Bilproducenter kæmper for at forhindre sikkerhedsbrud og datahak i nye køretøjer, mens de samtidig tilføjer nye og stadig mere autonome funktioner i køretøjer, der kan åbne døren til nye sårbarheder.
Disse to mål er ofte i modstrid. Som med sikkerhed i ethvert komplekst system, er intet nogensinde helt sikkert. Men selv at få styr på dette flerlagsproblem er en udfordring. Køretøjsarkitekturer i dag, og dem, der udvikles til fremtidige køretøjer, er stadig mere komplekse og ofte uden for en enkelt virksomheds kontrol. De involverer både hardware- og softwarekomponenter, med data genereret og behandlet på flere niveauer og flere steder - i et køretøj, mellem forskellige køretøjer og eksternt i forbundet infrastruktur. Nogle af disse data er kritiske for køretøjets funktionalitet og stramt kontrollerede, men selv mindre kritiske data kan give en potentiel angrebsvektor.
"Hvis du har et fuldt autonomt og tilsluttet køretøj, og nogen kan hacke sig ind i bilen og tage kontrollen, så bliver det pludselig næsten et våben," sagde Robert Schweiger, direktør for automotive solutions hos kadence. "Det er derfor, OEM'er og hele bilindustrien er super følsomme omkring dette emne. Hvis der ikke er nogen sikkerhed, vil alle de smarte ADAS-teknologier ikke blive accepteret af forbrugerne. Sikkerhed er altafgørende og super vigtigt.”
Disse bekymringer går igen i hele chipindustrien. "Vi har mange udfordringer med køretøjer i dag, fordi der er et stigende antal avancerede førerassistentsystemer, der kræver en masse elektroniske styreenheder," bemærkede Thierry Kouthon, teknisk produktchef hos Rambus. ”Alle funktionerne i bilen, der i gamle dage var mekaniske eller hydrauliske, er nu computeriserede. Ellers kan du ikke styre bilen med computer. Men dette giver også angrebsflader for hackere. Infotainmentsystemer er et godt indgangspunkt for angreb på grund af en række trådløse forbindelser til køretøjet. Samtidig er der elektrificering af køretøjer, som multiplicerer antallet af elektroniske styreenheder i disse køretøjer. Der er færre bevægelige dele, men flere elektroniske dele, hvilket repræsenterer en øget angrebsflade. Endelig bruger selvkørende køretøjer af natur ikke førerinteraktion og har derfor brug for endnu mere avancerede elektroniske systemer."
Fig. 1: Potentielle sikkerhedsrisici i køretøjer. Kilde: Rambus
Datasikkerhed i ethvert elektronisk system er vanskelig. Men i et køretøj skal disse data flyttes, lagres, behandles og opdateres.
"Når vi ser på cybersikkerhed og alle de aspekter, der kredser om cybersikkerhed - data i transit, data, der bevæger sig fra punkt A til punkt B, data i hvile, der bliver lagret i køretøjet eller uden for køretøjet, men er i en eller anden form forbundet med køretøjet — hvad er risikoen ved at opbevare det?” spurgte Chris Clark, senior manager i Synopsy' bilgruppe. "Hvad er risikoen ved at overføre det? Hvad er risikoen ved selv at bruge disse data, og bør de bruges? Det er guldstandarden i dag for, hvordan organisationer ser på det.”
Bilindustrien har gjort nogle fremskridt med at sikre data i løbet af de sidste fem år, men der er stadig lang vej igen.
"Vi lærer, hvordan man virkelig taler om cybersikkerhed - måske ikke på en meningsfuld måde, men vi begynder at bruge de samme udtryk," sagde Clark. “Vi ser på, hvad en branche gør sammenlignet med en anden, og om vi kan bruge noget af det, de har lært, til virkelig at gøre fremskridt omkring sikkerhed for at beskytte en organisation og for at beskytte forbrugeren. Men medmindre der er regulering, er cybersikkerhedsaktiviteterne og -processerne der for at beskytte en organisation, ikke nødvendigvis individet."
Dette kompliceres af, at der i køretøjer er et voksende overlap mellem sikkerhed og privatliv. Jo mere disse data er beskyttet, og jo mere autonome funktioner i et køretøj, jo mere krænker det potentielt privatlivets fred.
