Segurança automotiva - Automotive security

A segurança automotiva refere-se ao ramo da segurança informática com foco nos riscos cibernéticos relacionados ao contexto automotivo. O número cada vez mais elevado de ECUs nos veículos e, paralelamente, a implementação de vários meios de comunicação diferentes de e para o veículo de forma remota e sem fios, levou à necessidade de um ramo da cibersegurança dedicado às ameaças associadas aos veículos. Não deve ser confundido com segurança automotiva .

Causas

A implementação de múltiplas ECUs (Electronic Control Units) dentro dos veículos começou no início dos anos 70, graças ao desenvolvimento de circuitos integrados e microprocessadores que tornaram economicamente viável a produção de ECUs em grande escala. Desde então, o número de ECUs aumentou para até 100 por veículo. Essas unidades hoje controlam quase tudo no veículo, desde tarefas simples, como o acionamento dos limpadores, até tarefas mais relacionadas à segurança, como Brake-by-wire ou ABS (Anti-lock Braking System). A direção autônoma também depende fortemente da implementação de novas e complexas ECUs, como o ADAS , ao lado de sensores ( lidars e radares ) e suas unidades de controle.

Dentro do veículo, as ECUs são conectadas entre si por meio de redes de comunicação cabeadas ou sem fio, como CAN bus (Controller Area Network), MOST bus (Media Oriented System Transport), FlexRay ou RF (Radio Frequency) como em muitas implementações de TPMSs (Sistemas de monitoramento da pressão dos pneus). É importante notar que muitas dessas ECUs exigem dados recebidos por meio dessas redes que chegam de vários sensores para operar e usar esses dados para modificar o comportamento do veículo (por exemplo, o controle de cruzeiro modifica a velocidade do veículo dependendo dos sinais que chegam de um botão normalmente localizado no volante).

Desde o desenvolvimento de tecnologias de comunicação sem fio baratas, como Bluetooth , LTE , Wi-Fi , RFID e similares, os fabricantes automotivos e OEMs projetaram ECUs que implementam tais tecnologias com o objetivo de melhorar a experiência do motorista e dos passageiros. Sistemas relacionados à segurança como o OnStar da General Motors , unidades telemáticas , comunicação entre smartphones e alto-falantes do veículo através de Bluetooth, Android Auto e Apple CarPlay .

Modelo de Ameaça

Os modelos de ameaças do mundo automotivo são baseados em ataques do mundo real e teoricamente possíveis. A maioria dos ataques do mundo real visam a segurança das pessoas e em torno do carro, modificando os cyber-físicos capacidades do veículo (por exemplo, direcção, travagem, aceleração sem a necessidade de acções a partir do condutor), enquanto os ataques teóricos foram suposto focar também em objetivos relacionados à privacidade, como a obtenção de dados de GPS do veículo ou a captura de sinais de microfone e similares.

Em relação às superfícies de ataque do veículo, elas geralmente são divididas em superfícies de ataque de longo alcance, curto alcance e local: LTE e DSRC podem ser considerados de longo alcance, enquanto Bluetooth e Wi-Fi são geralmente considerados de curto alcance, embora ainda sem fio. Finalmente, USB , OBD-II e todas as superfícies de ataque que requerem acesso físico ao carro são definidas como locais. Um atacante que consegue realizar o ataque através de uma superfície de longo alcance é considerado mais forte e mais perigoso do que aquele que requer acesso físico ao veículo. Em 2015 a possibilidade de ataques a veículos já existentes no mercado foi comprovada por Miller e Valasek, que conseguiram atrapalhar a condução de um Jeep Cherokee ao se conectar remotamente a ele por meio de comunicação sem fio remota.

Ataques de rede de área de controlador

A rede mais comum usada em veículos e aquela que é usada principalmente para comunicação relacionada à segurança é a CAN , devido às suas propriedades de tempo real, simplicidade e baixo custo. Por esse motivo, a maioria dos ataques do mundo real foram implementados contra ECUs conectados por meio desse tipo de rede.

A maioria dos ataques demonstrados contra veículos reais ou em bancos de teste se enquadram em uma ou mais das seguintes categorias:

Cheirando

Farejar no campo da segurança do computador geralmente se refere à possibilidade de interceptar e registrar pacotes ou, mais geralmente, dados de uma rede. No caso do CAN, por se tratar de uma rede bus , cada nodo escuta toda a comunicação da rede. É útil para o invasor ler os dados para aprender o comportamento dos outros nós da rede antes de implementar o ataque real. Normalmente, o objetivo final do invasor não é simplesmente farejar os dados no CAN, uma vez que os pacotes que passam neste tipo de rede geralmente não têm valor apenas para leitura.

