rafacon Opublikowano 9 Stycznia 2017 Udostępnij Opublikowano 9 Stycznia 2017 Mam pytanie, czy ISR był badany (w postaci formalnego audytu) pod kątem bezpieczeństwa cyfrowego. Jako, że korzysta z połączeń danych GSM, a chroniony jest "numerem telefonu i kodem PIN", można przyjąć że skanując taryfy telemetryczne i rotując PIN możliwe jest "podłączenie". Pytanie stawiam w świetle znanych dziur w podobnym systemie, pozwalających na zdalny dostęp do pojazdów. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Kambol Opublikowano 9 Stycznia 2017 Udostępnij Opublikowano 9 Stycznia 2017 A czym skutkuje uzyskanie takiego zdalnego dostępu? Podsłuchem rozmów? Śledzeniem lokalizacji? Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
recki Opublikowano 9 Stycznia 2017 Udostępnij Opublikowano 9 Stycznia 2017 Podsluchem to wątpię ale śledzenie pozycji bardzo realne. Czym są taryfy telemetryczne? Domyślam się o co biega ale tego terminu nie spotkałem. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
rafacon Opublikowano 9 Stycznia 2017 Autor Udostępnij Opublikowano 9 Stycznia 2017 Nieznany mi jest poziom integracji tego modułu z pojazdem. Czy może komunikować się z np. z ECU? Co, jeżeli pojazd zostanie ukradziony, a po BT podawane będą nieprawdziwe komunikaty NMEA, żeby ISR nie zauważył ruchu? Albo raportował ruch w innym kierunku? Czy moduł GPS ma jakiś mechanizm autentykacji? Urządzenie udostępnia połączenie dla danych w sieci GSM: czyli można też coś do niego wysłać, w teorii podmienić oprogramowanie albo wykorzystać jako kanał komunikacyjny do dostępu do CAN pojazdu itp. Tak wykorzystano podobny system w Jeep/Fiat. Można było np. sterować przyspieszeniem auta. Poszukajcie w Google kill Jeep uconnect. Prosta sprawa, czy system korzysta z dedykowanego APN z dostępem z hasłem, czy ogólnego? Czy dane są bezpiecznie przesyłane, czy można centrum monitoringu oszukać podmienionymi danymi? Wyobraźmy sobie taki żarcik, ze wszystkie ISR raportują zdarzenie drogowe na raz - przecież to może sparaliżować i centrum ISR i służby ratunkowe. Tego typu poważne systemy powinny w dzisiejszych czasach być audytowane i sprawdzane przez ethical hacker, mieć potwierdzenie jakiegoś poziomu bezpieczeństwa, i o to pytam. Sent from my iPhone using Tapatalk Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Keratronik ISR Opublikowano 10 Stycznia 2017 Udostępnij Opublikowano 10 Stycznia 2017 System ISR w żaden sposób nie jest połączony z ECU pojazdu dlatego też nie ma technicznych możliwości przesłania jakichkolwiek komunikatów do szyny CAN a co za tym idzie, nie istnieje zagrożenie „przejęcia” sterowaniem pojazdu.ISR posiada swoje własne czujniki, które w sposób wystarczający pozwalają na skuteczne działanie systemu ratunkowego. Nie posiłkujemy się danymi z urządzeń w pojeździe. Ze względu na bezpieczeństwo klientów nie chcemy na forum ogólnym zdradzać wszystkich szczegółów technicznych (sposób w jaki są zabezpieczone urządzenia). Przykładem zabezpieczenia jest między innymi funkcjonalność pozwalająca na „wdzwonienie” się do urządzenia ISR, tylko uprawnionej do tego celu osoby, która zostanie wcześniej poprawnie zidentyfikowana przez urządzenie.Nawet w przypadku wyjęcia karty SIM z urządzenia, odczytania nr MSISDN i wejściu w posiadanie nr PIN, nie ma zagrożenia "wgrania" posłuchu. Przeprogramowanie urządzenia możliwe jest dopiero po uwierzytelnieniu podmiotu komunikującego się z systemem w pojeździe. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
rafacon Opublikowano 10 Stycznia 2017 Autor Udostępnij Opublikowano 10 Stycznia 2017 (edytowane) Dziękuję za obszerne wyjaśnienia. Na pewno pełna izolacja od pojazdu to ważna cecha. Jednak są to jak rozumiem zapewnienia producenta, a niezależnego audytu jeszcze nie przeprowadzono? Pytam z zawodowej ciekawości, bo systemy tego rodzaju są zazwyczaj pomijane jako źródła potencjalnych zagrożeń. Sama możliwość "wdzwaniania" jest już zaproszeniem PS. Nie będąc nadzwyczajnym purystą językowym zauważyłem dziwnie brzmiące określenie: "w dealerstwach Subaru", na stronie opisu systemu https://www.subaru.pl/isr.html Może lepiej "w punktach sprzedaży"? Sent from my iPhone using Tapatalk Edytowane 10 Stycznia 2017 przez rafacon Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Keratronik ISR Opublikowano 11 Stycznia 2017 Udostępnij Opublikowano 11 Stycznia 2017 Badania produktu konieczne do uzyskania homologacji i oceny skuteczności, przeprowadzane przez PIMOT, nie obejmują na dzień dzisiejszy tego typu pomiarów.Nie zmienia to faktu, że trzymamy rękę „na pulsie” i monitorujemy rynek pod kontem ewentualnych zagrożeń z tego tytułu. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się