"Ved min bilproducent eller den, der leverer en service, hvad jeg laver? I betragtning af, hvad der er sket med sociale medier, vil folk forsøge at tjene penge på disse data," sagde Jason Oberg, CTO for Tortuga logik. »I tilfældet med bilforsikringer sker det allerede. Men du kan forestille dig at få bestemte annoncer baseret på, hvor du kører. Måske går du på McDonald's hele tiden, og de kan registrere, at du gør det, så du begynder at få Instagram- og Facebook- og Google-annoncer, der siger: 'Her er dette nye udsalg hos McDonald's.' Eller hvis du er i lufthavnen, og de ved, at du kan lide at rejse, kan de give dig målrettede annoncer om rejser. Det er nok uundgåeligt."
Dette er potentielt meget mere alvorligt end en simpel irritation. "Hvis en 'Zero Day' sårbarhed findes i alle biler, der er fremstillet med de samme autentificeringsnøgler, eller der er faktisk bagt noget ind i bilens dele, og nogen finder ud af det, så kan de spionere på deres nabos bil eller deres nabos køreadfærd, eller en hvilken som helst bil af den model,” sagde Oberg. "Hvis det er en social medieplatform, er der ikke en fysisk enhed. Du logger ind på et system, og der er infrastruktur til at beskytte det. Men hvis det er en fysisk enhed, er den angrebsvektor nu åben. At have fysisk adgang, finde hardwaresårbarheder, den slags ting er nu levedygtige angrebsvektorer til at få den information."
For hackere er der god grund til at udnytte den datastrøm. Det kan åbne døren for IP-tyveri for den teknologi, der bruges i disse køretøjer. Samtidig er de personlige data, der stjæles, stadig mere værdifulde, og mere af dem vil blive tilføjet i køretøjer over tid.
"Det er meget tænkeligt, at din bil ville have en Apple Pay-type infrastruktur eller noget, der ville gemme information lokalt i bilen," sagde Oberg. "Eller måske er det nogle biometriske data, og det er gemt lokalt på hardwaren i det køretøj. Nu er der en levedygtig angrebsvektor, der potentielt kan udnytte den type data. Og efterhånden som vi får flere distribuerede IoT-enheder og flere ting, der bliver indsamlet om folks personlige adfærd, så bliver selve enheden nu en levedygtig angrebsvektor. Vi kommer til at se mere af det ske med direkte forbrugerpåvirkning fra disse typer problemer. Der er ikke mange biler, der indsamler personlige oplysninger endnu, men det vil der være. Det er ligesom alt inden for sikkerhed. Efterhånden som folk begynder at tilføje mere autonomi, samle lidt mere information om folks køreadfærd eller hvad de nu laver i deres bil, vil det have nogle bedrifter. Så skal de ordnes. Det er en iterativ proces. Det interessante ved en bil er, at afhængigt af angrebets sværhedsgrad, kan du muligvis ikke udstede en softwarepatch. Det kan være mere indgroet i bilens opførsel, så du kan muligvis ikke rette op på det. Med tiden får vi forhåbentlig mere sikkerhed omkring, hvordan bilen indsamler data, og hvordan den beskytter dem, men der vil helt sikkert være en læreproces."
Flere angrebsvektorer
Vehicle-to-everything (V2X) - hvor køretøjet kommunikerer med trafiklysene, andre køretøjer, endda fodgængere og netværket generelt - tilføjer endnu en potentiel angrebsvektor Selvom dette mere er et fremadskuende problem, skal det overvejes nu. Sammensat af dette, med V2X-aktiverede biler bliver nødt til at kommunikere med ikke-V2X-aktiverede biler, eller ældre versioner af denne teknologi, på grund af køretøjernes lange levetid.
"Det betyder, at du vil sikre dig, at de anvendte kommunikationsprotokoller fungerer sammen," sagde Kouthon. "Alt er trådløst, og der er to hovedstandarder - 5G/mobilnetværksbaseret og DSRC, som er baseret på direkte radiofrekvenser mellem biler. Alle disse er næsten udskiftelige, og måske vil begge fungere. Det virkelige problem er, at da du ikke har nogen fysisk forbindelse, og du kommunikerer trådløst med dit miljø, skal du sørge for, at alle disse beskeder er autentiske. Du skal vide, at hvis trafiklyset fortæller dig, at det bliver grønt, er det faktisk lyskrydset og ikke en hacker, der forsøger at forårsage en ulykke, fordi du ikke er opmærksom. Det bliver et autentificeringsproblem. Autentificering betyder, at alle beskeder er underskrevet med en signatur, så bilen kan bekræfte, at denne besked stammer fra en ægte kilde, og at det ikke er et falsk lyskryds eller en jernbaneoverskæring. Det skal være et ægte, der rent faktisk drives af byen."
