Otonom Araçlar İçin Siber Güvenlik Risklerinin Araştırılması ve Savunma Metotları

Öz

Dünyada dijital teknolojinin hızla gelişmesiyle birlikte, akıllı şehirler ve akıllı şebekelerde olduğu gibi akıllı ulaşım araçlarında da gelişmeler yaşanmıştır. Akıllı sistemlerin akıllı araçlara entegrasyonun ardından otonom araçların yaygınlaşmasıyla siber güvenliğin önemi daha da artmıştır. Konforlu, güvenilir ve zamandan tasarruf edilebilecek yolculuk ve taşımacılık için otonom araçların güvenlik zafiyetleri araştırılmıştır. Yapılan siber saldırıların 3 çeşit amacı vardır: sistemi kontrol eden yöneticiyi devre dışı bırakarak sistemin kontrolünü ele geçirmek, sistem çalışmasında gecikmelere neden olacak yoğunlukta çalışmasını sağlamak ve sistemin tamamen çökmesine neden olmak. Bu çalışmada kontrolün kullanıcıdan saldırgana nasıl geçebileceğini göstermek amacıyla 10 çeşit saldırı incelenmiştir. Bu saldırılar, GPS yanıltma, ara bellek taşması, istismar açıklık saldırıları, araya girme saldırısı, kötülcül yazılım saldırısı, hizmet kesintisi saldırısı, vekil sunucu saldırısı, sibil saldırısı, OBD Saldırısı ve ARP yanıltma saldırısıdır. Saldırıların yapılacağı mimaride temel otonom sistemler için gereksinim olan konum sensörleri, araç alt sistem denetleyicileri, kablosuz bağlantı araçları ve görüş sensörleri üzerinden yapılan saldırılar incelenmiştir. Ayrıca otonom araçların sistem mimarisi, siber saldırı yöntemleri, siber saldırı önlemleri ve son 5 yılda yapılmış akademik çalışmalar incelenerek analiz edilmiştir. Otonom araçlarda saldırıların sensör bilgilerinin toplandığı, araçların yönetildiği işlemciye yapıldığı tespit edilmektedir. Kablosuz bağlantıların otonom araç yönetiminde kullanıcıların isteği üzerine kullanılması beraberinde çokça açıklığı da getirmiştir. İşlemcide kullanılabilir açıklıkları azaltmak için, işlemcinin yapması gereken görevlerin azaltılarak, yapılması gereken çalışmanın diğer sensörler tarafından yapılması istenmektedir. Sistemin sahip olduğu tek işlemciye doğrudan erişimi kapatarak sistem açıklıklarının azaltılması yönünde çalışmalar yapılmaktadır. Akademisyenler ve otonom araç üreticileri araç mimarisini yöneten yazılım ve korunma yöntemleri üzerinde geliştirme çalışmalarına devam ettikleri görülmektedir. Bu çalışmada, kullanıcıların güvenlik işlemlerini kolaylaştıracak çalışmalar, bazı araçlar ve tedbirler incelenmiştir. Uzmanlar tarafından kullanılarak sistem IP’si hakkında bilgi sahibi olunabilecek, yetkisiz veya yabancı sistemleri tespit edebilecek olan NMAP, Maltego ve Metasploit araçları da incelenmiştir. Yaptığımız çalışmalar tamamıyla etik kurallar çerçevesinde yapılmıştır.