Negação de serviço

A negação de serviço ( DoS ) em segurança da informação é geralmente descrita como um ataque que tem o objetivo de tornar uma máquina ou uma rede indisponível. Ataques DoS contra ECUs conectadas a barramentos CAN podem ser feitos tanto contra a rede, abusando do protocolo de arbitragem usado pelo CAN para sempre vencer a arbitragem, quanto visando a única ECU, abusando do protocolo de tratamento de erros do CAN. Neste segundo caso, o atacante sinaliza as mensagens da vítima como falhas para convencer a vítima de estar quebrada e, portanto, desligar a rede.

Spoofing

Os ataques de spoofing compreendem todos os casos em que um invasor, ao falsificar dados, envia mensagens fingindo ser outro nó da rede. Na segurança automotiva, geralmente os ataques de spoofing são divididos em ataques de máscara e repetição . Ataques de repetição são definidos como todos aqueles em que o invasor finge ser a vítima e envia dados detectados que a vítima enviou em uma iteração anterior de autenticação. Os ataques de máscara são, ao contrário, ataques de spoofing em que a carga de dados foi criada pelo invasor.

Exemplo de ameaça automotiva na vida real

Os pesquisadores de segurança Charlie Miller e Chris Valasek demonstraram com sucesso o acesso remoto a uma ampla variedade de controles de veículos usando um Jeep Cherokee como alvo. Eles conseguiram controlar o rádio, os controles ambientais, os limpadores de pára-brisa e certas funções do motor e do freio.

O método usado para hackear o sistema foi a implementação de um chip pré-programado no barramento da rede de área do controlador (CAN). Ao inserir este chip no barramento CAN, ele foi capaz de enviar mensagens arbitrárias para o barramento CAN. Outra coisa que Miller apontou é o perigo do barramento CAN, pois ele transmite o sinal de que a mensagem pode ser capturada pelos hackers em toda a rede.

O controle do veículo era todo feito remotamente, manipulando o sistema sem nenhuma interação física. Miller afirma que ele poderia controlar qualquer um dos cerca de 1,4 milhão de veículos nos Estados Unidos, independentemente da localização ou distância, a única coisa necessária é alguém ligar o veículo para obter acesso.

Medidas de segurança

A crescente complexidade de dispositivos e redes no contexto automotivo exige a aplicação de medidas de segurança para limitar as capacidades de um invasor potencial. Desde o início de 2000, muitas contramedidas diferentes foram propostas e, em alguns casos, aplicadas. A seguir, uma lista das medidas de segurança mais comuns:

Sub-redes : para limitar as capacidades do invasor, mesmo que ele consiga acessar o veículo remotamente por meio de uma ECU conectada remotamente, as redes do veículo são divididas em várias sub-redes, e as ECUs mais críticas não são colocadas nas mesmas sub-redes das ECUs que podem ser acessadas remotamente.
Gateways : as sub-redes são divididas por gateways ou firewalls seguros que bloqueiam a passagem de mensagens de uma sub-rede para a outra, caso não seja essa a intenção.
Sistemas de Detecção de Intrusão (IDS) : em cada sub-rede crítica, um dos nós (ECUs) conectados a ela tem o objetivo de ler todos os dados que passam na sub-rede e detectar mensagens que, dadas algumas regras, são consideradas maliciosas ( feito por um invasor). As mensagens arbitrárias podem ser capturadas pelo passageiro usando o IDS que notificará o proprietário a respeito de mensagens inesperadas.
Protocolos de autenticação : para implementar a autenticação em redes onde ela ainda não está implementada (como CAN), é possível projetar um protocolo de autenticação que funcione nas camadas superiores do modelo ISO OSI , usando parte da carga de dados de uma mensagem para autenticar a própria mensagem.
Módulos de segurança de hardware : como muitas ECUs não são potentes o suficiente para manter atrasos em tempo real durante a execução de rotinas de criptografia ou descriptografia, entre a ECU e a rede é possível colocar um módulo de segurança de hardware que gerencia a segurança dela.

Legislação

Em junho de 2020, o Fórum Mundial para Harmonização dos Regulamentos de Veículos da Comissão Econômica das Nações Unidas para a Europa (UNECE) lançou dois novos regulamentos, R155 e R156, estabelecendo "requisitos claros de desempenho e auditoria para fabricantes de automóveis" em termos de segurança cibernética automotiva e atualizações de software.

