Помните, как в 2015 году пара этических хакеров удалённо захватила контроль над Jeep Cherokee, когда автомобиль двигался по шоссе недалеко от центра Сент-Луиса? Предыстория такова, что эти «хакеры», исследователи безопасности Чарли Миллер и Крис Валасек, обратились к производителям автомобилей за несколько лет до своего громкого подвига, предупредив о рисках, которые уязвимости безопасности представляют для автомобилей. Однако производители в то время не считали автомобили объектами кибератак.
Учитывая количество аппаратного и программного обеспечения, обеспечивающего большую автоматизацию, транспортные средства на самом деле имеют множество потенциальных уязвимостей — так же, как и многие другие интеллектуальные подключённые устройства Интернета вещей (IoT). Давайте рассмотрим ключевые системы современного автомобиля, которые следует защитить, а также почему важно помнить о безопасности, начиная с ранних этапов проектирования, и как можно защитить весь автомобиль от переднего бампера до заднего.
ЭБУ: неуязвимы для хакеров?
Несомненно, следует начать обсуждение с электронных блоков управления (ЭБУ) — встроенных устройств автомобильной электроники, которые управляют электрическими системами или подсистемами транспортных средств. Современные автомобили нередко имеют более сотни ЭБУ, выполняющих такие разнообразные функции, как впрыск топлива, контроль температуры, торможение и обнаружение объектов. Традиционно эти процессорные устройства проектировались без требования проверки протоколов обмена данными с другими устройствами. Вместо этого они просто принимали команды и делились информацией с любым объектом на одной и той же шине. Сети транспортных средств не считались сетями связи в смысле, скажем, Интернета. Однако это заблуждение создало самую большую уязвимость.
Возвращаясь к теме взлома джипа, надо напомнить, что Миллер и Валасек решили продемонстрировать, насколько легко можно атаковать ЭБУ. Сначала они воспользовались уязвимостью в ПО процессора радио, имеющего связь со внешними сетями через сотовую связь, затем перешли к информационно-развлекательной системе и, наконец, нацелились на ЭБУ, влияющие на торможение и рулевое управление. Этого было достаточно, чтобы автомобильная промышленность начала уделять больше внимания кибербезопасности.
Сегодня ЭБУ уже обычно проектируются с защищёнными шлюзами, так что только те устройства, которые должны взаимодействовать друг с другом, делают это. Это гораздо лучший подход, чем наличие широко открытой сети в автомобиле.
Как можно использовать информационно-развлекательные системы?
Помимо ЭБУ, автомобили могут иметь и другие уязвимости, которые могут позволить злоумышленнику переключаться с одного устройства внутри автомобиля на другое.
Рассмотрим информационно-развлекательную систему, которая подключается к сотовым сетям для таких действий, как:
1. Обновления прошивок автомобилей от автопроизводителей;
2. Геолокационная помощь на дороге;
3. Услуги удалённой диагностики технической исправности автомобилей;
В будущем всё чаще будут использоваться функции «автомобиль-автомобиль» и «автомобиль-все остальные окружающие объекты».
Информационно-развлекательные системы (ИРС), как правило, подключаются к различным критически важным системам автомобиля, чтобы предоставлять водителям эксплуатационные данные: информация о работе двигателя, органы управления, начиная от климат-контроля и навигационных систем и заканчивая теми, которые связаны с функциями вождения. ИРС также все чаще имеют определённый уровень интеграции с приборной панелью: современные приборные панели становятся компонентом дисплея ИРС. Учитывая все соединения, существующие в этой подсистеме автомобиля, и установленное на них мощное полнофункциональное программное обеспечение, выполняющее эти функции, вполне вероятно, что кто-то, рано или поздно, воспользуется уязвимостью для их взлома.
Чтобы предотвратить такие атаки, важно применять физический или логический контроль доступа к тому, какой тип информации передаётся между более и менее привилегированными подсистемами сети. Для обеспечения подлинности связи также крайне важно, чтобы автомобильные сети использовали опыт обеспечения безопасности, накопленный за последние десятилетия в информационном мире, путём сочетания устойчивой к взлому криптографии с идентификацией и аутентификацией. Все эти меры следует планировать на ранних этапах цикла проектирования, чтобы обеспечить надёжную основу безопасности системы. Сделать это на ранней стадии менее трудоёмко, и менее затратно. Не говоря уже о том, что более эффективно проверять на предмет остаточного риска, чем поэтапное внедрение патчей мер безопасности, для решения проблем, которые возникают позже.