Anahtar Kelimeler

• Otonom Araçlar
• Siber Saldırılar
• Siber Risk Analizi
• Siber Tehditler

Survey of Cyber Security Risks and Defense Methods for Autonomous Vehicles

Abstract

With the rapid development of digital technology in the world, there have been developments in smart vehicles as well as in smart cities and smart grids. After the integration of smart systems with smart vehicles, the importance of cyber security is increasing with the spread of autonomous vehicles. In this study, security vulnerabilities of autonomous vehicles were investigated, especially for comfortable, reliable, and time-saving travel and transportation. The cyberattacks carried out in the researches have 3 purposes. These are to take control of the system by disabling the administrator who controls the system, to make the system work intensively, to cause delays in the system operation, and cause the system to crash completely. In this study, 10 attack types are analyzed to show how control can pass from the user to the attacker. These are GPS spoofing, buffer overflow, exploit vulnerability attacks, Man-in-the-Middle attack, malware attack, DDoS attack, Proxy/Socks attack, Sybil attack, OBD attack, and ARP spoofing attack. The attacks made through position sensors, vehicle subsystem controllers, wireless connection devices, and image sensors, which are required for basic autonomous systems in the attack architecture, are examined. In addition, the system architecture of autonomous vehicles, cyberattack methods, cyber attack measures, and academic studies in the last 5 years have been examined and analyzed. It has been shown that attacks are made on the processor in which the sensor information is collected and the vehicles are managed in autonomous vehicles. The use of wireless connections at the request of users in autonomous vehicle management has brought a lot of clarity. To reduce the available openings in the processor, the tasks that need to be done by the processor are reduced and the work is required to be done by other sensors. It is tried to reduce system vulnerabilities by closing direct access to a single processor owned by the system. It has been observed that academics and autonomous vehicle manufacturers continue to work on the software and protection methods that manage the vehicle architecture. Studies, some tools, and measures that will facilitate the security processes of users have been examined. NMAP, Maltego, and Metasploit tools that can be used by experts to gain knowledge of system IP and detect unauthorized or foreign systems were also examined. Our work has been carried out completely within the framework of ethical rules.

Keywords

• Autonomous Vehicles
• Cyber-Attacks
• Cyber Risk Analysis
• Cyber Treatment

References

1. Agus, I. P., & Pratama, E. (2019). Open Source Intelligence Testing Using the OWASP Version 4 Framework at the Information Gathering Stage ( Case Study : X Company ). International Journal of Computer Network and Information Security (IJCNIS), July, 8–12. https://doi.org/10.5815/ijcnis.2019.07.02
2. Ağyol, Ü. (2020). Maltego nedir nasıl kullanılır. https://www.unluagyol.com/2011/12/maltego-nedir-nasl-kullanlr.html
3. Alioğlu, S. D. (2019). Siber Saldırılar ve Ülkelerin Siber Güvenlik Politikaları. İstanbul Bilgi Üniversitesi, Yüksek Lisans Tezi, 2019.
4. Andress, J., & Winterfeld, S. (2011). Cyber Warfare Techniques, tactics, and tools. In Cyber Warfare. https://doi.org/http://dx.doi.org/10.1016/B978-0-12-416672-1.00001-5
5. Baggett, M. (2008). Effectiveness of antivirus in detecting Metasploit payloads. SANS Institute.
6. Bezai, N. E., Medjdoub, B., Al-Habaibeh, A., Chalal, M. L., & Fadli, F. (2020). Future cities and autonomous vehicles: analysis of the barriers to full adoption. Energy and Built Environment. https://doi.org/10.1016/j.enbenv.2020.05.002
7. Çelik, H. (2020). Bilgi Güvenliği Ve Sızma Testleri (Vol. 21, Issue 1). https://doi.org/10.1155/2010/706872
8. ÇELİKTAŞ, B. (2016). Siber Güvenlik Kavramının Gelişimi Ve Türkiye Özelinde Bir Değerlendirme. 1–10.

