Segurança da Informação em Redes VANET: Uma análise de risco segundo a ISO 27005
Descrição do Produto
FACULDADE DE TECNOLOGIA DE SÃO CAETANO DO SUL
RICARDO MÜHLBAUER
SEGURANÇA DA INFORMAÇÃO EM REDES VANET: UMA ANÁLISE DE RISCO SEGUNDO A ISO 27005
SÃO CAETANO DO SUL / SÃO PAULO 2012
RICARDO MÜHLBAUER
Segurança da Informação em Redes VANET: Uma análise de risco segundo a ISO 27005
Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de São Caetano do Sul, sob a orientação do Professor Doutor Jacinto Carlos Ascêncio Cansado, como requisito parcial para a obtenção do diploma de Graduação no Curso de Tecnologia de Segurança da Informação.
São Caetano do Sul / São Paulo 2012
Nome: MÜHLBAUER, Ricardo Título: Segurança da Informação em Redes VANET: Uma análise de risco segundo a ISO 27005 Trabalho de Graduação apresentado à Faculdade de Tecnologia de São Caetano do Sul. Aprovado em:
Banca Examinadora
Prof. Dr./MSc./Me. _____________________________ Instituição: ______________
Julgamento: _________________________ Assinatura: ______________________
Prof. Dr./MSc./Me. _____________________________ Instituição: ______________
Julgamento: _________________________ Assinatura: ______________________
Prof. Dr./MSc./Me. _____________________________ Instituição: ______________
Julgamento: _________________________ Assinatura: ______________________
Dedico esta monografia a:
Werner Mühlbauer (in memoriam), pelo seu exemplo de vida como professor e diretor de escola, pai assíduo, e, sobretudo, por ter sido um ser humano sensível e solidário, que continua sempre presente.
Carmen R. L. Mühlbauer, pela dedicação infatigável de mãe.
Sueli e Júlio Werner, esposa e filho queridos.
AGRADECIMENTOS
Ao meu orientador, Professor Doutor Jacinto Carlos Ascêncio Cansado por todo o direcionamento e apoio despendido desde o início do projeto de graduação e por sua dedicação em sala de aula.
Aos diretores, coordenadores de curso e a todos os funcionários da FATEC de São Caetano do Sul, desde a secretaria aos serviços de apoio, sem os quais este trabalho não seria possível.
Também agradeço a todos os professores das matérias do curso de Tecnologia de Segurança da Informação, que proporcionaram a base de conhecimentos necessária para esta monografia.
“A maioria das pessoas superestima o que pode fazer em um ano, mas subestima o que pode fazer em dez anos.” Jim Rohn, The power of ambition.
RESUMO MÜHLBAUER, Ricardo. Segurança da Informação em Redes VANET: Uma análise de risco segundo a ISO 27005. 114 f. Trabalho de Graduação – Faculdade de Tecnologia de São Caetano do Sul, São Caetano do Sul, 2012.
A necessidade de reduzir acidentes e aumentar a segurança viária, bem como ofertar e comercializar novos serviços a motoristas e passageiros, têm levado ao desenvolvimento da tecnologia VANET (Vehicular Ad hoc Network). Embora possam se conectar com a infraestrutura disponível em vias e estradas, as VANETs são definidas como redes de comunicação veiculares, em que os participantes não dependem necessariamente de pontos de acesso centrais para comunicarem-se. Elas pressupõem a aplicação das comunicações sem fio, já amplamente utilizadas para computadores, equipamentos portáteis e redes móveis, nos veículos. Nos projetos de VANETs atualmente em fase de desenvolvimento e realização de testes de campo, um aspecto chave reconhecido nas pesquisas é a segurança da informação nas comunicações veiculares. Para ser aceita pelos consumidores a rede veicular requer alto grau de confiabilidade, o que se reflete na salvaguarda dos princípios: disponibilidade das comunicações e aplicativos, integridade dos dados, confidencialidade de informações sensíveis, privacidade dos motoristas e passageiros, responsabilização e não-repúdio pelas ações realizadas na rede. A análise de risco é um processo essencial para determinar ameaças, vulnerabilidades e estimar riscos de segurança da informação. Este trabalho visa verificar a aplicabilidade da norma ISO27005 de gestão de riscos de segurança da informação em VANETs. A utilização de mapas de risco permite a visualização dos riscos antes e após medidas de mitigação que vêm sendo propostas em pesquisas e projetos nesta área emergente de estudos.
Palavras-chave: VANETs; Redes Veiculares Ad Hoc; Sistemas Inteligentes de Transporte; Análise de Risco de Segurança da Informação; ISO27005.
ABSTRACT MÜHLBAUER, Ricardo. Information Security on VANET Networks: An ISO 27005 based Risk Analysis. 114 p. Trabalho de Graduação – Faculdade de Tecnologia de São Caetano do Sul, São Caetano do Sul, 2012.
The need to reduce traffic accidents and improve safety, as well to offer and commercialize new services to drivers and passengers, has led to the development of VANET (Vehicular Ad hoc Network) Technology. Although they can connect to available infrastructure on highways and roads, VANETs are defined as vehicular networks that doesn´t necessarily depend on central access points to communicate. They foresee the application of wireless communications to vehicles, already in wide use by computers, mobile equipments and networks. In VANET projects currently in development and test field phases, one key aspect recognized in the researching is the information security of the vehicular communication. To be accepted by consumers, the vehicular network requires a high degree of reliability that reflects on the safeguard of the following principles: availability of communications and applications, integrity of data, confidentiality of sensitive informations, privacy of drivers and passengers, accountability and non repudiation of actions held in the network. The analysis of risk is an essential process to determine threats, vulnerabilities and risk estimation of information security. This work aims to verify the applicability of the ISO 27005 framework – Information Security Risk Management – on VANETs. The use of risk maps allows the visualization of the risks before and after mitigation measures that has been proposed in the research and projects in this emergent knowledge area.
Key-words: VANETs; Vehicular Ad hoc Networks; Intelligent Transportation Systems; Information Security Risk Analysis; ISO27005.
LISTA DE ILUSTRAÇÕES
Figura 1. Unidades de Controle Eletrônico Embarcadas ........................................... 20 Figura 2. Veículos em rede VANET .......................................................................... 21 Figura 3. Conexões V2V ........................................................................................... 22 Figura 4. Conexões V2X ........................................................................................... 23 Figura 5. Aviso de Acidente....................................................................................... 24 Figura 6. Aviso Cooperativo de Colisão .................................................................... 25 Figura 7. Alerta de Veículo de Emergência ............................................................... 25 Figura 8. Aviso Cooperativo de Violação .................................................................. 26 Figura 9. Previsão de Introdução no Mercado........................................................... 28 Figura 10. DSRC - Taxa de Transmissão versus Alcance ........................................ 30 Figura 11. Pilha de Protocolos OSI ........................................................................... 31 Figura 12. Alocação de Canais DSRC ...................................................................... 32 Figura 13. Pilha de Protocolos WAVE ....................................................................... 33 Figura 14. Arquitetura C2C-CC ................................................................................. 35 Figura 15. Arquitetura CALM ..................................................................................... 36 Figura 16. Modos de Transmissão ............................................................................ 37 Figura 17. Pontos Fortes dos Simuladores ............................................................... 42 Figura 18. Projetos Experimentais de VANETs ......................................................... 43 Figura 19. Sistema de Telemática Fleetboard ........................................................... 49 Figura 20. Aplicativo de Trânsito para Smartphones................................................. 50 Figura 21. Topologia do Sistema SINIAV .................................................................. 52 Figura 22. Pórticos do Sistema Ponto a Ponto .......................................................... 53 Figura 23. Processo de Gestão de Riscos de Segurança da Informação ................. 55 Figura 24. Processo de Tratamento de Riscos ......................................................... 62 Figura 25. Ataque DDOS de veículos contra RSU .................................................... 68 Figura 26. Mensagem Falsa de Congestionamento .................................................. 68 Figura 27. Mensagem Falsa de Estacionamento ...................................................... 69 Figura 28. Ataques Timing ........................................................................................ 69 Figura 29. Ataque Sybil ............................................................................................. 70 Figura 30. Ataque Social ........................................................................................... 70 Figura 31. Rastreamento de Veículos ....................................................................... 71 Figura 32. Ataque de Túnel ....................................................................................... 72
Figura 33. Identificação e Credenciais Veiculares..................................................... 78 Figura 34. Módulos Eletrônicos VANET .................................................................... 79 Figura 35. Revogação de Certificados ...................................................................... 80 Figura 36. Comunicação Segura ............................................................................... 81 Figura 37. Redução de Riscos após Tratamento ...................................................... 85 Figura 38. Detalhamento de Análises de Risco......................................................... 92
LISTA DE TABELAS
Tabela 1. Alinhamento ISMS e Gestão de Riscos ..................................................... 54 Tabela 2. Modelo do Mapa de Risco ......................................................................... 61 Tabela 3. Ativos VANET Primários ............................................................................ 65 Tabela 4. Ativos VANET Secundários ....................................................................... 66 Tabela 5. Fontes de Ameaças Humanas .................................................................. 67 Tabela 6. Controles mais Frequentes ....................................................................... 84 Tabela 7. Lista de Ameaças VANET ......................................................................... 98 Tabela 8. Lista de Vulnerabilidades VANET ........................................................... 103 Tabela 9. Cenários e Estimativas de Riscos ........................................................... 105 Tabela 10. Mapa de Riscos VANET ........................................................................ 109 Tabela 11. Controles de Riscos VANET ................................................................. 110 Tabela 12. Tratamento de Riscos VANET .............................................................. 114 Tabela 13. Mapa de Riscos Residuais .................................................................... 117
LISTA DE ABREVIATURAS E SIGLAS AES-CCM:
Advanced Encryption Standard – Counter with CBC MIC mode
ASTM:
American Society for testing and Materials
C2C-CC:
Car to Car Communications Consortium
CA:
Certification Authority
CALM:
Communications Access for Land Mobiles
CAN:
Controller Area Network
CCH:
Control Channel
CCO:
Centro de Controle Operacional
CERT:
Computer Emergency Response Team
CONTRAN: Conselho Nacional de Trânsito CRL:
Certificate Revocation Lists
DENATRAN: Departamento Nacional de Trânsito DETRAN:
Departamento Estadual de Trânsito
DSRC:
Dedicated Short-Range Communications
DTN:
Disruption Tolerant Network
ECDSA:
Elliptic Curve Digital Signature Algorithm
ECIES:
Elliptic Curve Integrated Encryption Scheme
ECU:
Electronic Control Unit
EDR:
Event Data Recorder
ELP:
Electronic License Plate
EUA:
Estados Unidos da América
FCC:
Federal Communications Commission
GPS:
Global Positioning System
HMI:
Human Machine Interface
HSM:
Hardware Security Module
IEC:
International Electrotechnical Commission
IEEE:
Institute of Electrical and Electronic Engineers
ITS:
Intelligent Transportation Systems
ISM:
Industrial, Scientific, Medical
ISMS:
Information Security Management Systems
ISO:
International Organization for Standardization
L_MLME:
Lower MAC Layer Management Entity
LIN:
Local Interconnect Network
LLC:
Logical Link Control
MAC:
Medium Access Control
MALWARE: Malicious Software MANET:
Mobile Ad Hoc Network
MLME:
MAC Layer Management Entity
NEMO:
Network IP Mobility
OBU:
OnBoard Unit
ONG:
Organização Não Governamental
OSI:
Open Systems Interconnection
PDA:
Personnal Digital Assistant
PLME:
Physical Layer Management Entity
PRW:
Pedestrian in Roadway Warning
RENAVAM: Sistema de Registro Nacional de Veículos Automotores RENAJUD: Sistema de Restrições Judiciais de Veículos Automotores RSU:
RoadSide Unit
SAE:
Society of Automotive Engineers
SCH:
Service Channel
SINIAV:
Sistema de Identificação Automática de Veículos
TCP:
Transmission Control Protocol
TOC:
Traffic Operations Center
UDP:
User Datagram Protocol
U_MLME:
Upper MAC Layer Management Entity
VANET:
Vehicular Ad Hoc Network
VIN:
Vehicular Identification Number
VPKI:
Vehicular Public Key Infrastructure
V2I:
Vehicle-to-Infrastructure Communication
V2V:
Vehicle-to-Vehicle Communication
V2X:
V2I, V2V
WAVE:
Wireless Access in Vehicular Environments
WME:
Wave Management Entity
WSM:
Wave Short Messages
WSMP:
Wave Short Messages Protocol
SUMÁRIO
INTRODUÇÃO .............................................................................................................. 16 1
VANETs .............................................................................................................. 20
1.1
Conceito ............................................................................................................. 20
1.2
Aplicações .......................................................................................................... 23
1.2.1 Orientação à Segurança Viária ........................................................................... 24 1.2.2 Orientação à Conveniência ................................................................................ 27 1.2.3 Orientação Comercial ......................................................................................... 27 1.2.4 Fatores de Implantação ...................................................................................... 28 1.3
Arquitetura e Padronização ................................................................................ 29
1.3.1 Padrão WAVE .................................................................................................... 31 1.3.2 Padrão C2C - CC ............................................................................................... 35 1.3.3 Padrão ISO - CALM ............................................................................................ 36 1.4
Roteamento ........................................................................................................ 37
1.4.1 Topológico .......................................................................................................... 38 1.4.2 Geográfico .......................................................................................................... 38 1.4.3 Oportunista ......................................................................................................... 39 1.4.4 Disseminação de Informações ........................................................................... 40 1.4.5 GeoCast ............................................................................................................. 40 1.5
Simuladores........................................................................................................ 40
1.6
Projetos Experimentais ....................................................................................... 42
1.6.1 EUA .................................................................................................................... 43 1.6.2 União Européia ................................................................................................... 44 1.6.3 Japão .................................................................................................................. 46 1.6.4 Brasil................................................................................................................... 46 1.7
Sistemas em Operação ...................................................................................... 48
1.8
Sistema Brasileiro SINIAV .................................................................................. 51
2
ISO / IEC 27005 – Gestão de Riscos de Segurança da Informação .................. 54
2.1
Estabelecimento do Contexto ............................................................................. 56
2.1.1 Considerações Gerais ........................................................................................ 56 2.1.2 Critérios Básicos ................................................................................................. 56 2.1.3 Escopo e Fronteiras............................................................................................ 58
2.1.4 Questões Organizacionais .................................................................................. 58 2.2
Análise/Avaliação de Riscos ............................................................................... 58
2.2.1 Identificação dos Riscos ..................................................................................... 59 2.2.2 Estimativa dos Riscos......................................................................................... 59 2.2.3 Avaliação dos Riscos.......................................................................................... 60 2.3
Tratamento de Riscos......................................................................................... 61
2.3.1 Redução de Riscos............................................................................................. 62 2.3.2 Retenção de Riscos............................................................................................ 63 2.3.3 Prevenção de Riscos .......................................................................................... 63 2.3.4 Transferência de Riscos ..................................................................................... 63 2.4
Aceitação e Comunicação de Riscos ................................................................. 64
2.5
Monitoração e Revisão dos Fatores de Riscos .................................................. 64
3
ANÁLISE E AVALIAÇÃO DE RISCO DE REDES VANET ................................. 65
3.1
Identificação de Riscos nas VANETs ................................................................. 65
3.1.1 Identificação dos Ativos ...................................................................................... 65 3.1.2 Identificação das Ameaças ................................................................................. 66 3.1.3 Identificação dos Controles Existentes ............................................................... 72 3.1.4 Identificação das Vulnerabilidades ..................................................................... 72 3.1.5 Identificação dos Impactos ................................................................................. 73 3.2
Estimativa de Riscos nas VANETs ..................................................................... 73
3.3
Avaliação dos Riscos nas VANETs .................................................................... 74
4
MITIGAÇÃO e RISCOS RESIDUAIS.................................................................. 77
4.1
Controles de Segurança da Informação ............................................................. 77
4.1.1 Gerenciamento de Identidades e Credenciais .................................................... 77 4.1.2 Dispositivos de Segurança de Hardware ............................................................ 78 4.1.3 Revogação de Certificados................................................................................. 79 4.1.4 Comunicação Segura ......................................................................................... 81 4.1.5 Medidas Técnicas Adicionais ............................................................................. 82 4.1.6 Medidas Derivadas da ISO27002 ....................................................................... 82 4.2
Tratamento de Riscos de VANETs ..................................................................... 83
4.3
Riscos Residuais ................................................................................................ 84
4.4
Atividades Subsequentes ................................................................................... 86
5
AVALIAÇÃO DOS RESULTADOS E OBJETIVOS ............................................. 87
5.1
Objetivo principal ................................................................................................ 87
5.2
Objetivos específicos .......................................................................................... 87
6
CONSIDERAÇÕES FINAIS ................................................................................ 90
6.1
Conclusões ......................................................................................................... 90
6.2
Sugestões de Trabalhos Futuros ........................................................................ 91
REFERÊNCIAS ............................................................................................................. 94 APÊNDICE – Tabelas de ameaças, vulnerabilidades, riscos e controles ..................... 98 APÊNDICE – Glossário de Termos de Segurança da Informação .............................. 118
16
INTRODUÇÃO
Apresentação do Tema e Problematização: A segurança da informação não tem recebido a devida atenção no lançamento de novas tecnologias e produtos. Isto se deve à competição entre os fabricantes para serem os primeiros a disponibilizar produtos e amortizar os altos investimentos realizados no desenvolvimento. O consumidor não está consciente e sensibilizado para os problemas de segurança da informação e não está claro até que ponto aceitaria pagar a mais por um produto que incorporasse mais segurança. Esta situação poderá implicar em aumento considerável de ações de responsabilidade civil ou criminal contra as empresas, pois estas deveriam fornecer a segurança da informação implicitamente em seus produtos. O cenário descrito deverá tornar a segurança da informação gradualmente mais importante à medida que a computação torna-se difusa ou ubíqua, ou seja, presente em todos os instantes, em qualquer atividade e dispositivo considerado. A eletrônica embarcada e as redes veiculares estão sendo implantadas rapidamente nos veículos automotores, e com isso também cada vez mais sujeitas às mesmas vulnerabilidades que presenciamos atualmente ao ter interligado os computadores em redes internas e, posteriormente, às redes públicas de comunicação. A conexão das redes de veículos à Internet os tornará vulneráveis a todo tipo de ataques relacionados à segurança da informação hoje conhecidos: malwares, engenharia social, spoofing, man-in-the-middle e negação de serviços, entre outros. Aspectos relacionados à confiabilidade, confidencialidade, integridade e disponibilidade das informações, bem como a privacidade dos proprietários de veículos, podem ficar comprometidos com a possibilidade de rastreamento veicular e a conexão com a Internet. Um dos objetivos da interligação dos veículos em rede é melhorar a segurança viária (Safety em inglês), por exemplo, ao prevenir a ocorrência de colisões. Porém, se não houver a contraparte da segurança da informação (Security em inglês), novos problemas surgirão, trazendo inclusive redução da própria segurança pela exploração de vulnerabilidades da rede veicular e comprometimento dos sistemas veiculares.
17
Devido às implicações com a segurança viária, no projeto de VANETs não poderá ocorrer como visto em outros desenvolvimentos tecnológicos em que novos produtos e serviços são colocados no mercado sem as devidas proteções. Por isso, nota-se a falta da aplicação de ferramentas gerenciais que facilitem a demonstração dos riscos e suas mitigações nestas redes visando obtenção dos devidos recursos para soluções de segurança da informação. Além disso, nos projetos atuais, as ameaças e vulnerabilidades são tratadas de forma isolada, sem a avaliação de riscos e o estabelecimento de um comparativo entre si, o que pode resultar em incompletude na abordagem ou na alocação de recursos para soluções de forma desproporcional aos respectivos riscos. Portanto, o problema em discussão é demonstrar como o Framework especificado pela norma ISO27005 pode ser aplicado em projetos e posterior operação de VANETs, visando à mitigação de riscos para viabilização desta nova tecnologia.
Objetivos: O objetivo deste trabalho é realizar a aplicação dos requisitos da norma ISO/IEC 27005 (Gestão de Riscos de Segurança da Informação) em redes VANET (Vehicular Ad-hoc Networks). Comumente utilizada em SGSIs (Sistemas de Gestão de Segurança da Informação), será verificado se a norma também pode ser aplicada numa abordagem para relacionar ameaças e vulnerabilidades, estimar impactos e riscos de forma comparável, incentivando desta forma a aplicação em medida adequada da segurança da informação nos projetos relacionados às redes veiculares. Os objetivos específicos desta monografia são:
Pesquisar os estudos atualmente disponíveis de interligação das redes VANETs.
Verificar as tendências atuais e projetos de interligação de redes veiculares com a Internet e suas implicações com a segurança e privacidade dos usuários.
Verificar qual o estado atual da segurança da informação aplicada às redes de veículos automotores.
Analisar vulnerabilidades e ameaças de segurança da informação a que estão sujeitas as redes veiculares. Avaliar impactos e determinar os riscos de segurança da informação.
18
Determinar que medidas de proteção (identificação, autenticação, criptografia, não repúdio, controle de erros, entre outros) podem ser tomadas para mitigar os riscos de segurança da informação no ambiente descrito.
Identificar quais ameaças não possuem soluções propostas.
Realizar um mapeamento dos riscos e expô-los sob uma perspectiva de priorização de medidas de proteção.
Justificativas: A proposta da comunicação IVC (Inter-Vehicle Communication) e RVC (Roadside-to-Vehicle Communication) visa obter um tráfego mais seguro e eficiente nas ruas e estradas, RITA (2012). O tema é atual e há um grande campo para pesquisa e discussão sobre o assunto. A contribuição para o conhecimento é de âmbito geral, como por exemplo, a necessidade de elaboração de procedimentos que as empresas devem considerar na segurança da informação veicular, mas também específicos, ao estudar uma determinada solução para uma vulnerabilidade técnica. Como a maior parte da documentação disponível sobre o assunto está em inglês, realizar esta pesquisa contribui para trazer a discussão do tema para a comunidade científica brasileira, bem como, as empresas relacionadas a veículos automotores, já que o Brasil é um país emergente na indústria automobilística mundial. A análise de riscos de segurança da informação sobre VANETs serve como sensibilização das empresas e das pessoas para que sejam implantadas medidas técnicas e organizacionais que levem a um ambiente mais seguro para os usuários, viabilizando estes novos recursos de tecnologia nos veículos. Além disso, a utilização dos mapas de riscos permite a priorização das medidas, para que os limitados recursos sejam aplicados de forma a mitigar os maiores riscos e identificar quais ameaças não foram ainda adequadamente consideradas.
Materiais e Métodos: Os materiais utilizados neste trabalho são livros, artigos, revistas e sites, informações de projetos de estudo e implantação de VANETs, especialmente na área de segurança da informação. A metodologia utilizada é composta por três partes:
19
1. Pesquisa bibliográfica para levantamento dos trabalhos já efetuados em VANETs, especialmente ameaças, vulnerabilidades e soluções de segurança da informação. 2. Estudo detalhado da norma ISO / IEC 27005 3. Aplicação dos requisitos da norma ISO 27005 às VANETs levando em consideração ameaças, vulnerabilidades e soluções de segurança da informação já publicadas. Com relação à metodologia, a abordagem a ser adotada para a análise de risco será a qualitativa, em função do estágio atual de desenvolvimento das redes VANET não possibilitar dados estatísticos para uma abordagem quantitativa. Uma restrição a levantamentos de campo neste tema é o caráter confidencial das informações dos fabricantes em relação à segurança de seus produtos e projetos.
