车联网安全之威胁建模

已于 2023-05-12 15:40:12 修改
阅读量532 收藏 2
点赞数
分类专栏: 车联网安全 文章标签: 安全 网络 系统安全 物联网 汽车
于 2022-11-02 17:12:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45329947/article/details/127653008
版权

序言:

  随着信息安全和智能网联汽车的发展,汽车的信息安全越来越受到人们的重视。高通公司总裁兼CEO安蒙称“汽车已经变成车轮上的联网计算机,汽车公司也已经转变为科技公司”。随着互联网技术的发展迭代,汽车已经可以通过无线通信网络连接到互联网,成为互联网上的终端设备。智能化和功能多样化也增加的黑客利用各种安全漏洞对汽车实施攻击和控制的可能性。

什么是威胁建模?

  威胁建模是一种结构化方法,用来识别、量化并应对威胁,利用抽象的方法来帮助思考风险。威胁建模允许系统安全人员传达安全漏洞的破坏力,然后定义防范或减轻系统威胁的对策,并按轻重缓急实施补救措施。说人话就是归纳资产并把资产分类,然后定义资产所面临的威胁并进一步把威胁细化,把所受到的威胁按照轻重缓急进行评分并且给出缓解措施。
  威胁模型通常创建于产品的开发和设计阶段。如果某种产品的生产商有着良好的开发生命周期,它会在产品开发伊始就建立威胁模型,并随着产品开发生命周期的推进,持续更新模型。威胁模型是“活”的文档,随着建模对象发生变化以及建模者对建模对象认识的不断深入,威胁模型会随之改变,因此应当经常更新威胁模型。

为什么要做威胁建模?

  • 在早期发现 Bug

  • 理解安全需求

  • 建造和交付更好的产品

  • 标记其他技术不能发现的问题

  • 实验出物理实体是否能否承受住攻击等

威胁建模

  如下图所示,我们在威胁建模过程中需要尽可能的发现更多的功能或程序,采用“下钻”式分析讨论每个应用程序所用的库和方法,以将这些库和方法纳入该应用程序自身的威胁框图。
在这里插入图片描述

威胁分析

  在判定Level 0级潜在威胁时,需要站在更高层次进行思考。尽管某些威胁似乎由于已知的额外障碍或防御措施而显得不现实,但至关重要的是将所有可能威胁都记录到威胁列表中,即使其中某些威胁已得到处理.本级威胁识别的要点在于通过头脑风暴找出各个过程和输入的所有风险。

Level0级的高级威胁是指攻击者可能:

  • 远程接管车辆
  • 使车辆停车
  • 偷窥车上乘员
  • 解锁车辆
  • 偷窃车辆
  • 跟踪车辆
  • 破坏安全防护系统
  • 在车上安装恶意软件

  按照相关连接方式,可将此层级的脆弱性分为蜂窝、WiFi、 遥控钥匙(KES)、胎压监测系统、信息娱乐控制台、USB、蓝牙和CAN总线连接共8个威胁分组。从下面的列表可见,侵入汽车的可能途径多种多样、五花八门。

1.蜂窝
  利用车辆的蜂窝连接,攻击者可以:

  • 从任意位置访问车辆内部网络
  • 利用处理来电的信息娱乐单元中的应用程序
  • 通过信息娱乐单元访问SIM卡
  • 使用蜂窝 网络接入远程诊断系统(如OnStar)
  • 监听蜂窝通信
  • 干扰呼叫
  • 跟踪车辆运动
  • 建立GSM伪基站
  1. Wi-Fi
    利用WiFi连接,攻击者可以:
  • 在300码(甚至更远)距离外远程访问车辆内部网络
  • 找到Wi-Fi入站连接处理软件脆弱性的方法
  • 向信息娱乐控制台植入恶意软件
  • 破解Wi-Fi密码
  • 设置虛假供应商接入点欺骗车辆,让其认为处于维修服务状态
  • 拦截Wi-Fi网络通信
  • 跟踪车辆

3.遥控钥匙
  利用遥控钥匙连接,攻击者可以:

  • 发送将防盜系统置于未知状态的畸形遥控钥匙请求(防盜系统应锁定车辆以防止短路启动,需要确保防盜系统工作正常)
  • 持续向防 盜系统发送探测信号,从而耗尽车载蓄电池的电量
  • 锁定钥匙
  • 捕获在防盜系统与遥控钥匙握手过程中泄露的加密信息
  • 暴力破解钥匙加密算法
  • 复制遥控钥匙
  • 阻塞遥控钥匙信号
  • 耗尽钥匙电源

