Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

In the last years, the automotive industry has incorporated more and more electronic components in vehicles, leading to complex on-board networks of Electronic Control Units (ECUs) that communicate with each other to control all vehicle functions, making it safer and easier to drive. This communication often relies on Controller Area Network (CAN), a bus communication protocol that defines a standard for real-time reliable and efficient transmission. However, CAN does not provide any security measure against cyber attacks. In particular, it lacks of message authentication, leading to the possibility of transmitting spoofed CAN messages for malicious purposes. Nowadays, Intrusion Detection Systems (IDSs) detect such attacks by identifying inconsistencies in the stream of information allegedly transmitted by a single ECU, hence assuming the existence of a second malicious node generating these messages. However, attackers can bypass this defense technique by disconnecting from the network the ECU of which they want to spoof the messages, therefore removing the authentic source of information. To contrast this attack, we present CopyCAN, an Intrusion Detection System (IDS) that detects whether a node has been disconnected by monitoring the traffic and deriving the error counters of ECUs on CAN. Through this process, it flags subsequent spoofed messages as attacks and reacts accordingly even if there is no inconsistency in the stream of information. Our system, unlike many previous attempts to address security issues in CAN, does not require any modification to the protocol or to already installed ECUs. Instead, it only requires the installation of a monitoring unit to the existing network, making it easily deployable in current systems and compliant with required CAN standards.