Visão Geral dos Capítulos: Esta monografia é composta por seis capítulos descritos a seguir: O primeiro capítulo apresenta o conceito de redes ad-hoc veiculares, trabalhos de padronização da arquitetura, simuladores de redes VANET, projetos de testes em campo e sistemas em operação. O segundo capítulo descreve os principais tópicos da norma ISO/IEC 27005 – Gestão de Riscos de Segurança da Informação – com considerações e preparação para a aplicação em redes veiculares. O terceiro capítulo demonstra a aplicação dos requisitos da norma ISO/IEC 27005 em VANETs. O quarto capítulo apresenta diversas soluções comumente disponíveis em segurança da informação e expõe os riscos residuais estimados. O quinto capítulo relaciona os resultados alcançados com os objetivos inicialmente estabelecidos. O sexto capítulo é reservado para as considerações finais e propostas de continuação de trabalhos. O documento é encerrado com a apresentação das referências consultadas para esta monografia, o apêndice com as tabelas de análises e mapas de risco das VANETs e um glossário dos principais termos de segurança da informação utilizados.
20
1
VANETs
1.1
Conceito A invenção do veículo e a primeira viagem de Bertha Benz de Ladenburg a
Pforzheim na Alemanha em 1888 foi o marco de início da revolução automobilística, conforme comenta Plößl (2009). Desde então, os automóveis e veículos automotores têm sido objeto de fascinação pelo ser humano pela liberdade, prazer e utilidade que proporcionam. Em pouco mais de cem anos, os veículos passaram por grandes transformações tecnológicas; inicialmente apenas nos aspectos mecânicos, mas gradualmente a eletrônica foi tomando espaço, principalmente após a invenção do transístor e posteriormente do circuito integrado, cuja miniaturização e baixo consumo de energia permitiu sua implantação nos veículos. Ribeiro (2008) afirma que mais de 80% das inovações desenvolvidas para veículos são provenientes de sistemas eletrônicos, tais como: controle de bloqueio das portas, sistemas ABS antitravamento das rodas, sensores de pressão nos pneus, suspensão ativa, sistemas de posicionamento global (GPS), Airbags e piloto automático, entre outros. Segundo Kosher et al (2010), atualmente um veículo de luxo possui mais de 100 Megabytes de código binário rodando em aproximadamente 50 a 70 computadores independentes, as denominadas Electronic Control Units (ECUs). A figura 1 ilustra em cores distintas a separação de redes internas veiculares interligando ECUs em um veículo. Figura 1. Unidades de Controle Eletrônico Embarcadas
Fonte: Alves et al, 2012.
21
À medida que essas unidades de processamento ficaram cada vez mais complexas, a necessidade de interligações tornou o cabeamento (chicote) cada vez maior, pesado e caro. Para resolver este problema foram introduzidas as redes internas veiculares, como por exemplo, a rede CAN (Controller Area Network), LIN (Local Interconnect Network) e FlexRay. Além dos sistemas acima descritos, o desenvolvimento e a expansão das redes sem fio deu origem a uma nova classe de aplicações denominadas MANETs (Mobile Ad-hoc Networks), que são redes móveis constituídas sem uma estrutura centralizada de controle (ad hoc). Um caso particular destas redes são as VANETs, termo adotado originalmente para refletir a natureza desestruturada (ad hoc) e dinâmica das redes veiculares, enquanto que o conjunto total de inovações tecnológicas na área veicular tem sido denominado de ITS (Intelligent Transportation Systems). A figura 2 ilustra uma hipotética transmissão wireless de veículos participantes em uma rede VANET.
Figura 2. Veículos em rede VANET
Fonte: RITA - ITS Joint Program Office, 2012.
De
acordo
com
Hartenstein
e
Laberteaux
(2008),
o
conceito
de
aproveitamento das tecnologias de rede sem fio nos veículos vem interessando os pesquisadores desde a década de 80. Nos últimos anos presenciou-se um grande avanço nas pesquisas e desenvolvimentos nesta área, impulsionados pelos fabricantes de veículos que têm investido na tecnologia da informação para melhorar a segurança contra acidentes, questões ambientais e conforto dos passageiros.
22
Conforme Zeadally (2010), nas VANETs, cada veículo assume o papel de transmissor, receptor e roteador, enviando mensagens broadcast para a rede que utilizará estas informações para incrementar a segurança e a fluidez do tráfego. Formalmente, as VANETs são definidas como redes de comunicação formadas por veículos automotores equipados com unidades de comunicação OBUs (OnBoard Units) e por equipamentos fixos denominados RSUs (Roadside Units), geralmente localizados às margens das ruas e estradas. Cada veículo também deve estar equipado com sistemas que permitam identificar sua posição detalhadamente, tal como o GPS (Global Positioning System). As RSUs poderão ser conectadas a uma rede central para permitir a comunicação com outras RSUs, com centrais de controle de tráfego e a rede Internet em geral. A figura 3 exemplifica as transmissões de veículos conectados entre si.
Figura 3. Conexões V2V
Fonte: RITA - ITS Joint Program Office, 2012.
Outros acrônimos utilizados no campo das VANETs são: V2V (Vehicle-to-Vehicle) para a comunicação entre veículos e V2I (Vehicle-to-Infrastructure) para a comunicação veículo infraestrutura. O conceito das VANETs pode se estender a qualquer veículo, como motos, trens, entre outros, levando ao termo genérico V2X. A figura 4 ilustra a possível interligação V2X entre vários meios de transporte nas VANETs.
23
Figura 4. Conexões V2X
Fonte: RITA - ITS Joint Program Office, 2012.
Um
aspecto
importante
das
VANETs
refere-se
às
decisões
de
posicionamento e quantidade de RSUs. Lee e Kim (2010) realizaram estudos objetivando melhorar a conectividade e reduzir o intervalo de desconexões de comunicação para uma determinada quantidade de unidades RSUs, alcance da transmissão e taxa de sobreposição da rede. O critério de desempenho para o esquema de posicionamento é a conectividade, definida como a probabilidade de que um veículo possa se conectar a uma RSU. Intuitivamente, seria desejável instalar RSUs onde houvesse a maior concentração de veículos, mas isto não é tão simples se considerarmos múltiplas RSUs, o alcance de transmissão dos equipamentos wireless, a distribuição de densidade dos veículos, geografia das ruas e estradas, pontos de intersecção e cruzamento, locais com alta incidência de incidentes, entre outros fatores. 1.2
Aplicações De acordo com Emmelmann et al (2010), as pesquisas de tecnologia das
VANETs têm sido impulsionadas principalmente pela demanda do desenvolvimento de aplicativos para proporcionar suporte à rede. A comunidade de pesquisas nesta área já vem desenvolvendo um grande número de aplicações V2X em potencial, que poderão ser futuramente implantadas.
24
As aplicações das VANETs têm sido classificadas de uma forma geral em três grandes categorias conforme sua orientação: segurança viária, conveniência e comercial. 1.2.1 Orientação à Segurança Viária Estas aplicações destacam-se pela expectativa na redução dos acidentes de trânsito que causam, além dos danos materiais, a morte ou incapacitação de milhões de pessoas. Englobam a monitoração ativa do ambiente de entorno dos veículos (condições da rodovia ou posicionamento dos outros veículos) pela troca de mensagens entre os veículos e processamento das situações de perigo, enviando alertas aos motoristas ou atuando de forma automática, por exemplo, nos sistemas de freio, conforme ilustrado na figura 5.
Figura 5. Aviso de Acidente
Fonte: adaptado de SEVECOM, 2006.
A seguir temos alguns exemplos de casos de utilização de aplicações de VANET reproduzidos do site do projeto Car-to-Car Communication Consortium. Aviso Cooperativo de Colisão: causas primárias de acidentes envolvendo veículos, como, por exemplo, motocicletas, são a falta de visualização pelos outros motoristas ou erros de avaliação de distância e velocidade. A figura 6 ilustra essa situação, em que o motorista do carro não pode visualizar a aproximação de uma motocicleta no cruzamento por estar encoberta por um caminhão. Neste caso, o sistema gera avisos no painel do motorista e do motociclista ao detectar uma possível situação de perigo.
25
Figura 6. Aviso Cooperativo de Colisão
Fonte: Car-to-Car Communication Consortium, 2012.
Alerta de Veículo de Emergência: o veículo (ambulância, bombeiros e polícia, entre outros), emite avisos de aproximação aos demais veículos à frente conforme ilustrado na figura 7.
Figura 7. Alerta de Veículo de Emergência
Fonte: Car-to-Car Communication Consortium, 2012.
26
Outras possibilidades de aplicações de segurança viária são: aviso de veículo parado, lento ou frenagem brusca; notificação de veículo acidentado; alerta de condição de risco na estrada (gelo, óleo, etc.); notificação de situações de perigo nas estradas (curva acentuada, declive acentuado, etc.); aviso cooperativo de colisão em potencial pela monitoração da dinâmica veicular; aviso cooperativo de violação pelo envio de mensagens broadcast de fase e tempo dos semáforos e expansão da visibilidade em condições de neblina, obras nas pistas, e por fim, viabilizar a condução de veículos de forma autônoma. A figura 8 ilustra o alerta no painel resultante do processamento de uma aplicação VANET em um veículo aproximando-se de um semáforo que está emitindo um aviso cooperativo de possível violação do sinal vermelho.
Figura 8. Aviso Cooperativo de Violação
Fonte: adaptado de RITA - ITS Joint Program Office, 2012.
Além das comunicações Veículo-a-Veículo e Veículo-a-Infraestrutura, existe também a possibilidade de utilização das VANETs em aplicações Pedestre-aVeículo,
conforme
descreve
Emmelmann
et
al
(2010).
Estas
aplicações
denominadas PRW – Pedestrian in Roadway Warning (aviso de pedestre na via) poderão fornecer avisos aos motoristas em situações de cruzamentos de pedestres baseado em dispositivos de transmissão pessoais, incorporados, por exemplo, em telefones celulares ou dispositivos de detecção de pedestres baseados em infraestrutura.
27
1.2.2 Orientação à Conveniência Nesta classe enquadram-se as aplicações que compartilham informações de tráfego entre veículos, estradas e centrais de controle de trânsito para habilitar um fluxo mais eficiente dos veículos, melhorando a conveniência no uso das vias pelos motoristas. Exemplos de aplicações relacionadas à conveniência são: notificação de congestionamento por veículos e transmissão broadcast desta informação; veículo de monitoração da dinâmica dos veículos em trânsito e transmissão para a central de controle; cobrança automática de pedágio e notificação de disponibilidade de vagas em ruas e estacionamentos. Neste tipo de aplicação, diferentemente das aplicações relacionadas às mensagens de segurança viária, muitas vezes não estaremos interessados em dados ou medições individuais dos participantes da VANET. Além disso, distribuir todas as informações disponíveis para todos os receptores pode não ser viável. Hartenstein e Laberteaux (2010) descrevem como solução a sumarização e agregação dos dados de uma via ou área, de forma a reduzir a quantidade de dados dinamicamente, enquanto mudam as posições dos veículos e consequentemente a topologia da rede. A sumarização ocorre quando dados referentes à mesma entidade, mas em diferentes observações vão se juntando na rede, podendo ser de alguma forma combinados, armazenados e transmitidos como um único valor para os demais participantes na rede. A agregação ocorre quando dados referentes a diferentes entidades são combinadas em um valor único, permitindo representações de dados em âmbitos de áreas ainda maiores que a sumarização, proporcionando mais economia na armazenagem e transmissão das informações. 1.2.3 Orientação Comercial Fornecem vários tipos de serviços de comunicação relacionados ao entretenimento e satisfação dos ocupantes dos veículos, tais como acesso à Internet e conteúdo multimídia. As aplicações com orientação comercial podem ser resumidas em: diagnóstico e personalização remota dos veículos por conexão com a residência do proprietário ou concessionária; anúncios de serviços das redondezas, tais como,
28
restaurantes, bares, postos, supermercados, etc.; download de conteúdos da Internet, mapas e multimídia; transmissão de vídeos em tempo real para outros veículos ou RSUs. 1.2.4 Fatores de Implantação Embora as VANETs forneçam benefícios como redução de acidentes, otimização na ocupação das ruas e estradas com consequente redução da emissão de gases de escape na atmosfera, informações de conveniência ao motorista e entretenimento, e conectividade aos passageiros, a introdução dessas redes ainda é um desafio sócio-econômico. Conforme descreve Alves et al (2009), a introdução no mercado da comunicação direta entre veículos sofre o denominado “efeito de rede”, em que o valor agregado para um cliente depende do número total de clientes equipados com tecnologia VANET, já que é necessária uma quantidade mínima de veículos para obter conectividade para as aplicações V2V. De acordo com Hartenstein e Laberteaux (2008), a questão é como convencer os primeiros consumidores a pagarem o custo adicional de hardware e operação do sistema. A figura 9 ilustra uma possível curva de penetração de mercado das VANETs, iniciando pelas aplicações comerciais (commercial applications) e de conveniência de tráfego (traffic management applications), ficando para uma etapa seguinte as aplicações de segurança (safety applications).
Figura 9. Previsão de Introdução no Mercado
Fonte: adaptado de Emmelmann, 2010.
29
Outras formas de implantação estão em discussão, tais como, a obrigatoriedade por aplicação de lei e/ou descontos em seguros. Por sua importância, seria lógico iniciar a introdução das VANETs no mercado pelas aplicações relacionadas à transmissão de mensagens de segurança viária, porém, devido à dificuldade em demonstrar os ganhos aos consumidores, é provável que inicialmente seja instalada alguma infraestrutura e RSUs com serviços para atrair os primeiros consumidores com aplicações voltadas ao entretenimento e conveniência. Além das dificuldades de aceitação de custos da nova tecnologia pelos consumidores, há muitos problemas a resolver relacionados à infraestrutura e ao gerenciamento de TI necessários para viabilizar as VANETs. De acordo com Alves et al (2009), existe a questão de quem deve financiar essa infraestrutura, ou seja, possivelmente concessionárias das vias, governo, usuários ou uma combinação destes. Uma alternativa para dar início ao processo seria a utilização de equipamentos individuais móveis, como smartphones e PDAs no interior dos veículos, pois devido à grande disponibilidade destes equipamentos não haveria necessidade de investimento adicional por parte dos consumidores para aderir às redes VANET. Segundo estudos realizados na Alemanha por Matheus et al (2004), será necessário equipar pelo menos 10% dos veículos do país com dispositivos sem fio para que seja viável a troca de informações de segurança viária. Neste mesmo estudo, a tecnologia pode ser viabilizada se 50% dos novos veículos já saírem de fábrica equipados com os dispositivos necessários. 1.3 Arquitetura e Padronização O ambiente veicular apresenta muitos desafios para a comunicação de rádio sem fio, precisando funcionar adequadamente em áreas urbanas, suburbanas e rodovias; em tráfego congestionado ou escasso, em veículos parados, rodando em baixas ou altas velocidades, e está sujeito a interrupções e desconexões frequentes. Em vista dos estudos e experimentos crescentes relacionados às VANETs, a FCC (Federal Communications Commission) nos EUA reservou uma banda de 75 Megahertz na faixa de frequência entre 5,850 e 5,925 Gigahertz para comunicações dedicadas de curto alcance em ambientes veiculares, conhecida como DSRC (Dedicated Short-Range Communications). Embora seja licenciada, esta banda de frequências poderá ser utilizada sem custos e não sofrerá interferência de outros
30
dispositivos de redes sem fio, pois não está designada para utilização ISM (uso industrial, científico ou médico). Outros países também reservaram bandas de frequência em torno dos 5,8 GHz que diferem um pouco da especificação Norte Americana conforme segue: Europa (5,795 - 5,815 GHz) e Japão (5,770 – 5,850 GHz). Segundo Hartenstein e Laberteaux (2010), praticamente a maioria das aplicações não voltadas à segurança viária que podem ser executadas na Internet também podem rodar na arquitetura DSRC. Especialmente para as aplicações voltadas à segurança viária, o comitê técnico SAE DSRC está desenvolvendo o padrão J2735 (Dicionário de conjunto de mensagens) para definir formatos padrões de mensagens, de forma que as RSUs e OBUs de diferentes marcas e fabricantes possam se comunicar. A figura 10 ilustra como ocorre a variação da taxa de transmissão nas VANETs com relação às distâncias entre veículos, infraestrutura e o tipo de aplicação. Figura 10. DSRC - Taxa de Transmissão versus Alcance
Fonte: adaptado de Weigle, 2008.
Serviços de transferência de dados e Internet possuem volume grande de informações e precisam de taxas de transmissão maiores, enquanto que a distância
31
de comunicação fica mais curta. Serviços de mensagens voltadas à segurança viária ocupam uma posição intermediária de taxa de transmissão e distância. Serviços de veículos de emergência transmitem baixo volume de dados em baixa velocidade, mas a distâncias maiores que podem chegar a 1000 metros. Além das questões relacionadas aos protocolos, Emmelmann et al (2010) descrevem requisitos especiais para as antenas a serem utilizadas nas VANETs. O projeto adequado destas antenas deve favorecer a transmissão de dados ao longo da via de modo a reduzir a potência do sinal, aumentar o alcance, reduzir interferências e aumentar o tempo de conexão entre os participantes V2X. As antenas são um fator muito importante nas VANETs porque o ambiente de transmissão está sujeito a todo tipo de obstáculo e condições climáticas que podem interferir nas comunicações. 1.3.1 Padrão WAVE Nos Estados Unidos, o DSRC foi inicialmente formulado pela ASTM (American Society for testing and Materials) e posteriormente foi assumido pelo IEEE (Institute of Electrical and Electronic Engineers) e dividido em dois grupos de trabalho: P1609 e 802.11p. A padronização do grupo P1609 é um adendo ao padrão de redes sem fio 802.11 conhecido como WAVE (Wireless Access in Vehicular Environments). A figura 11 ilustra a relação do WAVE com a pilha de protocolos OSI (Open Systems Interconnection).
Figura 11. Pilha de Protocolos OSI
Fonte: adaptado de Weigle, 2008.
32
O padrão 802.11p está se estabelecendo como o padrão mais promissor para a camada física e enlace das VANETs correspondentes ao modelo ISO/OSI. Baseiase totalmente no padrão de redes sem fio 802.11a com algumas alterações na camada física e no controle de acesso ao meio (MAC). Enquanto que o padrão 802.11a foi concebido para utilização em distâncias curtas, de baixa mobilidade e uso em ambientes internos, o padrão 802.11p precisa lidar com distâncias de até 1000 metros, alta mobilidade e uso em ambientes externos com condições ambientais variáveis, por vezes adversas. Para lidar com estas diferenças, o DSRC reduz a largura de banda dos canais para 10 MHz, ao invés dos 20 MHz como definido no padrão 802.11a, e possui taxa de transmissão de 3 a 27 Mbps. No padrão WAVE não está prevista a utilização de equipamentos de rádio distintos para os canais de comunicação. A banda de frequência reservada para as VANETs é dividida em um canal de controle CCH (Control Channel) e seis canais de serviço SCH (Service Channel) da seguinte forma, ilustrada na figura 12:
Canal 172: alta disponibilidade e baixa latência para utilização exclusiva em comunicações veículo-a-veículo para prevenção de acidentes e segurança pública
Canal 174 e 176: canais de serviço SCH para uso geral
Canal 178: canal de controle CCH
Canal 180 e 182: canais de serviço SCH para uso geral
Canal 184: alta potência para comunicação de longa distância em aplicações de segurança pública
Figura 12. Alocação de Canais DSRC
Fonte: Alves et al, 2009.
Em geral, os protocolos na camada de transporte das VANETs não deverão ser orientados à conexão, pois o tempo de processamento requerido inviabilizaria a comunicação, já que, em vários casos a comunicação será mantida por apenas
33
alguns segundos antes de ser interrompida. Por exemplo, no caso mais extremo, dois veículos distantes 1000 metros entre si (alcance máximo previsto no DSRC) e em velocidade de 100 km/h em sentidos opostos, dispõem de apenas 36 segundos para se comunicarem antes da desconexão por perda do sinal. Conforme demonstrado na figura 13 por Alves et al (2009), a pilha de protocolos WAVE é dividida basicamente em duas partes: protocolos do padrão Internet IPV6 voltados para aplicações não relacionadas à segurança viária e protocolo WSMP (Wave Short Message Protocol), especificamente projetado para aplicações VANET. Figura 13. Pilha de Protocolos WAVE
Fonte: Alves et al, 2009.
O protocolo WSMP é uma alternativa aos protocolos TCP/IP que visa prover baixa latência e alta confiabilidade, características essenciais principalmente para aplicações de segurança viária. Como este tipo de aplicação necessita de mensagens pequenas, com poucos bytes de dados, o WSMP processa mensagens curtas denominadas WSM (Wave Short Messages). Além disso, este protocolo permite manipular diversos parâmetros de baixo nível, como o grau de potência e a taxa de transmissão de forma adaptativa, características importantes para evitar sobrecarga nos canais de rádio em cenários de alta densidade de tráfego veicular, evitando indisponibilidade na VANET.
34
Os datagramas IPV6 podem ser transmitidos apenas nos canais de serviço SCH, enquanto que as mensagens WSM podem ser transmitidas tanto nos canais de serviço como no canal de controle CCH. O padrão WAVE é composto pelas seguintes definições: IEEE 1609.0: descreve o framework IEEE 1609 da arquitetura WAVE. IEEE 1609.1: especifica serviços e interfaces do RM (gerenciador de recursos) que normalmente é executado na unidade RSU e fornece interoperabilidade entre as aplicações WAVE. IEEE 1609.2: especifica a segurança de processamento e formatos das mensagens, lidando com questões relacionadas com autenticação e criptografia. IEEE 1609.3: especifica os serviços das camadas LLC (logical link control), de rede e de transporte. Define o protocolo WSMP. IEEE 1609.4: especifica a operação de múltiplos canais. IEEE 1609.11: pedágio eletrônico e cobrança de taxas. A camada MAC WAVE é um conjunto de uma ou mais instâncias da MAC IEEE 802.11p e um protocolo de chaveamento de canais (IEEE 1609.4) que define como o dispositivo pode operar um canal por vez nos múltiplos canais do DSRC. Além do plano de protocolos de dados descritos acima, a figura 13 mostra à esquerda o plano de protocolos de gerenciamento, composta por entidades associadas às diversas camadas da pilha. As entidades de gerenciamento da camada física e MAC inferior são descritas na IEEE 802.11p e denominadas respectivamente PLME (Physical Layer Management Entity) e L_MLME (Lower MAC Layer Management Entity). O gerenciamento da camada MAC superior U_MLME (Upper MAC Layer Management Entity) é definida pela IEEE 1609.4, enquanto que a entidade de gerenciamento WME (Wave Management Entity) pela IEEE 1609.3. Conforme anteriormente citado, a IEEE 1609.2 define padrões de mecanismos de autenticação e criptografia das mensagens. A autenticação no WAVE utiliza o algoritmo de criptografia assimétrica ECDSA (Elliptic Curve Digital Signature Algorithm) com comprimentos de chave de 224 ou 256 bits. Conforme explicam Hartenstein e Laberteaux (2010), este algoritmo é bastante exigente em processamento, o que sempre é um problema para utilização em VANETs pela necessidade de autenticação de centenas de
35
mensagens de segurança por segundo. As mensagens enviadas por um participante da VANET devem ter uma chave de assinatura e um certificado associado. O processo de criptografia definido no WAVE utiliza uma combinação de criptografia simétrica e assimétrica. O algoritmo de criptografia simétrica definido no padrão é o AES-CCM (Advanced Encryption Standard no modo de operação CCM), enquanto que o algoritmo assimétrico especifica o ECIES (Elliptic Curve Integrated Encryption Scheme). 1.3.2 Padrão C2C - CC Na Comunidade Européia há comitês técnicos trabalhando em especificações de padrões para várias áreas de aplicação de sistemas ITS. O consórcio de empresas
automotivas,
denominado
C2C-CC
(Car-to-Car
Communications
Consortium), está se dedicando ao desenvolvimento de arquiteturas e protocolos para VANETs. A figura 14 descreve a configuração da arquitetura do padrão C2CCC, que prevê tanto a utilização dos protocolos da suite TCP/IP, como novos protocolos específicos para as camadas de transporte, rede e MAC, voltadas para as aplicações de segurança e eficiência do tráfego.
