Identifica un rischio per la sicurezza in un sistema di car-sharing

Naviga le tue risposte
1

Una società di car sharing fornisce una flotta di 20 veicoli, con le seguenti caratteristiche:

  • Ogni utente dello schema di condivisione ha una smart card individuale che consente di aprire l'auto, purché abbia prenotato l'auto per il periodo corrispondente (vedere ad esempio come funziona Co-Wheels).

  • L'azienda fornisce un servizio di emergenza 24 ore su 24, 7 giorni su 7, dove un dipendente può venire e sbloccare una macchina se necessario. Tutti i veicoli sono elettrici e devono essere restituiti al caricatore Vehicle-to-Grid alla fine del periodo di noleggio.

  • Tutti i veicoli hanno un monitoraggio GPS costante, in caso di furto d'auto, oltre a sensori esterni di rumore e inquinamento che monitorano il traffico circostante, che si collegano all'osservatorio locale dei dati

Questo è per un incarico per un modulo di sicurezza di rete. Non sto chiedendo a nessuno di farlo per me, ho solo bisogno di questo per avviarlo e sono stato a fissare le specifiche per alcune ore e non riesco a pensare a un valido rischio per la sicurezza. Possiamo anche fare supposizioni finché sono ragionevoli.

Rispondendo ai punti di Peter qui:

  1. Non abbiamo molte informazioni a riguardo, ma suppongo che una volta che un'auto non è prenotata, ma in movimento, il GPS lo localizzerà e qualcuno lo esaminerà (anche se ciò non è indicato)
  2. È una buona idea, ma penso che ogni utente e il personale di servizio disporrà di una propria smart card in modo che il sistema possa sapere chi ha sbloccato l'auto
  3. In questo caso, ci dovrebbe essere una penalità per l'utente che non è riuscito a restituire l'auto in tempo, ma dovrebbe comunque essere in grado di restituirlo.
  4. Per questo, direi che traccia la posizione in ogni momento. Per quanto riguarda le interruzioni, non viene detto nulla, ma come lo useresti in un attacco?
  5. Penso che sarà crittografato con una chiave privata, quindi in teoria dovrebbe essere sicuro.
  6. Penso che sia sicuro assumere che sia non riputabile
  7. L'amministratore di sistema sarà in grado di monitorare tutte le auto e le persone vedranno solo la posizione in cui l'auto che hanno prenotato sarà disponibile per il ritiro diciamo alcune ore prima della prenotazione
  8. Dovrai pagare quando prenoti la macchina, quindi questo non è un problema
  9. Se riesci a pensare a un modo legittimo per ottenerli, suppongo che potrebbe funzionare Grazie per i tuoi suggerimenti, nel complesso sembrano entrare troppo nel dettaglio su come funziona il sistema che non è sbagliato, penso solo che per il compito dobbiamo guardare più globalmente. Ad esempio, un possibile attacco è il furto di una smart card per ottenere l'accesso a una macchina, ma poi i requisiti di prenotazione si prendono cura di quel caso e non riesco a pensare a qualcosa del genere.
posta DiscoPigeon 22.04.2018 - 11:32
fonte

2 risposte

2
  1. Se l'accesso alle auto non viene registrato (entrando e uscendo), non puoi dire se uno degli utenti lo ha rubato o qualcuno è entrato in "lockpicking".
  2. Se l'accesso alle auto non viene registrato, non è possibile stabilire se l'utente, chi ha prenotato l'auto o uno dei passeggeri del servizio di emergenza abbia rubato la macchina.
  3. Cosa succede se l'utente non restituisce l'auto in tempo con una ragione legittima, come ingorghi, poliziotti, ecc. Il suo accesso verrà revocato e non sarà in grado di restituire l'auto? Terrà l'accesso? Verrà registrato? Anche una considerazione speciale su come registrare questo con il punto 6.
  4. Memorizzi l'ultima posizione GPS conosciuta? Monitora le interruzioni e qual è la risposta? Controllate la sanità mentale dei dati? Ci sono degli spacciatori GPS là fuori.
  5. Come vengono autenticati i dati inviati dall'automobile? Un utente malintenzionato può falsificare i log con / senza accesso alla macchina?
  6. I registri di accesso all'automobile non sono ripetibili, ad esempio firmando la voce del registro tramite la smart card? Come risolvete l'uscita dall'auto, le estensioni di tempo e altri dati, in cui la smart card potrebbe non essere più disponibile.
  7. Chi può monitorare la posizione e l'uso delle auto? Ad esempio, un altro utente potrebbe spiare un utente controllando che abbia l'auto riservata e dove si trova l'auto? Quando gli utenti possono vedere la posizione dell'auto, presumo che abbiano bisogno di sapere dove è parcheggiata l'auto che vogliono prenotare.
  8. Che succede se qualcuno prenota un'auto e non la usa? Come prevedi il rifiuto del servizio tramite la prenotazione delle auto?
  9. Chiunque abbia accesso all'automobile può recuperare le sue chiavi crittografiche o abusarne?
risposta data 22.04.2018 - 14:17
fonte
0

Vorrei aggiungere quanto segue alla lista.

Se l'utente dell'auto, unisce il telefono all'auto, potrebbe avere accesso a tutto il contenuto del contatto se l'auto non strofina l'elenco alla fine del periodo di noleggio. Di solito lo faccio quando esco da un'auto a noleggio nel caso in cui ricevo una chiamata quando connesso, i numeri vengono cancellati.

Se un utente malintenzionato ha installato un dispositivo di iniezione USB nell'auto, gli utenti successivi, quando inseriscono la loro USB, potrebbero essere contaminati. Questo è il motivo per cui utilizzo i caricabatterie per auto sulle auto a noleggio, mai sulla presa USB. Sì, questo è un vero problema!

    
risposta data 23.04.2018 - 16:43
fonte

Leggi altre domande sui tag

Social Attack awareness usando .doc e email falsificate L'autorizzazione di attraversamento in un filesystem Unix è sfruttabile da sola, in assenza di altre autorizzazioni / ACL?