Notas

^ "Tendências na indústria de semicondutores: 1970" . Museu de História dos Semicondutores do Japão . Arquivado do original em 27 de junho de 2019 . Página visitada em 27 de junho de 2019 .
^ "Página principal do site do sistema OnStar" . Retirado em 3 de julho de 2019 .
^ "Página do site Android Auto" . Retirado em 3 de julho de 2019 .
^ "Página do site do Apple CarPlay" . Retirado em 3 de julho de 2019 .
^ ^a ^b Koscher, K .; Czeskis, A .; Roesner, F .; Patel, S .; Kohno, T .; Checkoway, S .; McCoy, D .; Kantor, B .; Anderson, D .; Shacham, H .; Savage, S. (2010). "Análise Experimental de Segurança de um Automóvel Moderno". Simpósio IEEE de 2010 sobre Segurança e Privacidade : 447–462. CiteSeerX 10.1.1.184.3183 . doi : 10.1109 / SP.2010.34 . ISBN 978-1-4244-6894-2.
^ ^a ^b "Análises experimentais abrangentes de superfícies de ataque automotivo | USENIX" . www.usenix.org .
^ ^a ^b "Fixando sistemas informáticos veiculares a bordo: O projeto EVITA" (PDF) . evita-project.org .
^ ^a ^b ^c ^d ^e Le, Van Huynh; den Hartog, Jerry; Zannone, Nicola (1 de novembro de 2018). "Segurança e privacidade para aplicações automotivas inovadoras: uma pesquisa". Comunicações por computador . 132 : 17–41. doi : 10.1016 / j.comcom.2018.09.010 . ISSN 0140-3664 .
^ ^a ^b Greenberg, Andy (1º de agosto de 2016). "Os hackers de jipe estão de volta para provar que hackear carros pode piorar ainda mais" . Com fio .
^ ^a ^b ^c Greenberg, Andy (21 de julho de 2015). "Hackers matam um jipe remotamente na estrada - comigo nele" . Com fio . Página visitada em 11 de outubro de 2020 .
^ ^a ^b Palanca, Andrea; Evenchick, Eric; Maggi, Federico; Zanero, Stefano (2017). "Um ataque furtivo, seletivo, de negação de serviço de camada de link contra redes automotivas". Detecção de invasões e malware e avaliação de vulnerabilidade . Notas de aula em Ciência da Computação. Springer International Publishing. 10327 : 185–206. doi : 10.1007 / 978-3-319-60876-1_9 . hdl : 11311/1030098 . ISBN 978-3-319-60875-4. S2CID 37334277 .
^ ^a ^b Radu, Andreea-Ina; Garcia, Flavio D. (2016). "LeiA: um protocolo de autenticação leve para CAN" (PDF) . Segurança Informática - ESORICS 2016 . Notas de aula em Ciência da Computação. Springer International Publishing. 9879 : 283–300. doi : 10.1007 / 978-3-319-45741-3_15 . ISBN 978-3-319-45740-6.
^ Miller, Charlie (dezembro de 2019). “Lições aprendidas hackeando um carro”. Projeto e teste IEEE . 36 (6): 7–9. doi : 10.1109 / MDAT.2018.2863106 . ISSN 2168-2356 .
^ Lokman, Siti-Farhana; Othman, Abu Talib; Abu-Bakar, Muhammad-Husaini (19/07/2019). "Sistema de detecção de intrusão para sistema de barramento de rede de controle automotivo (CAN): uma revisão" . EURASIP Journal on Wireless Communications and Networking . 2019 (1): 184. doi : 10.1186 / s13638-019-1484-3 . ISSN 1687-1499 .
^ Gmiden, Mabrouka; Gmiden, Mohamed Hedi; Trabelsi, Hafedh (dezembro de 2016). "Um método de detecção de intrusão para proteger o barramento CAN no veículo". 2016 17ª Conferência Internacional de Ciências e Técnicas de Controle Automático e Engenharia de Computação (STA) . Sousse, Tunísia: IEEE: 176-180. doi : 10.1109 / STA.2016.7952095 . ISBN 978-1-5090-3407-9.
^ Nações, Comissão econômica das Nações Unidas para o des do UnitPalais de EuropeInformation; Genebra 10, CH-1211; Switzerl. "Regulamentos da ONU sobre segurança cibernética e atualizações de software para preparar o caminho para a implantação em massa de veículos conectados" . www.unece.org . Recuperado em 2020-11-10 .