Figura 14. Arquitetura C2C-CC
Fonte: adaptado de Car-to-Car Communication Consortium, 2012.
36
1.3.3 Padrão ISO - CALM Outro Organization
grupo for
de
padronização,
Standardization),
coordenado
trabalha
no
pela
projeto
ISO
(International
denominado
CALM
(Communications Access for Land Mobiles) que é direcionado para comunicações de veículos em distâncias médias e longas envolvendo aplicações de entretenimento e segurança viária nas faixas de frequência de 5 GHz e 63 GHz. Conforme Emmelmann et al (2010), a padronização nas camadas de rede envolvem um núcleo IPv6, suporte ao protocolo NEMO (Network IP Mobility), compressão de cabeçalhos, conectividade com a Internet, conectividade móvel e roteamento em situações de rede ad hoc, pontos de acesso de serviços comuns e gerenciamento de serviços. A figura 15 ilustra a configuração da arquitetura do padrão CALM, composta por um plano de gerenciamento das camadas de interface, rede e aplicação, e um plano de protocolos de dados, com a especificação de um protocolo próprio para mensagens de segurança viária (CALM FAST).
Figura 15. Arquitetura CALM
Fonte: adaptado de Mohammad et al, 2011.
As tecnologias de acesso via rádio e padrões suportados são: WLAN IEEE 802.11 a/b/g/p, RFID, DSRC, sistemas celulares 2G/3G, satélite, GPS, radar e
37
infravermelho. Há esforços correntes para incorporar os requisitos do consórcio C2C-CC nas aplicações CALM. 1.4
Roteamento Emmelmann et al (2010) classificam as aplicações V2X em dois grandes
grupos quanto aos volumes de transmissão: comunicações por mensagens curtas para segurança viária e conveniência, e download/streaming de conteúdo extenso para aplicações comerciais. Quanto aos modos de transmissão, as comunicações por mensagens curtas podem ser divididas nos modos broadcast/geocast ou unicast. As aplicações de segurança viária exigem o envio de mensagens para todos os nós em seu alcance, utilizando, portanto, o modo broadcast/geocast, enquanto que as aplicações de conveniência tendem a utilizar o modo unicast. A figura 16 exemplifica os modos de transmissão VANET conforme proposto por Emmelmann (2010).
Figura 16. Modos de Transmissão
Fonte: adaptado de Emmelmann, 2010.
Aplicações de conveniência que demandam transações financeiras, como, por exemplo, o pagamento de pedágio, utilizam roteamento seguro em modo unicast, enquanto que aplicações do tipo notificação de disponibilidade de estacionamento fazem parte da classe unicast não segura. A classe de aplicações comerciais ou de entretenimento de conteúdo extenso utilizam normalmente protocolos unicast devido à sua característica um para um de download ou streaming de mídias.
38
Conforme descreve Zeadally et al (2010), os protocolos originalmente desenvolvidos para as MANETs têm sido estudados e testados para utilização em VANETs. Características particulares destas redes, tais como, topologia da rede, padrões de mobilidade, demografia, densidade de veículos ao longo do dia, mudanças rápidas de conexão e desconexão dos veículos participantes, geram problemas de escalabilidade que tornam os protocolos de roteamento ad hoc convencionais inadequados para a utilização em VANETs. Alves et al (2009) classifica os protocolos de roteamento para utilização em VANETs
em
quatro
classes:
topológicos,
geográficos,
oportunistas
e
de
disseminação de informações, sendo que os três primeiros utilizam transmissão no modo unicast, e o último, broadcast. Além das classificações acima, Baluz e Holanda Filho (2011) incluem uma quinta classe denominada de protocolos Geocast. 1.4.1 Topológico Estes tipos de protocolos são divididos em proativos, reativos e híbridos. Os protocolos proativos mantêm e atualizam as informações de roteamento entre todos os nós a todo o momento, ocupando muita banda de comunicação e por isso são ineficientes para VANETs. Já os protocolos reativos determinam as rotas conforme a necessidade e mantêm apenas as rotas que estão em uso. Os protocolos híbridos contêm ambos os componentes proativos e reativos. Exemplos de protocolos baseados em topologia:
DSR: Dynamic Source Routing
AODV: Ad hoc on-demand Distance Vector
PGB: Preferred Group Broadcasting
PBR: Prediction-Based Routing
1.4.2 Geográfico Conforme descrevem Fenu e Nitti (2011), os algoritmos geográficos, ou seja, baseados em posicionamento, necessitam saber a posição física dos nós participantes, o que pode ser obtido pela utilização de sistemas como o GPS. A posição de um nó da rede é disponibilizada aos nós vizinhos através de sinalizações periódicas conhecidas por beacons. Pela utilização de serviços de localização o nó transmissor pode encontrar o nó de destino apenas com o conhecimento das coordenadas e da identificação, sem
39
a necessidade de utilizar endereçamento IP. Zeadally et al (2010) esclarece que a decisão de roteamento em cada nó é baseada na posição de destino contida no pacote e a posição dos nós de encaminhamento vizinhos, atingindo o destinatário por múltiplos saltos (multi-hop unicast). Portanto, os protocolos baseados em posicionamento não requerem o estabelecimento e manutenção de rotas para todos os nós participantes, o que o torna adequado para aplicações VANET, especialmente se também utilizarem informações de mapas digitais, Alves et al (2009). Exemplos de protocolos baseados em posicionamento:
GPSR: Greedy Perimeter Stateless Routing
DREAM: Distance Routing Effect Algorithm for Mobility
CAR: Connectivity Aware Routing
GSR: Geographic Source Routing
SAR: Spatially-Aware Packet Routing
A-STAR: Anchor-Based Street and Traffic Aware Routing
GPCR: Greedy Perimeter Coordinator Routing
LOUVRE: Landmark Overlays for Urban Vehicular Routing Environments
GeOpps: Geographical Opportunistic Routing
TLAR: Traffic Light Aided Routing
1.4.3 Oportunista Os protocolos oportunistas baseiam-se no princípio das redes tolerantes a atrasos e desconexões (DTN), de forma que as conexões ocorrem de forma inesperada e ocasional entre os nós participantes. Este tipo de protocolo pode ser bastante adequado para as VANETs devido ao alto grau de desconexões esperado, especialmente nas fases iniciais de sua implantação com baixo número de participantes ou mesmo em situações de baixo tráfego. Exemplos de protocolos baseados em oportunismo: VADD: Vehicle-Assisted Data Delivery MoVe: Motion Vector MaxProp SKVR: Scalable Knowledge-Based Routing L-VADD: Location First Probe VADD D-VADD: Direction First Probe VADD
40
H-VADD: Hybrid Probe VADD 1.4.4 Disseminação de Informações Os protocolos de disseminação distribuem informações por inundação de dados (flooding), em que os nós que estiverem na área geográfica determinada pelo pacote realizam retransmissões. Este tipo de protocolo é apropriado principalmente para as aplicações voltadas à conveniência e ao entretenimento dos participantes em uma VANET. Exemplos de protocolos de disseminação de informações: UMB: Urban Multi-Hop Broadcast Protocol SODAD: Segment-Oriented Data Abstraction and Dissemination BROADCOMM: Broadcast Communications EPIDEMIC STAR 1.4.5 GeoCast Os protocolos Geocast realizam o encaminhamento de pacotes para determinadas áreas baseando-se na posição geográfica dos nós da rede, podendo ser subdivididos em GeoBroadcast (todos os veículos da região alvo), GeoAnycast (qualquer veículo dentro da região) e GeoUnicast (comunicação entre dois veículos por saltos entre suas posições). Exemplos de protocolos geocast:
1.5
IVG: Inter-Vehicle Geocast
DRG: Distributed Robust Geocast
ROVER: Robust Vehicular Routing
DG-CastoR
GAMER: Geocast Adaptive Mesh Environment for Routing
GFG: Geografic Forwarding Geocast
GeoTora: Temporally Ordering Routing Algorithm
Simuladores O desenvolvimento dos computadores tornou possível a utilização de
simuladores permitindo baixo custo e flexibilidade de análise em diversos ambientes e áreas de conhecimento. Pelo exposto neste trabalho, pode-se constatar que as
41
VANETs precisam passar por testes extensivos para avaliar os padrões propostos de arquiteturas e protocolos. Conforme descreve Zeadally et al (2010), testes de campo das VANETs são complexos e de alto custo para realizar devido à quantidade de veículos necessários e cenários reais de trânsito envolvidos. Mesmo havendo estes recursos à disposição, é difícil realizar medições devido às características distribuídas do ambiente. Por este motivo, a utilização de simuladores tem sido uma ferramenta de apoio aos estudos relacionados às VANETs. Um simulador de VANET normalmente é composto pela combinação de um simulador de rede com um simulador de tráfego. Porém, conforme explica Hassan (2009), a maioria dos simuladores apresenta problemas de interação entre esses componentes, pois originalmente não foram desenvolvidos especialmente para VANETs. Um aspecto importante no uso de simulações em VANETs é o modelo de mobilidade, ou seja, as regras que definem o padrão de movimentação dos veículos na rede. Utilizando estas informações, os simuladores de rede podem criar topologias e realizar tarefas de simulação da comunicação entre os veículos, incluindo verificação do impacto de processamento de primitivas de segurança da informação, tais como, autenticação e criptografia. Seguem alguns exemplos de aplicativos utilizados em simuladores para VANETs: VanetMobiSim: é uma extensão do simulador CanuMobiSim (Communication in Ad Hoc Networks for Ubiquitous Computing). Simula cenários V2V e V2I, mas não tem bom acoplamento com simuladores de rede. NS-2 e NS-3: simuladores de camadas de transporte e roteamento em redes cabeadas e sem fio. GlomoSim (Global Mobile Information System Simulator): simulador de rede cuja versão comercial é denominada QualNet. MOVE (Mobility Model Generator for Vehicular Networks): voltado para a geração de dados de tráfego para serem processados por simulares de rede. TraNs (Traffic and Network Simulator Environment): ferramenta para integrar o SUMO (Simulation of Urban Mobility) e o NS-2 especificamente para VANETs.
42
NCTUns (National Chiao Tung University Network Simulator): integra os simuladores de tráfego e rede, garantindo bom acoplamento e ambiente de rede veicular único. Conforme podemos verificar na figura 17, segundo as comparações realizadas por Hassan (2009), embora o simulador NCTUns tenha algumas deficiências, representa a melhor solução de acoplamento entre tráfego e rede, além de fornecer suporte ao padrão de redes sem-fio 802.11p.
Figura 17. Pontos Fortes dos Simuladores
Fonte: adaptado de Hassan, 2009.
Hassan (2009) resume algumas combinações dos simuladores de tráfego e rede, apontando seus principais problemas: 1. Simuladores separados: VanetMobiSim e NS-2. Problema: Os traços são gerados apenas uma vez e não há feedback do simulador de rede. 2. Simuladores integrados: TraNs. Problema: Baixo acoplamento, feedback lento. 3. Simuladores federados (formatos de dados alinhados): MOVE e NS-2 / QualNet. Problema: interatividade deficiente. 1.6
Projetos Experimentais A figura 18 fornece uma visão geral dos principais projetos experimentais
realizados nas últimas décadas, seguida por um resumo do seu escopo. Este diagrama foi elaborado por Hartenstein e Laberteaux (2010) e Zeadally et al (2010).
43
Figura 18. Projetos Experimentais de VANETs
Fonte: adaptado de Hartenstein e Laberteaux, 2010.
Embora as ferramentas de simulação proporcionem a análise preliminar de muitos aspectos da implantação das VANETs, somente os testes de campo permitem verificar a operação e precisão levando-se em conta o ambiente real de tráfego urbano e rodoviário, em situações de congestionamento ou trânsito livre, e a existência de obstáculos como edificações, vegetação, túneis, etc. As principais iniciativas de testes de campo, normalmente são projetos conduzidos por consórcios de empresas automobilísticas com a participação de universidades, empresas concessionárias de rodovias e de cobrança de pedágio, e departamentos de transporte dos governos, principalmente dos EUA, União Européia e Japão. 1.6.1 EUA Os Estados Unidos estão investindo fortemente em pesquisa na tecnologia VANET, impulsionados especialmente pelo departamento governamental dos
44
transportes. São elencados abaixo os projetos experimentais que mais se destacaram nos EUA: 1986: PATH (California Partners for Advanced Transit and Highways). Demonstração em 1997 (P-Demo) de direção autônoma cooperativa em San Diego, Califórnia. 1998 a 2004: IVI (Intelligent Vehicle Initiative). Programa para redução da severidade de colisões pela utilização de tecnologia para prevenção de acidentes e distração de condutores. 2002 a 2004: VSC e 2006 a 2009: VSC-2 (Vehicle Safety Communications). Consórcio de empresas em conjunto com a administração de segurança de tráfego das rodovias americanas, com o objetivo de avaliar a utilização da tecnologia DSRC para melhoria da segurança viária e implementação de arquitetura necessária para interoperabilidade entre diferentes fabricantes de veículos. 2004 a 2009: VII (Vehicle Infrastructure Integration). Consórcio de fabricantes de veículos de vários países, fornecedores de TI, departamento de transporte americano e outras associações. Os testes de campo cobriram 50 quilômetros quadrados nas proximidades de Detroit e incluíram diversas aplicações, como alertas ao motorista de condições de risco de desastres, informação de congestionamento, entre outras aplicações. Atualmente há um programa do Departamento Americano de Transportes denominado ITS JPO (Intelligent Transportation Systems Joint Program Office). Este programa é composto de uma série de subprojetos, tais como, o Safety Pilot Model Deployment, lançado em agosto de 2012, que iniciou testes envolvendo 3000 veículos entre carros, caminhões e ônibus. Outro projeto é o Safety Pilot Driver Clinics, que testou a aceitação e comportamento de cem motoristas no uso da tecnologia VANET. 1.6.2 União Européia Os países da União Européia têm feito muitos investimentos nas pesquisas experimentais de VANETs, principalmente como um meio de implantar tecnologia que possibilite atingir suas metas de redução de acidentes de trânsito. Abaixo segue um resumo de seus principais projetos realizados ou em andamento: 1986 a 1994: PROMETHEUS (Programme for European Traffic with Highest Efficiency and Unprecedented Safety). Participação de 19 países europeus e
45
composto pelos subprogramas: PRO-CAR (assistência ao motorista), PRO-NET (V2V) e PRO-ROAD (V2I). Projeto focado na comunicação entre veículos operando na faixa de frequência de 60 GHz. 2001: C2C-CC (Car-to-Car Communications Consortium). É uma organização de indústrias automobilísticas européias aberta à participação de fornecedores e empresas de pesquisa. Tem a missão de realizar experimentos de campo e contribuir com organismos de padronização das VANETs. 2000 a 2003: FleetNet. Experimentos realizados com 6 veículos equipados com 2 computadores de bordo para processamento de comunicações V2V e V2I, visualização gráfica GUI e comunicação com GPS. Avaliou o comportamento e o desempenho em trânsito urbano e em estradas. 2001 a 2004: CarTalk 2000. Projeto que foi baseado nos experimentos anteriores CHAUFFEUR I & II. Desenvolveu componentes confiáveis para assistência avançada ao motorista. 2004 a 2007: NoW (Network on Wheels). Projeto realizado pelos fabricantes Daimler, BMW e Volkswagen, pelo Instituto Fraunhofer, pelas empresas NEC e Siemens, e apoiado pelo Ministério de Educação e Pesquisa da Alemanha. Objetivo do projeto era fornecer soluções técnicas para protocolos de comunicação e segurança de dados em aplicações de VANETs voltadas à segurança viária e entretenimento, enviando os resultados para o consórcio C2C-CC para validação e padronização. 2006 a 2008: PReVENT. Experimentos para demonstração de aplicações de segurança viária utilizando sistemas de comunicação, mapas e sensores, equipados em 23 carros e caminhões. Desenvolvimento do sistema ADAS (Advanced Driver Assistance System). 2006 a 2008: SEVECOM. Projeto dedicado para identificação de ameaças, métodos e arquiteturas de segurança das comunicações nas VANETs. 2006 a 2010: CVIS (Cooperative Vehicles and Infrastructure Systems). O projeto lidou com sistemas de controle de tráfego e objetivou o desenvolvimento de padrões para comunicação V2V e V2I, prover precisão na localização veicular. 2008 a 2010: PRE-DRIVE-C2X. Projeto de preparação para testes operacionais de VANET na Europa. 2008 a 2013: SIMTD (Safe Intelligent Mobility – Field Test Germany). Consórcio de fabricantes da indústria automobilística e fornecedores, universidades.
46
Projeto de pesquisa, desenvolvimento de protótipos de dispositivos e teste de campo de larga escala envolvendo 400 veículos na região de Frankfurt, Alemanha. 2011 a 2014: PRESERVE (Preparing Secure Vehicle-to-X Communication Systems). A missão é projetar, implementar e testar um subsistema de segurança da informação escalável V2X para cenários de aplicação reais. 1.6.3 Japão O Japão tem participado em projetos experimentais de VANETs tanto dos EUA como da Comunidade Européia através de suas empresas automobilísticas. Além disso, o país também tem criado seus próprios projetos delineados abaixo: 1981: JSK (Associação de tecnologia eletrônica para tráfego e direção automobilística) emitiu relatórios de experiências de comunicações V2V. 1991 a 1995: ASV-1; 1996 a 2000: ASV-2; 2001 a 2005: ASV-3 e 2006 a 2010: ASV-4 (Advanced Safety Vehicle Program). Série de projetos apoiada pelo Ministério dos Transportes Japonês e fabricantes japoneses de automóveis. Abrangem a segurança veicular ativa e passiva. 2000: Demo e JARI (Japan Automobile Research Institute). Demonstração da viabilidade e da tecnologia necessária para comunicações V2V com utilização de frequência na faixa de 5,8 GHz. 2010: Japan´s National ITS Safety Initiative. 1.6.4 Brasil Nos projetos acima não foi constatada participação de empresas, instituições governamentais ou universidades brasileiras, fato que demonstra a característica de empresas montadoras de veículos na indústria automotiva brasileira, com baixo investimento em pesquisa e desenvolvimento devido à concentração destas atividades em suas matrizes no exterior. Entretanto, existem alguns trabalhos experimentais ou de simulação realizados em universidades brasileiras:
RAMS (Radio Alert Message Service), Oliveira (2010): sistema distribuído de redes veiculares para sinalização de problemas em rodovias. Composto pelos módulos RAMS Mobile - desenvolvimento de aplicação embarcada em veículos ou em dispositivos móveis e RAMS Manager - aplicação responsável por criar alertas para os nós da rede veicular.
47
Avaliação do impacto do uso de mecanismos de segurança em uma aplicação distribuída que utiliza redes veiculares, Rita e Wangham (2010). Utilização de simulação para medir a interferência no desempenho da comunicação no sistema RAMS, Oliveira (2010) de mecanismos de autenticação visando à segurança da informação.
Abordagem adaptativa para detecção de falhas em redes veiculares ad hoc, Cambruzzi et al (2009). Desenvolvimento de algoritmos para detecção de conectividade e falhas de comunicação em VANETs.
Análise experimental da capacidade de redes ad hoc veiculares, Alves et al (2009). Testes realizados no campus da Universidade Federal do Rio de Janeiro com dois veículos equipados com laptops equipados com interfaces de rede sem fio. O objetivo foi verificar e medir o desempenho das comunicações utilizando os padrões IEEE 802.11a/g, utilizando protocolos TCP e UDP.
Caracterização da mobilidade veicular e seu impacto nas redes veiculares tolerantes a atrasos e desconexões, Campos et al (2009). Análise dos registros de mobilidade veicular, capturados através de dispositivos GPS para investigar características da movimentação de ônibus públicos urbanos, e utilização dos dados para avaliação do desempenho de protocolos de roteamento de redes veiculares tolerantes a atraso e desconexões.
Arquitetura para gerência de mobilidade para redes veiculares com suporte a ambientes
virtuais
colaborativos,
Meneguette
e
Madeira
(2010).
Desenvolvimento e avaliação com utilização de simulador NS2 de uma arquitetura de redes multi-acesso sem fio, voltada para VANETs.
Rodovias inteligentes: diversas concessionárias das mais importantes rodovias brasileiras vêm gradualmente investindo em equipamentos que estão possibilitando torná-las mais inteligentes, ou seja, possibilitam a monitoração do fluxo do tráfego e atendimento a acidentes de forma muito mais ágil, de forma a trazer mais segurança e conforto aos usuários. Ponto chave nestas rodovias é a implantação de um moderno CCO (Centro de Controle Operacional) que possui equipes de monitoração contínua de câmaras e sensores de fluxo do tráfego em trechos críticos na rodovia. Outros equipamentos instalados na rodovia são radares inteligentes e painéis digitais
48
que fornecem informações imediatas sobre as condições do trânsito. Com a implantação das VANETs, a integração com as rodovias inteligentes permitirá atingir um nível muito maior de segurança e informações para os motoristas. 1.7
Sistemas em Operação Como visto no item 1.6, muitos projetos, associações e consórcios estão
intensificando as pesquisas e os testes de operação em ambiente real, mas até o momento não existe ainda uma perspectiva da implantação efetiva das VANETs nos veículos e na infraestrutura. No entanto, fabricantes da indústria automobilística vêm introduzindo aplicações de telemática há algum tempo, e mais recentemente, conexão dos veículos com a Internet e oferta de serviços de atendimento remotos, essencialmente pelas redes de telefonia celulares atualmente disponíveis. Embora não constituam ainda VANETs conforme sua definição, estas aplicações já são o início da era dos veículos conectados, e as considerações desta análise de risco e soluções de segurança da informação aplicam-se igualmente. Todos os sistemas mencionados neste item necessitam para sua operação de infraestrutura de comunicação centralizada, não constituindo, portanto, redes ad hoc. Seguem alguns exemplos destes sistemas e seus respectivos fabricantes: Mercedes-Benz: veículos Classe C e SLK dispõem de interligação com a Internet, fornecendo diversos serviços como clima e procura de pontos de interesse pelo Google e download de rotas. Veículos smart elétricos: aplicativo para o iPhone que transforma o smartphone em um computador de bordo multimídia. Chamadas com “mãos livres”, internet, rádio, sistema de navegação inteligente e “car finder” para localização do veículo. A homepage do smart permite visualizar a autonomia do veículo em um mapa interativo em 3D. Sistema Fleetboard para caminhões: ilustrado na figura 19, o Fleetboard é um sistema de gestão de frotas que permite eficiência e redução de custos operacionais com combustível e manutenção, diminuição do risco de acidentes e redução de poluentes. Funciona com base no rastreamento dos veículos via satélite e comunicação via rádio com a central de serviços, que disponibiliza informações aos transportadores via Internet. O pacote de serviços do Fleetboard possui funções de localização e mapeamento dos veículos, identificação do motorista e registros de
49
viagem, análise de condução pelo motorista, monitoramento de trajetos, prognóstico de manutenção e suporte de mensagens entre a base e o veículo. Figura 19. Sistema de Telemática Fleetboard
Fonte: adaptado de Fleetboard, 2012.
Fiat: sistema Blue&Me de telemática fornecido pela Microsoft. Oferece navegação por satélite e trabalha com áudio e comunicação por celular. Chamada de emergência para serviços de socorro automotivos. General Motors: Sistema ONSTAR. Empresa subsidiária do grupo GM que comercializa vários serviços, tais como: monitoração e diagnóstico remoto, rastreamento e redução da velocidade do carro em caso de roubo, alerta de acidente à central em caso de acidentes e acionamento de airbags. Funciona via rede de comunicação de celulares. Ford: sistema Sync, plataforma desenvolvida em parceria com a Microsoft para integração de telefonia móvel, reconhecimento de voz, serviços de suporte em caso de acidentes, informações de tráfego e funções de entretenimento. Possibilidade de conexão de veículos à Internet via hot-spots, por exemplo, em estacionamentos. Além
dos
sistemas
que
estão
em
desenvolvimento
pela
indústria
automobilística apontados parcialmente acima, cabe notar o surgimento de aplicações independentes de conveniência no trânsito para smartphones, como por exemplo, o WAZE, ilustrado na figura 20. Este aplicativo é baseado em GPS e na cooperação da comunidade registrada de usuários no trânsito, que compartilham informações em tempo real para a produção de conteúdo (crowdsourcing).