L'automobile, sicuramente il mezzo di trasporto più utilizzato al mondo, ha subito nel corso degli anni numerosi cambiamenti e miglioramenti: dall'evoluzione dei motori al fine di ottenere migliori prestazioni ed una maggiore efficienza, allo sviluppo della struttura del veicolo, sia per garantire una maggiore sicurezza per il conducente in caso di incidente, sia per offrire una migliore aereodinamicità. Tuttavia, nonostante l'apporto oggettivo dato da questi progressi e da molti altri non citati, l'aspetto che ha rivoluzionato maggiormente il mondo automobilistico negli ultimi 40 anni è stata l'introduzione sempre più capillare di componenti elettronici e di software all'interno del veicolo. In un moderno veicolo possiamo infatti trovare decine di centraline elettroniche di controllo (ECU), programmate con milioni di righe di codice. Queste centraline non solo controllano il motore, ma svolgono numerose altre funzioni per offrire maggiori comodità e sicurezza durante la guida: dall'attivazione degli airbag all'ABS in caso di frenata di emergenza, dal cambio automatico fino ai moderni sistemi di cruise control (anche adattivo) o di guida autonoma. Tali ECU, connesse tra di loro principalmente mediante bus sui quali viene implementato il protocollo CAN (Controller Area Network), formano in questo modo complesse reti sulle quali vengono trasmesse tutte le informazioni necessarie per la gestione ed il corretto funzionamento del veicolo. Il sopracitato protocollo CAN, ideato da Robert Bosch nel 1983 per applicazioni in campo automobilistico, offre una comunicazione in tempo reale, affidabile ed efficiente tra le centraline connesse sulla rete: queste sue caratteristiche hanno reso il protocollo CAN uno standard da oltre 30 anni per la comunicazione all'interno del veicolo. L'altro aspetto da considerare è lo sviluppo più recente del settore delle telecomunicazioni: tecnologie quali Bluetooth, sistemi GPS, Wi-Fi, ecc. sono ormai ampiamente diffuse e, a partire approssimativamente dagli ultimi due decenni, sono state introdotte all'interno del veicolo. Questa tendenza alla connessione con il mondo esterno è cresciuta esponenzialmente nell'ultimo periodo ed è tuttora in crescita, portando sicuramente ulteriori comodità e misure di sicurezza durante la guida. Tuttavia l'introduzione di queste tecnologie ha portato con sè anche un lato negativo decisamente non trascurabile: lo sviluppo delle reti formate da numerose centraline, sommato alla connessione delle centraline stesse con il mondo esterno, hanno causato l'aumento della superficie di attacco del veicolo e delle vulnerabilità che possono essere sfruttate per eventuali attacchi. Queste vulnerabilità, come dimostrano numerosi studi nell'ambito della sicurezza informatica del veicolo, possono portare a conseguenze meno gravi come il semplice cambio della traccia audio sulla stazione radio, fino a situazioni pericolose in cui l'attaccante ha modo di alterare (da remoto e non) funzioni critiche per la guida come il sistema di frenata, lo spegnimento del motore, il controllo dello sterzo o la gestione della velocità. La principale causa delle presenza di queste vulnerabilità risiede nella mancanza di autenticazione dei messaggi che circolano sulla rete CAN: poiché le centraline connesse sulla rete non verificano la provenienza dei messaggi che ricevono, un attaccante che ottiene accesso al bus (sia fisicamente che da remoto compromettendo una centralina comunicante con l'esterno) può trasmettere i propri messaggi sulla rete, fingendosi un'altra ECU, con lo scopo di alterare il comportamento delle altre centraline, e di conseguenza manomettere il corretto funzionamento del veicolo. Sebbene ad oggi siano state sviluppate numerose misure di sicurezza per impedire o per lo meno arginare eventuali attacchi informatici, come ad esempio sistemi di individuazione o di prevenzione delle intrusioni (IDS/IPS) che monitorano il traffico sulla rete e si accorgono di eventuali alterazioni nel flusso di dati, assumendo quindi la presenza di un attaccante sulla rete, il problema non è ancora risolto. Un attaccante può riuscire a disconnettere una centralina bersaglio dalla rete e in seguito trasmettere indisturbato i propri messaggi fingendosi la centralina disconnessa: se i sistemi di sicurezza si accorgessero della trasmissione contemporanea di flussi di dati differenti provenienti apparentemente dalla stessa centralina, segnalerebbero un attacco in corso. Invece, dopo aver disconnesso la centralina che vuole impersonificare, l'attaccante può procedere con la trasmissione di messaggi malevoli senza che i sistemi di sicurezza si accorgano di alterazioni nel flusso di dati. Per impedire questa tipologia di attacco, nel seguente lavoro di tesi viene presentato CopyCAN, un innovativo sistema di individuazione delle intrusioni (IDS) che monitora il traffico e, sfruttando il sistema di gestione degli errori da parte delle centraline previsto dal protocollo CAN, riesce ad accorgersi quando una qualsiasi centralina della rete viene disconnessa. In questo modo il nostro sistema di sicurezza può segnalare qualsiasi successiva trasmissione di messaggi appartenenti alla ECU disconnessa come un attacco in corso, e reagire di conseguenza. CopyCAN, a differenza di altri sistemi di sicurezza proposti precedentemente, non richiede alcuna modifica al protocollo o al software installato sulle centraline: è sufficiente infatti l'aggiunta di un'unità di monitoraggio sulla rete, rendendo quindi il nostro IDS facilmente installabile nei veicoli già esistenti e conforme agli standard del protocollo CAN. Nel seguente lavoro di tesi iniziamo con la spiegazione dettagliata del protocollo CAN, in modo da possedere tutte le conoscenze necessarie per capire il funzionamento di CopyCAN. In seguito introduciamo precedenti lavori di ricerca nell'ambito di sicurezza informatica del veicolo, utili per capire sia le somiglianze che le differenze con il nostro lavoro. Passiamo dunque alla presentazione di un threatmodel per capire le reali possibilità che ha un attaccante per compromettere il funzionamento del veicolo. Procediamo quindi con la spiegazione dettagliata del modello di CopyCAN, seguita dall'implementazione del sistema stesso. Infine mostriamo i test effettuati per confermare la validità del modello e per valutare le performances, seguiti quindi da una presentazione delle possibili reazioni che il nostro sistema può mettere in atto dopo aver segnalato un attacco in corso. Per concludere discutiamo le limitazioni del nostro approccio e forniamo alcuni spunti per futuri lavori a partire da quanto svolto in questa tesi.