[1] "Tendências na indústria de semicondutores: 1970" . Museu de História dos Semicondutores do Japão . Arquivado do original em 27 de junho de 2019 . Página visitada em 27 de junho de 2019 .

[2] "Página principal do site do sistema OnStar" . Retirado em 3 de julho de 2019 .

[3] "Página do site Android Auto" . Retirado em 3 de julho de 2019 .

[4] "Página do site do Apple CarPlay" . Retirado em 3 de julho de 2019 .

[koscher-5] Koscher, K .; Czeskis, A .; Roesner, F .; Patel, S .; Kohno, T .; Checkoway, S .; McCoy, D .; Kantor, B .; Anderson, D .; Shacham, H .; Savage, S. (2010). "Análise Experimental de Segurança de um Automóvel Moderno". Simpósio IEEE de 2010 sobre Segurança e Privacidade : 447–462. CiteSeerX 10.1.1.184.3183 . doi : 10.1109 / SP.2010.34 . ISBN 978-1-4244-6894-2.

[checkoway-6] "Análises experimentais abrangentes de superfícies de ataque automotivo | USENIX" . www.usenix.org .

[evita-7] "Fixando sistemas informáticos veiculares a bordo: O projeto EVITA" (PDF) . evita-project.org .

[survey-8] Le, Van Huynh; den Hartog, Jerry; Zannone, Nicola (1 de novembro de 2018). "Segurança e privacidade para aplicações automotivas inovadoras: uma pesquisa". Comunicações por computador . 132 : 17–41. doi : 10.1016 / j.comcom.2018.09.010 . ISSN 0140-3664 .

[jeep1-9] Greenberg, Andy (1º de agosto de 2016). "Os hackers de jipe estão de volta para provar que hackear carros pode piorar ainda mais" . Com fio .

[WiredJul2015-10] Greenberg, Andy (21 de julho de 2015). "Hackers matam um jipe remotamente na estrada - comigo nele" . Com fio . Página visitada em 11 de outubro de 2020 .

[palanca-11] Palanca, Andrea; Evenchick, Eric; Maggi, Federico; Zanero, Stefano (2017). "Um ataque furtivo, seletivo, de negação de serviço de camada de link contra redes automotivas". Detecção de invasões e malware e avaliação de vulnerabilidade . Notas de aula em Ciência da Computação. Springer International Publishing. 10327 : 185–206. doi : 10.1007 / 978-3-319-60876-1_9 . hdl : 11311/1030098 . ISBN 978-3-319-60875-4. S2CID 37334277 .

[leia-12] Radu, Andreea-Ina; Garcia, Flavio D. (2016). "LeiA: um protocolo de autenticação leve para CAN" (PDF) . Segurança Informática - ESORICS 2016 . Notas de aula em Ciência da Computação. Springer International Publishing. 9879 : 283–300. doi : 10.1007 / 978-3-319-45741-3_15 . ISBN 978-3-319-45740-6.

[13] Miller, Charlie (dezembro de 2019). “Lições aprendidas hackeando um carro”. Projeto e teste IEEE . 36 (6): 7–9. doi : 10.1109 / MDAT.2018.2863106 . ISSN 2168-2356 .

[14] Lokman, Siti-Farhana; Othman, Abu Talib; Abu-Bakar, Muhammad-Husaini (19/07/2019). "Sistema de detecção de intrusão para sistema de barramento de rede de controle automotivo (CAN): uma revisão" . EURASIP Journal on Wireless Communications and Networking . 2019 (1): 184. doi : 10.1186 / s13638-019-1484-3 . ISSN 1687-1499 .

[15] Gmiden, Mabrouka; Gmiden, Mohamed Hedi; Trabelsi, Hafedh (dezembro de 2016). "Um método de detecção de intrusão para proteger o barramento CAN no veículo". 2016 17ª Conferência Internacional de Ciências e Técnicas de Controle Automático e Engenharia de Computação (STA) . Sousse, Tunísia: IEEE: 176-180. doi : 10.1109 / STA.2016.7952095 . ISBN 978-1-5090-3407-9.

[16] Nações, Comissão econômica das Nações Unidas para o des do UnitPalais de EuropeInformation; Genebra 10, CH-1211; Switzerl. "Regulamentos da ONU sobre segurança cibernética e atualizações de software para preparar o caminho para a implantação em massa de veículos conectados" . www.unece.org . Recuperado em 2020-11-10 .

Languages

In other projects