Tingene bliver endnu mere komplicerede, når der modtages beskeder fra andre biler, for nu skal alle producenterne blive enige om et sæt protokoller, så hver bil kan genkende de andre. Der arbejdes på at få det til at ske, så når en BMW eller Chrysler kommunikerer med en Volkswagen, kan Volkswagen sikre sig, at det er en rigtig BMW eller Chrysler.
"Det bliver et problem med distribution af certifikater," sagde Kouthon. ”Det er et gammelt problem, som er blevet meget godt undersøgt i forbindelse med hjemmesider på internettet, og normalt er det ret komplekst. Certifikatkæder kan være meget lange. I tilfælde af bilen er udfordringen at sikre, at verifikationssessionerne er meget hurtige. For eksempel vil du have, at bilen skal kunne verificere op til op til 2,000 beskeder i sekundet. Det har konsekvenser for infrastrukturen, fordi det ikke kan tage for lang tid at verificere hver besked. Det påvirker også certifikatformatet, deres karakter, og det betyder, at du ikke kan designe disse nøjagtigt som websteder blev designet, hvor de kunne autentificere hinanden. Med en hjemmeside antages det, at brugeren kan vente et par sekunder, hvorimod beslutninger i bilen skal træffes på mikrosekunder.”
Alene i løbet af det seneste år har IP-udbydere på tværs af bilindustrien frigivet sikre versioner af deres processorer. Schweiger sagde, at lockstep-processorversioner af visse processorer er blevet rullet ud for at adressere sikkerhedsaspekter, såsom ASIL D.
"Vi er nødt til at levere IP for at adressere sikkerhed, som normalt er inden for et root of trust-system, så køretøjet først kan starte på en meget sikker og isoleret måde og kan autentificere alle andre systemer for at sikre, at softwaren ikke er beskadiget eller manipuleret, " han sagde. "Når du åbner bilen for omverdenen med køretøj-til-køretøj-kommunikation, køretøj-til-infrastruktur-kommunikation, trådløse opdateringer sammen med WiFi, Ethernet, 5G og så videre, forstørrer det overfladen angreb af en bil. Derfor skal der sættes ind for at forhindre folk i at hacke sig ind i bilen.”
Netværket på chip (NoC) inden for automotive SoC'er kan også spille en rolle her. "På NoC inden for SoC, tænk på det som at være netværket i din virksomhed," sagde Kurt Shuler, vicepræsident for marketing hos Arteris IP. "Inden for din virksomhed ser du på netværkstrafikken, og der er en firewall, der normalt er i kanten af netværket. Du placerer det et sted strategisk i netværket for at se trafikken. I en SoC gør du det samme. Hvor er stamlinjerne i SoC? Hvor er de steder, hvor du gerne vil se dataene og inspicere dem? Du laver ikke nødvendigvis dyb pakkeinspektion og ser på alt indholdet af pakkerne i netværket på chippen. Men fordi firewalls er programmerbare, kan du sige: 'I denne type brug, med denne type kommunikation, fra denne IP-initiator, måske ved CPU-klyngen, er dataene gyldige til at gå til denne hukommelse eller denne perifere enhed, og det er en gyldig kommunikation.' Du kan også bruge det til at teste systemet ved at sige: 'Tillad kun det, hvis der er ugyldig kommunikation i det tilfælde.' Så kan du sende information op til systemet for at indikere, at der er noget galt i gang. Dette er nyttigt, da hackere med vilje vil skabe den trafik for at prøve at se, hvilken slags sikkerhed du har. Derfor kan du også bede systemet om at lade dataene igennem, og ikke handle på det, for at mærke de data og de kommandoer, som du synes er dårlige. Og hvis nogen forkludrer systemet - og lægger en hel masse affald i - kan du fange dem."
Firewalls med NoC kan også bruges til at håndhæve funktionel sikkerhed. "Hvis du går fra en mindre sikker del af chippen - lad os sige, at det er en ASIL B eller A, eller måske er det QM - og data og kommandoer fra den side af chippen går over til en ASIL D-side, vil du at være i stand til at teste det for at sikre, at data enten bliver pakket ind i ECC, eller hvilken som helst metode der kræves for den sikre side af chippen. Firewalls hjælper med det. Denne firewall-funktionalitet bruges som en fejlsikker for at sikre, at de data, der kommer fra en mindre sikker del af chippen, er ordentligt beskyttet, før den går ind i den mere sikre side af chippen,” forklarede Shuler.
Simulering og test
Planlægning i forvejen inden for design og fremstilling kan hjælpe med at identificere hardwaresårbarheder, der også gør det muligt at kompromittere data.