50
Figura 20. Aplicativo de Trânsito para Smartphones
Fonte: Folha de São Paulo, 2012.
Entre outras possibilidades, os usuários podem informar se as vias em que estão circulando estão livres ou congestionadas, formando um mapa do trânsito que possibilita aos outros usuários desviarem suas rotas. Além disso, podem passar informações quanto a acidentes, obstáculos e até blitz policial. De acordo com a Folha de São Paulo (2012), o aplicativo conta atualmente com 19 milhões de usuários no mundo e no Brasil já somam 400 mil. Se por um lado isso é positivo para a implantação das VANETs, pois demostra uma grande aceitação por aplicativos de conveniência para o trânsito (em linha com a descrição do item 1.2.4), por outro lado reforça a preocupação e a necessidade de abordar as questões relacionadas às ameaças de segurança da informação descritas neste trabalho, pois o aplicativo descrito acima é baseado nas próprias informações dos usuários e, portanto, sujeito a manipulações. Como os usuários estão acostumados a obter facilmente aplicativos de baixo custo ou gratuitamente para seus smartphones, a preocupação com segurança da informação parece ficar em segundo plano, sendo algo “aceitável” na relação risco versus custo/benefício. Porém, provavelmente considerando o custo dos veículos, o consumidor da tecnologia VANET terá expectativas muito maiores em relação à
51
precisão do sistema, integridade e segurança dos dados, além da regulamentação a que estão sujeitas as indústrias automobilísticas.
1.8
Sistema Brasileiro SINIAV A resolução n° 212 de 2006 do CONTRAN (Conselho Nacional de Trânsito)
estabeleceu, que todos os veículos brasileiros deverão portar placas de identificação eletrônica. Além disso, será implantado o sistema SINIAV (Sistema de Identificação Automática de Veículos), composto pelas placas eletrônicas nos veículos, antenas leitoras nas vias, equipamentos de configuração, centrais de processamento e sistemas informatizados. Embora não seja uma aplicação puramente VANET no sentido da definição dessas redes veiculares, o SINIAV é uma aplicação de interligação V2I. O objetivo principal do sistema, é permitir a fiscalização dos veículos e organizar o trânsito nas grandes cidades, mas muita polêmica já foi gerada em torno desse assunto, principalmente quanto à questão da privacidade dos proprietários pela possibilidade de rastreabilidade. Com isso, o início de implantação do SINIAV foi sucessivamente adiada, mas os primeiros chips já devem ser instalados nos carros no início de 2013 e a previsão de conclusão em todo o território Nacional Brasileiro é até junho de 2014. Os Departamentos Estaduais de Trânsito (DETRANs) terão dois anos para instalação das etiquetas eletrônicas nos veículos, estimados em 70 milhões, conforme reportagem do site Ig Carros (2012). As etiquetas serão obrigatórias para o licenciamento dos veículos e serão protegidas contra violação pelos proprietários. O Departamento Nacional de Trânsito (DENATRAN) emitiu padronização técnica do funcionamento do SINIAV, conforme documento Resumo Executivo dos Requisitos Técnicos (2009). A taxa de transmissão deve ser de 128 kbps, com largura de faixa máxima de sinal modulado de 500 kHz, de acordo com o especificado na norma ISO18000-6C. Os leitores de dados instalados nos pórticos devem operar na faixa de frequência de 915 MHz até 928 MHz em canais de transmissão de 500 kHz de faixa. A figura 21 mostra a topologia prevista para o SINIAV. Na concepção do sistema foram consideradas diversas medidas de segurança da informação, tais como: comunicações criptografadas entre os orgãos governamentais Detrans e
52
Denatran, com o sistema RENAVAM (Registro Nacional de Veículos Automotores) e com o sistema RENAJUD (Restrições Judiciais de Veículos Automotores); autenticação diária dos leitores de dados; atualização do firmware de forma remota e atualização das chaves das placas eletrônicas.
Figura 21. Topologia do Sistema SINIAV
Fonte: Denatran, 2009.
Aproveitando a estrutura do SINIAV, o governo do Estado de São Paulo, por meio da ARTESP (2012) – Agência de Transportes do Estado de São Paulo - está implementando um programa para cobrança de pedágio por trecho percorrido, denominado Sistema Ponto a Ponto. A rodovia Engenheiro Constâncio Cintra (SP360) e a rodovia Santos Dumont (SP-75) serão as primeiras a receber esta
53
tecnologia, que utilizará as etiquetas eletrônicas previstas na implantação do SINIAV. A figura 22 ilustra o pórtico número 2 do sistema Ponto a Ponto instalado no quilômetro 60,8 da rodovia SP-75.
Figura 22. Pórticos do Sistema Ponto a Ponto
Fonte: Ig Carros, 2012.
54
2
ISO / IEC 27005 – Gestão de Riscos de Segurança da Informação Compondo a série de normas ISO/IEC 27000, conhecida como a família de
padrões ISMS (Information Security Management Systems), a norma ISO/IEC 27002 (2005) é um código de boas práticas em segurança da informação de grande aceitação global. A norma prescreve que a definição de requisitos de segurança deve ser precedida por uma avaliação metódica de riscos de segurança, para que os gastos com medidas e controles sejam balanceados contra os prejuízos resultantes da ocorrência ou exploração de falhas de segurança. Os resultados da avaliação dos riscos orientam e determinam as ações adequadas e prioridades para a gestão dos riscos de segurança da informação e dos controles selecionados para proteger contra estes riscos. Devido à importância da análise de riscos em segurança da informação, a ISO/IEC 27002 dedica seu capítulo 4 ao tema, mas apenas fornece uma diretriz geral, enquanto que a norma internacional ISO/IEC 27005 (2008), originada da norma ISO/IEC TR 13335-3 (1998), é dedicada a este tema. A tabela 1 nos mostra o alinhamento existente entre o Sistema de Gestão ISMS baseado no PDCA (Plan, Do, Check e Act) e o processo de gerenciamento de riscos. Tabela 1. Alinhamento ISMS e Gestão de Riscos
Fonte: ISO/IEC 27005, 2008.
Na fase de planejamento (Plan) ocorre o estabelecimento do contexto, a avaliação de riscos, desenvolvimento do plano de tratamento e a aceitação de
55
riscos. Na fase de execução (Do) há a implementação do plano de tratamento para redução dos riscos a níveis aceitáveis. Na fase de verificação (Check) ocorre a monitoração e revisão contínua dos riscos conforme a ocorrência de incidentes e mudanças no ambiente, e finalmente na fase de ação corretiva (Act) mantém e promove melhorias contínuas no processo. A figura 23 descreve a sequência do processo de gerenciamento de risco, que consiste no estabelecimento do contexto (context establishment), avaliação (assessment),
tratamento
(treatment),
aceitação
(acceptance),
comunicação
(communication), monitoração e revisão dos riscos (monitoring and review).
Figura 23. Processo de Gestão de Riscos de Segurança da Informação
Fonte: ISO/IEC 27005, 2008.
56
O processo pode ser interativo tanto para a avaliação como para as fases de tratamento dos riscos, permitindo desta forma incrementar o detalhamento das avaliações em cada interação. 2.1
Estabelecimento do Contexto
2.1.1 Considerações Gerais O item 7.1 - Considerações Gerais - da ISO/IEC 27005 (2008, p.7), esclarece que “é essencial determinar o propósito da gestão do risco, pois isto afeta o processo como um todo e o estabelecimento do contexto em particular”. Esse propósito pode ser, por exemplo:
Suporte à introdução de um ISMS.
Conformidade legal e evidências em atos investigativos (due diligences).
Preparação de planos de continuidade de negócios.
Preparação de planos de resposta a incidentes.
Descrição de requisitos de segurança da informação para um produto, serviço ou equipamento. À primeira vista poderíamos pensar que apenas o último item seria aplicável
às VANETs, por ser fundamentalmente um produto, qual seja, uma rede computacional de veículos. Mas pensando de forma mais abrangente percebemos que a introdução das redes V2V e V2I não poderá se limitar à resolução dos problemas técnicos de segurança na comunicação entre os participantes. Para garantir um nível adequado de segurança da informação, será necessário introduzir uma abordagem de sistema de gestão ISMS, envolvendo aspectos humanos, técnicos e procedimentais. De fato, não obstante as VANETs serem pesquisadas há mais de uma década, o levantamento bibliográfico não revelou trabalhos mais abrangentes do que as questões de ordem essencialmente técnica. 2.1.2 Critérios Básicos O item 7.2 da norma requer o estabelecimento de critérios básicos, tais como: critério de avaliação de impactos, probabilidades de ocorrência dos incidentes e aceitação do risco. A seguir são destacadas as convenções que servirão como base para o próximo capítulo:
57
Critério de avaliação de impacto nos ativos: Foram estabelecidos 5 níveis: 1: negligível; 2: pequeno; 3: limitado: 4: significativo e 5: severo.
Critério de frequência de ocorrência de ameaça 1: ocorrência rara; 2: ocorrência esporádica; 3: ocorrência frequente.
Critério do grau de vulnerabilidade 0: inexistente ou baixa; 1: média; 2: alta.
Critério de probabilidade de ocorrência de incidente A norma ISO 27005 estabelece em seu item 8.2.2.3 (Avaliação da probabilidade dos incidentes), que convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, baseando-se em: 1. Experiência passada 2. Fontes de ameaças intencionais 3. Motivação e competência dos atacantes 4. Atratividade dos ativos para os atacantes 5. Susceptibilidade às ameaças acidentais e naturais 6. Posição geográfica e proximidade de locais perigosos 7. Estatísticas e métricas Para a estimativa das probabilidades de ameaças e vulnerabilidades foram considerados essencialmente os itens 1 a 6, já que não há dados relativos ao item 7. As estimativas são baseadas em avaliação subjetiva pela experiência em trabalho na área de segurança da informação. Para a determinação da probabilidade de cada cenário de incidente foi somada a estimativa de frequência da ameaça e o respectivo grau de vulnerabilidade.
Critério do nível de risco: O nível de risco foi calculado multiplicando-se o impacto no ativo pela probabilidade de ocorrência de cada cenário de incidente.
Critério de aceitação de risco Foi adotada a convenção abaixo para o mapa de risco conforme tabela 2. Cor verde: baixo risco (1 a 6). Pode ser retido ou aceito sem necessidade de medidas de tratamento do risco.
58
Cor amarela: médio risco (8 a 12). Deve-se avaliar o custo/benefício de medidas de tratamento do risco em relação ao impacto dos incidentes. Cor vermelha: alto risco (15 a 25). Medidas de tratamento do risco são obrigatórias. 2.1.3 Escopo e Fronteiras O item 7.3 da norma estabelece a necessidade de determinar o escopo e as fronteiras de cada processo de gestão de risco. Nesta monografia, o escopo de aplicação da norma ISO/IEC 27005 restringe-se à fase de planejamento descrita no início do capítulo, já que as demais fases requerem a implantação física das medidas de redução de risco nos projetos e futuras implementações das VANETs, bem como, sua mensuração e monitoração. Entretanto, além de apresentar os demais processos de gestão de risco correspondentes às fases execução, verificação e ação corretiva, são apresentadas nos itens a seguir algumas considerações relacionadas a estes processos para as redes veiculares. Conforme descrito nesse item da norma, é importante definir as fronteiras ou limites da análise dos riscos para assegurar que todos os ativos sejam considerados. Portanto, este trabalho não se limita a considerar apenas os riscos estritamente sobre as comunicações V2V e V2I, mas também aborda riscos provenientes de um aspecto mais amplo, como foi comentado no item 2.1.1. 2.1.4 Questões Organizacionais O item 7.4 da norma está relacionado às questões organizacionais do gerenciamento dos riscos, pois, para que o processo seja bem sucedido, torna-se necessária a definição de papéis e responsabilidades, envolvendo pessoas internas e externas de uma organização, relacionamentos dos stakeholders, processos de escalação de problemas e especificação de registros a serem mantidos. Em projetos do porte das VANETs conforme vistos no capítulo 1.6, torna-se imprescindível os detalhamentos das questões organizacionais referenciadas neste item da norma. 2.2
Análise/Avaliação de Riscos Segundo a ISO/IEC 27005, a análise/avaliação de riscos consiste de: Identificação e estimativa dos riscos Avaliação dos riscos
59
2.2.1 Identificação dos Riscos Determina quais eventos podem ocasionar perdas significativas e como, onde e por que a perda pode ocorrer. Esta etapa tem como subatividades os seguintes passos:
Identificação dos ativos
Identificação das ameaças
Identificação de controles existentes
Identificação de vulnerabilidades
Identificação dos impactos
2.2.2 Estimativa dos Riscos A metodologia de estimativa dos riscos pode ser qualitativa, quantitativa ou uma combinação de ambas. A estimativa qualitativa utiliza uma escala de qualificação de atributos para descrever a magnitude dos impactos e a probabilidade de suas ocorrências. A vantagem desta abordagem é a simplicidade de seu entendimento e aplicação, porém, possui a desvantagem da subjetividade das estimativas. A
estimativa
quantitativa
utiliza
uma
escala
de
valores
numéricos
provenientes de fontes de dados, como medições, simulações, dados históricos, etc. A qualidade destas estimativas depende da precisão e completude dos dados disponíveis, o que pode se constituir em uma vantagem ou desvantagem deste modelo. Como mencionado na introdução, neste trabalho foi utilizada a estimativa qualitativa devido ao estágio de desenvolvimento atual das VANETs, em que poucos testes de campo foram realizados até o momento e não há informações detalhadas publicadas a esse respeito. Também seria impraticável utilizar simulação conforme descrito no item 1.5 para obter dados quantitativos abrangendo todos os riscos avaliados no escopo desta monografia. Contudo, a análise quantitativa de riscos das VANETs será útil nos projetos envolvendo testes de campo, e futuramente, na etapa de monitoração e melhoria contínua. Após a introdução em situações reais de trânsito, momento em que estarão disponíveis dados de ocorrências de incidentes e os verdadeiros impactos serão mensurados, haverá uma melhor estimativa dos riscos, que inclusive vão se
60
modificando dinamicamente de acordo com o desenvolvimento da tecnologia e do ambiente de ameaças. 2.2.3 Avaliação dos Riscos Nesta fase o grau dos riscos é revista contra seus critérios de avaliação e aceitação. A avaliação utiliza o conhecimento obtido com as análises de risco para tomar decisões sobre quais atividades serão executadas e com que prioridades, levando também em consideração fatores contratuais, legais e regulamentares. Neste aspecto, verificamos que as VANETs possuem grandes implicações em relação às legislações de Trânsito de cada país ou mesmo estado, e em especial, as questões relacionadas à rastreabilidade dos veículos e à privacidade de seus proprietários. Com a utilização das VANETs, os motoristas passarão a confiar e depender cada vez mais de suas informações ou da atuação automática nos sistemas veiculares em função desses dados. Em função disso, poderemos ter consequências relacionadas à responsabilização legal no caso de incidentes ou acidentes. Portanto, são fatores que devem ser levados em conta ao valorizar os riscos. Conforme descrito na introdução e no item 8.1 da ISO/IEC 27005, a norma funciona como um guia fornecendo diretrizes para a gestão de riscos de segurança da informação em qualquer tipo de organização, porém não determina uma metodologia específica para este fim, cabendo à organização ou ao analista de risco definir qual a abordagem a ser utilizada. Entretanto, o anexo “E” da norma oferece os seguintes exemplos de abordagens:
Avaliações de risco com enfoque de alto nível.
Avaliações de risco detalhadas, entre elas:
Matriz com valores pré-definidos.
Ranqueamento de ameaças pela medida do risco.
Avaliação de valor para a probabilidade e possível consequência dos riscos.
Neste trabalho foi utilizada uma adaptação da matriz do anexo “E2” da norma, chegando-se ao modelo do mapa de risco apresentado na tabela 2. Neste mapa estão representados os níveis de impacto sobre o ativo considerado e a
61
probabilidade do incidente causador. Cada cenário de risco envolvendo uma determinada ameaça explorando uma vulnerabilidade deve ser representado no mapa, e avaliado conforme o critério de aceitação estabelecido no item 2.1.2.
Impacto
Tabela 2. Modelo do Mapa de Risco
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
2
2
4
6
8
10
1
1
2
3
4
5
1
2
3
4
5
Probabilidade de Incidente
Fonte: adaptado da ISO/IEC 27005, 2008.
2.3
Tratamento de Riscos Após as etapas anteriores, deve ser estabelecido um plano de tratamento dos
riscos e os controles para a redução, retenção, prevenção ou transferência dos riscos baseado no resultado das avaliações. A figura 24 ilustra o processo de tratamento de riscos. Algumas ações de tratamento podem atuar sobre mais de um risco e o plano deve indicar claramente a ordem em que as medidas devem ser implantadas e as datas de sua realização. Após elaborar o plano de tratamento dos riscos deve-se reavaliá-los para determinação do nível dos riscos residuais. Desde que existentes, nesta monografia são apresentadas no capítulo 4, as soluções de segurança propostas na pesquisa bibliográfica das VANETs para cada risco avaliado, e realizada uma análise teórica das opções de tratamento descritas acima.
62
Figura 24. Processo de Tratamento de Riscos
Fonte: ISO/IEC 27005, 2008.
2.3.1 Redução de Riscos A redução dos riscos é realizada pela seleção de controles e medidas de segurança que tornem o risco residual reavaliado como aceitável. As medidas podem ser do tipo: Correção, Eliminação, Prevenção (ação preventiva), Minimização de impacto, Detecção, Recuperação, Monitoração e Conscientização. Conforme apontado no anexo “F” da ISO27005, para a escolha e implementação dos controles devem ser consideradas as restrições que podem ser dos seguintes tipos:
63
Temporais Financeiras Técnicas Operacionais Culturais Éticas Ambientais Legais Facilidade de uso Recursos humanos Integração de controles novos aos existentes 2.3.2 Retenção de Riscos A retenção de um risco é a decisão de não realizar nenhuma outra ação em função de sua avaliação (o nível de risco já atende ao critério de aceitação), ou por motivos de priorização, controles pré-existentes, custo, complexidade, conveniência, ou mesmo inexistência de solução. 2.3.3 Prevenção de Riscos Nos casos de riscos muito elevados em que não existem controles de implementação viável técnica ou econômica, pode ser necessário evitá-los ou prevení-los. A prevenção implica em tomar decisões ou implementar medidas de mudança nas condições de contorno, de forma a não realizar atividades ligadas à ocorrência do risco ou não oferecer determinados serviços ou funcionalidades. 2.3.4 Transferência de Riscos Em determinadas situações, o risco pode ser transferido para terceiros que possam tratá-lo de forma adequada ou suportar melhor as consequências, como no caso da contratação de seguros. Embora seja possível transferir a gerência de alguns riscos, o mesmo não ocorre com a responsabilidade legal que permanece com o responsável contratante.
64
2.4
Aceitação e Comunicação de Riscos Os riscos residuais estimados após as medidas planejadas de seus
tratamentos, devem ser verificados em relação aos critérios de aceitação inicialmente estabelecidos. Porém, a decisão se um risco residual será aceito não é simplesmente uma questão de ultrapassagem de um determinado nível. Diversos fatores, tais como questões legais, contratuais, existência de soluções, recursos disponíveis, entre outros, interferem na decisão de aceitação, que deverá ser formalmente documentada com as respectivas justificativas para os riscos que forem aceitos sem atingir os critérios definidos. O plano de comunicação de riscos envolve todas as etapas da gestão de riscos para que todos os stakeholders sejam informados de forma adequada e em tempo hábil, para que as avaliações de risco e as medidas sejam conhecidas e corretamente implantadas no projeto das VANETs. Sem uma atividade de comunicação eficiente, os stakeholders não são sensibilizados e conscientizados com relação aos riscos de segurança da informação, um aspecto reconhecidamente negligenciado nos projetos em geral. Porém, como já foi mencionado, isso não poderá ocorrer, particularmente com as VANETs, em função do risco de atrasar, ou mesmo comprometer a introdução e os altos investimentos realizados nesta tecnologia. 2.5
Monitoração e Revisão dos Fatores de Riscos Os riscos e seus fatores podem variar ao longo do tempo. Novas ameaças e
vulnerabilidades podem surgir ou serem identificadas com a implantação real das VANETs, especialmente em um setor dinâmico como o automotivo. Por isso, tornase necessário monitorar os incidentes de segurança da informação e revisar os fatores de risco periodicamente, iniciando-se uma nova interação no processo de gestão de risco, demonstrado no fluxo da figura 23. A manutenção deste processo interativo é um fator chave para atingir um nível de segurança que garanta a confiabilidade no uso das VANETs pelos motoristas.
65
3
ANÁLISE E AVALIAÇÃO DE RISCO DE REDES VANET Este capítulo demonstra a aplicação da norma ISO 27005 às redes
veiculares. Essa abordagem é feita nas próximas seções por meio da identificação dos ativos, ameaças e vulnerabilidades, permitindo identificar e estimar os riscos de segurança da informação existentes em VANETs. 3.1
Identificação de Riscos nas VANETs
3.1.1 Identificação dos Ativos Conforme o anexo “B” (Identificação e valoração dos ativos e avaliação de impacto) da norma ISO27005, os ativos podem distinguir-se entre primários e secundários. Em segurança da informação, os ativos primários consistem nos principais processos e informações das atividades conforme o escopo estabelecido no item 2.1.3. De acordo com a classificação de aplicações VANET apresentada no item 1.2, é conveniente para a análise de risco manter os ativos primários agrupados nas três classes indicadas na tabela 3.
Tabela 3. Ativos VANET Primários
Código Ativo VANET Primário ATP01
Informações de Segurança Viária
ATP02
Informações de Conveniência
ATP03
Informações Comerciais e Entretenimento Fonte: ISO/IEC 27005, 2008.
Visando facilitar a identificação na tabela de estimativa de risco, foi convencionado um identificador para cada vulnerabilidade na forma “ATPnn” para os ativos primários e “ATSnn” para os ativos secundários, em que nn é um número sequencial. Os ativos secundários são relacionados ao suporte e infraestrutura (hardware, software, aplicações, rede, recursos humanos, instalações físicas, localidade, organização) cujas vulnerabilidades, ao serem exploradas pelas ameaças, podem comprometer os ativos primários (processos e informações).
66
A tabela 4 relaciona os ativos secundários obtidos com base na relação do anexo “B” da norma ISO 27005 e considerando-se especificidades do ambiente veicular. Tabela 4. Ativos VANET Secundários
Código Ativo VANET Secundário ATS01
Meio físico de transmissão
ATS02
Veículos (OBU, ECUs, rede intraveicular, antena, software)
ATS03
RSUs (Hw, Sw)
ATS04
Centrais de controle de trânsito / VANETs (Hw, Sw, instalações)
ATS05
Usuários (motoristas e passageiros)
ATS06
Pessoal de operação e manutenção
ATS07
Pessoal de desenvolvimento de sistemas
ATS08
Fornecedores de serviços comerciais para VANETs
ATS09
Oficinas
ATS10
Seguradoras de veículos
ATS11
Serviços de operação e infraestrutura
ATS12
Serviços de manutenção
ATS13
Autoridades governamentais
ATS14
Montadoras e fornecedores de autopeças Fonte: ISO/IEC 27005, 2008.
