Os Protocolos TCP e IP são amplamente utilizados na transmissão de dados em backbones Ethernet. Devido a essa fundamental importância e necessidade do uso de tais protocolos de comunicação nas redes digitais, os protocolos TCP/IP são sempre alvos primários em ciberataques para a exploração de vulnerabilidades sendo também o utilizado como o vetor de ataque da ação. Nesta seção, são discutidas algumas das principais vulnerabilidades e ameaças conhecidas em serviços herdados do TCP/IP que são utilizados pelo DoIP. Devido à imensa gama de possíveis vulnerabilidades do TCP/IP, apenas as vulnerabilidades que são consideradas críticas e que impactam diretamente no padrão DoIP. É importante notar que alguns dos protocolos abaixo são utilizados apenas no pré-estabelecimento da conexão ou entre conexões de diagnóstico.
Capítulo 3. DESCRIÇÃO DO SISTEMA EM ANÁLISE 68
Tabela 2 – Protocolos utilizados pelo DoIP
Protocolo DHCP ARP NDP ICMP IP TCP UDP
A Tabela 3.2 contém a lista de protocolos utilizados pelo DoIP para auxiliar no es- tabelecimento de conexões e comunicação do DoIP. Abaixo, algumas vulnerabilidades são apresentadas.
3.10.1 DHCP
Inúmeros ataques podem ser executados contra o DHCP em rotinas de garantia de acesso à rede local do servidor DHCP. Neste trabalho (ALTUNBASAK et al.,2004), os autores mencionam alguns exemplos destes ataques em maiores detalhes. Talvez o ataque mais conhecido e realizado neste protocolo seja o DHCP starvation, onde o invasor extingue de maneira intencional os recursos disponíveis para o estabelecimento de conexões na rede. O resultado deste ataque é a negação de serviço para requisições não maliciosas, por exemplo a extinção de endereços IP reservados para rotinas de diagnóstico. O DHCP também pode ser atacado para desviar a rota do tráfego de dados, enviando dados falsificados para enganar o servidor DHCP. Por exemplo, o host malicioso pode responder solicitações DHCP de terminais legítimos da rede, falsificando o endereço do gateway padrão para o seu próprio endereço, reencaminhando todo o tráfego para o host malicioso. O host malicioso terá domínio sobre as informações
enviadas a ele podendo reter estas informações ou reencaminhá-las ao destino correto, atuando como man-in-the-middle (CALLEGATI; CERRONI; RAMILLI,2009).
3.10.2 ARP
ARP spoofing ou ARP cache poisoning, é um tipo de ataque onde um host malicioso da rede local força outros hosts a aceitarem informações errôneas em suas respectivas tabelas ARP (ABAD; BONILLA, 2007). Ou seja, o host pode responder, maliciosamente, requisições ARP em nome de outros nós, dessa forma direcionando a tradução entre endereços de IP e endereços MAC para o host malicioso. A execução deste ataque entre dois nós que estão prestes a estabelecer um canal de comunicação, permite ao host malicioso se colocar entre os dois nós de forma transparente, agindo como man-in-the-middle. Assim como os ataques ao DHCP, o ARP cache poisoning também exige que o host malicioso esteja conectado à rede local.
3.10.3 NDP
Ataques similares ao ARP cache poisoning podem ser executados em uma rede IPv6 através do Neighbor Discovery Protocol (NDP) para a resolução de endereços (ALSA’DEH; MEINEL,2012). Ao invés do envio de mensagens ARP falsas, solicitações NDP e de advertisements são injetadas maliciosamente para produzirem o mesmo efeito, redirecionando o tráfego para um endereço incorreto. Análogo aos ataques DHCP e ARP, negociações do NDP também ocorrem com nós participantes da LAN, necessitando a conexão do host malicioso nesta LAN.
3.10.4 ICMP
A forma mais comum de incorporar o Internet Control Message Protocol (ICMP) em ataques é utilizá-lo para varrer, testar e mapear sistemas, a fim de encontrar quaisquer tipo de vulnerabilidades antes mesmo do ataque ocorrer (KOHNO; BROIDO; CLAFFY,2005). O ICMP redirect quando injetado maliciosamente, podem redirecionar o tráfego e, portanto, o monitoramento do mesmo. Outros ataques como o envio de pacotes ICMP malformados e ataques fuzzy podem desencadear problemas não esperados travando ou corrompendo o sistema (GONT,2010a).
3.10.5 IP
Pela razão do protocolo IP ser um dos mais estudados e pesquisados pela comunidade acadêmica, muitas vulnerabilidades têm sido descobertas desde a publica- ção de sua primeira versão. Um estudo bastante detalhado sobre o protocolo IP quanto à sua arquitetura, funcionamento e segurança pode ser encontrado em (IETF,2011). O objetivo de certos ataques ao protocolo IP é a mudança de campos de dados com
Capítulo 3. DESCRIÇÃO DO SISTEMA EM ANÁLISE 70
valores aleatórios a fim de provocar um comportamento não esperado pelos desenvol- vedores, provocando travamentos e panes no sistema. Um exemplo de tal ataque é conhecido como Local Area Network Denial (LAND), onde o host malicioso envia um pacote contendo em ambos os campos de origem e destino o mesmo endereço do alvo. Este é um ataque antigo e conhecido mas, que ainda é efetivo em alguns sistemas operacionais desatualizados.