"Der er software-hacking, men der er også hardware-hacking - sidekanalangreb," sagde Marc Swinnen, produktmarketingdirektør for halvlederforretningsenheden hos ANSYS. "Du kan udtrække den krypterede kode fra en chip ved blot at analysere den, sondere den elektromagnetisk, sondere dens strømstøjsignatur. Med et softwarehack kan du altid rette det ved at opdatere software, men hvis din hardware er sårbar over for denne form for hacking, er der ikke noget, du kan gøre ved det. Du skal bygge en ny chip, fordi det er for sent at gøre noget. Du skal virkelig simulere det, før det når til det punkt, og simulere scenariet, at hvis nogen skulle sætte en EM-sonde et par millimeter over min chip, hvilket signal ville den så modtage? Hvilke af mine ledninger udsender mest, og hvor godt fungerer min afskærmning? Og hvad er min strømstøjsignatur? Alle disse ting kan fastsættes. Det er muligt at få målinger for, hvor mange simuleringscyklusser der er nødvendige for at udtrække krypteringen."
Noget af dette kan også identificeres i testprocessen, som involverer flere indføringspunkter gennem hele design-gennem-produktionsflowet. Det kan inkorporere alt fra de sædvanlige pass-fail-testdata i systemet til hukommelses- og logikreparationsdata samt data indsamlet fra in-circuit-overvågning.
"Alle disse data kan indsamles fra enheden til en cloud-databaseløsning, hvor de bliver ekstremt kraftfulde," sagde Lee Harrison, automotive IC-testløsningschef hos Siemens EDA. "Efter at have indsamlet data fra et stort tværsnit af systemer i marken, analyseres dataene og udsættes for AI-baserede algoritmer for derefter at give feedback til det fysiske system for at justere og finjustere dets ydeevne. Her kan anvendelsen af den digitale tvilling bruges som en del af analyse- og forfiningsprocessen.”
Fig. 2: Simulering og test for datasårbarheder. Kilde: Siemens EDA
Off-chip data kan indsamles og derefter sendes sikkert til skyen til analyse ved hjælp af unikke identiteter og autentificering. Dette er især vigtigt, når der er tale om over-the-air opdateringer, og de er underlagt strenge regler i mange lande, sagde Harrison.
Konklusion
Selvom disse muligheder og forbedringer giver en vis opmuntring, vil datasikkerhed fortsat være problematisk i de kommende år i alle elektroniske systemer. Men i applikationer som bilindustrien er brud ikke kun til besvær. De kan være farlige.
"Når vi hører om de aktiviteter, der sker, føler vi os automatisk mere komfortable og siger: 'Åh, okay, der sker ting'," sagde Synopsys' Clark. "Men når vi taler om at flytte data sikkert fra punkt A til punkt B, eller ikke acceptere den enhed, der ikke burde være på det netværk, så omfatter det både teknologi og proces. Hvordan tager en organisation cybersikkerhedspraksis seriøst, og hvordan definerer og måler de i forhold til deres overordnede cybersikkerhedsprogram, så de kan se, at de bliver bedre? Det har måske ikke noget at gøre med, hvordan jeg flytter data, men det har alt at gøre med, om en organisation tager cybersikkerhed seriøst. Og den proces gør det muligt for ingeniørerne, systemdesignerne, infrastrukturdesignerne at sige: 'Vi udvikler ikke kun denne virkelig fantastiske teknologi, men vi er nødt til at tage et reelt kig på cybersikkerhed. Hvad betyder cybersikkerhed i denne sammenhæng? Det er her, vi begynder at se en reel forbedring. Organisationer skal blive modne nok fra et cybersikkerhedstestperspektiv til at anerkende det og udvikle deres cybersikkerhedstestprocesser for at nå det punkt på en meningsfuld måde."
Tortugas Oberg var enig. ”Det handler om at have en proces. Sikkerhed er altid en rejse. Du kan aldrig være sikker, så det bedste, du kan gøre, er at være proaktiv. Tænk på, hvad du prøver at beskytte, hvad modstanderne er i stand til. Man kan ikke forudsige alt. Det må du acceptere. Jeg kan godt lide tilgangen med altid at være så åben som du kan. Forsøg ikke at holde dig tilbage. Selvfølgelig skal du ikke afsløre noget af din intellektuelle ejendom. Men du skal også være transparent omkring din proces over for dine kunder. Hvis der sker noget, skal de vide, hvad din proces er. Og så skal du være meget klar over, hvad du selv har gjort, og hvad du ikke har gjort. Det hele handler om, 'Dette er min trusselmodel. Det er de antagelser, jeg lavede. Det her har vi ikke overvejet."