4.胎压监测系统
  利用TPMS连接,攻击者可以:

  • 向ECU发送实际不可能出现的状态,导致其出现可利用的错误
  • 欺骗ECU,令其对虚假路面状况做出过度补偿
  • 将胎压监测系统或ECU置于不可恢复的异常状态,欺骗司机停车检查轮胎漏气报警,甚至直接关闭发动机,
  • 通过胎压监测系统的唯一ID跟踪车辆
  • 伪造胎压监测系统信号, 触发内部告警

5.信息娱乐控制台
  利用信息娱乐控制台连接,攻击者可以:

  • 将控制台置于调试模式
  • 更改诊断设置
  • 寻找导致异常结果的输入bug
  • 在控制台上安装恶意软件
  • 使用恶意软件访问车内CAN总线网络
  • 使用恶意软件监视乘员行为
  • 使用恶意软件向用户显示虚假信息,例如车辆位置
  1. USB
    利用USB端口,攻击者可以:
  • 在信息娱乐单元上安装恶意软件
  • 利用信息娱乐单元的USB协议栈缺陷
  • 连接恶意USB设备,其中包含为破坏信息娱乐单元上的数据导入软件而专门构造的文件,例如地址簿或MP3解码器等
  • 在车辆上安装篡改过(固件)的更新软件
  • 短路USB端口,从而(物理)损坏信息娱乐系统

7.蓝牙
利用蓝牙连接,攻击者可以:

  • 在信息娱乐单元上执行代码
  • 利用信息娱乐单元的蓝牙协议栈缺陷
  • 上传可用于执行代码的畸形数据(如畸形地址簿)
  • 近距离(300英寸以内)访问车辆
  • 干扰蓝牙设备

8.CAN
利用CAN连接,攻击者可以:

  • 安装 恶意诊断设备,向CAN总线发送数据包
  • 直接插入 CAN总线以不用钥匙启动车辆
  • 直接插入CAN总线,上传恶意软件
  • 安装恶意诊断设备,跟踪车辆
  • 安装恶意诊断设备, 给CAN总线提供远程接入通道,令通常局限于内部的攻击变为外部威胁

威胁分级体系

1.DREAD
2.CVSS

使用抖音扫一扫关注我,带你学习网安知识,渗透实战,红队技巧。
在这里插入图片描述

参考资料:

