rafacon

Inteligenty System Ratunkowy - bezpieczeństwo cyfrowe

7 postów w tym temacie

Mam pytanie, czy ISR był badany (w postaci formalnego audytu) pod kątem bezpieczeństwa cyfrowego. Jako, że korzysta z połączeń danych GSM, a chroniony jest "numerem telefonu i kodem PIN", można przyjąć że skanując taryfy telemetryczne i rotując PIN możliwe jest "podłączenie".

Pytanie stawiam w świetle znanych dziur w podobnym systemie, pozwalających na zdalny dostęp do pojazdów.

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A czym skutkuje uzyskanie takiego zdalnego dostępu? Podsłuchem rozmów?  Śledzeniem lokalizacji?

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podsluchem to wątpię ale śledzenie pozycji bardzo realne.

Czym są taryfy telemetryczne? Domyślam się o co biega ale tego terminu nie spotkałem.

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nieznany mi jest poziom integracji tego modułu z pojazdem. Czy może komunikować się z np. z ECU? Co, jeżeli pojazd zostanie ukradziony, a po BT podawane będą nieprawdziwe komunikaty NMEA, żeby ISR nie zauważył ruchu? Albo raportował ruch w innym kierunku? Czy moduł GPS ma jakiś mechanizm autentykacji?

Urządzenie udostępnia połączenie dla danych w sieci GSM: czyli można też coś do niego wysłać, w teorii podmienić oprogramowanie albo wykorzystać jako kanał komunikacyjny do dostępu do CAN pojazdu itp. Tak wykorzystano podobny system w Jeep/Fiat. Można było np. sterować przyspieszeniem auta. Poszukajcie w Google kill Jeep uconnect.

Prosta sprawa, czy system korzysta z dedykowanego APN z dostępem z hasłem, czy ogólnego? Czy dane są bezpiecznie przesyłane, czy można centrum monitoringu oszukać podmienionymi danymi?

Wyobraźmy sobie taki żarcik, ze wszystkie ISR raportują zdarzenie drogowe na raz - przecież to może sparaliżować i centrum ISR i służby ratunkowe.

 

Tego typu poważne systemy powinny w dzisiejszych czasach być audytowane i sprawdzane przez ethical hacker, mieć potwierdzenie jakiegoś poziomu bezpieczeństwa, i o to pytam.

 

 

Sent from my iPhone using Tapatalk

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

System ISR w żaden sposób nie jest połączony z ECU pojazdu dlatego też nie ma technicznych możliwości przesłania jakichkolwiek komunikatów do szyny CAN a co za tym idzie, nie istnieje zagrożenie „przejęcia” sterowaniem pojazdu.
ISR posiada swoje własne czujniki, które w sposób wystarczający pozwalają na skuteczne działanie systemu ratunkowego. Nie posiłkujemy się danymi z urządzeń w pojeździe.
 
Ze względu na bezpieczeństwo klientów nie chcemy na forum ogólnym zdradzać wszystkich szczegółów technicznych (sposób w jaki są zabezpieczone urządzenia).
 
Przykładem zabezpieczenia jest między innymi funkcjonalność pozwalająca na „wdzwonienie” się do urządzenia ISR, tylko uprawnionej do tego celu osoby, która zostanie wcześniej poprawnie zidentyfikowana przez urządzenie.
Nawet w przypadku wyjęcia karty SIM z urządzenia, odczytania nr MSISDN i wejściu w posiadanie nr PIN, nie ma zagrożenia "wgrania" posłuchu. Przeprogramowanie urządzenia możliwe jest dopiero po uwierzytelnieniu podmiotu komunikującego się z systemem w pojeździe.

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano (edytowany)

Dziękuję za obszerne wyjaśnienia. Na pewno pełna izolacja od pojazdu to ważna cecha. Jednak są to jak rozumiem zapewnienia producenta, a niezależnego audytu jeszcze nie przeprowadzono?

Pytam z zawodowej ciekawości, bo systemy tego rodzaju są zazwyczaj pomijane jako źródła potencjalnych zagrożeń.

Sama możliwość "wdzwaniania" jest już zaproszeniem ;)

 

PS. Nie będąc nadzwyczajnym purystą językowym zauważyłem dziwnie brzmiące określenie: "w dealerstwach Subaru", na stronie opisu systemu https://www.subaru.pl/isr.html

Może lepiej "w punktach sprzedaży"?

 

 

Sent from my iPhone using Tapatalk

Edytowano przez rafacon
0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Badania produktu konieczne do uzyskania homologacji i oceny skuteczności, przeprowadzane przez PIMOT, nie obejmują na dzień dzisiejszy tego typu pomiarów.
Nie zmienia to faktu, że trzymamy rękę „na pulsie” i monitorujemy rynek pod kontem ewentualnych zagrożeń z tego tytułu.

0

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chcesz dodać odpowiedź ? Zaloguj się lub zarejestruj nowe konto.

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to bardzo łatwy proces!


Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!


Zaloguj się

  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.