INNOVATIVE SOLUTIONS IN MODERN SCIENCE

The security issues of the information exchange protocol CAN for vehicle electronic control units, the general scheme of attacker’s actions for attack performing against the car is considered, and car safety standards are considered. The methodology of threat modeling is described. Descriptions of practical attacks are collected and the classification of attacks is given. The assessment of threats of practical attacks based upon five criteria is given, the most important of which are driver’s life safety and ability to cope with consequences of the attacker’s actions. Calculated estimates allow one to compare attacks on potential damage and identify the most critical one. Weight coefficients for the threats assessment are provided. The threat modeling methodology for vehicles is applied with results of practical attacks.

Keywords: vehicle security, cyberattack, threat, vulnerability, threat modeling, attacks analysis, attacks assessment, assessment of severity and controllability.

Чеканін О. Ю., кандидат технічних наук, доцент, Жданова О. Г. Аналіз загроз для електронних компонентів управління автомобіля в мережі CAN / Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського», Україна, Київ.

Метою роботи є аналіз практично виконаних атак на електронні компоненти управління автомобіля та визначення кількісних оцінок для загроз. Методологія моделювання загроз полягала в оцінюванні загроз за п’ятьма параметрами наслідків загрози та в виборі вагових коефіцієнтів для кожного параметру. До параметрів належать безпека водія, експлуатаційні характеристики автомобіля, приватність даних водія, фінансові ризики та керованість ситуації. Найважливишіми параметрами були безпека водія та керованість ситуації. Був зібраний опис здійсненних атак, для кожної з них за обраними параметрами надані оцінки та розрахована загальна оцінка. Отримані результати мають цінність для експертів з інформаційної безпеки та виробників транспортних засобів. Проаналізовані атаки мають широкий діапазон оцінок, що свідчить про значну кількість можливостей для зловмисника, найнебезпечнішими атаками виявилися ті, що впливають на рух автомобіля та здатність водія керувати.

Ключові слова: інформаційна безпека автомобіля, кібератака, загроза, вразливість, моделювання загроз, аналіз атак, оцінка атак, оцінка строгості та керованості.

Dr. Charlie Miller, Chris Valasek, “Adventures in Automotive Networks and Control Units”. [Електронний ресурс]: http://illmatics.com/car_hacking.pdf.

S. Checkoway et al., “Comprehensive experimental analyses of automotive attack surfaces”. In Proceedings of the 20th USENIX Conference on Security, SEC’11.

K. Koscher et al., “Experimental security analysis of a modern automobile,” in Proceedings — IEEE Symposium on Security and Privacy, 2010, pp. 447–462

Winsen, Stijn van, “Threat Modelling for Future Vehicles, On Identifying and Analysing Threats for Future Autonomous and Connected Vehicles”, 2017. [Електронний ресурс]: http://essay.utwente.nl/71792/.

David Ward, Ireri Ibara, and Alastair Ruddle. “Threat Analysis and Risk Assessment in Automotive Cyber Security.” In: SAE International Journal of Passenger Cars-Electronic and Electrical Systems 6.2 (2013), pp. 507–513. ISSN: 1946-4622. DOI: doi:10.4271/2013-01-1415

Ishtiaq Roufa et al., “Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study”. ISBN: 888-7-6666-5555-4.

ISO 11898-1:2003 - Road vehicles -- Controller area network (CAN) -- Part 1: Data link layer and physical signaling.

RFC2828. Shirey, R., "Internet Security Glossary", RFC 2828, DOI 10.17487/RFC2828, May 2000.

ISO/IEC, "Information technology - Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008.

ISO. ISO 26262. Road vehicles – Functional safety. ISO 26262:2012. Geneva, Switzerland: Internation Organization for Standardization, 2012.

The STRIDE Threat Model. [Електронний ресурс]: https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20).

The Trustworthy Computing Security Development Lifecycle. [Електронний ресурс]: https://msdn.microsoft.com/en-us/library/ms995349.aspx.

Ishtiaq Roufa et al., “Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study”. ISBN: 888-7-6666-5555-4.