3.1.2 Identificação das Ameaças As ameaças apontadas pela ISO27005 podem ser do tipo: dano físico, eventos naturais, paralisação de serviços essenciais, distúrbios por radiação, comprometimento de informação, falhas técnicas, ações não autorizadas ou comprometimento de funções. Conforme a norma, as ameaças contra os ativos de informação podem ser classificadas em: I – ações intencionais, A – acidentais, N – incidentes naturais. Para que os riscos possam ser estimados levando em conta a facilidade e a motivação para os ataques, a ISO27005 pede especial atenção na identificação das origens das ameaças por ação humana, que, conforme indicadas em seu anexo “C”, genericamente estão reproduzidas na tabela 5.
67
Tabela 5. Fontes de Ameaças Humanas
Origem das Ameaças
Motivação
Hacker / Cracker
desafio, ego, status, rebeldia
Criminoso digital
ganho monetário
Terrorista
chantagem, destruição, política
Espião Pessoal interno
dados de pessoas, empresas, governos ganho monetário, vingança, erros de operação
Fonte: ISO/IEC 27005, 2008.
As ameaças à segurança da informação nas VANETs foram levantadas a partir do catálogo de ameaças comuns do anexo “C” da ISO27005 e da pesquisa bibliográfica, especialmente de Raya e Hubaux (2005) e Rawat et al (2012). O resultado deste levantamento está na tabela 7 do apêndice – Lista de ameaças VANET. Visando facilitar a identificação nas tabelas de risco do apêndice, foi convencionado um identificador para cada ameaça na forma “AMnn”, em que nn é um número sequencial único. Para um melhor entendimento das ameaças no ambiente VANET, seguem descritivos de algumas formas de ataques intencionais, conforme pesquisas bibliográficas: DOS / DDOS (negação de serviço / negação de serviço distribuída): interrupção da comunicação de veículos, RSUs, central de controle de tráfego TOC (Traffic Operations Center), em trechos de via ou áreas de alcance de uma VANET, obtido pela saturação do canal através do envio massivo de mensagens provenientes de uma ou diversas fontes no caso distribuído. As fontes de ataque podem ser originadas utilizando laptops, roteadores sem fio, unidades OBUs dos veículos ou RSUs comprometidas. A figura 25 ilustra este tipo de ataque pelos veículos B, C e D.
68
Figura 25. Ataque DDOS de veículos contra RSU
Fonte: Sumra, 2011.
Informação Falsa: envio de mensagens incorretas na rede VANET para afetar o comportamento dos outros motoristas. Por exemplo, desvio do tráfego de uma via para liberar o caminho para o atacante, conforme ilustrado na figura 26.
Figura 26. Mensagem Falsa de Congestionamento
Fonte: adaptado de Sumra, 2011.
69
Outro exemplo de mensagem falsa em aplicações de conveniência está na figura 27, em que um veículo recebe informação de disponibilidade de pontos de estacionamento em um Shopping, mas repassa a informação contrária ao veículo seguinte. Figura 27. Mensagem Falsa de Estacionamento
Fonte: adaptado de Sumra, 2011.
Ataque Timing: o atacante adiciona atrasos nas informações recebidas antes de repassá-las aos outros nós, o que pode ser crítico para mensagens de segurança viária em caso de acidentes ou avisos de obstáculos e congestionamentos. Sumra et al (2011), descrevem várias formas dos ataques do tipo Timing, envolvendo comunicações V2V ou V2I. No exemplo deste tipo de ataque na figura 28, o veículo C recebe a mensagem de acidente do veículo B, mas repassa a informação com atraso para o veículo D que acaba se envolvendo no acidente.
Figura 28. Ataques Timing
Fonte: adaptado de Sumra, 2011.
70
Ataque Sybil: o atacante possui vários identificadores e credenciais e consegue simular a existência de vários veículos. Com isso, pode enviar mensagens múltiplas para os outros veículos e infraestrutura, podendo manipular o tráfego e criar ataques de ilusão de trânsito. Na figura 29 temos a ilustração deste tipo de ataque, em que o veículo A simula a existência de 3 veículos. Figura 29. Ataque Sybil
Fonte: Sumra, 2011.
Ataque Social: o atacante pode causar acidentes de forma indireta, enviando mensagens ofensivas aos outros motoristas e podendo afetá-los emocionalmente, como demonstrado na figura 30.
Figura 30. Ataque Social
Fonte: adaptado de Sumra, 2011.
Violação de Privacidade: a coleta de dados privativos é uma das ameaças mais pesquisadas e uma das maiores preocupações nas VANETs. Hubaux (2006) descreve a facilidade em realizar inferências dos dados pessoais dos motoristas devido ao número de informações que são trocadas frequentemente na rede, especialmente de localidade, tempo, velocidade, identificação, serviços solicitados,
71
preferências de entretenimento, comportamento ao volante. A figura 31 ilustra a possibilidade de rastreamento de um veículo.
Figura 31. Rastreamento de Veículos
Fonte: adaptado de Hubaux, 2006.
Ataque de Túneis: este ataque é realizado com o aproveitamento da falta de sinal GPS em túneis, conforme ilustrado na figura 32. Com a ausência temporária das informações de posição, o atacante injeta dados falsos assim que o veículo vítima deixa o túnel e antes do recebimento da atualização de posição autêntica. Este ataque também pode ocorrer com o
72
comprometimento de uma área pelo estabelecimento de congestionamento do canal de comunicação VANET. Figura 32. Ataque de Túnel
Fonte: adaptado de Hubaux, 2006.
3.1.3 Identificação dos Controles Existentes Embora existam muitos estudos e simulações de aplicação de mecanismos de segurança da informação em VANETs, derivados essencialmente de pesquisas das MANETs, não existe até o momento um consenso para padronização desses mecanismos, já que a VANET é ainda uma tecnologia em fase de desenvolvimento. Por este motivo, na análise inicial dos riscos não foram considerados controles de segurança pré-existentes, portanto grau máximo de vulnerabilidades. No capítulo 4 são consideradas as possíveis medidas provenientes de outras pesquisas e de experiências na implantação de sistemas de gestão de segurança para estabelecer controles visando à mitigação dos riscos. 3.1.4 Identificação das Vulnerabilidades Conforme a ISO 27005, as vulnerabilidades existentes sobre os ativos secundários,
que
podem
ser
exploradas
por
ameaças
e
resultar
em
comprometimento dos ativos primários, podem ser identificadas nas seguintes áreas: organização, processos, procedimentos, rotinas de gestão, pessoas, ambiente físico,
73
configuração de sistemas, hardware, software, equipamentos e entidades externas. O anexo “D” da norma fornece um lista de exemplos de vulnerabilidades e respectivas ameaças. A utilização de catálogos deste tipo auxilia o analista de risco a contemplar o maior número possível de cenários de incidentes para os casos em específico. As ameaças à segurança da informação nas VANETs foram levantadas a partir dessa lista de vulnerabilidades e adaptadas pelo estudo da pesquisa bibliográfica. O resultado deste levantamento está na tabela 8 do apêndice – Lista de vulnerabilidades VANET. Visando facilitar a identificação na tabela de estimativa de risco, foi convencionado um identificador para cada vulnerabilidade na forma “Vnn”, em que nn é um número sequencial. Além disso, para cada item da tabela foram apontados os ativos secundários (ATSnn) que apresentam as vulnerabilidades descritas. 3.1.5 Identificação dos Impactos Na tabela 9 do apêndice são apresentados os cenários de riscos identificados para as VANETs. Cada linha da tabela constitui um determinado cenário de risco, composto por uma das ameaças identificadas nas etapas anteriores, os ativos primários que podem ser afetados e as vulnerabilidades relacionadas à ameaça. A exploração de um destes cenários configura a ocorrência de um incidente de segurança da informação nas VANETs. Encerrando a etapa de identificação de riscos, para cada cenário de incidente foram identificados na tabela 9 os impactos sobre os objetivos primários de segurança
da
informação:
Confidencialidade
(Conf.),
Integridade
(Int.),
Disponibilidade (Disp.), Autenticidade (Aut.), Privacidade (Priv.), Controle de Acessos (Cont.) e Não-Repúdio (N.Rep.). 3.2
Estimativa de Riscos nas VANETs Depois da identificação dos riscos, foi realizada a estimativa do risco de cada
cenário na tabela 9 do apêndice. Esta estimativa contém a avaliação do impacto, a frequência da ameaça, o grau das vulnerabilidades, a probabilidade do incidente e o cálculo do nível de risco de cada cenário identificado. Devido ao escopo e extensão deste trabalho se referir essencialmente à apresentação conceitual e demonstração da aplicação da ISO27005 em VANETs, não foram documentados os detalhes considerados na avaliação de probabilidade
74
em cada cenário de incidente. Porém, em geral, impactos mais altos foram atribuídos para ameaças que envolvem informações de segurança viária, centrais de controle ou áreas extensas das VANETs; impactos médios quando envolvem áreas menores das RSUs; impactos mais baixos se forem restritas a apenas um veículo ou informações de conveniência e serviços comerciais. Segue um exemplo de estimativa: Para o cenário da ameaça AM14 foi considerado que o ataque de negação de serviço (DOS) possui impacto 2 (pequeno) sobre os ativos ATP01 a ATP03 (Informações de segurança viária, conveniência e comercial), pois este ataque pode afetar apenas um veículo isoladamente. A frequência deste tipo de ameaça e a vulnerabilidade das VANETs foram estimadas como altas, baseando-se em ocorrências similares na Internet, bem como a facilidade do ataque, disponibilidade de dispositivos sem fio, possibilidade do anonimato e a experiência e motivação existente em equipes de crackers que podem migrar suas ações da Internet para as VANETs. Devido ao motivo descrito no item 3.1.3, ou seja, a premissa de inexistência de medidas e controles de mitigação de riscos de segurança da informação, todos os graus de vulnerabilidade foram considerados como altos (grau 2). Outra observação pertinente na análise de consequências das ameaças identificadas sobre os ativos, nenhum impacto foi avaliado como 1, ou seja, negligível, compatível com o que foi explanado na introdução, das questões relacionadas à segurança viária de motoristas e passageiros, da confiabilidade necessária no recebimento das informações de conveniência e de entretenimento, bem como preservação da privacidade dos usuários. Da forma descrita nos parágrafos anteriores, e em conformidade com as diretrizes da ISO27005, foram estimados todos os impactos, probabilidades de incidente e calculados os níveis de risco para cada cenário identificado, encerrando a etapa de estimativa de riscos. 3.3
Avaliação dos Riscos nas VANETs Na tabela 10 do apêndice é apresentado o mapa para avaliação dos riscos
que podem resultar em impactos sobre os ativos primários ATP01 a ATP03. Todos os cenários de risco estão posicionados no mapa com a identificação numérica da ameaça (AMnn) conforme o respectivo nível de risco avaliado,
75
constituído pelo impacto sobre o ativo (linha da tabela) e a probabilidade de incidente do cenário (coluna da tabela). Os cenários de incidente posicionados na área verde apresentam baixo risco; os posicionados na área amarela apresentam médio risco; e os posicionados na área vermelha apresentam alto risco para a segurança da informação das VANETs. Observamos a seguinte distribuição:
27 cenários de alto risco
32 cenários de médio risco
Nenhum cenário de baixo risco De acordo com as explicações da seção 4.2, o grau de vulnerabilidade alto
atribuído a todos os itens resulta em maior probabilidade de incidentes, fazendo com que os cenários ficassem alinhados mais à direita no mapa. Além disso, nenhum cenário ficou posicionado na área verde devido a não existir impactos negligenciáveis no nível 1. De acordo com a recomendação da ISO27005, deve ser emitida uma lista de riscos ordenados por prioridade de acordo com os critérios de avaliação de risco e associados aos cenários de incidentes que os provocam. Atendendo a este requisito, as ameaças que atingiram o nível de risco alto foram:
AM21, AM22: envio de mensagens V2X spam por toda a rede VANET causando congestionamento e indisponibilidade do canal de comunicação.
AM28, AM29 AM32 AM33: envio de mensagens V2X contendo malwares VANET.
AM34: disseminação de malwares pela rede de computadores da central de controle.
AM00, AM01, AM03, AM04, AM05, AM09, AM15, AM16, AM18, AM19, AM24: Ataques e acidentes DOS e DDOS na central de controle, RSUs, serviços essenciais de suprimento.
AM02, AM07: Desastres naturais ou falhas técnicas da central de controle, RSUs, serviços essenciais.
AM12, AM13: Ataques de mensagens falsas forjadas em veículos, dispositivos sem fio ou erros na central de controle.
AM35: Ataques Sybil. Utilização de várias identidades por um veículo.
AM43: GPS spoofing. Simulação de sinais de posicionamento dos veículos.
76
AM46: Ataques de análise de tráfego. Rastreamento de posições e ações.
AM51: Ataques de ilusão. Criação de cenários de trânsito inexistentes.
AM57: Execução de código malicioso pelos usuários de aplicações VANET.
Este capítulo abordou as questões de análise e avaliação de riscos em VANETs, possibilitando dessa forma, selecionar controles de segurança da informação
derivadas
das
medidas
atualmente
computadores, que será o objeto do próximo capítulo.
utilizadas
em
redes
de
77
4
MITIGAÇÃO e RISCOS RESIDUAIS Terminada a etapa de análise e avaliação dos riscos, inicia-se a etapa de
tratamento dos mesmos, a descrição das principais soluções de segurança da informação para VANETs atualmente em estudo, e a estimação e avaliação dos riscos residuais. 4.1
Controles de Segurança da Informação A tabela 11 do apêndice apresenta 38 controles de redução de risco para as
VANETs, levantados a partir da consulta das boas práticas da ISO27002 e da pesquisa
bibliográfica,
essencialmente
os
resultados
derivados do
projeto
SEVECOM – Secure Vehicular Communication (ver item 1.6.2). Baseando-se nas conclusões deste projeto descritas no artigo de Papadimitratos (2008), segue abaixo um resumo das principais medidas técnicas de segurança da informação que podem ser adotadas nas VANETs. 4.1.1 Gerenciamento de Identidades e Credenciais A maioria dos projetos e pesquisas das VANETs aponta a utilização de pseudônimos
para
preservação
da
privacidade
dos
motoristas,
mantendo
simultaneamente a possibilidade de identificação e responsabilização. Conforme podemos verificar na figura 33, a proposta é a utilização de uma estratégia VPKI - Vehicular Public Key Infrastructure - em que cada veículo e RSU possuam um identificador único (Unique ID), par de chaves pública/privada e certificados de longo prazo atribuídos pelo fabricante e acordados com uma autoridade de certificação (CA), similarmente ao que ocorre atualmente com o número de chassis VIN (Vehicular Identification Number). Além da identificação de longo prazo, cada veículo gera um conjunto de chaves privada/pública de curto prazo e as envia para a CA de forma segura. A CA assina as chaves de curto prazo e gera um conjunto de pseudônimos para o veículo. Estes pseudônimos contêm o identificador da CA, o tempo de vida dos pseudônimos, a chave pública e a assinatura da CA, mas não contém informação sobre a identidade do veículo. A cada instante, o veículo possui um par de chaves (o pseudônimo e sua chave privada), que fica ativo durante um curto ciclo de vida.
78
Figura 33. Identificação e Credenciais Veiculares
Fonte: adaptado de Papadimitratos, 2008.
Periodicamente o veículo faz contato com a CA (comunicação V2CA) através de uma RSU e obtém um novo conjunto de pseudônimos, antes que o conjunto anterior seja totalmente utilizado. Com este mecanismo, o veículo pode realizar comunicações de forma anônima, pois somente pode ser rastreado durante o curto tempo em que utilizar o mesmo pseudônimo. Entretanto, como os pseudônimos ficam registrados pela CA, existe a possibilidade de realizar a resolução do pseudônimo com a identidade de longo prazo para fins de responsabilização e investigação. 4.1.2 Dispositivos de Segurança de Hardware Na figura 34 podemos observar a existência de diversos módulos eletrônicos relacionados à tecnologia VANET, tais como: módulo de rádio responsável pela comunicação, plataforma de computação composta pela OBU e o Módulo de Segurança de Hardware HSM (Hardware Security Modul), GPS, EDR (Event Data Recorder), HMI (Human Machine Interface) e radares. O EDR é um módulo que registra os eventos e comunicações do veículo, à semelhança do “black box” utilizados na aviação. O HMI é um display no painel do veículo para exibição de alertas, mensagens, mapas e informações para o motorista.
79
Figura 34. Módulos Eletrônicos VANET
Fonte: adaptado de Hubaux, 2006.
Além da segurança proporcionada diretamente pelos radares, a informação de posição dos outros veículos pode ser confrontada com as informações de posição recebidas pelas mensagens VANET, garantindo um mecanismo de consistência e plausibilidade contra erros e ataques. Conforme descreve Papadimitratos (2008), o HSM é um componente instalado no veículo e nas RSUs que armazena as chaves privadas e realiza todo o processamento criptográfico. No veículo, o HSM fica instalado fisicamente separado da OBU e possui característica antiviolação, ou seja, se um atacante tentar extrair a chave privada e o certificado, o módulo deverá apagar todas as suas informações. As chaves privadas/públicas de curto prazo são gerados pelo HSM, que também realiza a geração de assinaturas digitais para cada informação emitida pelo veículo, bem como decriptografa as mensagens recebidas. Somente chaves públicas são manuseadas fora do módulo HSM. 4.1.3 Revogação de Certificados Um problema que vem sendo muito estudado nas VANETs é a questão da revogação de certificados de nós comprometidos, maliciosos ou com anomalias. O mecanismo usualmente proposto é a utilização de CRLs (Lista de Revogação de Certificados). A dificuldade neste processo é a distribuição destas listas e os processos de decisão se um nó deve ser revogado ou não. A figura 35 demonstra este processo, em que a CA utiliza a infraestrutura das RSUs para enviar
80
um comando de revogação para o veículo “M” que deve retornar uma mensagem de reconhecimento (ACK). Os outros veículos também precisam receber e armazenar as CRL por meio de transmissões broadcast, para que possam desconsiderar mensagens do veículo ou RSU revogada.
Figura 35. Revogação de Certificados
Fonte: adaptado de Raya, 2007.
Para garantir a revogação mesmo na inexistência de uma RSU, o veículo comprometido pode receber o comando utilizando outros canais de comunicação, como por exemplo, via transmissões de rádio FM. Como as CRLs serão emitidas possivelmente apenas uma vez por dia, existe uma janela de tempo de vulnerabilidade em que o nó a ser revogado permanece ativo. Para isso, o projeto SEVECOM sugere que os próprios veículos possuam mecanismos de detecção e supressão da comunicação com nós maliciosos ou anômalos, como por exemplo, o MDS (Misbehavior Detection System) e o LEAVE (Local Eviction of Attackers by Voting Evaluators).
81
O protocolo LEAVE, além de excluir nós da comunicação local, também envia informações para a CA, já que somente esta poderá efetivamente revogar o veículo ou RSU baseado no seu histórico. 4.1.4 Comunicação Segura O Beacon é uma sinalização periódica de um ponto de comunicação em redes sem fio. Conforme Papadimitratos (2008), nas VANETs ele será utilizado para que todos os veículos tenham conhecimento de sua vizinhança objetivando a segurança e a cooperação no trânsito. Esta sinalização é basicamente uma transmissão apenas para os nós vizinhos, ou seja, de salto único e os estudos indicam que cada Beacon possuirá uma frequência que poderá variar de 1 a 10 Hz, e conterá os seguintes dados: cabeçalho, posição e velocidade do veículo. Para que esta comunicação seja segura, deverá ser assinada digitalmente e o certificado anexado, conforme ilustrado na figura 36. Além disso, pode-se formar uma marca denominada geo-stamp composta pela posição geográfica e o instante da transmissão.
Figura 36. Comunicação Segura
Fonte: adaptado de Papadimitratos, 2008.
Com estas medidas, os receptores das mensagens podem verificar a validade do nó emissor e a integridade das mensagens. Também podem ser evitados vários tipos de ataques, como por exemplo, personificação, timing e replay, já que é possível para os veículos estimarem a distância emissor/receptor baseado nas coordenadas recebidas e na própria posição. Assinar mensagens e anexar
82
certificados também podem ser utilizados para a segurança das comunicações de disseminação de informações de múltiplos saltos, por exemplo, com protocolos de roteamento baseados em posição e GeoCast (item 1.4). 4.1.5 Medidas Técnicas Adicionais Segundo Emmelmann (2010), e de acordo com os resultados do capítulo 3, apesar de as ameaças de ataques intencionais poderem causar impacto significativo, falha de equipamento é uma preocupação importante nas VANETs. Para reduzir esse tipo de risco, pode-se utilizar redundância e verificações “watch-dog” tanto no hardware como no software das RSUs, OBUs e HSMs para garantir o funcionamento em caso de falhas técnicas. As RSUs podem ter áreas de alcance do sinal sobrepostas para verificar a plausibilidade das comunicações e obter redundância no caso de falha. Apesar de isso significar aumento de custos e sobrecarga de comunicação na rede, pode eventualmente ser importante em pontos críticos, como por exemplo, os cruzamentos e locais com alta ocorrência de acidentes. 4.1.6 Medidas Derivadas da ISO27002 As boas práticas propostas pela ISO27002 podem ser aplicadas totalmente às VANETs, como por exemplo, criar equipes VANET-CERT para monitorar e tratar os incidentes de segurança da informação. A investigação dos incidentes e dos acidentes veiculares envolverá a perícia forense computacional, que exigirá um novo tipo de especialização. Apesar de ser uma rede que poderá funcionar parcialmente de forma descentralizada, as VANETs dependerão de funções centralizadas, como visto nos itens anteriores, especialmente para a segurança da informação. Portanto, torna-se vital estabelecer e testar planos de contingência e recuperação de desastres nos DataCenters, autoridades de certificação e centrais de controle de tráfego. O treinamento e conscientização serão necessários conforme o papel de cada participante nas VANETs, envolvendo os motoristas e usuários, operadores de central de atendimento, autoridades certificadoras, equipes de manutenção, operação e os peritos forenses computacionais.
83
4.2
Tratamento de Riscos de VANETs A tabela 12 do apêndice, Tratamento de Riscos VANET, contém os cenários
ranqueados por ordem decrescente do nível de risco. Seguindo esta ordem, para cada cenário foi realizada uma análise das opções de tratamento de risco (redução, prevenção, retenção ou transferência), baseando-se no estabelecimento de controles e soluções apontadas na pesquisa bibliográfica. Ao seguir a ordem decrescente nos cenários, os controles e medidas selecionados para os riscos de nível mais alto foram sendo utilizados para os riscos de nível mais baixo, de forma a priorizar o tratamento dos riscos. No aspecto de sistemas de gestão, a ISO27005 recomenda medidas de controle para redução de riscos, apontadas na norma ISO27002 (Código de Melhores Práticas de Segurança da Informação), que foram consideradas neste trabalho. As opções de tratamento descritas podem ser agrupadas da seguinte forma: 1. Redução de riscos: todos os 59 cenários de incidentes analisados possuem medidas de controle de redução de riscos descritas no item 4.1. 2. Prevenção de riscos: nenhum caso de descarte de funcionalidade VANET em função do risco apresentado ou mudança nas condições de contorno. 3. Retenção de riscos: nenhuma ameaça foi retida sem tratamento, pois não havia avaliações de baixo risco (área verde do mapa de risco VANET). Por tratar-se de um estudo teórico, também não foram consideradas restrições relacionadas a custo, priorização, inexistência de solução, complexidade tecnológica ou conveniência, que na prática levariam a reter alguns riscos ao invés de adotar os controles de redução propostos. 4. Transferência de riscos: 4 cenários correspondentes à terceirização de fornecimento de serviços essenciais de infraestrutura para as VANETs. Observa-se que a interação de diversas medidas de controle de segurança da informação contribui para a redução de risco de vários tipos de ameaça, constituindo uma “defesa em profundidade”, ou seja, várias camadas de proteção em que a falha ou ineficiência de um controle é compensada ou reforçada por outros controles, sejam eles: técnicos, procedimentais ou humanos. Neste sentido, os dez controles de redução de risco mais frequentes são apresentados na tabela 6. Observa-se que as medidas de ordem organizacional (treinamento, conscientização, monitoração) são essenciais, pois aparecem como
84
medidas de redução de risco, mais do que as medidas técnicas, em praticamente todos os cenários identificados, o que de certa forma comprova a necessidade de abordagem de sistema de gestão de segurança da informação na implantação das VANETs. Tabela 6. Controles mais Frequentes Qtd. Cód.