《汽车黑客大曝光》

网安君
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
AWS教你如何做威胁建模
weixin_47208161的博客
08-25 1192
写在前面准备威胁建模组建虚拟团队四个阶段的结构化思考车联网威胁建模例子1、我们在做什么?为车辆登记功能创建系统模型2、会出什么问题?识别功能威胁3、我们要怎么做?确定威胁的优先级并选择环节措施4、我们做得足够好吗?评估威胁建模过程的有效性附录威胁建模模板参考资料AWS教你如何做威胁建模写在前面 最近的“AWS re:Inforce 2022”介绍了众多的安全、身份和合规的产品和服务,笔者整...
车联网安全-TARA分析
最新发布
a1207129057的专栏
02-02 652
另外需要重点说明的是,风险的转移,只是在风险发生时第三方以金钱等方式对组织进行一定的补偿,但是风险的责任本身不会被转移,还是在组织中。与影响评级一样,攻击可行性评级的时候,每一个维度的权重,以及每一个维度的分值定义,在没有强制(或通用)标准的情况下,组织可以根据自己的实际情况来定义。另外,对于每一个维度中的几个影响级别(可以定义更加精细化的级别)可以赋予不同的分值(可以使用5分制、10分制、100分制等),不同维度上的相同影响级别可以赋予不同的分值,这也跟组织的风险偏好以及目标产品的特点有关系。
ToBeWritten之汽车信息安全威胁建模
橙留香Park的博客
04-06 623
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件报告,以及能得到的任何其他文件,并确保你拥有网络和终端层面的日志,以支持你的狩猎。
从三份白皮书看汽车网络安全模型
Pan_w_w的博客
05-10 1243
概述 安全模型是对一个系统防护的高层思考,如何将系统抽象,并从安全的视角去拓展。说到汽车网络安全模型,应该是两个概念:车联网系统的和车本身的;这是一个由远及近的动态过程。车联网系统考虑的是“云,管,端”三方安全与协同问题。车端本身更多考虑其电子电器架构。无论从远看还是从近看,都应该以系统工程的思维去思考安全问题,智能网联汽车的确是一个比智能手机、智能音箱等IoT设备复杂多得多的系统,加之V2X其参与节点也多得多,非常符合开放复杂系统的特性(下图对比一般系统与安全视角的ICV系统)。从系统的角度考虑系统的四
TARA-威胁建模方案2
qq_24925595的博客
03-12 1069
大概思路就是根据STRIDE威胁,结合资产和资产之间的信息流,确定可能的威胁。在进行STRIDE分析之前,可以根据系统功能定义划分,针对单个系统功能进行STRIDE分析,进而完成整个系统的安全分析。 (详细可以参考微软的stride介绍,https://docs.microsoft.com/zh-cn/azure/security/develop/threat-modeling-t...
智能网联汽车网络安全攻击与防御技术概述
TICPSH的博客
11-18 1705
该系列文章主要对智能网联汽车网络安全攻击及其防御技术进行全面的概述。一方面总结以往研究的发现和结论,并从学术研究和产业发展的角度,指出当前研究所面临的挑战和发展趋势。
入侵联网汽车.pdf
07-06
《入侵联网汽车》这篇文档是针对车联网安全领域的深入探讨,旨在帮助网络安全专业人士应对IoT(物联网)、智能汽车和5G网络普及带来的新挑战。车联网安全是当前技术发展的重要分支,它涉及到车辆网络、数据安全以及...
蔚来汽车车联网安全实践与思考.zip
10-04
车联网安全不仅关乎用户的数据隐私,还直接影响到车辆的行驶安全,因此,深入探讨这一主题对于整个汽车行业的发展具有深远意义。 在“蔚来汽车车联网安全实践与思考”这个主题中,我们可以预期涵盖以下几个关键知识...
车联网系统中的安全事件分级方法研究.pdf
09-10
自动化在车联网安全中起着至关重要的作用,例如自动化的安全监控和报警系统,可以实时检测异常行为,快速响应安全事件。此外,定期的安全测试是确保系统安全性的必要步骤,通过持续的测试和评估,可以及时发现并解决...
针对车联网的数据传输保护方法.pdf
09-10
4. **数据分析**:对车联网产生的海量数据进行分析,可以发现潜在的安全威胁模式,提供预警和决策支持。 5. **红蓝对抗**:这是一种模拟实战的安全测试方法,通过模拟黑客(红队)攻击和防御者(蓝队)的对抗,来...
谈谈汽车信息安全.docx
10-30
为了应对日益严峻的威胁,汽车信息安全需要从设计阶段就开始考虑,采用安全设计原则,如纵深防御、安全生命周期管理、威胁建模等。同时,实时监控、入侵检测系统、安全更新机制以及应急响应计划也是保障汽车安全的...
TARA-威胁建模方案3
qq_24925595的博客
03-12 764
威胁建模基于日本的JASO-TP15002,大致可以分为两个步骤: (1)确定需要保护的资产以及确定资产间的信息流; (2)根据资产和信息流的CIA,结合不同的情景,穷尽threat;穷尽的方法从Where、Who、When、Why、What展开; 主要的问题: (1)Phase1中,由于整车厂以及不同的设备供应商之间对于TOE的定义会有差异,如何统一管理这些差异,...
车辆网络安全的未来(上):车辆开发中的威胁分析、风险评估和安全设计、漏洞分析
NewCarRen的博客
01-17 480
网络安全措施正在实施,特别是在车辆开发领域。此外,还发布了来自不同组织的车辆网络安全指南和指南。特别重要的国际趋势是世界汽车标准协调论坛(WP29)和国际标准ISO/SAE 21434,这是本专题连载的主题。