Kilde: https://semiengineering.com/data-security-challenges-in-automotive/
- 000
- 5G
- Om
- adgang
- tværs
- Lov
- aktiviteter
- adresse
- annoncer
- fremskreden
- AI
- lufthavn
- algoritmer
- Alle
- allerede
- analyse
- En anden
- Apple
- Betal Apple
- Anvendelse
- applikationer
- tilgang
- omkring
- Angreb
- Autentisk
- Godkendelse
- automotive
- bilindustrien
- autonom
- autonome køretøjer
- være
- BEDSTE
- biometri
- Bit
- BMW
- brud
- bygge
- Bunch
- virksomhed
- kapaciteter
- bil
- bilforsikring
- biler
- brydning
- Årsag
- certifikat
- udfordre
- udfordringer
- chip
- Chrysler
- By
- Cloud
- kode
- Indsamling
- indsamler
- Kommunikation
- Kommunikation
- selskab
- komplekse
- computing
- tilslutning
- Tilslutninger
- forbruger
- indhold
- fortsæt
- kunne
- lande
- Par
- kritisk
- CTO
- Kunder
- Cybersecurity
- data
- datasikkerhed
- Database
- Design
- udvikle
- udviklet
- udvikling
- enhed
- Enheder
- forskellige
- digital
- digital tvilling
- Direktør
- distribueret
- fordeling
- driver
- kørsel
- kryptering
- Ingeniører
- Miljø
- især
- at alt
- Exploit
- falsk
- Funktionalitet
- tilbagemeldinger
- Endelig
- ende
- Brand
- Fornavn
- Fix
- flow
- formular
- format
- fremadrettet
- fundet
- funktioner
- fremtiden
- Generelt
- få
- Mål
- gå
- Guld
- godt
- Google-annoncer
- stor
- Grøn
- gruppe
- Dyrkning
- hack
- hacker
- hackere
- hacking
- hacks
- Hardware
- have
- hjælpe
- link.
- hold
- Hvordan
- How To
- HTTPS
- identificere
- KIMOs Succeshistorier
- vigtigt
- forbedring
- øget
- individuel
- industrien
- info
- oplysninger
- Infrastruktur
- forsikring
- intellektuel
- intellektuel ejendomsret
- interaktion
- Internet
- involverede
- tingenes internet
- iot-enheder
- IP
- spørgsmål
- IT
- rejse
- nøgler
- stor
- lærte
- læring
- niveauer
- lys
- lokalt
- Lang
- leder
- fremstillet
- Fabrikant
- Produktion
- Marketing
- Marketing Director
- måle
- Medier
- Metrics
- model
- overvågning
- mere
- mest
- bevæge sig
- Natur
- behov
- netværk
- netværkstrafik
- netværksbaseret
- Støj
- Okay
- åbent
- ordrer
- organisation
- organisationer
- Andet
- Andre
- Ellers
- patch
- Betal
- Mennesker
- ydeevne
- personale
- Personlig data
- perspektiv
- fysisk
- perron
- Leg
- magt
- vigtigste
- præsident
- smuk
- Beskyttelse af personlige oplysninger
- sonde
- Problem
- behandle
- Processer
- Produkt
- Program
- ejendom
- beskytte
- give
- giver
- Radio
- jernbane
- Regulering
- regler
- frigivet
- repræsenterer
- REST
- Risiko
- ROBERT
- Kør
- sikker
- Sikkerhed
- Said
- salg
- sikkerhed
- sikkerhedsbrud
- halvleder
- tjeneste
- sæt
- Siemens
- Simpelt
- simulation
- So
- Social
- sociale medier
- Software
- Løsninger
- Nogen
- noget
- standarder
- starte
- stjålet
- butik
- overflade
- systemet
- Systemer
- Tal
- Tryk på
- Teknisk
- Teknologier
- Teknologier
- prøve
- Test
- tyveri
- Gennem
- hele
- tid
- i dag
- sammen
- Trafik
- transit
- rejse
- Stol
- enestående
- opdateringer
- sædvanligvis
- køretøj
- Køretøjer
- Verifikation
- Vice President
- volkswagen
- Sårbarheder
- sårbarhed
- Sårbar
- vente
- Ur
- Hjemmeside
- websites
- Hvad
- Hvad er
- wifi
- Wikipedia
- trådløs
- inden for
- Arbejde
- arbejder
- world
- ville
- år
- år