9. Cerrudo, C., Martinez, E., & Sequeira, M. (2020). LoRaWAN Networks Susceptible to Hacking: Common Cyber Security Problems, How to Detect and Prevent Them. January, 27. https://act-on.ioactive.com/acton/attachment/34793/f-87b45f5f-f181-44fc-82a8-8e53c501dc4e/1/-/-/-/-/LoRaWAN Networks Susceptible to Hacking.pdf
10. Çıtak, Ö. (2020). Offensive & Defensive Ethical Hacking. Abaküs Yayınları.
11. Coulibaly, T. (2007). Il ya un siècle, l’automobile. Éd." Ouest-France.
12. Çuhadar, İ. (2017). İnsansız Hava Aracı Sistemlerinde Bilgi Güvenliği Ve Risk Tabanlı Çok Kriterli Karar Verme Modeli İle Değerlendirilmesi [Gazi Üniversitesi]. In Gazi Üniversitesi Fen Bilimleri Enstitüsü (Vol. 11, Issue 3). https://www.m-culture.go.th/mculture_th/download/king9/Glossary_about_HM_King_Bhumibol_Adulyadej’s_Funeral.pdf
13. Devichnick. (2017). Самокатка Кулибина. https://web.archive.org/web/20170127231326/http://www.devichnick.ru/031kulibin.htm
14. Duan, Z., Yuan, X., & Chandrashekar, J. (2006). Constructing inter-domain packet filters to control IP spoofing based on BGP updates. Proceedings - IEEE INFOCOM. https://doi.org/10.1109/INFOCOM.2006.128
15. Eckermann, E. (2001). World history of the automobile. SAE.
16. El-Rewini, Z., Sadatsharan, K., Selvaraj, D. F., Plathottam, S. J., & Ranganathan, P. (2020). Cybersecurity challenges in vehicular communications. Vehicular Communications, 23, 100214. https://doi.org/10.1016/j.vehcom.2019.100214
17. Elif Tuğba KILIÇ. (2015). Siber Saldırıları İzleme Yöntemleri Ve Zararlı Yazılım Analizi. In Journal of Visual Languages & Computing. Gazi Üniversitesi.
18. Esteban, B. (2019). Vehículos Autónomos.
19. European Union Agency for Network and Information Security (ENISA). (2017). Cyber security and resilience of smart cars. Good practices and recommendations. In 2017-02-1 (Issue December). https://doi.org/10.2824/87614
20. Feng, S. (2019). Cognitive Dynamic System for Connected and Autonomous Vehicles.
21. Forshaw, J. (2018). Attacking Network Protocols.
22. Gps.gov. (2020). what is GPS? https://www.gps.gov/systems/gps/
23. Green, H. (1925). Radio Controlled Automobile. Radio News, 592, 656.
24. Gridin, A. (2017). Трехколесное чудо механика КулибинаTitle. https://web.archive.org/web/20170715203308/http://www.carseller.ru/articles/10-01-2008.1350.html
25. Hai-Jew, S. (2014). Using Maltego TungstenTM To Explore the Cyber-Physical Confluence in Geolocation. 2014, 236–385. https://scholarspace.jccc.edu/cgi/viewcontent.cgi?referer=https://scholar.google.es/&httpsredir=1&article=1082&context=c2c_sidlit
26. Haider, Z., & Khalid, S. (2017). Survey on effective GPS spoofing countermeasures. 2016 6th International Conference on Innovative Computing Technology, INTECH 2016, 573–577. https://doi.org/10.1109/INTECH.2016.7845038
27. Han, K., Weimerskirch, A., & Shin, K. (2014). Automotive Cybersecurity for In-Vehicle Communication. IQT Quarterly, 6(1), 22–25. https://kabru.eecs.umich.edu/papers/publications/2014/IQT Quarterly_Summer 2014_Han et al.pdf
28. İSPİR, M. T. (2019). Endüstriye Amaçlı Bir Otonom Robotun Tasarımı ve Gerçekleştirilmesi [Fırat Üniversitesi]. In Fırat Üniversitesi. https://doi.org/10.1145/1390630.1390641
29. Jadoon, A. K., Wang, L., Li, T., & Zia, M. A. (2018). Lightweight Cryptographic Techniques for Automotive Cybersecurity. Wireless Communications and Mobile Computing, 2018. https://doi.org/10.1155/2018/1640167
