Prueba de penetración en el automóvil
pruebas de hardware
El proceso de avance de la digitalización no se detiene en el mundo del automóvil.
Debido al creciente número de ECUs en el coche, así como a la mayor interconexión de los vehículos (C2X), también aumenta el riesgo de acceso no autorizado y de manipulación de los sistemas críticos para la seguridad.
Sin embargo, los conocimientos avanzados también pueden hacer uso de la información transmitida a través del bus CAN para manipular una amplia variedad de funciones del vehículo o utilizarla para mejorar las funciones. La interconexión más profunda de varias unidades de control del vehículo permite funciones innovadoras como la conducción autónoma, los sistemas de control de crucero o incluso la mejora de la navegación.
Una amenaza clara y presente
Puntos focales de las pruebas:
- Pruebas según la norma ISO/SAE 21434 de ciberseguridad en la automoción
- Protocolos de bus
- CAN
- LIN
- Ethernet
- Ingeniería inversa del bus CAN
- Análisis de paquetes
- Fuzzing
- Comprobación de la conexión de los buses CAN (puentes)
- Conexión de la unidad de infoentretenimiento a la unidad de control del motor
- Sistema de infoentretenimiento
- Ataques a través del sistema de actualización
- Comprobar las vulnerabilidades conocidas
- Comunicación a través de aplicaciones móviles
- Pruebas de interfaz
- ODB-II
- Bluetooth
- Sin llave
- GPS
- WiFi
- Conexión de teléfono móvil
- Cámaras
- Sensores
- ECUs y otros sistemas empotrados
- Comprobar las vulnerabilidades conocidas
- Análisis del código
- Fuerza bruta con análisis de poder
- Inyección de fallos
- Pruebas clave
- Atasco
- Brute-Forcing
- Predicción de futuro
- Comunicación de vehículo a vehículo y de vehículo a infraestructura
Procedimiento de las pruebas
Durante la reunión inicial, llegamos a conocerle mejor a usted y a su empresa. En la segunda ronda de la reunión, discutimos los próximos pasos junto con todos los responsables de la toma de decisiones. Esto determina la metodología de la prueba de penetración que se utilizará.
Una vez que se han identificado los posibles vectores de ataque durante la prueba de penetración, y se ha determinado su probabilidad de ocurrencia y el alcance de los daños, le presentamos los resultados en un informe final.
Esto incluye un resumen de gestión, una descripción detallada de los riesgos inherentes y una prueba de concepto, para que pueda reproducir las vulnerabilidades internamente con sus propios expertos en TI.
El núcleo de la documentación son las exhaustivas recomendaciones de actuación, con las que podrá llevar a cabo de forma fácil y comprensible su propia corrección de los puntos débiles.
Independientemente de un debriefing gratuito para aclarar dudas o ambigüedades abiertas, también estamos encantados de proporcionarle una confirmación de la realización con éxito de una prueba de penetración si lo solicita. Puede utilizarlo como prueba para los clientes y socios comerciales.
El informe final contiene los siguientes componentes:
- Datos del marco del proyecto (nombre del proyecto, persona de contacto, período de prueba, alcance)
- Resumen de la gestión
- Descripción del enfoque y los métodos utilizados
- Resumen y evaluación de las vulnerabilidades identificadas con respecto a su criminalidad (incluyendo la denominación de los valores CVSS y las entradas CVE), así como una prueba técnica de concepto
- Descripción técnica detallada de las vulnerabilidades / riesgos inherentes identificados
- Recomendación de medidas para remediar la vulnerabilidad, así como listado de todas las vulnerabilidades en forma de tabla (Excel).
Su contacto
Siempre puede contactarnos personalmente. Porque la lealtad en la asociación es mucho más importante para nosotros que el éxito a corto plazo.
Philipp Kalweit
Socio Director
+49 40 285 301 257