Tipo de Proteção Monitoração Detecção
Descrição do Controle Estabelecer monitoramento via central e bloqueio de RSUs/Veículos com anomalias
44
C02
42
C01 Ação preventiva
Estabelecer leis e regulamentos no Código de Trânsito contra uso abusivo
35
Monitoração C29 Detecção Correção
Desenvolvimento de equipes VANET-CERT para gerenciamento de incidentes VANET
33
C03
32
C37 Monitoração
31
C19
30
C31 Detecção
Aplicação de perícia forense nos casos de incidentes de segurança da informação nas VANETs
29
C06 Conscientização
Treinamento e conscientização de operadores da central, manutenção de equipamentos, autoridades de trânsito, fornecedores
26
C11
25
C04 Ação preventiva
Detecção Eliminação
Detecção Eliminação
Detecção Eliminação
Mecanismos de detecção de anomalias de comunicação, uso indevido por verificação de contexto (posição, tempo e aplicação), plausibilidade de mensagens na rede e assinaturas de ataques Policiamento por autoridades de trânsito equipadas com dispositivos de detecção de anomalias de comunicação VANET Agregação de mensagens e comunicação por líderes de grupos VANET
TPM (Trusted Platform Module) - utilização de componentes à prova de violação nos veículos contendo chaves criptográficas, EDR (Event Data Recorder), ELP (Electronic License Plate) Autenticação: assinatura digital de mensagens
Fonte: Tabela Nossa.
4.3
Riscos Residuais A tabela 13 do apêndice mostra o mapa residual dos riscos. Observou-se que
a distribuição dos riscos ficou da seguinte forma:
Nenhum cenário de alto risco
26 cenários de médio risco
33 cenários de baixo risco
85
Após as medidas de tratamento consideradas, a reavaliação dos riscos resulta na sua mitigação geral, conforme ilustra a figura 37, na qual se observa que o nível geral dos riscos passou de alto/médio (região vermelho/amarela) para médio/baixo (região amarela/verde).
Impacto
Figura 37. Redução de Riscos após Tratamento 5
00 01 02 03 12 32 33 35 51
04 13 24 29
22 28 34
4
20 36 37 38 39 42 44 45 50 53 54
18 19 43
16 46
3
27 30 31 41 52 58
06 08
05 07 09 15 21 57
2
11 48 49 55 56
10 17
14 23 25 26 40 47
3
4
5
1 1
2
Probabilidade de Incidente
Impacto
5
29
4
00 35
01 03 12 24 54
13 16 19 28 34 46
3
32 33 44 50 51 52 53
02 20 36 37
04 18 22 43
2
38 39 45
30 31 42 58
05 07 08 09 15 21
1
11 23 26 40 41 48 49 55 56
10 17 25 27 47
06 14 57
1
2
3
4
5
Probabilidade de Incidente
Fonte: Figura Nossa.
Analisando os mapas de risco, as medidas de redução levam a probabilidade de incidentes a cair em torno de 2 pontos (faixa 3-5 para 1-3) em função da diminuição do grau de vulnerabilidade e da frequência de ocorrência das ameaças, enquanto que o impacto foi minimizado em 1 ponto (faixa 2-5 para 1-4). Lembrando que a faixa de variação de risco adotada poderia variar de 1 a 25 (critérios estabelecidos no item 2.1.2), podemos calcular o risco médio dividindo a soma de todos os níveis de risco pelo número de cenários considerados, chegandose aos valores abaixo: Risco médio sem medidas de segurança da informação = 13,3.
86
Risco médio após mitigação = 5,0. Conforme a figura 23, o último passo após o tratamento dos riscos é verificar se as medidas são satisfatórias, ou seja, se atendem aos critérios de aceitação de risco estabelecidos anteriormente. Neste estudo assumiu-se que todas as soluções apresentadas são eficientes em atingir as reduções de risco estimadas, e que os riscos residuais satisfazem os critérios de aceitação estabelecidos para as VANETs. Do contrário, seriam necessárias novas interações do processo de gestão de risco como ilustrado na figura 23. 4.4
Atividades Subsequentes Conforme previsto no item 2.1.3, a análise de risco deste trabalho está restrita
às etapas de planejamento finalizadas no item anterior, ficando fora do escopo as seguintes atividades subsequentes:
Detalhamento dos recursos e cronograma para a implantação das medidas de controle do plano de tratamento de risco
Aceitação formal dos riscos residuais
Comunicação dos riscos aos stakeholders
Monitoração e análise crítica dos fatores de risco
Melhoria contínua do processo
Este capítulo encerra a aplicação do framework da ISO 27005 em redes veiculares VANET. O próximo capítulo traz uma reavaliação dos resultados obtidos, relacionando-os aos objetivos inicialmente propostos.
87
5
AVALIAÇÃO DOS RESULTADOS E OBJETIVOS
5.1
Objetivo principal Conforme estabelecido na seção de Introdução, o objetivo principal desta
monografia é a aplicação da norma de segurança da informação ISO/IEC 27005 em redes VANET. As atividades de identificação de ativos, ameaças, vulnerabilidades, estimativa de impactos e riscos estabelecidas no capítulo 3, e a determinação dos controles de segurança da informação estabelecidos no capítulo 4, permitem constatar a viabilidade da utilização da norma em referência para as VANETs e demonstrar como é imprescindível aplicá-la na introdução desta nova tecnologia. 5.2
Objetivos específicos Além do objetivo principal acima descrito, segue uma avaliação dos
resultados obtidos com relação aos objetivos específicos deste trabalho:
Pesquisa dos estudos atualmente disponíveis de interligação das redes VANETs: foi realizada a pesquisa bibliográfica em livros, sites e 195 artigos relacionados aos conceitos, arquitetura, segurança, padronização, projetos, roteamento e simulação, permitindo descrever os principais tópicos relacionados à tecnologia VANET e os estudos que visam padronização para sua viabilização, servindo de base para os levantamentos de dados necessários para a aplicação da norma.
Verificação das tendências atuais e projetos de interligação de redes veiculares com a Internet e suas implicações com a segurança e privacidade dos usuários: o item 1.2 descreveu e mostrou exemplos das tendências de aplicação da tecnologia VANET, bem como, os fatores que nortearão sua introdução no mercado; o item 1.3 abordou as tendências de padronização e arquiteturas em desenvolvimento, enquanto que o item 1.6 forneceu um histórico dos projetos experimentais e os que estão em progresso no momento da escrita desta monografia. A análise de risco realizada no capítulo 3 demonstrou as implicações com a segurança da informação e os aspectos relacionados à privacidade dos usuários.
88
Verificação do estado atual da segurança da informação aplicada às redes de veículos automotores: constatou-se a existência de grande preocupação com a segurança da informação no desenvolvimento da tecnologia VANET, já que o tema é amplamente abordado nos livros e artigos disponíveis sobre o assunto.
Conforme
descrito
no
item
1.6,
alguns
projetos
tratam
exclusivamente da segurança da informação em VANETs, tais como o SEVECOM (já encerrado), ou o PRESERVE (em andamento). Porém, não foi constatada em nenhum dos livros, artigos ou projetos consultados, a abordagem de aplicação da norma ISO27005 realizada nesta monografia.
Análise das vulnerabilidades e ameaças de segurança da informação a que estão sujeitas as redes veiculares. Avaliação dos impactos e determinação dos riscos de segurança da informação: o levantamento de vulnerabilidades e ameaças da pesquisa bibliográfica, somada à utilização dos catálogos dos anexos da ISO27005, permitiram uma avaliação de impactos e determinação dos riscos abrangente, considerando aspectos de gestão de segurança da informação não abordados na maioria dos trabalhos atualmente existentes sobre o assunto, que normalmente tratam apenas de questões específicas. A metodologia foi descrita no capítulo 3 e no apêndice foram fornecidas as tabelas 7, 8 e 9 que detalham os resultados obtidos.
Determinação de quais medidas de proteção (identificação, autenticação, criptografia, não repúdio, controle de erros, entre outros) podem ser tomadas para mitigar os riscos de segurança da informação no ambiente descrito: analogamente ao item anterior, as medidas de proteção foram levantadas a partir da pesquisa bibliográfica e da norma ISO27002, que relaciona boas práticas de gestão de segurança da informação. Também neste caso, os controles relacionados foram mais abrangentes ao considerar medidas organizacionais e fatores humanos, além das soluções puramente técnicas. Os resultados relacionados a este objetivo foram apresentados no capítulo 4 e as medidas foram descritas na tabela 11 do apêndice.
Identificação das ameaças que não possuem soluções propostas: conforme descrito no item 4.2, todos os 59 cenários de ameaças de segurança da
89
informação considerados nesta análise possuem medidas de redução de riscos relacionadas na tabela 12 do apêndice. Porém, cabe notar, que em segurança da informação não há medidas que assegurem 100% contra as ameaças. Justamente por isso, a análise de riscos é importante para que os recursos
disponíveis
sejam
aplicados
adequadamente.
Entretanto,
o
levantamento bibliográfico mostra que a ISO27005 ainda é desconhecida e pouco aplicada para projetos de engenharia como as VANETs.
Realização de um mapeamento dos riscos e exposição sob uma perspectiva de priorização de medidas de proteção: este objetivo foi atendido pela tabela 10 do apêndice, que contém o mapa de risco antes da aplicação das medidas de proteção; pela tabela 13 que demonstra o mapeamento dos riscos residuais após a aplicação dos controles propostos; e pela tabela 12, que foi apresentada de forma ordenada pelo nível residual de riscos, facilitando a priorização de medidas de proteção na implementação dos projetos de VANETs.
Após revisitar os resultados relacionados aos objetivos deste trabalho, o próximo capítulo descreverá as conclusões, contribuições e recomendações finais da monografia.
90
6
CONSIDERAÇÕES FINAIS
6.1
Conclusões A análise de risco mostrou ser necessário considerar a abordagem de ISMS
para a VANET como um todo, ao invés de solucionar aspectos técnicos isolados, estabelecendo um V-ISMS, ou seja, um Sistema de Gestão de Segurança da Informação para VANETs. Outro requisito imprescindível é a transferência dos conhecimentos e experiência das áreas de gestão de risco e segurança da informação das organizações, para as áreas de engenharia, normalmente responsáveis pelos projetos técnicos das VANETs, promovendo a interação entre profissionais de segurança da informação e engenheiros de projeto das VANETs. Previsto na ISO27005, a monitoração de incidentes e o processo de melhoria contínua da segurança será um fator importante para tornar esta nova tecnologia confiável, como demonstrado na lista de controles de redução de risco. VANET é uma tecnologia que ainda não está madura para introdução no mercado. Há desafios quanto à padronização e definição de quais informações devem ser transmitidas pela rede, bem como a questão dos custos e percepção de benefício pelos clientes. Em função disso, oportunidades de desenvolvimento de aplicativos e serviços podem abrir possibilidades de incubar empresas na área das VANETs. Estudos e simulações teóricos e práticos dos motoristas e usuários em geral das VANETs são necessários para entender o comportamento das pessoas na utilização dos serviços oferecidos e o grau de confiança obtido, especialmente no recebimento de avisos e alertas de segurança viária, bem como a interpretação de eventuais mensagens falsas ou falhas. Pelas pesquisas bibliográficas realizadas, verifica-se que os aplicativos simuladores descritos no capítulo 1 estão evoluindo para atender às necessidades dos trabalhos com as VANETs, permitindo, inclusive, simular ataques de segurança da informação e testar o impacto no desempenho da rede pela aplicação de soluções como autenticação e criptografia. Os simuladores precisam ser aprimorados em relação à melhor integração e interação entre os módulos de simulação de tráfego e simulação de redes sem fio,
91
que deverão passar a incorporar os padrões em desenvolvimento conforme exposto no capítulo 1. Voltando à questão da análise de riscos, constata-se que, de uma forma genérica a utilização de catálogos de ameaças e vulnerabilidades comuns facilita o trabalho do analista e auxilia para que riscos não sejam negligenciados. Esta monografia traz várias contribuições de acordo com o seguinte público:
Autoridades Governamentais de Trânsito, Concessionárias de Rodovias, Indústria Automobilística: conhecimento da tecnologia VANET, projetos em desenvolvimento ou implantação como o SINIAV.
Projetistas VANET: conscientização para as ameaças de segurança da informação.
Desenvolvedores de aplicações VANET: estabelecer proteções contra os ataques descritos.
Especialistas de segurança da informação: exemplo de aplicação prática de análise de risco com a ISO27005 e de gestão de segurança para as VANETs.
Motoristas e o público em geral: conhecimento das VANETs e o reconhecimento de ameaças e ataques a que estão sujeitos, por exemplo, ao levar seu veículo a uma oficina.
6.2
Sugestões de Trabalhos Futuros Uma sugestão para trabalhos futuros no meio acadêmico e recomendação
para projetos de pesquisa ou comerciais de VANETs, é a realização de uma análise e documentação mais extensa e detalhada para cada cenário de risco avaliado. Conforme foi exposto anteriormente, o escopo deste trabalho não foi realizar uma análise exaustiva dos ataques de segurança da informação em VANETs, nem estudar detalhadamente suas soluções técnicas. Para atingir esse objetivo, em grandes projetos torna-se necessário trabalhar com equipes multidisciplinares e stakeholders de diferentes áreas e entidades, como por exemplo, projetistas, engenheiros especializados em redes móveis, montadoras de veículos, ONGs voltadas para a segurança no trânsito, entidades governamentais ligadas aos transportes e concessionárias de estradas. A partir da análise de risco mais geral desta monografia, é possível realizar análises de risco específicas para as ameaças mais críticas, principalmente se não houver clareza nos impactos e vulnerabilidades existentes; se não forem
92
identificadas medidas que mitiguem satisfatoriamente os riscos; ou se as medidas propostas não forem viáveis tecnicamente ou economicamente. A figura 38 ilustra a possibilidade acima descrita.
5
10
15
20
25
4
4
8
12
16
20
2 1
3
2
1
1
6
4
2
2
9
6
3
3
12
8
4
4
15 Impacto
3
10
5
Probabilidade de Incidente
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
10
15 2
20 4
25 6
8
10
4
5
4
5
5
5
4
4
8
1
12 1
16 2
20 3
3
3
6
9
12
15
2
2 15
4 20
6 8 10 Probabilidade de Incidente 25
1
1 12
2 16
3 20
4
5
1
2
3
4
5
5
5
4
4
8
3
3
6
5
Impacto
5
Impacto
Impacto
Figura 38. Detalhamento de Análises de Risco
10
2
9
1
12
2
3
15
Probabilidade de Incidente 2
2
4
6
8
10
1
1
2
3
4
5
1
2
3
4
5
Probabilidade de Incidente
Fonte: Figura Nossa.
A documentação resultante das análises pode ser registrada em um banco de dados de análise de risco em VANETs para melhoria contínua (PDCA) da segurança da informação, cadastro de lições aprendidas e registro dos incidentes futuros. A tarefa pode ser viabilizada utilizando-se um sistema comercial de suporte à análise de risco estabelecendo um catálogo de ameaças e vulnerabilidades específicas para as redes veiculares, que pode ser de grande utilidade para todos os envolvidos com a tecnologia VANET. Outra proposta é a realização de um mapeamento item a item da ISO27002 às VANETs, assim como foi feito neste trabalho para a ISO27005, que constitui, em verdade, um detalhamento do capítulo 4 da ISO27002 (Avaliação e Tratamento de Riscos). Mais detalhamentos são possíveis, como por exemplo, a classificação formal das informações VANET (capítulo 7 da ISO27002 – Gerenciamento de Ativos). Conforme observou-se no item 1.6.4, constata-se a falta da participação das universidades, escolas de tecnologia, entidades e empresas brasileiras nos projetos internacionais das VANETs, embora o país tenha forte presença da indústria automobilística.
93
Essa participação é possível na pesquisa e desenvolvimento de assuntos específicos, como por exemplo, segurança contra determinadas ameaças, desenvolvimento de algoritmos e soluções, jogos a bordo para passageiros e simulações, entre outros. Além da participação em projetos experimentais, é interessante a busca de parcerias com a organização SAE, instituições públicas como o Ministério dos transportes, concessionárias de estradas, montadoras de veículos e fornecedores de autopeças de telemática, em analogia ao que ocorre principalmente nos projetos dos EUA e da Comunidade Européia.
94
REFERÊNCIAS ALVES, R. S. et al. Redes Veiculares: Princípios, Aplicações e Desafios. UFRJ: GTA/PEE/COPPE, 2009. Disponível em: . Acesso em: 06/05/2012. ALVES, R. S. et al. Uma Análise Experimental da Capacidade de Redes Ad Hoc Veiculares. XXVI Simpósio Brasileiro de Telecomunicações. Setembro de 2008, Rio de Janeiro. ARTESP Agência de Transporte do Estado de São Paulo. Sistema Ponto a Ponto. Disponível em: . Acesso em: 14/10/2012. BALUZ, R. A. R. S; HOLANDA FILHO, R. Um Estudo sobre os Protocolos de Encaminhamento em Redes Veiculares com Ênfase na Abordagem GEOCAST e Ambientes Urbanos. Revista Multidisciplinar – FAP Episteme, 2011. CAMBRUZZI, E. et al. Uma abordagem Adaptativa para Detecção de Falhas em Redes Veiculares Ad Hoc. XXVIII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos, 2009. CAMPOS, C. A. V.; MORAES, L. F. M.; SILVA, R. F. Caracterização da Mobilidade Veicular e o seu Impacto nas Redes Veiculares Tolerantes a Atrasos e Desconexões. XXVIII Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos, 2009. CAR-TO-CAR Communication Consortium. Disponível em: . Acesso em: 03/05/2012. CERT.BR. Cartilha de Segurança da Informação. 2012. Disponível em: . Acesso em: 11/10/2012. DENATRAN. SINIAV – Sistema de Identificação Automática de Veículos. Resumo Executivo dos Requisitos Técnicos. Disponível em: . Acesso em: 17/07/2012. EMMELMANN, M; BOCHOW, B.; KELLUM C.C. Vehicular Networking Automotive Applications and Beyond. West Sussex: John Wiley & Sons, 2010. FENU, G.; NITTI, M. Strategies to Carry and Forward Packets in VANET. Spring Verlag Berlin Heidelberg, 2011. FLEETBOARD. Sistema de Telemática da Mercedes-Benz. Disponível em: www.fleetboard.com.br. Acesso em: 14/07/2012. FOLHA ONLINE. Waze, app de GPS com dados atualizados por usuários, ganha versão brasileira. Matéria de Leonardo Luis, colaborador da Folha. Disponível em: http://www1.folha.uol.com.br/tec/1107501-waze-app-de-gps-com-dados-atualizados-
95
por-usuarios-ganha-versao-brasileira.shtml>. Matéria de 20/06/2012. Acesso em: 27/07/2012. HARTENSTEIN, H.; LABERTEAUX K.P. VANET Vehicular Applications and InterNetworking Technologies. West Sussex: John Wiley & Sons, 2010. HARTENSTEIN, H.; LABERTEAUX K.P. A Tutorial Survey on Vehicular Ad Hoc Networks. IEEE Communications Magazine, June 2008. HASSAN, A. VANET Simulation. Master’s Thesis in Electrical Engineering. Halmstad University, May 2009. HUBAUX, J. P. Securing Vehicular Communications. LCA – Laboratory for Computer Communications and Applications. Disponível em: http://ivc.epfl.ch. Acesso em 30/03/2012. IG Carros Notícias. Entenda como funcionará o chip de identificação do veículo. Matéria de Ricardo Meier, colaborador do site IG. Disponível em: . Reportagem publicada em 15/03/2012. Acesso em: 17/07/2012. ISO/IEC 27000. International Standard. Information Technology – Security Techniques – Information security management systems — Overview and Vocabulary. First Edition. Geneva, 2009. ISO/IEC 27002. International Standard. Information Technology – Security Techniques – Code of Practice for Information Security Management. DIN Norm Berlin, 2005. ISO/IEC 27005. International Standard. Information Technology – Security Techniques – Information Security Risk Management. First Edition. Geneva, 2008. ITS JOINT PROGRAM OFFICE. VII Architecture and Functional Requirements. US Department of Transportation, July 2005. KOSHER, K. et al. Experimental Security of a Modern Automobile. Disponível em: . Acesso em: 12/10/2011. LEE, J.; KIM C. M. A Roadside Unit Placement Scheme for Vehicular Telematics Networks. T.H. Kim and H. Adeli (Eds.): AST/UCMA/ISA/ACN 2010, LNCS 6059, pp. 196–202, 2010. MATHEUS, K. et al. Economic Background of Car-to-Car Communication. 2004. Disponível em: . Acesso em: 06/05/2012. MENEGUETTE, R. I.; MADEIRA, E. R. M. Uma arquitetura para a gerência de mobilidade para redes veiculares com suporte a ambientes virtuais
96
colaborativos. XXIX Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos, 2010. MOHAMMAD, S. A.; RASHEED, A.; QAYYUM, A. VANET Architectures and Protocol Stacks: A Survey. Spring-Verlag Berlin Heidelberg, 2011. OLIVEIRA, R. SISTEMA RAMs Radio Alert Message Service. Disponível em: . Universidade Federal de Santa Catarina, 2010. ONSTAR. Car Safety Device and Vehicle Security System. Disponível em: . Acesso em: 28/07/2012. PAPADIMITRATOS, P. et al. Secure Vehicular Communication Systems: Design and Architecture. IEEE Communications Magazine, November 2008. Plößl, Klauss. Mehrseitig Sichere Ad-Hoc-Vernetzung Wiesbaden: Gabler GWV Fachverlage GmbH, 2009.
von
Fahrzeugen.
RAWAT, A. et al. VANET: Security Attacks and Its Possible Solutions. Journal of Information and Operations Management. 2012, pp-301-304. Disponível em: http://www.bioinfo.in/contents.php?id=55. Acesso em: 13/07/2012. RAYA, M; HUBAUX, J.P. The Security of Vehicular Ad Hoc Networks. SANS, Alexandria, Virginia, EUA, 2005. RAYA, M. et al. Eviction of Misbehaving and Faulty Nodes in Vehicular Networks. IEEE Journal on Selected Areas in Communications, Vol.25, No.8, October 2007. RIBEIRO, M. P. N. Introduzindo Tecnologia Sem Fio em Redes Intra-Veicular. Disponível em: . Acesso em: 01/05/2012. RITA - Research and Innovative Technology Administration. ITS Joint Program Office. USDOT – U.S. Department of Transportation. Disponível em: . Acesso em: 06/05/2012. RITA, R. R.; WANGHAM, M. S. Avaliação do Impacto do Uso de Mecanismos de Segurança em uma Aplicação Distribuída que Utiliza Redes Veiculares. UNIVALE - Universidade do Vale do Itajaí, 2010. SEVECOM – Secure Vehicle Communication. General Introduction. Disponível em: . Acesso em: 08/07/2012. SUMRA, I. et al. Classes of Attacks in VANET. Disponível em: . Acesso em: 15/07/2012.
97
SUMRA, I. et al. Timing Attack in Vehicular Network. Disponível em: http://www.wseas.us/e-library/conferences/2011/Corfu/COMPUTERS/COMPUTERS24.pdf >. Acesso em: 28/07/2012. WANG, S.; CHOU, C. NCTUns Simulator for Wireless Vehicular Ad Hoc Network Research. Disponível em: . Acesso em: 07/07/2012. WEIGLE, M. Standards: WAVE / DSRC / 802.11p. Old Dominion University. Disponível em: . Acesso em: 01/07/2012. ZEADALLY, S. et al. Vehicular Ad Hoc Networks (VANETs): status, results and challenges. Springer Science+Business Media, LLC 2010.