CopyCAN : a traffic monitoring error-based intrusion detection system for controller area network

PENCO, MATTEO
2018/2019

Abstract

In the last years, the automotive industry has incorporated more and more electronic components in vehicles, leading to complex on-board networks of Electronic Control Units (ECUs) that communicate with each other to control all vehicle functions, making it safer and easier to drive. This communication often relies on Controller Area Network (CAN), a bus communication protocol that defines a standard for real-time reliable and efficient transmission. However, CAN does not provide any security measure against cyber attacks. In particular, it lacks of message authentication, leading to the possibility of transmitting spoofed CAN messages for malicious purposes. Nowadays, Intrusion Detection Systems (IDSs) detect such attacks by identifying inconsistencies in the stream of information allegedly transmitted by a single ECU, hence assuming the existence of a second malicious node generating these messages. However, attackers can bypass this defense technique by disconnecting from the network the ECU of which they want to spoof the messages, therefore removing the authentic source of information. To contrast this attack, we present CopyCAN, an Intrusion Detection System (IDS) that detects whether a node has been disconnected by monitoring the traffic and deriving the error counters of ECUs on CAN. Through this process, it flags subsequent spoofed messages as attacks and reacts accordingly even if there is no inconsistency in the stream of information. Our system, unlike many previous attempts to address security issues in CAN, does not require any modification to the protocol or to already installed ECUs. Instead, it only requires the installation of a monitoring unit to the existing network, making it easily deployable in current systems and compliant with required CAN standards.
ZANERO, STEFANO
LONGARI, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
25-lug-2019
2018/2019
L'automobile, sicuramente il mezzo di trasporto più utilizzato al mondo, ha subito nel corso degli anni numerosi cambiamenti e miglioramenti: dall'evoluzione dei motori al fine di ottenere migliori prestazioni ed una maggiore efficienza, allo sviluppo della struttura del veicolo, sia per garantire una maggiore sicurezza per il conducente in caso di incidente, sia per offrire una migliore aereodinamicità. Tuttavia, nonostante l'apporto oggettivo dato da questi progressi e da molti altri non citati, l'aspetto che ha rivoluzionato maggiormente il mondo automobilistico negli ultimi 40 anni è stata l'introduzione sempre più capillare di componenti elettronici e di software all'interno del veicolo. In un moderno veicolo possiamo infatti trovare decine di centraline elettroniche di controllo (ECU), programmate con milioni di righe di codice. Queste centraline non solo controllano il motore, ma svolgono numerose altre funzioni per offrire maggiori comodità e sicurezza durante la guida: dall'attivazione degli airbag all'ABS in caso di frenata di emergenza, dal cambio automatico fino ai moderni sistemi di cruise control (anche adattivo) o di guida autonoma. Tali ECU, connesse tra di loro principalmente mediante bus sui quali viene implementato il protocollo CAN (Controller Area Network), formano in questo modo complesse reti sulle quali vengono trasmesse tutte le informazioni necessarie per la gestione ed il corretto funzionamento del veicolo. Il sopracitato protocollo CAN, ideato da Robert Bosch nel 1983 per applicazioni in campo automobilistico, offre una comunicazione in tempo reale, affidabile ed efficiente tra le centraline connesse sulla rete: queste sue caratteristiche hanno reso il protocollo CAN uno standard da oltre 30 anni per la comunicazione all'interno del veicolo. L'altro aspetto da considerare è lo sviluppo più recente del settore delle telecomunicazioni: tecnologie quali Bluetooth, sistemi GPS, Wi-Fi, ecc. sono ormai ampiamente diffuse e, a partire approssimativamente dagli ultimi due decenni, sono state introdotte all'interno del veicolo. Questa tendenza alla connessione con il mondo esterno è cresciuta esponenzialmente nell'ultimo periodo ed è tuttora in crescita, portando sicuramente ulteriori comodità e misure di sicurezza durante la guida. Tuttavia l'introduzione di queste tecnologie ha portato con sè anche un lato negativo decisamente non trascurabile: lo sviluppo