Mot de passe protéger Shimano Di2?

3

Je travaille sur un vélo avec Shimano Di2 (changement de vitesse électronique avec servomoteurs dans les dérailleurs), et j’utilise le logiciel e-tube sur un ordinateur portable pour le configurer. Ce que je voudrais faire est de pouvoir protéger par un mot de passe la configuration des dérailleurs afin qu’elle ne puisse pas être modifiée à moins que le propriétaire ne le souhaite. Donc, il ne peut pas être changé par quelqu'un d'autre sans la permission du propriétaire.

derailleur shimano electronics shimano-di2 bykfxa
la source
Quel est le cas d'utilisation ici? Qu'est-ce qui n'est pas physiquement sécurisé? L'ordinateur portable, le vélo ou les deux?
paparazzo
Ce n’est pas le physique que je voudrais protéger, c’est le micrologiciel ou le programme des composants.
bykfxa
1
Quand les médailles d’or et le n ° 1 mondial sont en jeu, je dirais que tout est possible ou que je ne demanderais pas!
bykfxa
3
Vraiment, quel est votre but réel ici? Je sais que vous dites que vous voulez seulement protéger le firmware, mais ... pourquoi? Si quelqu'un a un accès physique au vélo et une intention malveillante, vous avez sûrement de plus gros problèmes, vous devez donc vous protéger de tout accès physique, de sorte que cela devient un problème, n'est-ce pas?
Cascabel
1
Bien que cela soulève la question, la question de pourquoi n'a pas été abordée. En supposant que cela puisse être fait (très grosse hypothèse), cela pourrait être utilisé pour "immobiliser" un acheteur auprès d'un seul mécanicien ou atelier de vélo. En quelque sorte, certains codes électroniques automobiles ne peuvent être lus / modifiés que par le concessionnaire en raison d’interfaces propriétaires. C'est une proposition dangereuse.

Réponses:

1

Le montage de freiheit a changé la question. Il a enlevé le mot firmware.

Je suis un développeur de logiciels et je fais de l’assistance système depuis de nombreuses années.
Y compris les systèmes hautement sécurisés.
Dans mon monde, les micrologiciels et les logiciels ne sont pas identiques.
Le logiciel est compilé - le micrologiciel est un ensemble d'instructions brutes destinées à un matériel spécifique.

Oui, il est possible de protéger le micrologiciel par un mot de passe, mais ce n'est pas une pratique courante.
Ce n'est pas quelque chose que vous ajouteriez simplement avec une mise à jour du micrologiciel - il y a généralement du matériel impliqué.
Le micrologiciel a rarement un mot de passe.
Même si le firmware a un mot de passe, vous pouvez généralement le supprimer en retirant simplement la batterie.
Mettre un mot de passe sur un firmware est au mieux problématique.
Le mot de passe est un point d'échec.
Cet appareil est conçu pour la fiabilité et le poids.

Je doute sérieusement qu'ils ont la sécurité / autorité sur le firmware.
Sauf si le produit est fourni avec un mot de passe par défaut, vous ne pouvez pas réinitialiser le micrologiciel.

Vous devez avoir un accès physique pour connecter le périphérique.
La sécurité physique protège le firmware.
Ce n'est pas quelque chose qui peut être changé sans accès physique.

Si des médailles d'or sont en jeu, je suggère la sécurité physique.

Vraiment, il y a tellement de choses sur un vélo que vous pourriez saboter.
S'ils arrivaient à la moto et que vous aviez un mot de passe sur le firmware, ils trouveraient autre chose à saboter.
Si quelqu'un voulait saboter l'appareil, le plus simple serait de brouiller le mot de passe.
Si vous craignez d’être altéré alors que le vélo était hors de votre contrôle, vous devriez inspecter tous les composants, y compris le tube électronique.

Un routeur est un excellent exemple de micrologiciel et de sécurité physique.
(La réponse de ewwite selon laquelle les microprogrammes sont relativement stupides est au mieux naïve)
Si vous vous connectez directement au routeur, vous pouvez définir n'importe quoi.
L'hypothèse est la suivante: si vous pouvez toucher la case, on vous fait confiance.

Gamers est l'exemple le plus proche de votre cas d'utilisation.
Vous pouvez protéger le BIOS par un mot de passe avec un mot de passe.
Dans un tournoi Money, les PC ont généralement des mots de passe BIOS.
Pendant que vous êtes en pause, vous ne voulez pas que quelqu'un démarre sur une disquette et écrase votre système.

paparazzo
la source
4
Ceci est plus une diatribe qu'une réponse.
whatsisname
@whatsisname Je doute sérieusement qu'ils ont la sécurité sur le firmware n'est pas une réponse?
paparazzo
Merci Blam, exactement ce que je voulais savoir, et merci à tous les autres contributeurs.
bykfxa
le micrologiciel a souvent une forme de sécurité, mais c’est en général une foutaise - il n’ya pas tant de sécurité véritable que de protection anti-sabotage (par exemple, avant de pouvoir activer l’écriture, vous devez définir des valeurs magiques sur une combinaison particulière de lignes d’entrée.
Chris H
@CareyGregory Ils votent pour trop précis. La question a été postée par le tuteur de Shimano et a déclaré que ma réponse était exactement ce qu'il voulait savoir. OP a même déclaré que la réponse avec le plus de points ne répondait pas à la question. Comment concilier cela?
paparazzo
12

