Транспортные средства развиваются колоссальными темпами все время оставляя позади устаревшие технологии и активно внедряя новые, стараясь найти как можно более безопасные и эффективные решения. Многие механические системы активно заменяются на электронные, что делает транспортные средства более компьютеризированными. Также становится все более популярным подключение внутреннего компьютера автомобиля к другим сетям для его связи с внешним миром, что дает ему огромные преимущества, но одновременно подвергает опасности.
Четыре уровня безопасности
Для того, чтобы будущее подключение компьютера автомобиля к внешним сетям не несло огромной опасности, необходимо соблюдать четыре основных уровня безопасности, которые в совокупности способны обеспечить должный уровень защиты:
- Безопасные интерфейсы связи автомобиля с внешними устройствами;
- Безопасные шлюзы, которые обеспечивают изоляцию домена.
- Безопасные сети, способные обеспечить должный уровень защиты при обмене информацией между блоками управления ( between control units ECU);
- Защита блоков обработки, которые реализуют работу с данными подключенного автомобиля;
Каждый из этих блоков играет свою уникальную роль при внедрении в систему безопасности. Давайте более подробно рассмотрим каждый из уровней.
Уровень 1: Защищенный интерфейс
Общие сети в транспортных средствах на сегодняшний день являются полностью незащищенными. Если хакер получит доступ к блоку управления телематики (БУТ или англ. TCU), то он или она сможет отправлять ложные CAN сообщения и получить доступ практически ко всем аппаратам автомобиля, даже к тормозам.
Первый слой защиты повышает безопасность блока управления телематики путем подключения «безопасных элементов». В качестве «безопасных элементов» выступают защищенные от физических и электрических атак микроконтроллеры с высокопроизводительными криптографическими ускорителями и проверенные использованием в таких электронных устройствах как банковские карты, паспорта, телефоны. Они могут быть использованы для установления безопасного сквозного канала связи с внешним миром, а также выступать в качестве ультра-безопасных хранилищ для ключей и сертификатов.
Уровень 2: Безопасный шлюз
Как было видно из примера взлома автомобиля Jeep в прошлом году, если хакер получил доступ к сети, он может управлять сообщениями в любом месте. Именно на это и направлен второй слой защиты. Центральный шлюз ECU отделяет блок управления телематики и систему бортовой диагностики от сети и разбивает сеть автомобиля на функциональные домены. Брандмауэр шлюза принимает решение какие узлы могут связываться между собой.
В модели Tesla Model S 2015 года защита, обеспечиваемая шлюзом, была выделена в качестве ключа безопасности для современных автомобилей. В Jeep этого нет, поэтому хакеры и смогли так легко добраться до основных элементов автомобиля.
Помимо изоляции, наиболее важной функцией шлюза безопасности является брандмауэр, который отделяет внешние интерфейсы от критически важных внутренних сетей автомобиля. «Движок» шлюза знает контекстуальную функцию маршрутизации, которая определяет с помощью сложных проверок, какие сообщения на данный момент легитимны и будут пропущены шлюзом к месту назначения.
Уровень 3: Безопасная сеть
С помощью сети производится деление на домены, что значительно снижает уязвимость архитектуры, но поддомены по-прежнему остаются уязвимыми для атак. Уровень 3 осуществляет защиту поддоменов за счет использования защищенной сети, построенной на основных принципах:
- Сообщения схем аутентификации: каждое сообщение удлиняется с помощью криптографического кода для гарантии подлинности отправителя, а также для проверки его неделимости;
- Шифрование: избежать кражи личных данных можно путем шифрования информации передаваемой между различными блоками управления автомобиля;
- Обнаружение несанкционированных подключений: распознавание образов и правила проверка для распознавания аномалий в сетевом траффике и блокировка вредоносных пакетов, прежде чем они достигают микроконтроллеров;
- Проверка уровня (ECU): подлинность ECU в сети может проверятся на регулярной основе;
Уровень 4: Безопасная обработка
Для того, чтобы связать между собой все оборудование автомобиля, необходимо убедится в том, что используемое на процессоре программное обеспечение является подлинным и надежным. Современные микроконтроллеры имеют безопасную загрузку и целостность в режиме реального времени проверки схемы, чтобы гарантировать подлинность и неизменность кодового изображение. Механизмы для контролируемой строгой изоляции микроконтроллера и ECU используют для блокировки и отладки последовательно загружаемые функции.
Кроме того, необходим механизм обновления программного обеспечения. Современные транспортные средства имеют около 40 микроконтроллеров и миллионы строк кода, которые создают определенную сложность программного обеспечения. Для их поддержки необходимы обновления, которые сделать несколько затруднительно после съезда машины с конвейера.
Когда производитель обнаруживает некоторые недочеты или опасности в программном обеспечении ему необходима возможность легко, быстро и надежно осуществить обновление, предпочтительно без необходимости посещать станцию техобслуживания. Способность обновлять программное обеспечение по воздуху для каждого ECU автомобиля теперь оправдано по количеству и стоимости автомобиля в последние несколько лет.