Растущая популярность Ethernet для автомобилей является позитивным явлением. Ethernet обеспечивает некоторую экономию средств и некоторые мощные сетевые парадигмы, которые поддерживают скорости, необходимые для таких приложений, как расширенные системы помощи водителю и автономное вождение, а также для растущего числа приложений информационно-развлекательных систем. Часть стандарта Ethernet предусматривает, что устройства идентифицируют себя и подтверждают свою аутентификацию, прежде чем им будет разрешено присоединиться к сети и выполнять какие-либо критические функции.
Лучшие практики NHTSA (Американское Национальное управление безопасности дорожного движения) в области автомобильной кибербезопасности предлагают многоуровневый подход к автомобильной киберзащите, в котором автомобильная система лучше представлена как сеть связанных подсистем, каждая из которых может быть уязвима для кибератаки. В своём обновлённом отчёте о передовом опыте в этой сфере, организация предоставляет различные рекомендации относительно фундаментальной защиты транспортных средств. Многие из них кажутся общепринятыми для разработки критически важных систем, но как ни удивительно, эти меры ещё недавно отсутствовали (и даже продолжают отсутствовать) во многих выпускаемых автомобилях.
Среди предложений по повышению кибербезопасности:
1. Ограничение доступа для отладки на производственных устройствах всем, кроме разработчиков. Доступ к ЭБУ потенциально может быть получен через открытый порт отладки или через последовательную консоль, и часто этот доступ осуществляется на привилегированном уровне работы. Если к производственным устройствам необходим доступ на уровне разработчика, то интерфейсы отладки и тестирования должны быть соответствующим образом защищены и требовать авторизации привилегированных пользователей.
2. Защита криптографических ключей. Любые криптографические ключи или пароли, которые могут обеспечить несанкционированный повышенный уровень доступа к вычислительным платформам транспортных средств, должны быть защищены от раскрытия. Любой ключ от вычислительной платформы одного автомобиля не должен обеспечивать доступ к нескольким автомобилям. Это означает, что необходима тщательная стратегия управления криптографией, основанная на уникальном секретном кодировании в каждом автомобиле и даже подсистеме. А основная информация должна храниться в современных дата центрах с надёжным уровнем шифрования и защиты данных.
3. Контроль доступа к диагностике при техническом обслуживании автомобиля. Насколько это возможно, ограничить диагностические функции конкретным режимом работы автомобиля, чтобы достичь намеченной цели соответствующей функции. Разработка таких функции должна быть организована так, чтобы исключить или минимизировать потенциально опасные последствия в случае неправильного использования или злоупотребления ими.
4. Контроль доступа к прошивке. Производители должны применять передовые методы программирования безопасности и использовать инструменты, которые поддерживают результаты безопасности в процессах разработки.
5. Ограничение возможности изменения прошивки, включая важные данные. Такие меры усложняют злоумышленникам установку вредоносного ПО на транспортные средства.
6. Контроль внутренней связи автомобиля. По возможности избегать отправки сигналов безопасности в виде сообщений по общим шинам данных. Если такая информация о безопасности должна передаваться по коммуникационной шине, она должна находиться на коммуникационных шинах с внешними сетевыми интерфейсами, которые отделены от любых ЭБУ автомобиля. Для сообщений, важных для безопасности, следует применять схему аутентификации сообщений, чтобы ограничить возможность подделки.
Сами по себе эти рекомендации о передовом опыте кибербезопасности обеспечивают хорошую отправную точку для улучшения автомобильных приложений. Однако это не книга рецептов и не исчерпывающая информация. Производители транспортных средств обладают разным уровнем собственного опыта в этой области. Некоторые по-прежнему предпочитают добавлять уровень защиты данных в свои автомобильные конструкции ближе к концу процесса проектирования. Однако ожидание, пока проект будет почти завершён, может оставить уязвимые места, в спешке их могут даже элементарно забыть устранить, оставив компоненты открытыми для атак. Заложенная в основу проектирования пошаговая дорожная карта, в которой на первых этапах разработки электронных устройств, будет прописана работа по защите данных, позволит избежать создания уязвимых систем. Кроме того, важно также обеспечивать, чтобы безопасность сохранялась всё время, пока транспортные средства находятся в эксплуатации (сейчас этот срок в среднем составляет 11 лет).
Учитывая, что скоро число устройств Интернета вещей, по прогнозам, достигнет 46 миллиардов, и тот факт, что большинство из них не являются по своей сути безопасными, вызывает тревогу. Подключённые к интернету автомобили являются потенциально опасной частью этого комплекса, а поэтому их необходимо сделать более устойчивыми к взлому и хакерским атакам. Хотя функциональная безопасность стала привычной областью внимания для отрасли, пришло время, чтобы кибербезопасность также стала частью раннего планирования автомобильных микросхем и систем. В конце концов, всем надо осознать, что не бывает безопасного автомобиля, но к другим опасностям может добавиться ещё опасность хакерского захвата.
