masterThesis
Sistema embarcado para comunicação intraveicular segura em Diagnostics over IP - DoIP
Autor
SOARES, Fábio Leite
Institución
Resumen
Nos últimos anos, a falta de medidas de segurança em protocolos de comunicação intraveiculares acarretou em sérios problemas para a indústria automotiva. Casos recentes demonstram carros modernos sendo hackeados através de suas redes intraveiculares via interfaces digitais de acesso com ou sem fio. À medida que as Unidades Eletrônicas de Controle (ECU) são comprometidas, os invasores são capazes de controlar completamente sistemas críticos como o ABS (Anti-lock breaking system), o sistema de direção elétrica e o de aceleração, por exemplo, provocando riscos severos para os condutores e passageiros do veículo. Redes intraveiculares de diagnóstico não são exceções. Através da porta de acesso para as redes intraveiculares padronizadas, OBD-II, o invasor pode explorar o CAN gateway de diversas maneiras para obter o total controle da rede intraveicular e, consequentemente, dos sistemas críticos veiculares. O padrão ISO 13400 Diagnostic communication over Internet Protocol (DoIP), lançado em 2012, é um padrão fundamentalmente proposto a definir como mensagens de diagnóstico serão transmitidas sobre uma rede de comunicação IP, desde a camada física até a camada de transporte, seguindo o modelo OSI. O padrão ISO 14229 Unified Diagnostic Services (UDS) e o ISO 27145-3 World-Wide Harmonized On-Board Diagnostics (WWH-OBD) são os principais padrões que definem a estrutura da mensagem de diagnóstico, já que o DoIP apenas especifica os requisitos necessários para o transporte das mensagens. Embora o ISO 13400 tenha sido desenvolvido para ser o próximo padrão confiável e de longo prazo para mensagens de diagnóstico automotivas sobre IP, mecanismos de segurança não foram definidos para tratar conhecidas vulnerabilidades herdadas do modelo TCP/IP tais como, ARP spoofing, MAC spoofing, IP Spoofing, TCP session hijacking, monitoramento de pacotes, modificações não autorizadas em bytes e retransmissão de pacotes manualmente. Mesmo com a presença de uma subcamada de segurança no UDS através do serviço SecureDataTransmission (0x84), três serviços desse mesmo protocolo continuam vulneráveis a possíveis ataques, sendo eles: ResponseOnEvent (0x86), ReadDataByPeriodicIdentifier (0x2A) e TesterPresent (0x3E). Além do mais, a sub-camada de segurança oferecida situa-se na camada de aplicação, camada 7, permanecendo as camadas subjacentes desprotegidas e vulneráveis a possíveis ataques. Este trabalho apresenta um modelo seguro de um DoIP Edge Node, entidade de comunicação entre as redes intraveiculares e agentes externos, em IPv6. O sistema de comunicação embarcado assim como a performance de rotinas criptográficas são analisadas sob as quatro topologias centrais descritas no padrão DoIP. Ameaças e vulnerabilidades para cada camada da pilha de comunicação, os riscos e mecanismos de mitigação também são levados em consideração. O modelo proposto cobre quatro requisitos essenciais da segurança da informação: confidencialidade, integridade, autenticidade e temporalidade. Devido ao overhead de processamento provenientes dos mecanismos de segurança empregados tais como o Transport Layer Security (TLS), Generic Routing Encapsulation (GRE), Internet Protocol Security (IPSec) e o Media Access Control Security (MACsec), uma análise do desempenho da rede é realizada e comparada ao desempenho de redes inseguras. Por fim, são apresentados os possíveis custos de desenvolvimento, o gerenciamento de chaves e certificados e o hardware utilizado nesta arquitetura. The lack of security in current in-vehicle communication protocols has brought serious problems to the automotive industry in the past few years. Recent demonstrations have shown modern cars being hacked through in-vehicle networks either via wired access or wirelessly. By taking control over crucial Electronic Control Units (ECUs), hackers were able to compromise, for instance, the anti-lock braking system, the steering wheel and the throttle control system, leading to severe risks for drivers and passengers. Diagnostic networks are not an exception. Through the On-board Diagnostics (OBD-II) connector, the attacker can exploit the CAN gateway in many different ways to obtain full access to the internal car network and conduct similar attacks. The ISO 13400 Diagnostics over IP (DoIP), released in 2012, is a standard fundamentally proposed to define how diagnostic messages are transmitted over na IP communication network, from the transport layer to the physical layer, following the OSI model. Despite the fact it was initially designed only for diagnostic systems, ISSO 13400 also has the capability of providing transport protocol and network layer services for other IP-based systems, if necessary. The ISO 14229 Unified Diagnostic Services (UDS) and ISO 27145-3 World-Wide Harmonized On-Board Diagnostics (WWH-OBD) are the primary standards that define the structure of diagnostic messages, since DoIP only specifies the requirements for message transportation. Although the ISSO 13400 standard has been developed to be the next reliable and long-term protocol for automotive diagnostics over IP, no security mechanisms have been proposed so far to manage well-known vulnerabilities inherited from the TCP/IP model, such as ARP spoofing, MAC spoofing, eavesdropping, message tampering and message replay. Even though the Unified Diagnostic Services provide an application security sub-layer through the SecuredDataTransmission service (0x84), three services are still uncovered: ResponseOnEvent (0x86), ReadDataByPeriodicIdentifier (0x2A) and TesterPresent (0x3E). Moreover, this security sub-layer is only at the application layer, leaving lower layers still vulnerable to attacks. This work presents an embedded implementation of a secure IPv6 DoIP Edge Node, the external interface entity for the DoIP network. The embedded network security and the cryptographic performance routines are analyzed under the four central network topologies described in the DoIP standard. Potential threats and vulnerabilities for each layer of the stack, their associated risks and the security mechanisms to mitigate the attacks are also addressed. The implementation covers four essential security requirements: data confidentiality, data integrity, data authenticity and data freshness. Authorization and resiliency are also discussed. Due to the cryptographic computing overhead caused by security mechanisms such as Transport Layer Security (TLS), ISO 15764, IPsec and MACsec, a network performance analysis is presented, along with a comparison with unsecured systems. Finally, the development costs, the key management and the hardware required for the proposed architecture are discussed.