C'est une question étrange. Le sentiment que la seule sécurité ici est la sécurité physique est correcte. Pensez à ce qui suit:

  • Les composants Shimano Di2 ne sont pas couplés / adaptés à un ordinateur spécifique ou à une instance du logiciel E-Tube. Donc, il n'y a pas de relation 1: 1.
  • Par conséquent, tout ordinateur équipé des câbles de programmation SM-PCE1 ou SM-BCR2 peut être utilisé pour modifier la configuration et le micrologiciel du composant Di2.
  • Cela doit être fait via le boîte de jonction / port de charge .
  • Les micrologiciels ne peuvent être téléchargés à partir de Shimano et appliqués via cette interface. Et bien que l’application dispose d’une journalisation complète, elle est unique à l’ordinateur. Il n'y a pas de piste d'audit sur les appareils eux-mêmes.
  • Puisque c'est le cas, où ou quand Y aurait-il une possibilité de protéger par mot de passe quelque chose? Vous pouvez protéger votre ordinateur, mais tout ordinateur peut être utilisé. Les périphériques sont relativement stupides et le micrologiciel est probablement écrasé lors des mises à jour.
  • E-tube est essentiellement utilisé pour appliquer un micrologiciel et gérer des paramètres personnalisés. Vous pouvez enregistrer des préréglages et charger à partir d'un fichier de configuration, mais le micrologiciel n'est pas utilisé très souvent.

Compte tenu de tout cela, utilisez votre bon sens. Vous pouvez simplement garder le vélo en sécurité ou limiter l'accès à la boîte de jonction du vélo (pensez à une technologie de pointe, comme du ruban adhésif en toile ou de la colle chaude). Ou vous pouvez inspecter les paramètres et vérifier les révisions du micrologiciel.

Au final, le Boîte de jonction Di2 est le cerveau du système. Une personne mal intentionnée (et physiquement accès) pourrait simplement remplacer l’ensemble du module en 30 secondes environ. Vous recherchez une solution technologique à un problème de personnes.

pix!

boîte de jonction physique et port propriétaire enter image description here

reconnaissance d'interface de programmation enter image description here

enregistrement d'application et de communication enter image description here

réglages de l'appareil enter image description here

dialogue de révision du firmware enter image description here

ewwhite
la source
Merci pour la réponse longue, je suis un tuteur Shimano Bicycle, donc je sais comment configurer et construire le vélo.
bykfxa
Ma question est la suivante: ce firmware ou cette configuration peut-il être numéroté / écrit ou non? Vous êtes tellement OTT.
bykfxa
2
@bykfxa NON!!!
ewwhite
2
J'ai expliqué pourquoi les mots de passe du microprogramme ne sont pas pertinents pour votre cas d'utilisation, ainsi que la manière dont ils peuvent être contournés. Dans le monde de l'administration des systèmes, l'aspect physique est votre sécurité. Il est inutile de rechercher d’autres solutions / réponses car la solution la plus simple est non technique !
ewwhite
1
Grande réponse et fond. Je pense à un joueur malade qui permute la boîte de jonction est un bon point pour lequel les mots de passe seraient un théâtre de sécurité plutôt qu'une sécurité réelle.
Rider_X
6

Peut-être au lieu de le protéger par un mot de passe, vous voudrez peut-être penser à des moyens de détecter que le périphérique a été falsifié. Je ne suis pas certain de la fréquence à laquelle vous modifiez ou modifiez les paramètres, mais vous voudrez peut-être couvrir le port avec bande de sécurité ou quelque chose de similaire afin que vous sachiez quand quelqu'un a joué avec l'équipement. Ce n'est peut-être pas la meilleure solution, mais peut-être une personne plus familière avec le matériel pourrait-elle proposer une solution pour détecter une altération du matériel qui fonctionnerait mieux. Ou peut-être devriez-vous simplement sauvegarder les paramètres et le micrologiciel de votre choix et les recharger avant chaque course ou course.

Kibbee
la source
+1 pour ceci: "Ou peut-être devriez-vous simplement sauvegarder les paramètres et le firmware souhaités et les recharger avant chaque tour ou course."
Carey Gregory
1
Pour recouvrir le port et le module, un simple morceau d’acier pourrait être fixé à l’aide d’un cadenas, ce qui éviterait également d’échanger le module (jusqu’à ce que la serrure soit coupée). De toute évidence, vous auriez besoin de protéger le cadre de l’acier, et cela ne saurait remplacer la sécurité physique sur le vélo. Si quelqu'un voulait vous saboter, vous pouviez le faire beaucoup plus rapidement (laissez l'air s'échapper des pneus, chaîne, jusqu’à graisser sur les surfaces de freinage).
Chris H
3

Si vous avez un vélo avec Shimano Di2, la sécurité physique devrait être une priorité - je ne sais pas pourquoi une personne peu recommandable devrait même être physiquement suffisamment proche du vélo pour pouvoir effectuer ces changements. Et ils devraient porter le bon câble et tout.

Cela semble être une situation hautement invraisemblable, et qui ne devrait certainement pas se produire si le vélo est physiquement sécurisé afin que personne ne puisse connecter le logiciel e-tube pour commencer.

Cela étant dit, le logiciel est probablement propriétaire, il est donc difficile de savoir si cette fonctionnalité peut être ajoutée. Vous devrez probablement le faire à l’ingénierie inverse et voir si vous pouvez le modifier pour le faire.

Batman
la source