KPIT hat eine Methodik zur Identifizierung von Schwachstellen mithilfe der Fuzz-Technik entwickelt. Wir haben einen Fuzzer entwickelt, der verwendet werden kann, um versteckte Schwachstellen eines Automobilsystems zu finden, indem Fuzz-Daten über das CAN (UDS) / CAN-Protokoll gesendet werden, wobei mutationsbasierte Fuzz-Tests verwendet werden.
KPIT-Ansatz
- Identifizieren Sie alle auf dem zu testenden System (SUT) vorhandenen Diagnosesitzungs-IDs. Identifizieren Sie Arbitrierungs-IDs für alle Diagnosesitzungen
- Erstellen Sie einen positiven Testanzug mit gültigen CAN-Nachrichten
- Eine Mutation der gültigen Eingabeanforderung wird ausgeführt, mutierte Eingaben werden dem SUT bereitgestellt und die Antworten des SUT werden auf Absturz oder Halt analysiert.
- Durch die Bereitstellung ungültiger Eingaben an das System wird das Verhalten der ECU beobachtet. Die fehlerhaften Antworten von ECU (Schwachstellen) werden gefunden und gemeldet. Diese Anfragen und Antworten werden in einer Datei gespeichert und analysiert.
- Generieren Sie eine Liste gefährdeter Nachrichten
Mögliche Angriffe, die auf Automotive Systems verhindert werden können:
- Denial of Service (DoS)-Angriff.
- Wiederholungsangriff
Werkzeuge/Methoden
- KPIT hat eine eigene Methodik zur Identifizierung von Schwachstellen mit der FUZZ-Technik entwickelt
- Systemkenntnisse: Black/Grey Box Fuzz Testing
- Hardware: CAN-Tools (CANoe, CANAnalyzer), ECU
- KPIT verfügt über Know-how zu kommerziellen Fuzz-Testing-Tools wie Synopsys Defensics