delle reti formate da numerose centraline, sommato alla connessione delle centraline stesse con il mondo esterno, hanno causato l'aumento della superficie di attacco del veicolo e delle vulnerabilità che possono essere sfruttate per eventuali attacchi. Queste vulnerabilità, come dimostrano numerosi studi nell'ambito della sicurezza informatica del veicolo, possono portare a conseguenze meno gravi come il semplice cambio della traccia audio sulla stazione radio, fino a situazioni pericolose in cui l'attaccante ha modo di alterare (da remoto e non) funzioni critiche per la guida come il sistema di frenata, lo spegnimento del motore, il controllo dello sterzo o la gestione della velocità. La principale causa delle presenza di queste vulnerabilità risiede nella mancanza di autenticazione dei messaggi che circolano sulla rete CAN: poiché le centraline connesse sulla rete non verificano la provenienza dei messaggi che ricevono, un attaccante che ottiene accesso al bus (sia fisicamente che da remoto compromettendo una centralina comunicante con l'esterno) può trasmettere i propri messaggi sulla rete, fingendosi un'altra ECU, con lo scopo di alterare il comportamento delle altre centraline, e di conseguenza manomettere il corretto funzionamento del veicolo. Sebbene ad oggi siano state sviluppate numerose misure di sicurezza per impedire o per lo meno arginare eventuali attacchi informatici, come ad esempio sistemi di individuazione o di prevenzione delle intrusioni (IDS/IPS) che monitorano il traffico sulla rete e si accorgono di eventuali alterazioni nel flusso di dati, assumendo quindi la presenza di un attaccante sulla rete, il problema non è ancora risolto. Un attaccante può riuscire a disconnettere una centralina bersaglio dalla rete e in seguito trasmettere indisturbato i propri messaggi fingendosi la centralina disconnessa: se i sistemi di sicurezza si accorgessero della trasmissione contemporanea di flussi di dati differenti provenienti apparentemente dalla stessa centralina, segnalerebbero un attacco in corso. Invece, dopo aver disconnesso la centralina che vuole impersonificare, l'attaccante può procedere con la trasmissione di messaggi malevoli senza che i sistemi di sicurezza si accorgano di alterazioni nel flusso di dati. Per impedire questa tipologia di attacco, nel seguente lavoro di tesi viene presentato CopyCAN, un innovativo sistema di individuazione delle intrusioni (IDS) che monitora il traffico e, sfruttando il sistema di gestione degli errori da parte delle centraline previsto dal protocollo CAN, riesce ad accorgersi quando una qualsiasi centralina della rete viene disconnessa. In questo modo il nostro sistema di sicurezza può segnalare qualsiasi successiva trasmissione di messaggi appartenenti alla ECU disconnessa come un attacco in corso, e reagire di conseguenza. CopyCAN, a differenza di altri sistemi di sicurezza proposti precedentemente, non richiede alcuna modifica al protocollo o al software installato sulle centraline: è sufficiente infatti l'aggiunta di un'unità di monitoraggio sulla rete, rendendo quindi il nostro IDS facilmente installabile nei veicoli già esistenti e conforme agli standard del protocollo CAN. Nel seguente lavoro di tesi iniziamo con la spiegazione dettagliata del protocollo CAN, in modo da possedere tutte le conoscenze necessarie per capire il funzionamento di CopyCAN. In seguito introduciamo precedenti lavori di ricerca nell'ambito di sicurezza informatica del veicolo, utili per capire sia le somiglianze che le differenze con il nostro lavoro. Passiamo dunque alla presentazione di un threatmodel per capire le reali possibilità che ha un attaccante per compromettere il funzionamento del veicolo. Procediamo quindi con la spiegazione dettagliata del modello di CopyCAN, seguita dall'implementazione del sistema stesso. Infine mostriamo i test effettuati per confermare la validità del modello e per valutare le performances, seguiti quindi da una presentazione delle possibili reazioni che il nostro sistema può mettere in atto dopo aver segnalato un attacco in corso. Per concludere discutiamo le limitazioni del nostro approccio e forniamo alcuni spunti per futuri lavori a partire da quanto svolto in questa tesi.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis.pdf

non accessibile

Descrizione: Testo della tesi
Dimensione 1.23 MB
Formato Adobe PDF
  Visualizza/Apri
1.23 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/148533