30. Kendi, A. (2017). Sürücüsüz Araçlar ve Türkiye. https://thinktech.stm.com.tr/uploads/raporlar/pdf/1412201715732202_stm_surucusuzaraclar_.pdf
31. Kennedy, D., Gorman, J. O., Kearns, D., Aharoni, M., & Moore, H. D. (n.d.). Metasploit.
32. Luo, Q., Cao, Y., Liu, J., & Benslimane, A. (2019). Localization and Navigation in Autonomous Driving: Threats and Countermeasures. IEEE Wireless Communications, 26(4), 38–45. https://doi.org/10.1109/MWC.2019.1800533
33. Maltego.com. (2020). Maltego. https://www.maltego.com
34. Marquez, C. J. (2010). An Analysis of the IDS Penetration Tool : Metasploit. The InfoSec Writers Text Library, 9. http://www.infosecwriters.com/text_resources/pdf/jmarquez_Metasploit.pdf
35. McAfee. (2016). Automotive Cyber Security Best Practices. Auto Tech Review, 5(8), 20–25. https://doi.org/10.1365/s40112-016-1180-1
36. Milev, G., Hastings, A., & Al-Habaibeh, A. (2019). Investigating The Effect of Expanding The Use of Electric Cars On The Environment: A Case Study From Scotland.
37. Miller, O. (2014). Robotic Cars and Their New Crime Paradigms. https://www.linkedin.com/pulse/20140903073835-260074537-robotic-cars-and-their-new-crime-paradigms
38. Molla, T., & Electronik, T. M. (2018). Self-Driving car. December. https://doi.org/10.13140/RG.2.2.36042.82885
39. Morimoto, S., Wang, F., Zhang, R., & Zhu, J. (2018). Cybersecurity in Autonomous Vehicles. Researchgate.Net, May 2017. https://doi.org/10.13140/RG.2.2.31503.23207
40. Muratoğlu, O. (2020). Akıllı Araçlar İçin Bulanık Mantık Temelli Siber Güvenlik Risk Modeli. Journal of Visual Languages & Computing, 11(3), 55. https://www.m-culture.go.th/mculture_th/download/king9/Glossary_about_HM_King_Bhumibol_Adulyadej’s_Funeral.pdf
41. Naranjo, J. E., Bouraoui, L., García, R., Parent, M., & Sotelo, M. Á. (2009). Interoperable control architecture for cybercars and dual-mode cars. IEEE Transactions on Intelligent Transportation Systems, 10(1), 146–154. https://doi.org/10.1109/TITS.2008.2011716
42. OWASP. (2015). Man in the Middle Attack. https://www.owasp.org/index.php/Man-in-the-middle_attack Pancorbo Crespo, J., Guerrero Gomez, L., & Gonzalo Arias, J. (2019). Autonomous Shipping and Cybersecurity. Ciencia y Tecnología de Buques, 13(25), 19–26. https://doi.org/10.25043/19098642.185
43. Parkinson, S., Ward, P., Wilson, K., & Miller, J. (2017). Cyber Threats Facing Autonomous and Connected Vehicles: Future Challenges. IEEE Transactions on Intelligent Transportation Systems, 18(11), 2898–2915. https://doi.org/10.1109/TITS.2017.2665968
44. Patterson, N., Hobbs, M., & Zhu, T. (2017). A cyber-threat analytic model for autonomous detection of virtual property theft. Information and Computer Security, 25(4), 358–381. https://doi.org/10.1108/ICS-11-2016-0087
45. Polat, Ç. (2016). Penetration tests and security solutions for corporate networks. In Master of Science Thesis, Dokuz Eylül University {\.I}zmir.
46. Puiboube, D. (2000). Un siècle d’automobile en France.
47. Schmittner, C., Ma, Z., Reyes, C., Dillinger, O., & Puschner, P. (2016). Using SAE J3061 for Automotive Security Requirement Engineering. 1(November 2018), 286–297. https://doi.org/10.1007/978-3-319-45480-1
48. Sheehan, B., Murphy, F., Mullins, M., & Ryan, C. (2019). Connected and autonomous vehicles: A cyber-risk classification framework. Transportation Research Part A: Policy and Practice, 124(November 2018), 523–536. https://doi.org/10.1016/j.tra.2018.06.033
