Today’s vehicles are incredibly complex devices with vast networks of integratedelectronics and connectivity. This has led to improved safety, fuel efficiencyand comfort. However, with more electronics and connectivity comesan ever-increasing attack surface for adversaries to exploit. To help vehicle designersbetter understand the security risks and therefore reduce them, threatmodelling can be utilised. vehicleLang is a threat modelling language explicitlycreated for vehicles to model and simulate attacks to produce probabilisticattack graphs. An accompanying tool to vehicleLang called securiCADprovides a GUI to design and analyse vehicleLang models. This thesis analysesvehicleLang and securiCAD by modelling Scania vehicles and severalwell-known attacks, while also using insights gained from penetration testing.vehicleLang and securiCAD are found to be good proofs-of-concept but donot support the level of detail and features required to fully model the attacksurfaces in vehicles and be of use in a vehicle designers workflow. Thus thisthesis goes on to analyse and suggest features for vehicleLang and securiCADto achieve this.

Dagens fordon är otroligt komplexa maskiner med omfattande nätverk av integreradeelektroniska komponenter och anslutningar. Detta har lett till förbättradsäkerhet, bränsleeffektivitet och komfort. Men med mer elektronik ochfler anslutningar följer en ständigt ökande attackyta för angripare att utnyttja.För att hjälpa fordonsdesigner att bättre förstå säkerhetsriskerna och därmedminska dem, kan man använda sig av hotmodellering. vehicleLang ärett hotmodelleringsspråk uttryckligen skapat för fordon för att modellera ochsimulera attacker så att probabilistiska attackgrafer kan framställas. Ett medföljandeverktyg till vehicleLang vid namn securiCAD erbjuder ett GUI föratt designa och analysera vehicleLangmodeller. Denna avhandling analyserarvehicleLang och securiCAD genom att modellera Scaniafordon och ett flertalvälkända attacker, samt genom insikter från penetrationstester. vehicleLangoch securiCAD visar sig vara bra konceptvalideringar, men stödjer inte dendetaljnivå och de funktioner som krävs för att fullt ut modellera attackytornai fordon och därmed vara användbara i en fordonsdesigners arbetsflöde. Därmedgår denna avhandling vidare med att analysera och föreslå funktioner föratt få vehicleLang och securiCAD att uppnå detta.