98
APÊNDICE – Tabelas de ameaças, vulnerabilidades, riscos e controles Tabela 7. Lista de Ameaças VANET Cód.
Tipo
AM00 Dano físico
AM01 Dano físico
AM02 Eventos Naturais
AM03
Serviços essenciais
AM04
Serviços essenciais
AM05 Dano físico
AM06 Dano físico
AM07 Eventos Naturais
AM08
Serviços essenciais
AM09
Serviços essenciais
Distúrbios por AM10 radiação
Ameaça genérica Fogo, água, destruição equipamentos Fogo, água, destruição equipamentos Fenômenos climáticos, sísmicos, vulcânicos Suprimento água, energia, telecomunic. Suprimento água, energia, telecomunic. Fogo, água, destruição equipamentos Fogo, água, destruição equipamentos Fenômenos climáticos, sísmicos, vulcânicos Suprimento água, energia, telecomunic. Suprimento água, energia, telecomunic. Radiação ou pulsos eletromagnéticos Radiação ou pulsos eletromagnéticos Uso não autorizado de equipamento
Orig.
Fonte Humana
I
Pessoal interno
A
----
N
----
I
Pessoal interno
A
----
I
Terrorista
DOS: interrupção das operações de RSUs
Disp. Cont.
A
----
DOS: interrupção das operações de RSUs
Disp.
N
----
DOS: interrupção das operações de RSUs
Disp.
I
Terrorista
DOS: interrupção das operações de RSUs
Disp. Cont.
A
----
DOS: interrupção das operações de RSUs
Disp.
I
Terrorista
A
----
I
Pessoal interno
AM11
Distúrbios por radiação
AM12
Ação não autorizada
AM13
Comprometimento de função
Erros durante o uso
A
Pessoal interno
AM14
Ação não autorizada
Saturação do sistema de informação
I
Terrorista
AM15
Ação não autorizada
Saturação do sistema de informação
I
Terrorista
AM16
Ação não autorizada
Saturação do sistema de informação
I
Terrorista
Descrição da ameaça VANET DOS: interrupção das operações da central de controle DOS: interrupção das operações da central de controle DOS: interrupção das operações da central de controle DOS: interrupção das operações da central de controle DOS: interrupção das operações da central de controle
Ataque DOS/DDOS: interrupção ou intermitência das comunicações V2V e V2I na área de radiação DOS: interrupção ou intermitência das comunicações V2V e V2I na área de radiação Ataque mensagens falsas: envio de mensagens forjadas pela central de controle Mensagens falsas: envio de mensagens incorretas pela central de controle Ataque DOS: sobrecarga dos recursos de um veículo pelo envio de mensagens repetidas por outro veículo, RSU ou dispositivo sem fio. Ataque DOS: sobrecarga dos recursos de uma RSU pelo envio de mensagens repetidas por outro veículo ou dispositivo sem fio. Ataque DOS: congestionamento do canal de comunicação VANET na área de alcance do veículo ou dispositivo sem fio.
Obj. Disp. Cont. Disp.
Disp.
Disp. Cont. Disp.
Disp.
Disp. Int. Cont. Int.
Disp.
Disp.
Disp.
99
AM17
Ação não autorizada
Saturação do sistema de informação
AM18
Ação não autorizada
Saturação do sistema de informação
I
AM19
Ação não autorizada
Saturação do sistema de informação
I
AM20
Ação não autorizada
Uso não autorizado de equipamento
I
AM21
Comprometimento de função
Abuso de direitos
I
AM22
Comprometimento de função
Abuso de direitos
I
AM23 Falha Técnica
Defeito de equipamento
A
AM24 Falha Técnica
Defeito de equipamento
A
AM25 Falha Técnica
Defeito de equipamento
A
AM26 Falha Técnica
Defeito de equipamento
A
Processamento ilegal de dados
I
AM27
Ação não autorizada
I
Ataque DDOS: sobrecarga dos recursos de um veículo pelo Terrorista envio de mensagens repetidas por um conjunto de veículos, RSUs ou dispositivos sem fio. Ataque DDOS: sobrecarga dos recursos de uma RSU pelo Terrorista envio de mensagens repetidas por um conjunto de veículos ou dispositivos sem fio. Ataque DDOS: congestionamento do canal de Terrorista comunicação VANET na área de alcance de um conjunto de veículos ou dispositivos sem fio. Ataque mensagens falsas: alteração em sensores do Terrorista veículo para geração de mensagens de alerta forjadas Ataque spam: envio de Criminoso mensagens spam na área de digital alcance do veículo ou equipamento. Ataque spam: envio de Criminoso mensagens spam para diversos digital veículos na rede VANET DOS: envio repetido de ---mensagens e congestionamento do canal por falha de OBU/RSU. DOS: paralização nos ---computadores ou na rede interna da central de controle DOS: problemas na rede interna ---de um veículo, OBU, antena, computador de bordo, etc. Mensagens falsas: problemas na rede interna de um veículo, ---OBU, antena, computador de bordo, etc. Ataque de criação de buracos Terrorista negros na rede (interrupção na comunicação de nós)
AM28
Ação não autorizada
Processamento ilegal de dados
I
Cracker
Ataque malware: envio de mensagens V2V e V2I contendo código malicioso
AM29
Ação não autorizada
Processamento ilegal de dados
I
Cracker
Ataque malware: envio de patch infectado por código malicioso
AM30
Ação não autorizada
Processamento ilegal de dados
I
Cracker
Ataque malware: inserção de código malicioso pela rede veicular interna
AM31
Ação não autorizada
Processamento ilegal de dados
I
Cracker
Ataque malware: inserção de código malicioso diretamente nas OBUs
AM32
Ação não autorizada
Processamento ilegal de dados
I
Cracker
Ataque malware: inserção de código malicioso diretamente nas RSUs
Disp.
Disp.
Disp.
Int.
Disp.
Disp.
Disp.
Disp.
Disp.
Int.
Disp. Disp. Int. Conf. Priv. Cont. Disp. Int. Conf. Priv. Cont. Disp. Int. Conf. Priv. Cont. Disp. Int. Conf. Priv. Cont. Disp. Int. Conf. Priv.
100 Cont.
Ação não autorizada
Processamento ilegal de dados
Ação não AM34 autorizada
Processamento ilegal de dados
AM33
I
I
AM35
Comprometimento de função
Forjamento de direitos
I
AM36
Comprometimento de função
Repúdio de ações
I
AM37
Comprometimento de função
Repúdio de ações
I
AM38
Comprometimento da informação
Divulgação indevida
I
AM39
Ação não autorizada
Processamento ilegal de dados
I
Defeito de equipamento
A
AM40 Falha Técnica
AM41
Ação não autorizada
Processamento ilegal de dados
I
AM42
Ação não autorizada
Processamento ilegal de dados
I
AM43
Ação não autorizada
Processamento ilegal de dados
I
AM44
Comprometimento da informação
Escuta não autorizada
I
Cracker
Ataque malware: distribuição de código malicioso nas RSUs e OBUs pelos computadores da central de controle
Cracker
Ataque malware: inserção de código malicioso nos computadores da central de controle
Disp. Int. Conf. Priv. Cont. Disp. Int. Conf. Priv. Cont.
Ataque Sybil: transmissão pelo mesmo nó de múltiplas mensagens com identificações Criminoso (IDs) diferentes aos outros Aut. digital veículos para simular congestionamento, avisos de segurança, informações falsas, etc. Ataque de personificação: Criminoso alteração da identificação (ID) Aut. digital de um veículo para mudança de N.Rep. identidade em caso de acidente Ataque de personificação: modificações de conteúdo indevidas em mensagens Aut. Criminoso recebidas de outros veículos ou N.Rep. digital RSUs e reenvio das mensagens Int. alteradas com o identificador (ID) do remetente original Ataque supressão de mensagem: o atacante seletivamente remove derruba Disp. Cracker pacotes de dados da rede que Int. pode conter informações críticas para os receptores Ataque modificação de dados: alteração indevida dos dados Cracker Int. recebidos e reenvio para outros veículos ou RSUs Modificação de dados: ---problemas de processamento Int. na OBU Ataque Timing: atraso proposital Cracker na transmissão ou repasse de Disp. dados e mensagens Ataque Replay: mascaramento do atacante como usuário Cracker legítimo ao reutilizar frames de Int. Aut. transmissões anteriores capturadas na rede Ataque GPS Spoofing: geração de sinais falsos de GPS por Cracker simuladores para ludibriar a Int. Aut. informação de posição dos outros veículos Ataque Tunelamento (1): criação de um túnel para conexão de áreas da rede ad Conf. Cracker hoc para que os nós assumam Aut. vizinhança e enviem dados pelo túnel para interceptação
101
AM45
Comprometimento da informação
Escuta não autorizada
I
Criminoso digital
AM46
Comprometimento da informação
Escuta não autorizada
I
Criminoso digital
AM47
Comprometimento de função
Abuso de direitos
I
Terrorista
AM48
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM49
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM50
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM51
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM52
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM53
Ação não autorizada
Processamento ilegal de dados
I
Criminoso digital
AM54
Ação não autorizada
Processamento ilegal de dados
I
Cracker
AM55
Ação não autorizada
Processamento ilegal de dados
I
Cracker
AM56
Ação não autorizada
Uso não autorizado de equipamento
I
Pessoal interno
AM57
Comprometimento de função
Erros durante o uso
A
Pessoal interno
Ataque Man-In-The-Middle: o atacante se interpõe entre dois veículos ou entre veículo e RSU Conf. para coletar o tráfego de dados Int. ou modificá-los clandestinamente Ataque Análise de Tráfego: coleta de dados V2V ou V2I de privacidade dos usuários. Conf. Rastreamento de posição pelos pacotes que contém o identificador (ID) do veículo Ataque Social: o atacante procura confundir e perturbar o Aut. motorista vítima enviando Priv. mensagens imorais e anti-éticas afetando sua concentração Ataque Força Bruta: utilização de técnicas de força bruta para obter informações de Conf. Identificadores (IDs), ECUs, Int. OBUs, RSUs ou das Centrais de Controle Ataque Revelação ID: envio de código malicioso aos vizinhos Conf. do alvo para escuta de dados e Priv. revelação de sua posição e identificador ID Ataque Mensagens Falsas: envio de mensagens forjadas Int. por outros veículos ou Cont. dispositivos Ataque Ilusões: criação de cenários de trânsito inexistentes e envio de mensagens de alerta Int. falsos para enganar outros Cont. motoristas ou central de controle Ataque Fraude na Informação de Posição: atacante altera Int. informações de sua posição, Cont. velocidade, direção para fugir Aut. de responsabilização em caso de acidentes Ataque Fraude na Informação Int. de Posição: conluio de Cont. atacantes para forjar seus Aut. dados objetivando fraude Ataque Telégrafo Bush: envio de várias mensagens falsas e boatos incrementais na rede de Int. Aut. forma imperceptível para os demais veículos causando acúmulo no salto final Ataque Tunelamento (2): explora a inexistência de sinal GPS em túneis para injetar Int. Aut. dados falsos na saída dos veículos antes de receberem nova informação de posição Ataque mensagens falsas: envio de mensagens forjadas pelos Int. fornecedores serviços Cont. comerciais Motorista executa código, Int. habilita ações maliciosas ou Cont.
102 retransmite informações falsas
AM58
Comprometimento de função
Uso não autorizado de equipamento
I
Cracker
Oficina pode realizar alterações nas OBUs, ECUs ou sensores, com ou sem autorização dos proprietários
Fonte: adaptado da ISO/IEC 27005, 2008.
Int. Cont.
103
Tabela 8. Lista de Vulnerabilidades VANET Código
ATSnn
Vulnerabilidade
V00
01
Meio de transmissão aberto sem restrição de transmissão (sem fio)
V01
03
RSU sujeita a violação física nas vias / falta robustez
V02
02
OBU sujeita a violação física / falta robustez
V03
03
RSU sujeita a reconfiguração de software
V04
02
OBU sujeita a reconfiguração de software
V05
04
Localização da central de controle VANET sujeita a desastres naturais
V06
04
Instalações da central de controle VANET sujeita a danos físicos e invasão
V07
04
Acesso à rede interna veicular sem restrições
V08
02
Sensores do veículo sujeitos à violação física
V09
02
Módulos ECUs sujeitos à violação física ou reconfiguração de software
V10
03
Interligação RSUs sujeitas a interceptação ou manipulação
V11
03, 04
Interligação RSUs com central de controle sujeita a interceptação ou manipulação
V12
03
Fornecimento instável de energia, telecomunicações e outros serviços essenciais
V13
04
Fornecimento instável de energia, telecomunicações e outros serviços essenciais
V14
02
Problemas com suprimento energia (carga da bateria)
V15
02, 03, 04
Inexistência de atualização de software (patching)
V16
07
Procedimento de testes insuficiente ou inexistente
V17
06
Inexistência de controle eficiente de configuração
V18
06
Manutenção deficiente / falta de treinamento
V19
02, 03, 04
Falta de autenticação de identidade
V20
02, 03, 04
Transferência de dados sensíveis em claro sem criptografia
V21
02, 03, 04
Falta de anonimato na comunicação
V22
04, 06, 08
Greve de operadores
V23
13
Falta de treinamento e conscientização de autoridades trânsito
V24
01
Sensibilidade das comunicações ao clima
V25
09
Falta de treinamento e conscientização de pessoal nas oficinas
V26
04, 08
Falta de treinamento e conscientização pessoal central de controle e fornecedores serviços comerciais
104 V27
09
Projeto de equipamentos VANET deficiente / não robusto / fora dos padrões
V28
11
Inexistência ou falha de monitoramento e gerenciamento dos veículos e comunicações nas VANETs
V29
05
V30
04, 11, 12,
Falta de conhecimento dos motoristas sobre funcionamento das VANETs Falta de políticas de segurança da informação
13, 14 V31
13
Procedimento inseguro de atribuição do identificador (ID) dos veículos
V32
13
Falta de inspeção periódica das OBUs dos veículos
V33
13
Falta de treinamento da polícia para verificação das OBUs dos veículos
V34
02
Falta de mecanismos automáticos nas OBUs para detecção, identificação e segregação de veículos/RSUs e mensagens maliciosas
V35
02, 03, 04
Falta de sistemas anti-malware e atualização de assinaturas
V36
10
Falta de definição de regras e fiscalização de uso das VANETs pelas seguradoras
V37
13
Falta de policiamento da infraestrutura e monitoração ativa das transmissões VANET dos veículos e RSUs
V38
11
Falta de redundância/contingenciamento serviços essenciais e central de controle
V39
04
Falta de monitoração de atividades da central de controle
V40
08
Falta de monitoração de atividades dos provedores de serviço comerciais
V41
03
Falta de mecanismos automáticos nas RSUs para detecção, identificação e segregação de veículos e mensagens maliciosas
Fonte: adaptado da ISO/IEC 27005, 2008.
105
Tabela 9. Cenários e Estimativas de Riscos Identificação de Riscos Ameaça (AMnn)
Ativo (ATPnn)
Vuln. (Vnn)
AM00
01 02
V06
AM01
01 02
V06
AM02
01 02
V05 V24
AM03
01 02
V13 V22
AM04
01 02
V13 V22
AM05
01 02 03
V01 V23 V33 V37
AM06
01 02 03
V18
AM07
01 02 03
V01 V18 V24
AM08
01 02 03
V12 V22 V38
AM09
01 02 03
V12 V18
AM10
01 02 03
V00 V01 V02 V30
AM11
01 02 03
V00 V01 V02 V30
AM12
01 02
V11 V19 V39
AM13
01 02
V11 V26 V39
AM14
01 02 03
V00 V30 V34
AM15
01 02 03
V00 V30 V41
AM16
01 02 03
V00 V30 V34 V41
AM17
01 02 03
V00 V30 V34
Consequências (impacto) sobre o ativo Disponibilidade comunicação central e RSUs em toda a área da central Disponibilidade comunicação central e RSUs em toda a área da central Disponibilidade comunicação central e RSUs em toda a área da central Disponibilidade comunicação central e RSUs em toda a área da central Disponibilidade comunicação central e RSUs em toda a área da central Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2I na área de ataque Disponibilidade comunicação V2I na área de ataque Integridade comunicação V2I em toda a área da central Integridade comunicação V2I em toda a área da central Disponibilidade comunicação V2X do veículo atacado Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2X na área da RSU Disponibilidade comunicação V2X do
Aval. Risco
Estimativa de Riscos Aval. Imp. (1-5)
Freq. Grau Am. Vuln. (1-3) (0-2)
Prob. Incid. (1-5)
Nível Risco (I * P)
Ranq.
5
1
2
3
15
13
5
1
2
3
15
13
5
1
2
3
15
13
5
1
2
3
15
13
5
2
2
4
20
4
3
3
2
5
15
13
3
2
2
4
12
28
3
3
2
5
15
13
3
2
2
4
12
28
3
3
2
5
15
13
2
2
2
4
8
53
2
1
2
3
6
55
5
1
2
3
15
13
5
2
2
4
20
4
2
3
2
5
10
41
3
3
2
5
15
13
4
3
2
5
20
4
2
2
2
4
8
53
106 veículo atacado
AM18
01 02 03
V00 V30 V41
AM19
01 02 03
V00 V30 V34 V41
AM20
01
V08 V30
AM21
02 03
V28 V30 V34 V41
AM22
02 03
V28 V30 V34 V41
AM23
01 02 03
V16 V18 V25 V27 V32
AM24
01 02 03
V26 V38
01 02 03
V04 V09 V14 V15 V16 V25 V27
Disponibilidade comunicação V2I na área da RSU Disponibilidade comunicação V2X na área da RSU Integridade comunicação V2X com veículos, na área da RSU ou da central
4
2
2
4
16
10
4
2
2
4
16
10
4
1
2
3
12
28
3
3
2
5
15
13
5
3
2
5
25
1
2
3
2
5
10
41
5
2
2
4
20
4
Disponibilidade comunicação V2X do veículo
2
3
2
5
10
41
01 02 03
V04 V09 V14 V15 V16 V25 V27 V30
Integridade comunicação V2X com veículos, na área da RSU ou da central
2
3
2
5
10
41
AM27
01 02 03
V10 V16 V19 V27 V28 V30 V34
Disponibilidade comunicação V2X na área da RSU
3
1
2
3
9
47
AM28
01 02 03
V15 V30 V35
5
3
2
5
25
1
AM29
01 02 03
V15 V30 V35
5
2
2
4
20
4
AM30
01 02 03
V09 V15 V30 V35
3
1
2
3
9
47
AM31
01 02 03
V02 V04 V07 V30
3
1
2
3
9
47
AM32
01 02 03
V01 V03 V10 V15 V16 V27 V30
5
1
2
3
15
13
AM33
01 02 03
V06 V15 V26 V28 V30 V35
5
1
2
3
15
13
AM34
01 02 03
V06 V15 V26 V28 V30 V35
5
3
2
5
25
1
AM25
AM26
Disponibilidade canal de comunicação VANET na área de alcance emissor Disponibilidade canal de comunicação por toda a VANET Disponibilidade comunicação V2X na área da RSU Disponibilidade comunicação V2I na área da central
Disponibilidade, Integridade e Confidencialidade rede VANET Disponibilidade, Integridade e Confidencialidade rede VANET Disponibilidade, Integridade e Confidencialidade do veículo Disponibilidade, Integridade e Confidencialidade do veículo Disponibilidade, Integridade e Confidencialidade na área da RSU Disponibilidade, Integridade e Confidencialidade rede VANET Disponibilidade comunicação central e RSUs em toda a área da central
107
AM35
01 02
V17 V19 V27 V28 V30 V31 V34 V41
AM36
01
V04 V09 V19 V30
Não-Repúdio de ações do motorista
4
1
2
3
12
28
01
V04 V09 V19 V20 V30 V34 V41
Integridade comunicação V2X com veículos, na área da RSU ou da central
4
1
2
3
12
28
AM38
01 02 03
V10 V17 V20 V27 V28 V30 V34
Integridade comunicação V2X com veículos, na área da RSU ou da central
4
1
2
3
12
28
AM39
01 02
V19 V20 V30 V31 V34 V41
Integridade comunicação V2X com veículos, na área da RSU ou da central
4
1
2
3
12
28
AM40
01 02 03
V04 V09 V14 V15 V25 V27
Integridade comunicação V2X com veículos, na área da RSU ou da central
2
3
2
5
10
41
AM41
01 02
V04 V28 V30 V34 V41
Disponibilidade e Integridade na comunicação V2X na área RSU
3
1
2
3
9
47
AM42
01 02
V04 V19 V20 V21 V28 V30 V34 V41
Integridade na comunicação V2X na área RSU
4
1
2
3
12
28
AM43
01 02
V30 V33 V34 V37 V41
Integridade na comunicação V2X na área RSU
4
2
2
4
16
10
AM44
01 02
V23 V28 V30 V34 V41
4
1
2
3
12
28
AM45
01 02 03
V28 V30 V34 V41
4
1
2
3
12
28
AM46
02 03
V19 V20 V21 V30 V36
4
3
2
5
20
4
AM47
02 03
V19 V20 V21 V30
Privacidade dos motoristas
2
3
2
5
10
41
AM48
03
V19 V20 V21 V30
Privacidade dos motoristas
2
1
2
3
6
55
AM49
03
V19 V20 V21 V30
Privacidade dos motoristas
2
1
2
3
6
55
AM50
01 02
V04 V19 V30 V34 V41
Integridade na comunicação V2X na área RSU
4
1
2
3
12
28
AM51
01 02
V19 V28 V30 V34 V41
Integridade na comunicação V2X na área da central de controle
5
1
2
3
15
13
AM52
01
V19 V28 V30 V34 V41
Integridade e Não-Repúdio na comunicação V2X na área RSU
3
1
2
3
9
47
AM53
01
V19 V28 V30 V34 V41
Integridade e Não-Repúdio na comunicação V2X na área RSU
4
1
2
3
12
28
AM37
Integridade e Confidencialidade dos veículos e RSUs atacados
5
1
2
3
15
13
Confidencialidade na comunicação V2X dos veículos Integridade e Confidencialidade dos veículos e RSUs atacados Confidencialidade na comunicação V2X dos veículos
108
AM54
01 02
V04 V28 V30 V34 V41
Integridade na comunicação V2X na área RSU
4
1
2
3
12
28
AM55
01 02 03
V30 V33 V34 V37 V41
Integridade e Confidencialidade dos veículos atacados
2
1
2
3
6
55
AM56
03
V26 V30 V40
2
1
2
3
6
55
AM57
01 02 03
V29 V35
Integridade comunicação V2I em toda a VANET Disponibilidade, Integridade e Confidencialidade V2X do veículo
3
3
2
5
15
13
AM58
02 03
V28 V29 V30 V32 V37
3
1
2
3
9
47
Integridade comunicação V2I em toda a VANET
Fonte: adaptado da ISO/IEC 27005, 2008.
109
Impacto
Tabela 10. Mapa de Riscos VANET
5
00 01 02 03 12 32 33 35 51
04 13 24 29
22 28 34
4
20 36 37 38 39 42 44 45 50 53 54
18 19 43
16 46
3
27 30 31 41 52 58
06 08
05 07 09 15 21 57
2
11 48 49 55 56
10 17
14 23 25 26 40 47
3
4
5
1 1
2
Probabilidade de Incidente Fonte: adaptado de ISO/IEC 27005, 2008.
110
Tabela 11. Controles de Riscos VANET Cód.
Tipo de Proteção
Descrição do Controle
Restrição
C00
Detecção Eliminação
Software Anti-Spam e AntiMalware VANET para RSUs e OBUs.
Técnica
C01
Ação preventiva
Estabelecer leis e regulamentos no Código de Trânsito contra uso abusivo
C02
Monitoração Detecção
C03
Detecção Eliminação
C04
Ação preventiva
C05
Descrição da Restrição
Qtd.
