Skocz do zawartości

Forum SIP używa plików cookie w celu m.in. utrzymania sesji logowania. Możesz określić warunki przechowywania lub dostępu do plików cookie w konfiguracji Twojej przeglądarki.   Akceptuję

Zdjęcie

Inteligenty System Ratunkowy - bezpieczeństwo cyfrowe


  • Proszę się zalogować aby odpowiedzieć
6 odpowiedzi na ten temat

#1 rafacon

rafacon

    ..:: Swojak ::..

  • Nowy
  • Pip
  • 82 postów
  • Płeć:
  • Skąd: Warszawa

Napisany 09 styczeń 2017 - 15:46

Mam pytanie, czy ISR był badany (w postaci formalnego audytu) pod kątem bezpieczeństwa cyfrowego. Jako, że korzysta z połączeń danych GSM, a chroniony jest "numerem telefonu i kodem PIN", można przyjąć że skanując taryfy telemetryczne i rotując PIN możliwe jest "podłączenie".

Pytanie stawiam w świetle znanych dziur w podobnym systemie, pozwalających na zdalny dostęp do pojazdów.


  • 0

#2 Kambol

Kambol

    ..:: Bywalec :..

  • Użytkownik
  • PipPip
  • 402 postów
  • Płeć:
  • Skąd: Wrocław
  • Auto: OBK H6, MY 2007

Napisany 09 styczeń 2017 - 21:07

A czym skutkuje uzyskanie takiego zdalnego dostępu? Podsłuchem rozmów?  Śledzeniem lokalizacji?


  • 0

#3 recki

recki

    ..:: Bywalec :..

  • Użytkownik
  • PipPip
  • 252 postów
  • GG: 455330 ale rzadko używam
  • Płeć:
  • Skąd: Kraków / Wieliczka
  • Auto: Legacy 2.0 SOHC 2005 LPG / Roomster 1.4 LPG

Napisany 09 styczeń 2017 - 23:04

Podsluchem to wątpię ale śledzenie pozycji bardzo realne.
Czym są taryfy telemetryczne? Domyślam się o co biega ale tego terminu nie spotkałem.
  • 0

#4 rafacon

rafacon

    ..:: Swojak ::..

  • Nowy
  • Pip
  • 82 postów
  • Płeć:
  • Skąd: Warszawa

Napisany 09 styczeń 2017 - 23:49

Nieznany mi jest poziom integracji tego modułu z pojazdem. Czy może komunikować się z np. z ECU? Co, jeżeli pojazd zostanie ukradziony, a po BT podawane będą nieprawdziwe komunikaty NMEA, żeby ISR nie zauważył ruchu? Albo raportował ruch w innym kierunku? Czy moduł GPS ma jakiś mechanizm autentykacji?
Urządzenie udostępnia połączenie dla danych w sieci GSM: czyli można też coś do niego wysłać, w teorii podmienić oprogramowanie albo wykorzystać jako kanał komunikacyjny do dostępu do CAN pojazdu itp. Tak wykorzystano podobny system w Jeep/Fiat. Można było np. sterować przyspieszeniem auta. Poszukajcie w Google kill Jeep uconnect.
Prosta sprawa, czy system korzysta z dedykowanego APN z dostępem z hasłem, czy ogólnego? Czy dane są bezpiecznie przesyłane, czy można centrum monitoringu oszukać podmienionymi danymi?
Wyobraźmy sobie taki żarcik, ze wszystkie ISR raportują zdarzenie drogowe na raz - przecież to może sparaliżować i centrum ISR i służby ratunkowe.

Tego typu poważne systemy powinny w dzisiejszych czasach być audytowane i sprawdzane przez ethical hacker, mieć potwierdzenie jakiegoś poziomu bezpieczeństwa, i o to pytam.


Sent from my iPhone using Tapatalk
  • 0

#5 Keratronik ISR

Keratronik ISR

    ..:: Świeżynka ::..

  • Nowy
  • 16 postów
  • Skąd: Warszawa

Napisany 10 styczeń 2017 - 13:06

System ISR w żaden sposób nie jest połączony z ECU pojazdu dlatego też nie ma technicznych możliwości przesłania jakichkolwiek komunikatów do szyny CAN a co za tym idzie, nie istnieje zagrożenie „przejęcia” sterowaniem pojazdu.
ISR posiada swoje własne czujniki, które w sposób wystarczający pozwalają na skuteczne działanie systemu ratunkowego. Nie posiłkujemy się danymi z urządzeń w pojeździe.
 
Ze względu na bezpieczeństwo klientów nie chcemy na forum ogólnym zdradzać wszystkich szczegółów technicznych (sposób w jaki są zabezpieczone urządzenia).
 
Przykładem zabezpieczenia jest między innymi funkcjonalność pozwalająca na „wdzwonienie” się do urządzenia ISR, tylko uprawnionej do tego celu osoby, która zostanie wcześniej poprawnie zidentyfikowana przez urządzenie.
Nawet w przypadku wyjęcia karty SIM z urządzenia, odczytania nr MSISDN i wejściu w posiadanie nr PIN, nie ma zagrożenia "wgrania" posłuchu. Przeprogramowanie urządzenia możliwe jest dopiero po uwierzytelnieniu podmiotu komunikującego się z systemem w pojeździe.


  • 0

#6 rafacon

rafacon

    ..:: Swojak ::..

  • Nowy
  • Pip
  • 82 postów
  • Płeć:
  • Skąd: Warszawa

Napisany 10 styczeń 2017 - 17:00

Dziękuję za obszerne wyjaśnienia. Na pewno pełna izolacja od pojazdu to ważna cecha. Jednak są to jak rozumiem zapewnienia producenta, a niezależnego audytu jeszcze nie przeprowadzono?
Pytam z zawodowej ciekawości, bo systemy tego rodzaju są zazwyczaj pomijane jako źródła potencjalnych zagrożeń.
Sama możliwość "wdzwaniania" jest już zaproszeniem ;)

PS. Nie będąc nadzwyczajnym purystą językowym zauważyłem dziwnie brzmiące określenie: "w dealerstwach Subaru", na stronie opisu systemu https://www.subaru.pl/isr.html
Może lepiej "w punktach sprzedaży"?


Sent from my iPhone using Tapatalk

Edytowany przez rafacon, 10 styczeń 2017 - 17:07.

  • 0

#7 Keratronik ISR

Keratronik ISR

    ..:: Świeżynka ::..

  • Nowy
  • 16 postów
  • Skąd: Warszawa

Napisany 11 styczeń 2017 - 14:59

Badania produktu konieczne do uzyskania homologacji i oceny skuteczności, przeprowadzane przez PIMOT, nie obejmują na dzień dzisiejszy tego typu pomiarów.
Nie zmienia to faktu, że trzymamy rękę „na pulsie” i monitorujemy rynek pod kontem ewentualnych zagrożeń z tego tytułu.


  • 0