленник, который может осуществить атаку через поверхность большого радиуса действия, считается более сильным и опасным, чем тот, которому требуется физический доступ к транспортному средству. В 2015 году возможность атак на автомобили, уже имеющиеся на рынке, была доказана Миллером и Валасеком, которым удалось помешать управлению Jeep Cherokee при удаленном подключении к нему через удаленную беспроводную связь. [9] [10]
Атаки на сеть контроллеров
Наиболее распространенной сетью, используемой в транспортных средствах, и той, которая в основном используется для связи , связанной с безопасностью, является CAN , из-за ее свойств в реальном времени, простоты и дешевизны. По этой причине большинство реальных атак было реализовано против ЭБУ, подключенных через этот тип сети. [5] [6] [9] [10]
Большинство атак, продемонстрированных либо против реальных транспортных средств, либо на испытательных полигонах, относятся к одной или нескольким из следующих категорий:
Нюхать
Обнюхивание в области компьютерной безопасности обычно относится к возможности перехвата и регистрации пакетов или, в более общем смысле, данных из сети. В случае CAN, поскольку это шинная сеть, каждый узел прослушивает все коммуникации в сети. Злоумышленнику полезно прочитать данные, чтобы изучить поведение других узлов сети, прежде чем реализовывать фактическую атаку. Обычно конечная цель злоумышленника не состоит в том, чтобы просто перехватить данные по CAN, поскольку пакеты, проходящие по этому типу сети, обычно не имеют ценности просто для чтения. [8]
Отказ в обслуживании
Отказ в обслуживании ( DoS ) в области информационной безопасности обычно описывается как атака, цель которой - сделать машину или сеть недоступными. DoS- атаки на ЭБУ, подключенные к шинам CAN, могут быть выполнены как против сети, злоупотребляя протоколом арбитража, используемым CAN, чтобы всегда выигрывать арбитраж, оба нацелены на один ЭБУ, злоупотребляя протоколом обработки ошибок CAN. [11] Во втором случае злоумышленник помечает сообщения жертвы как ошибочные, чтобы убедить жертву в том, что они взломаны, и поэтому отключает себя от сети. [11]
Спуфинг
Атаки со спуфингом включают все случаи, когда злоумышленник, фальсифицируя данные, отправляет сообщения, выдавая себя за другой узел сети. В автомобильной безопасности атаки спуфинга обычно делятся на атаки Masquerade и Replay . Атаки с воспроизведением определяются как все атаки, при которых злоумышленник выдает себя за жертву и отправляет перехваченные данные, которые жертва отправила на предыдущей итерации аутентификации. Напротив, маскарадные атаки - это атаки со спуфингом, при которых полезные данные создаются злоумышленником. [12]
Пример автомобильной угрозы из реальной жизни
Исследователи в области безопасности Чарли Миллер и Крис Валасек успешно продемонстрировали удаленный доступ к широкому спектру средств управления транспортными средствами, используя в качестве цели Jeep Cherokee . Они могли управлять радио, системой контроля окружающей среды, дворниками, а также некоторыми функциями двигателя и тормозов. [10]
Метод, использованный для взлома системы, заключался в внедрении предварительно запрограммированного чипа в шину сети контроллеров (CAN). Вставив этот чип в CAN-шину, он смог отправить произвольное сообщение на CAN-шину. Еще одна вещь, на которую указал Миллер, - это опасность шины CAN, поскольку она передает сигнал, сообщение которого могут быть перехвачены хакерами по всей сети.
Управление транспортным средством осуществлялось дистанционно, без какого-либо физического взаимодействия с системой. Миллер заявляет, что он мог контролировать любой из примерно 1,4 миллиона автомобилей в Соединенных Штатах, независимо от местоположения или расстояния, единственное, что нужно, - это чтобы кто-то включил автомобиль, чтобы получить доступ. [13]
Меры безопасности
Возрастающая сложность устройств и сетей в автомобильном контексте требует применения мер безопасности для ограничения возможностей потенциального злоумышленника. С начала 2000 года было предложено и в некоторых случаях применено множество различных контрмер. Ниже приводится список наиболее распространенных мер безопасности: [8]
- Подсети : чтобы ограничить возможности злоумышленника, даже если ему / ей удастся получить доступ к автомобилю удаленно через удаленно подключенный ЭБУ, сети автомобиля разделены на несколько подсетей, и наиболее важные ЭБУ не помещаются в те же подсети ЭБУ, к которым можно получить удаленный доступ. [8]
- Шлюзы : подсети разделены безопасными шлюзами или межсетевыми экранами, которые блокируют передачу сообщений из одной подсети в другую, если они не предназначены для этого. [8]
- Системы обнаружения вторжений (IDS) : в каждой критической подсети один из подключенных к ней узлов (ECU) имеет цель считывать все данные, передаваемые в подсети, и обнаруживать сообщения, которые с учетом некоторых правил считаются вредоносными ( сделано злоумышленником). [14] Произвольные сообщения могут быть перехвачены пассажиром с помощью IDS, который уведомит владельца о неожиданном сообщении. [15]