Desenvolvimento de aplicativos análogos aos existentes para PCs
10
Legal
Morosidade na aprovação de leis que tipificam o crime digital
42
Estabelecer monitoramento via central e bloqueio de RSUs/Veículos com anomalias
Financeira Técnica Operacional
Custo dos recursos para monitoração; desenvolvimento de algoritmos de detecção de anomalias e ataques
44
Mecanismos de detecção de anomalias de comunicação, uso indevido por verificação de contexto (posição, tempo e aplicação), plausibilidade de mensagens na rede e assinaturas de ataques
Técnica
Desenvolvimento de algoritmos de detecção de anomalias.
33
Autenticação: assinatura digital de mensagens
Técnica
Distribuição e revogação de certificados digitais
25
Detecção Eliminação
Utilização de sistemas antimalware para os sistemas da central de controle
Técnica
Existência de falhas técnicas e de atualização
1
C06
Conscientização
Treinamento e conscientização de operadores da central, manutenção de equipamentos, autoridades de trânsito, fornecedores
Recursos Humanos
Baixa qualificação de operadores
29
C07
Monitoração
C08
Controle de SLA de fornecimento de serviços essenciais
Operacional
Escalabilidade das redes VANET
4
Ação preventiva
Dividir os serviços essenciais em mais de um fornecedor
Operacional
Dificuldade de coordenação de vários fornecedores
4
C09
Recuperação
Dividir a central de controle e DataCenter em dois, permitindo operação contingencial em redundância
Financeira
Custo dos DataCenters e centrais redundantes
6
C10
Ação preventiva
Segurança por obscuridade: protocolos e hardware proprietários dos fabricantes
Facilidade de uso
Falta de padronização VANETs
5
C11
Detecção Eliminação
TPM (Trusted Platform Module) - utilização de componentes à prova de violação nos veículos contendo chaves criptográficas, EDR (Event Data Recorder), ELP
Financeira
Custo dos dispositivos nos veículos
26
111 (Electronic License Plate)
C12
Conscientização
Conscientização e informação para usuários
C13
Ação preventiva
CA - Autoridades Certificadoras
C14
Ação preventiva
C15
Ação preventiva
C16
Cultural
Dificuldade dos usuários em entender o funcionamento técnico de VANETs e como interpretar situações de risco
14
Financeira Operacional
Custo e operacionalização de estrutura de autoridades certificadoras VANET
19
Pseudonimização - troca de chaves de curto prazo de validade
Técnica
Sobrecarga computacional nas OBUs e no canal VANET
15
VPKI - Infraestrutura de chaves públicas para VANETs
Técnica
Sobrecarga computacional nas OBUs e no canal VANET
19
Correção
Revogação de certificados e chaves criptográficas de nós identificados como maliciosos, defeituosos ou anômalos
Técnica
Validação dos nós e distribuição de listas de revogação (CRL)
23
C17
Detecção Eliminação
Correlação de dados de várias fontes, sensores e radares do próprio veículo, intensidade do sinal recebido para detectar mensagens falsas e nós maliciosos.
Técnica
Dificuldade de estabelecer algoritmos de interpretação dos dados anômalos
16
C18
Detecção Eliminação
Verificação dos recursos computacionais do veículo suspeito (perguntas de desafios, identificação, quantidade de canais, etc.)
Técnica
Dificuldade de estabelecer algoritmos de verificação de confirmação de anomalia
14
C19
Detecção Eliminação
Agregação de mensagens e comunicação por líderes de grupos VANET
Técnica
Sobrecarga computacional nas OBUs e comunicação na área do grupo
31
C20
Correção
Chaveamento de canal VANET, troca de tecnologia de comunicação (UMTS, WiMax) e salto de faixa de frequências
Financeira Técnica Operacional
Custo de disponibilizar tecnologias de comunicação redundantes; disponibilidade de faixas de frequências adicionais; sincronização
8
C21
Detecção Eliminação Correção
Dispositivos internos nas OBUs, ECUs e barramentos veiculares: IDS, Firewall, verificação de plausibilidade dos sensores e comunicação intraveicular. Redundância de equipamentos e sistemas"watch-dog"
Financeira Técnica
Custo dos dispositivos nos veículos; algoritmos de plausibilidade e correção
10
C22
Ação preventiva
Mecanismos de comunicação com centrais contra vandalismo nas RSUs e suprimento de serviços essenciais. Câmeras de vigilância RSUs. Sobreposição de
Financeira
Custo RSUs redundantes, unidades RSC, câmeras
16
112 áreas entre RSUs para redundância. Utilização de RSC (Road Side Controllers).
C23
Ação preventiva
Proteção contra intempéries e vandalismo RSUs
Financeira
Custo blindagem RSUs
2
C24
Monitoração
Inspeção periódica das OBUs, ECUs, sensores dos veículos
Operacional
Conhecimento VANETs pelos inspetores; corrupção
9
C25
Detecção
Smart Token, Smart Cards ou biometria para identificar motoristas e gravação no EDR
Financeira Legal
Custo dos dispositivos; privacidade
23
C26
Detecção
Confirmação de validade de mensagens de segurança por coleta de dados históricos, sistema de reputação ou várias fontes
Legal Ética Técnica
Estabelecimento de reputação dos veículos; algoritmo de validação de mensagens
14
C27
Conscientização
Treinamento dos desenvolvedores de sistemas VANET para codificação segura
Recursos Humanos Cultural
Dificuldade de incorporar a cultura de segurança da informação nos projetistas e desenvolvedores de sistemas
18
C28
Ação preventiva
Mecanismos de autorização e controle de acesso das aplicações
Técnica
As OBUs, RSUs devem ter regras estabelecidas para controle de acessos e autorização das aplicações
16
C29
Monitoração Detecção Correção
Desenvolvimento de equipes VANET-CERT para gerenciamento de incidentes VANET
Financeira Operacional
Custo das equipes; treinamento em incidentes VANET
35
C30
Recuperação
Desenvolver, testar e manter planos de contingência e recuperação de desastres para VANETs
Financeira Operacional
Custo de teste e manutenção dos planos; dificuldade em simular os testes de desastres
6
C31
Detecção
Aplicação de perícia forense nos casos de incidentes de segurança da informação nas VANETs
Recursos Humanos
Disponibilidade de peritos em incidentes VANET
30
C32
Ação preventiva Correção
Realização de testes de invasão (ethical hacking) nas centrais de controle, OBUs, ECUs, RSUs, etc.
Recursos Humanos
Disponibilidade de especialistas em ataques e vulnerabilidades VANET
14
C33
Monitoração
Monitoração e auditoria de provedores de serviços comerciais e seguradoras
Financeira
Custos de monitoração das comunicações por uso abusivo
4
C34
Monitoração
Help-Desk Central de Controle VANET
Financeira
Custos de operação do Help-Desk
19
C35
Ação preventiva
Mecanismo seguro de patching de sistemas básicos e aplicativos
Facilidade de uso
Usuários podem ter dificuldade em atualizar de forma segura os aplicativos VANET
12
113 C36
Monitoração
Auditoria e verificação por amostragem das operações da central de controle. Verificação de logs.
Operacional
C37
Monitoração
Policiamento por autoridades de trânsito equipadas com dispositivos de detecção de anomalias de comunicação VANET
Recursos Humanos
Fonte: Tabela Nossa.
Dificuldade de detectar falhas na central de operações em meio à quantidade de informações
8
Conhecimento VANETs pelas autoridades de trânsito
32
114
Tabela 12. Tratamento de Riscos VANET Identificação de Medidas de Tratamento dos Riscos Ameaça Ativo (AMnn) (ATPnn) AM13
01 02
Opção
Descrição do Tratamento do Risco
Estimativa da Mitigação dos Riscos
Aval. Risco
Aval. Imp. (1-5)
Freq. Am. (1-3)
Grau Vuln. (0-2)
Prob. Incid. (1-5)
Nível Resid. (I * P)
Ranq.
Redução
Controles: C06 C34 C36
4
1
2
3
12
1
4
2
1
3
12
1
AM16
01 02 03
Redução
Controles: C01 C02 C03 C06 C19 C20 C37
AM19
01 02 03
Redução
Controles: C01 C03 C11 C19 C20 C22 C29 C31 C37
4
2
1
3
12
1
AM28
01 02 03
Redução
Controles: C00 C01 C02 C04 C35
4
2
1
3
12
1
AM34
01 02 03
Redução
Controles: C05 C06
4
3
0
3
12
1
AM46
02 03
Redução
Controles: C01 C04 C13 C14 C15 C33
4
3
0
3
12
1
AM29
01 02 03
Redução
Controles: C00 C01 C04 C12 C21 C35
5
1
1
2
10
7
AM04
01 02
Redução Transf.
Controles: C06 C07 C08 C09 C29 C30 e terceirização serviços essenciais
3
3
0
3
9
8
AM18
01 02 03
Redução
Controles: C01 C03 C11 C19 C20 C22 C29 C31 C37
3
2
1
3
9
8
AM22
02 03
Redução
Controles: C00 C01 C02 C04 C19 C33
3
2
1
3
9
8
AM43
01 02
Redução
Controles: C01 C02 C03 C06 C12 C17 C34 C37
3
2
1
3
9
8
AM01
01 02
Redução
Controles: C06 C09 C29 C30 C31 C36
4
1
1
2
8
12
AM03
01 02
Redução Transf.
Controles: C06 C07 C08 C09 C29 C30 C31 C36 C37 e terceirização serviços essenciais
4
1
1
2
8
12
AM12
01 02
Redução
Controles: C06 C31 C34 C36
4
1
1
2
8
12
AM24
01 02 03
Redução
4
2
0
2
8
12
AM54
01 02
Redução
4
1
1
2
8
12
AM02
01 02
Redução
3
1
1
2
6
17
AM05
01 02 03
Redução
Controles: C01 C02 C06 C22 C23 C29 C31 C34 C37
2
2
1
3
6
17
AM07
01 02 03
Redução
Controles: C02 C06 C22 C23 C29
2
2
1
3
6
17
AM08
01 02 03
Redução Transf.
Controles: C02 C06 C07 C08 C22 C29 e terceirização serviços essenciais
2
2
1
3
6
17
AM09
01 02 03
Redução Transf.
Controles: C02 C06 C07 C08 C22 C29 e terceirização serviços essenciais
2
2
1
3
6
17
Controles: C06 C09 C29 C30 C36 Controles: C01 C02 C03 C04 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C27 C31 C34 C37 Controles: C06 C09 C29 C30 C31 C36
115 AM15
01 02 03
Redução
AM20
1
Redução
AM21
02 03
Redução
AM36
1
Redução
Controles: C01 C03 C11 C19 C20 C22 C29 C31 C37 Controles: C01 C02 C03 C06 C11 C12 C16 C17 C18 C19 C21 C24 C25 C26 C31 C32 C37 Controles: C00 C01 C02 C04 C19 C33 Controles: C01 C02 C03 C04 C10 C11 C14 C15 C16 C17 C18 C19 C25 C26 C28 C31 C34 C37
2
2
1
3
6
17
3
1
1
2
6
17
2
2
1
3
6
17
3
1
1
2
6
17
3
1
1
2
6
17
AM37
01
Redução
Controles: C01 C02 C03 C04 C10 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C28 C31 C34 C37
AM00
01 02
Redução
Controles: C06 C09 C29 C30 C31 C32 C36
4
1
0
1
4
28
AM30
01 02 03
Redução
Controles: C00 C01 C02 C11 C12 C16 C19 C21 C24 C25 C27 C32 C35
2
1
1
2
4
28
AM31
01 02 03
Redução
2
1
1
2
4
28
AM35
01 02
Redução
4
1
0
1
4
28
Redução
Controles: C01 C02 C03 C04 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C28 C29 C31 C32 C37
2
1
1
2
4
28
2
1
1
2
4
28
AM42
01 02
Controles: C00 C01 C02 C11 C12 C16 C19 C21 C24 C25 C27 C32 C35 Controles: C01 C02 C03 C04 C06 C11 C13 C15 C16 C17 C18 C19 C22 C25 C26 C29 C31 C37
AM58
02 03
Redução
Controles: C01 C02 C03 C04 C06 C10 C11 C12 C13 C16 C17 C18 C19 C21 C24 C25 C26 C27 C31 C32 C37
AM06
01 02 03
Redução
Controles: C02 C06 C22 C29
1
2
1
3
3
34
AM14
01 02 03
Redução
Controles: C01 C02 C03 C11 C19 C20 C29 C31 C37
1
2
1
3
3
34
AM32
01 02 03
Redução
3
1
0
1
3
34
AM33
01 02 03
Redução
3
1
0
1
3
34
AM44
01 02
Redução
3
1
0
1
3
34
Redução
Controles: C01 C02 C03 C04 C06 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C28 C29 C31 C32 C37
3
1
0
1
3
34
Redução
Controles: C01 C02 C03 C04 C11 C12 C13 C15 C16 C17 C18 C19 C25 C26 C29 C31 C37
3
1
0
1
3
34
Redução
Controles: C01 C02 C03 C04 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C28 C29 C31 C34 C37
3
1
0
1
3
34
AM50
AM51
AM52
01 02
01 02
1
Controles: C00 C01 C02 C22 C29 C31 C32 C35 Controles: C00 C01 C02 C06 C10 C22 C29 C31 C32 C35 C36 Controles: C01 C02 C03 C17 C18 C19 C27 C29 C31 C37
116
AM53
1
Redução
AM57
01 02 03
Redução
AM10
01 02 03
Redução
AM17
01 02 03
Redução
AM25
01 02 03
Redução
AM27
01 02 03
Redução
AM38
AM39
01 02 03
01 02
Controles: C01 C02 C03 C04 C11 C13 C14 C15 C16 C17 C18 C19 C25 C26 C28 C29 C31 C34 C37
3
1
0
1
3
34
1
2
1
3
3
34
1
1
1
2
2
44
1
1
1
2
2
44
1
2
0
2
2
44
1
1
1
2
2
44
Redução
Controles: C01 C02 C03 C04 C11 C13 C15 C16 C17 C19 C25 C26 C27 C28 C29 C31 C32 C34 C37
2
1
0
1
2
44
Redução
Controles: C01 C02 C03 C04 C11 C13 C15 C16 C17 C19 C25 C26 C27 C28 C29 C31 C32 C34 C37
2
1
0
1
2
44
2
1
0
1
2
44
1
2
0
2
2
44
Controles: C00 C01 C02 C03 C11 C12 C16 C21 C24 C25 C27 Controles: C01 C02 C06 C20 C22 C29 C34 C37 Controles: C01 C02 C03 C11 C19 C20 C29 C31 C37 Controles: C02 C03 C06 C11 C12 C21 C24 C27 C28 C35 Controles: C01 C02 C03 C04 C06 C13 C14 C15 C16 C19 C25 C27 C28 C29 C31 C34 C37
Controles: C01 C02 C03 C04 C13 C14 C15 C16 C17 C18 C19 C25 C27 C29 C31 C32 C37 Controles: C01 C02 C04 C11 C12 C13 C14 C15 C16 C18 C19 C25 C26 C34 C37
AM45
01 02 03
Redução
AM47
02 03
Redução
AM11
01 02 03
Redução
Controles: C01 C02 C06 C20 C22 C29 C34 C37
1
1
0
1
1
52
AM23
01 02 03
Redução
Controles: C02 C03 C06 C11 C12 C19 C21 C22 C24 C27 C28 C35
1
1
0
1
1
52
AM26
01 02 03
Redução
Controles: C02 C03 C06 C11 C12 C19 C21 C22 C24 C27 C28 C35
1
1
0
1
1
52
AM40
01 02 03
Redução
Controles: C02 C03 C06 C11 C12 C19 C21 C22 C24 C27 C28 C35
1
1
0
1
1
52
AM41
01 02
Redução
Controles: C01 C02 C03 C04 C10 C13 C14 C15 C16 C19 C25 C27 C28 C37
1
1
0
1
1
52
AM48
3
Redução
Controles: C01 C02 C03 C04 C13 C14 C15 C16 C25 C27 C28 C29 C32 C34 C35 C37
1
1
0
1
1
52
AM49
3
Redução
Controles: C01 C02 C03 C04 C13 C14 C15 C16 C25 C27 C28 C29 C32 C34 C35 C37
1
1
0
1
1
52
AM55
01 02 03
Redução
Controles: C01 C02 C03 C04 C06 C13 C14 C15 C16 C25 C27 C29 C31 C34 C37
1
1
0
1
1
52
AM56
03
Redução
Controles: C00 C01 C03 C04 C12 C29 C33 C34
1
1
0
1
1
52
Fonte: Tabela Nossa.
117
Tabela 13. Mapa de Riscos Residuais
Impacto
5
29
4
00 35
01 03 12 24 54
13 16 19 28 34 46
3
32 33 44 50 51 52 53
02 20 36 37
04 18 22 43
2
38 39 45
30 31 42 58
05 07 08 09 15 21
1
11 23 26 40 41 48 49 55 56
10 17 25 27 47
06 14 57
1
2
3
4
Probabilidade de Incidente Fonte: adaptado de ISO/IEC 27005, 2008.
5
118
APÊNDICE – Glossário de Termos de Segurança da Informação Seguem vários termos de segurança da informação utilizados nesta monografia adaptados da cartilha de segurança do CERT.BR (2012) e das normas ISO27000 (2009) e ISO27005 (2005). ACEITAÇÃO DE RISCO: decisão de não adotar medidas de controle adicionais para um risco residual. AMEAÇA: causa potencial de um incidente que pode resultar em um dano a um sistema ou organização. ANÁLISE DE RISCO: uso sistemático da informação para identificar fontes e estimar os riscos, fornecendo a base para a avalição, tratamento e aceitação de riscos. ANTIMALWARE: ferramenta que procura detectar, anular ou remover códigos maliciosos de um computador. Os programas antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas antimalware. ASSINATURA DIGITAL: código usado para comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela não foi alterada. ATAQUE: tentativa de destruição, exposição, desabilitação, roubo, furto ou acesso não autorizado de utilização de ativos. ATIVO: qualquer coisa que tenha valor para uma organização, tais como, informações, software, hardware, pessoas, conhecimento, reputação, imagem. AUTENTICAÇÃO: asseguramento da identidade de uma entidade pelo fornecimento de uma propriedade característica. AUTORIDADE CERTIFICADORA: entidade responsável por emitir e gerenciar certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, entre outros. AVALIAÇÃO DE RISCO: processo conjunto de análise e valorização de riscos. BACKDOOR: programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para esse fim. Normalmente esse programa é colocado de forma a não a ser notado. COMUNICAÇÃO DE RISCO: troca ou compartilhamento de informações sobre riscos entre quem toma decisões e outros stakeholders. CONFIABILIDADE: propriedade de comportamento de resultados consistentes.
119
CONFIDENCIALIDADE: propriedade da informação de não estar disponível ou ser revelada para acesso não autorizado por indivíduos, entidades ou processos. CONTINUIDADE DE NEGÓCIO: processos ou procedimentos para assegurar a operação dos negócios sem interrupções com impactos significativos. CONTROLE DE ACESSO: asseguramento que os acessos aos ativos sejam autorizados e restritos com base nos requisitos do negócio e da segurança. CONTROLE: meios de gerenciamento de riscos, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais. Também utilizado como sinônimo para salvaguarda, medida de proteção ou contra-medida. CRIPTOGRAFIA: ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usada, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar transações computacionais; proteger a integridade de transferências de dados, e proteger o sigilo de comunicações pessoais e comerciais. CRITÉRIOS DE RISCO: termos de referência para avaliação da significância dos riscos. DISPONIBILIDADE: propriedade de estar acessível para utilização por uma entidade autorizada. ENGENHARIA SOCIAL: técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. Considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de lhe aplicar golpes, ludibriar ou obter informações sigilosas e importantes. ESTIMATIVA DE RISCO: atividade de atribuição de valores à probabilidade e impactos de um risco. EVENTO DE SEGURANÇA DA INFORMAÇÃO: ocorrência identificada em um sistema, serviço ou estado da rede indicando uma possível violação de política de segurança da informação, falha nos controles ou uma situação previamente conhecida que pode ser relevante para a segurança. FRAMEWORK: estrutura composta por documentos e processos utilizada como base para a realização de um trabalho específico. GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO: processos para detectar, relatar, avaliar, responder, tratar e aprender com incidentes de segurança da informação.
120
GERENCIAMENTO DE RISCO: atividades coordenadas para dirigir e controlar uma organização ou entidade com relação ao risco. IDENTIFICAÇÃO DE RISCO: processo de descobrir, listar e caracterizar os elementos de um risco. IMPACTO: efeito adverso de uma ameaça sobre um ativo. INCIDENTE DE SEGURANÇA DA INFORMAÇÃO: eventos de segurança da informação isolados ou em sequência que tenham uma probabilidade significativa de comprometer as operações de um negócio e ameaçar a segurança da informação. INTEGRIDADE: propriedade de proteção da precisão e completude de ativos de informação. MALWARE: do inglês Malicious Software. Termo genérico usado para se referir a programas desenvolvidos para executar ações danosas e atividades maliciosas em um computador ou dispositivo móvel. Tipos específicos de códigos maliciosos são: vírus, worm, bot, spyware, backdoor, cavalo de tróia e rootkit. MAN-IN-THE-MIDDLE: forma de escuta em que o atacante realiza conexões entre as vítimas e replica mensagens entre elas, tomando controle sobre a comunicação de forma clandestina. NÃO REPÚDIO: habilidade de comprovar a entidade de origem e responsabilidade pela ocorrência de um evento ou ação. NEGAÇÃO DE SERVIÇO DISTRIBUÍDO: atividade maliciosa, coordenada e distribuída pela qual um conjunto de computadores e/ou dispositivos móveis são utilizados para gerar negação de serviço. NEGAÇÃO DE SERVIÇO: atividade maliciosa pela qual um atacante utiliza um computador ou dispositivo móvel para tirar de operação um serviço, um computador ou uma rede conectada à Internet. POLÍTICA: intenção e direção formalmente expressa pela gestão da entidade ou organização. PREVENÇÃO DE RISCO: ação de evitar um risco tomando a decisão de não se envolver ou realizar atividades ligadas à ocorrência do risco. REDUÇÃO DE RISCO: ações tomadas para diminuir a probabilidade e/ou impactos negativos associados a um risco. RESPONSABILIZAÇÃO: atribuição de responsabilidade para uma entidade com relação a seus atos e decisões.
121
RETENÇÃO DE UM RISCO: aceitação de um risco sem tratamento, i.e., a adoção de controles de proteção. RISCO DE SEGURANÇA DA INFORMAÇÃO: potencial de uma ameaça em explorar uma vulnerabilidade de um ativo ou grupo de ativos que cause prejuízo a uma entidade ou organização. RISCO: combinação da probabilidade de um evento e seus impactos sobre os ativos. SEGURANÇA DA INFORMAÇÃO: preservação da confidencialidade, integridade e disponibilidade da informação. Em adição, outras propriedades, tais como, autenticidade, responsabilização, não repúdio e confiabilidade podem também estar envolvidas. SISTEMA DE GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO (ISMS): parte de um sistema de gerenciamento geral baseado em abordagem de risco de negócio, voltado ao estabelecimento, implementação, operação, monitoração, revisão, manutenção e melhoria contínua da segurança da informação. SPAM: termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. SPOOFING: tipo de ataque de falsificação de dados caracterizado pelo mascaramento de sistemas ou pessoas para obter acesso ou autorização não legítimo. STAKEHOLDER: entidade participante, envolvida ou interessada nos resultados de um processo. TRANSFERÊNCIA DE RISCO: compartilhamento das consequências negativas de um risco com terceiros. TRATAMENTO DE RISCO: processo de selecionar e implementar medidas para modificar o risco. VULNERABILIDADE: ponto fraco de um ativo ou controle que pode ser explorado por uma ameaça.
Lihat lebih banyak...
Comentários