49. Şimşek, H. F. (2020). ARP Spoofing. https://includekarabuk.com/kategoriler/cesitliSizmaTeknikleri/Arp-Spoofing-Saldirisi-Nedir-ve-Nasil-Yapilir.php
50. Sinai, M. Ben, Partush, N., Yadid, S., & Yahav, E. (2014). Exploiting Social Navigation. http://arxiv.org/abs/1410.0151
51. Singh, A. (2013). Metasploit Penetration Testing Cookbook. In Network Security (Vol. 2013, Issue 11). https://doi.org/10.1016/s1353-4858(13)70125-9
52. Sweshsec. (2020). vulnerability explaitation. https://sweshsec.wordpress.com/2015/07/31/vsftpd-vulnerability-exploitation-with-manual-approach/
53. Taeihagh, A., & Lim, H. S. M. (2019). Governing autonomous vehicles: emerging responses for safety, liability, privacy, cybersecurity, and industry risks. Transport Reviews, 39(1), 103–128. https://doi.org/10.1080/01441647.2018.1494640
54. Taymans, A., Taymans, A., & De, G. (2020). Gestion de trafic par les assistances coopératives To cite this version : HAL Id : tel-02903323 Docteur De l ’ Universitê De Bordeaux École doctorale des Sciences Physiques et de l ’ Ingénieur Spécialité : Automatique , Productique , Signal et Image Alexa.
55. Technical, F. O. F., & Str, U. (2019). Implementation Of The Web Based Platforms For Collecting And Footprinting IP Information Of Hosts In The Computer Network And Systems Petar Kr. Boyanov. 16, 42–50.
56. THT. (2020). Nmap Kullanımı. https://www.turkhackteam.org/network/1744147-detayli-nmap-kullanimi.html
57. TÜİK. (2018). Trafik Kaza ve Denetim İstatistikleri. https://www.pa.edu.tr/Upload/editor/files/Trafik_Kaza_ve_Denetim_İstatistikleri.pdf
58. Tunalı, M. M. (2019). Otonom Araçların Tarihçesi. https://www.tekyolbilim.com/otonom-araclarin-tarihcesi/
59. Ünver, M. (n.d.). Uluslararası Kuruluşların Siber Güvenlik Faaliyetleri.
60. Ünver vd. (2009). Siber Güvenliğin Sağlanması: Türkiye’de ki Mevcut Durum ve Alanması Gereken Tedbirler. In Bilgi Teknolojileri ve İletişim Kurumu.
61. Ustam, B. (2020). Otonom araçlar nedir. https://www.bilgiustam.com/surucusuz-otonom-araclar/
62. uzmanim.com. (2018). Malware Nedir? https://uzmanim.net/soru/emsisoft-anti-malware-nedir-nasil-kullanilir/3908
63. Uzmanim.com. (2018). malware ve türleri nelerdir? https://uzmanim.net/soru/malware-nedir-turleri-nelerdir/25343
64. Vers, J. B., Hydractive, C., Doctorale, É., Sciences, D. E. S., & Et, P. (2019). Vers une version alternative à la suspension CRONE Hydractive To cite this version : HAL Id : tel-02119390 Jean-Louis BOUVIN Spécialité : Automatique Vers une version alternative à la suspension CRONE Hydractive.
65. Vinnem, J. E., & Utne, I. B. (2018). Risk from cyberattacks on autonomous ships. Safety and Reliability - Safe Societies in a Changing World - Proceedings of the 28th International European Safety and Reliability Conference, ESREL 2018, 1485–1492. https://doi.org/10.1201/9781351174664-188
66. Yaşar, H., & Çakır, H. (2015). Kurumsal Siber Güvenliğe Yönelik Tehditler ve Önlemleri. Düzce Üniversitesi Bilim ve Teknoloji Dergisi, 3, 488–507.
67. Yüksek, H. Y. (2014). Kurumsal Siber Güvenliğe Yönelik Tehditler Ve Mücadele Yöntemleri: Eylem Planı Örneği [Gazi Üniversite]. In Journal of Visual Languages & Computing (Vol. 11, Issue 3). https://www.m-culture.go.th/mculture_th/download/king9/Glossary_about_HM_King_Bhumibol_Adulyadej’s_Funeral.pdf