3.10.6 TCP
Assim como para o IP, uma análise minuciosa da arquitetura, funcionamento e segurança do protocolo TCP foi realizada em (GONT, 2010b). Devido à grande com- plexidade do TCP frente ao UDP, maior a probabilidade de potenciais ataques ao TCP. Quanto maior o número de funcionalidades e complexidade, maior a vulnerabilidade do protocolo. Uma classe de ataques contra o TCP é conhecida como session hijacking, ou sequestro de sessão, onde um host malicioso forçadamente toma para si o controle do socket de um dos hosts da conexão (HARRIS; HUNT, 1999). Existem algumas variantes onde o invasor insere segmentos RST, derrubando a conexão entre os nós. Este último ataque pode resultar em um possível estado de negação de serviço (DoS), enquanto o TCP session hijacking pode levar a consequências mais graves.
3.10.7 UDP
Por não possuir número de sequência no envio de datagramas ou definição de sessão, o UDP se torna um alvo fácil para um invasor injetar pacotes modificados em um canal de comunicação (IETF, 1980). Outro tipo de ataque é conhecido por UDP bomb onde um host malicioso envia datagramas com valores ilegais, forçando o direcionamento do protocolo à estados não previstos pelo desenvolvedor, ou seja, travamentos e panes (MIRKOVIC; PRIER; REIHER,2002).
3.10.8 Ameaças e Vulnerabilidades no protocolo DoIP
Nesta seção, os problemas de segurança específicos ao protocolo DoIP são apresentados, excluindo-se todas as vulnerabilidades e ameaças herdadas da pilha TCP/IP. A análise contém referências diretas aos requisitos definidos no (ISO 13400-2,
2012), sendo expressamente recomendada a leitura deste documento e dos requisitos descritos para a completa compreensão.
As vulnerabilidades aqui listadas são resultantes da metodologia de análise de ameaças, vulnerabilidades e riscos aplicadas ao protocolo DoIP. Como mencionando anteriormente, a especificação do protocolo DoIP é construída na definição de requisi- tos, máquinas de estado, tipos de mensagens e aplicações. Juntas, definem o protocolo e seu comportamento.
A seguir, a Tabela 3.3 apresenta as vulnerabilidades do protocolo e as con- sequências de forma sucinta para fácil entendimento.
Tabela 3 – Ameaças e vulnerabilidades mapeadas no padrão ISO 13400-2.
Referência ISO 13400-2 Vulnerabilidade Ataques e
Consequências DoIP-041 Cabeçalho Fraca Verificação de Integridade do Cabeçalho DoIP -Manipulação de dados -Negação de serviços Identificação do Número do Veículo - VIN Ausência de Autenticação e Integridade -Manipulação de dados -Negação de serviços -Falsificação de Identidade Mensagens de
Roteamento Ausência de Integridade
-Manipulação de dados -Negação de serviços
-Desvio de tráfego DoIP-148 - Alocação de
Recursos Estática Ausência de Autenticação -Negação de serviços
Mensagens de Diagnóstico Ausência de Autenticação
-Falsificação de identidade -Permissão de acesso indevida DoIP-071 Resposta Negativa - Endereço inválido Vazamento de Informação Confidencial -Descoberta de endereços da rede intraveicular Diagnostic Power Mode Ausência de Integridade -Manipulação de dados
-Ameaça letal
Verifica-se que a ausência de atributos de segurança tais como confidenciali- dade, integridade e autenticação acarretam em consequências de imagem, financeira e até letais.
72
4 DESCRIÇÃO DO MODELO PROPOSTO
Neste capítulo, serão apresentados os mecanismos de segurança aplicados no sistema embarcado para mitigar as vulnerabilidades encontradas em sistemas de diagnóstico citadas anteriormente. Sendo esta a segunda contribuição descrita no primeiro capítulo deste trabalho. Primeiramente a arquitetura de software embarcada é discutida, levando em consideração o sistema operacional utilizado, bibliotecas, módulos do kernel e os mecanismos criptográficos e de autenticação utilizados em cada camada do modelo OSI. Em seguida, técnicas de encapsulamento e segregação do tráfego são apresentadas e justificadas. Políticas de firewall, gerenciamento de portas, acesso remoto e gerenciamento de chaves e certificados, finalizam a descrição do modelo proposto neste trabalho. Os mecanismos aqui apresentados e o modelo proposto definem a segunda contribuição deste trabalho, mitigando as vulnerabilidades descritas na seção 3.10.8 deste trabalho.