安全视角下的CAN协议分析
李老板的移动安全杂货铺
11-22 9459
目录 相关背景 CAN节点介绍 CAN帧结构介绍 CAN总线攻击面分析 CAN总线安全缺陷 基于ID的仲裁机制 安全缺陷 针对CAN总线的攻击方式[2] 参考文章 相关背景 控制器局域网(CAN bus)由罗伯特·博世公司于1983年开发。该协议于1986年美国密歇根州底特律市举行的国际汽车工程师学会(SAE)会议上正式发表。第一个CAN控制芯片,由英特尔和飞利浦生产,并且于1987年发布。 世界上第一台装载了基于CAN的多重线系统的汽车是1991年推出的梅赛德斯-奔驰 W140。..
dos设置yymmdd时间格式_面向CAN总线的DoS、模糊攻击、DNS攻击、GPS欺骗攻击入侵检测...
weixin_35595817的博客
12-20 479
*相关内容节选自本实验室万洋和黄非易的部分研究工作针对DoS攻击、报文模糊攻击,使用逻辑回归(LR)和支持向量机(SVM)技术针对预处理过的CAN报文数据集进行训练模型,从而得到LR和SVM两个模型,然后根据分类准确率、检测精确率、召回率、F1值等评价指标比较两个模型在CAN报文DoS攻击入侵检测以及CAN报文模糊攻击入侵检测两种情景下的表现。针对DNS 攻击,采用神经网络入侵检测技术,...
自动驾驶汽车CAN总线数字孪生建模(一)
TICPSH的博客
04-20 923
标注:本文来自本实验室单超的研究成果。 ​ 数字孪生用于虚拟描述真实存在的一个或多个特定实体的数字复制品,也就是说建立的数字孪生模型是物理实体的实时数据表达,因此本文拟建立的CAN 数字孪生模型需要做到虚拟CAN 总线和实体CAN 总线的实时的状态同步,并且要有一定的数据表达能力,实时同步和数据展示是本文探索的重点。 由于Simulink 和Carla 都有python 接口可以调用,本文采用python 编程语言作为数据流通的媒介以实现Carla 和Simulink 的实时数据交互。本文..
AUTOSAR汽车电子嵌入式编程精讲300篇-基于加密算法的车载CAN总线安全通信
getusushu的博客
12-07 1525
随着科学技术的不断更新和社会文明的不断进步,汽车已经走入寻常百姓家, 成为当代社会必不可少的交通工具。伴随着互联网技术的飞速发展,汽车也不再 是一个简单的交通工具,已经逐渐发展成为一个集出行、通信、娱乐等功能于一 身的综合智能体,进而推动了车联网产业的蓬勃发展。车联网是在传统汽车的框架上安装了传感器、执行器、控制器等分布式和集 中式控制器,使汽车具备环境感知、协同控制、优化执行等功能,并通过网络技 术实现与车外环境的信息共享,给驾驶带来方便的同时也终将成为可以替代人操 作的新一代汽车[1-3]。
使用Python进行汽车黑客攻击:泄露GPS和OBDII&CAN总线数据
Python学习Q群696455390
08-14 581
本文会介绍一种基于Python用于从OBDII端口发送和接收CAN消息的设备,还可以从行驶中的车辆获取实时GPS坐标。所有的CAN和GPS数据都有可能被泄漏到云中,因此可以通过Web浏览器对汽车进行远程监控。这篇文章是关于我在使用开源软件和硬件(python-can / Flask和BeagleBone®Blue)进行汽车黑客攻击方面的经验。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深..
智能汽车十大网络安全攻击场景-《智能汽车网络安全权威指南》
qq_18209847的博客
11-25 1449
这些模块包括信息娱乐系统(IVI)、车载网联通讯终端(T-BOX)、车载网关(Gateway)、统一诊断服务(Unified Diagnostic Services,UDS)、车载诊断(On-board diagnostics,OBD)、高级辅助驾驶系统(ADAS)、车载信息服务(TSP)、充电网络系统(Charging System)、汽车远程升级(Over-The-Air,OTA)以及手机端车联网应用程序(App),如图1所示。朝着该目标的每一次新进展,都可能会引入一个新的攻击面,需要持续的安全投入。
车联网信道建模 csdn
09-28
车联网信道建模是指对车联网通信信道进行建模以模拟和分析车辆之间通信的性能和特性。车联网信道建模可以通过对车辆移动特征、无线传输特性以及信号传播特性进行研究和分析,从而确定车联网通信的可靠性、延迟、吞吐量等指标。 首先,车辆移动特征是车联网信道建模的重要方面之一。车辆会根据交通流量、道路拓扑等因素不断移动,因此需要考虑车辆的路径选择、速度变化和加速度等因素,以模拟真实道路环境中车辆的移动。 其次,无线传输特性也是车联网信道建模的关键点之一。车联网使用的无线技术如LTE、Wi-Fi等都有其具体的传输特性,包括信号衰落、信噪比、干扰等。通过对这些传输特性进行建模可以从理论上分析车联网通信的性能和有效性。 最后,信号传播特性也是车联网信道建模的重要内容。车联网信号在传播过程中会受到路面和建筑物的反射、绕射和散射等影响,导致信号衰减和多径效应。因此,需要考虑车联网信号的传播路径和传播损耗,以模拟真实道路环境中的信号传播。 综上所述,车联网信道建模主要涉及车辆移动特征、无线传输特性和信号传播特性等方面的研究。通过对这些因素进行模拟和分析,可以评估车联网通信的可靠性和性能,为车联网应用的设计和优化提供科学依据。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值