- Протоколы аутентификации : для реализации аутентификации в сетях, где она еще не реализована (например, CAN), можно разработать протокол аутентификации, который работает на более высоких уровнях модели ISO OSI , используя часть полезной нагрузки данных сообщение для аутентификации самого сообщения. [12]
- Модули аппаратной безопасности : поскольку многие ЭБУ недостаточно мощны, чтобы поддерживать задержки в реальном времени при выполнении процедур шифрования или дешифрования, между ЭБУ и сетью можно разместить аппаратный модуль безопасности, который управляет его безопасностью. [7]
Законодательство
В июне 2020 года Всемирный форум Европейской экономической комиссии Организации Объединенных Наций (ЕЭК ООН) по гармонизации правил в отношении транспортных средств выпустил два новых правила, R155 и R156, устанавливающих «четкие требования к производительности и аудиту для производителей автомобилей» с точки зрения кибербезопасности автомобилей и обновлений программного обеспечения. [16]
Заметки
- ^ «Тенденции в полупроводниковой промышленности: 1970-е» . Японский музей истории полупроводников . Архивировано из оригинального 27 июня 2019 года . Проверено 27 июня 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Главная страница сайта системы OnStar» . Дата обращения 3 июля 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ "Страница сайта Android Auto" . Дата обращения 3 июля 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Страница веб-сайта Apple CarPlay» . Дата обращения 3 июля 2019 . CS1 maint: обескураженный параметр ( ссылка )
- ^ а б Koscher, K .; Czeskis, A .; Roesner, F .; Patel, S .; Коно, Т .; Checkoway, S .; McCoy, D .; Кантор, Б .; Андерсон, Д .; Shacham, H .; Сэвидж, С. (2010). «Экспериментальный анализ безопасности современного автомобиля». Симпозиум IEEE 2010 г. по безопасности и конфиденциальности : 447–462. CiteSeerX 10.1.1.184.3183 . DOI : 10,1109 / SP.2010.34 . ISBN 978-1-4244-6894-2.
- ^ а б "Комплексные экспериментальные анализы автомобильных поверхностей нападения | USENIX" . www.usenix.org .
- ^ а б «Защита бортовых ИТ-систем транспортных средств: проект EVITA» (PDF) . evita-project.org .
- ^ а б в г д Le, Van Huynh; ден Хартог, Джерри; Дзанноне, Никола (1 ноября 2018 г.). «Безопасность и конфиденциальность для инновационных автомобильных приложений: обзор». Компьютерные коммуникации . 132 : 17–41. DOI : 10.1016 / j.comcom.2018.09.010 . ISSN 0140-3664 .
- ^ а б Гринберг, Энди (1 августа 2016 г.). «Хакеры Jeep вернулись, чтобы доказать, что взлом автомобилей может стать намного хуже» . Проводной .
- ^ а б в Гринберг, Энди (21 июля 2015 г.). «Хакеры удаленно убивают джип на шоссе - со мной в нем» . Проводной . Дата обращения 11 октября 2020 . CS1 maint: обескураженный параметр ( ссылка )
- ^ а б Паланка, Андреа; Эвенчик, Эрик; Магги, Федерико; Занеро, Стефано (2017). «Скрытая, избирательная атака отказа в обслуживании на канальном уровне против автомобильных сетей». Обнаружение вторжений и вредоносного ПО, а также оценка уязвимости . Конспект лекций по информатике. Издательство Springer International. 10327 : 185–206. DOI : 10.1007 / 978-3-319-60876-1_9 . hdl : 11311/1030098 . ISBN 978-3-319-60875-4. S2CID 37334277 .
- ^ а б Раду, Андреа-Ина; Гарсия, Флавио Д. (2016). «LeiA: облегченный протокол аутентификации для CAN» (PDF) . Компьютерная безопасность - ESORICS 2016 . Конспект лекций по информатике. Издательство Springer International. 9879 : 283–300 . DOI : 10.1007 / 978-3-319-45741-3_15 . ISBN 978-3-319-45740-6.
- ^ Миллер, Чарли (декабрь 2019 г.). «Уроки, извлеченные из взлома автомобиля». Дизайн и тестирование IEEE . 36 (6): 7–9. DOI : 10.1109 / MDAT.2018.2863106 . ISSN 2168-2356 .
- ^ Локман, Сити-Фархана; Осман, Абу Талиб; Абу-Бакар, Мухаммад-Хусаини (19.07.2019). «Система обнаружения вторжений в шинную систему CAN сети автомобильных контроллеров: обзор» . Журнал EURASIP по беспроводным коммуникациям и сетям . 2019 (1): 184. DOI : 10,1186 / s13638-019-1484-3 . ISSN 1687-1499 .
- ^ Гмиден, Мабрука; Гмиден, Мохамед Хеди; Трабелси, Хафед (декабрь 2016 г.). «Метод обнаружения вторжения для защиты CAN-шины в автомобиле». 2016 17-я Международная конференция по наукам и методам автоматического управления и вычислительной техники (STA) . Сус, Тунис: IEEE: 176–180. DOI : 10,1109 / STA.2016.7952095 . ISBN 978-1-5090-3407-9.
- ^ Организация Объединенных Наций, Европейская экономическая комиссия Организации Объединенных Наций, Информационный отдел, Пале де Женева 10, CH-1211; Switzerl. «Правила ООН по кибербезопасности и обновлениям программного обеспечения, чтобы подготовить почву для массового развертывания подключенных транспортных средств» . www.unece.org . Проверено 10 ноября 2020 .