Những thách thức về bảo mật dữ liệu trong ô tô

Các nhà sản xuất ô tô đang nỗ lực ngăn chặn các vi phạm an ninh và hack dữ liệu trên các phương tiện mới, đồng thời bổ sung các tính năng mới và ngày càng tự trị vào các phương tiện có thể mở ra cánh cửa cho các lỗ hổng mới.

Hai mục tiêu này thường xảy ra xung đột. Như với bảo mật trong bất kỳ hệ thống phức tạp nào, không có gì là hoàn toàn an toàn. Nhưng ngay cả việc xử lý vấn đề nhiều lớp này cũng là một thách thức. Các kiến ​​trúc phương tiện ngày nay và những kiến ​​trúc đang được phát triển cho các phương tiện trong tương lai, ngày càng phức tạp và thường nằm ngoài tầm kiểm soát của bất kỳ công ty nào. Chúng liên quan đến cả các thành phần phần cứng và phần mềm, với dữ liệu được tạo và xử lý ở nhiều cấp độ và ở nhiều nơi - trong một phương tiện, giữa các phương tiện khác nhau và bên ngoài trong cơ sở hạ tầng được kết nối. Một số dữ liệu quan trọng đối với chức năng của phương tiện và được kiểm soát chặt chẽ, nhưng ngay cả dữ liệu ít quan trọng hơn cũng có thể cung cấp vectơ tấn công tiềm ẩn.

Robert Schweiger, giám đốc giải pháp ô tô tại Nhịp. “Đó là lý do tại sao các OEM và toàn bộ ngành công nghiệp ô tô siêu nhạy cảm về chủ đề này. Nếu không có bảo mật, tất cả các công nghệ ADAS ưa thích sẽ không được người tiêu dùng chấp nhận. An ninh là điều tối quan trọng và siêu quan trọng ”.

Những lo ngại đó đang được lặp lại trong ngành công nghiệp chip. Thierry Kouthon, giám đốc sản phẩm kỹ thuật tại Rambus. “Tất cả các chức năng của ô tô ngày xưa là cơ khí hay thủy lực thì nay đã được máy tính hóa. Nếu không, bạn không thể điều khiển xe bằng máy tính. Nhưng điều này cũng cung cấp các bề mặt tấn công cho tin tặc. Hệ thống thông tin giải trí là một điểm xuất phát tuyệt vời cho các cuộc tấn công do một số kết nối không dây với xe. Đồng thời, có sự điện hóa của các phương tiện, nhân lên số lượng các đơn vị điều khiển điện tử trên các phương tiện đó. Có ít bộ phận chuyển động hơn, nhưng nhiều bộ phận điện tử hơn, điều này thể hiện bề mặt tấn công tăng lên. Cuối cùng, về bản chất, các phương tiện tự hành không sử dụng sự tương tác của người lái xe, và do đó, thậm chí còn cần các hệ thống điện tử tiên tiến hơn ”.

Hình 1: Rủi ro an ninh tiềm ẩn trong xe. Nguồn: Rambus

Khó bảo mật dữ liệu trong bất kỳ hệ thống điện tử nào. Nhưng trong một chiếc xe, dữ liệu đó cần được di chuyển, lưu trữ, xử lý và cập nhật.

“Khi chúng tôi xem xét an ninh mạng và tất cả các khía cạnh xoay quanh an ninh mạng - dữ liệu đang chuyển tiếp, dữ liệu đang di chuyển từ điểm A đến điểm B, dữ liệu đang được lưu trữ trong xe hoặc bên ngoài phương tiện nhưng ở dạng này hay dạng khác liên quan đến phương tiện - rủi ro khi lưu trữ nó là gì? ” đã hỏi Chris Clark, quản lý cấp cao trong Tóm tắt nội dung ' nhóm ô tô. “Rủi ro khi truyền nó là gì? Rủi ro khi sử dụng dữ liệu này là gì và có nên sử dụng dữ liệu này không? Đó là tiêu chuẩn vàng ngày nay cho cách các tổ chức nhìn nhận điều đó. ”

Ngành công nghiệp ô tô đã đạt được một số tiến bộ trong việc bảo mật dữ liệu trong XNUMX năm qua, nhưng nó vẫn còn một chặng đường dài phía trước.

“Chúng tôi đang học cách thực sự nói về an ninh mạng - có thể không theo cách có ý nghĩa, nhưng chúng tôi đang bắt đầu sử dụng các thuật ngữ tương tự,” Clark nói. “Chúng tôi đang xem xét những gì một ngành làm được so với ngành khác và liệu chúng ta có thể sử dụng một số những gì họ đã học được để thực sự đạt được tiến bộ trong vấn đề bảo mật nhằm bảo vệ một tổ chức và bảo vệ người tiêu dùng hay không. Nhưng trừ khi có quy định, các hoạt động và quy trình an ninh mạng ở đó để bảo vệ một tổ chức, không nhất thiết là cá nhân ”.

Điều này rất phức tạp bởi thực tế là trong các phương tiện giao thông ngày càng có sự chồng chéo giữa bảo mật và quyền riêng tư. Dữ liệu đó càng được bảo vệ và càng có nhiều tính năng tự hành trên xe, thì càng có nhiều khả năng xâm phạm quyền riêng tư.

“Nhà sản xuất ô tô của tôi hoặc bất kỳ ai đang cung cấp dịch vụ có biết tôi đang làm gì không? Với những gì đã xảy ra với mạng xã hội, mọi người sẽ cố gắng kiếm tiền từ dữ liệu đó, ”Jason Oberg, CTO của Tortuga logic. “Trong trường hợp bảo hiểm xe ô tô, điều này đã xảy ra. Nhưng bạn có thể tưởng tượng nhận được một số quảng cáo nhất định dựa trên nơi bạn đang lái xe. Có thể bạn đến McDonald's mọi lúc, và họ có thể phát hiện ra bạn đang làm điều đó, vì vậy bạn bắt đầu nhận được các quảng cáo trên Instagram, Facebook và Google rằng, 'Đây là đợt giảm giá mới này tại McDonald's.' Hoặc nếu bạn đang ở sân bay và họ biết bạn thích đi du lịch, họ có thể cung cấp cho bạn những quảng cáo được nhắm mục tiêu về du lịch. Đó có lẽ là điều không thể tránh khỏi ”.

Điều này có khả năng nghiêm trọng hơn nhiều so với một sự khó chịu đơn giản. "Nếu một 'không ngày'lỗ hổng bảo mật được tìm thấy trong tất cả những chiếc ô tô được sản xuất với cùng một khóa xác thực hoặc thứ gì đó thực sự được nướng vào các bộ phận của ô tô và ai đó phát hiện ra, sau đó họ có thể theo dõi xe của hàng xóm hoặc hành vi lái xe của hàng xóm hoặc bất kỳ chiếc xe nào của mô hình đó, ”Oberg nói. “Nếu đó là một nền tảng truyền thông xã hội, thì không có một thiết bị vật lý nào. Bạn đăng nhập vào một hệ thống và có cơ sở hạ tầng để bảo vệ điều đó. Nhưng nếu đó là một thiết bị vật lý, vectơ tấn công đó hiện đang mở. Có quyền truy cập vật lý, tìm ra các lỗ hổng phần cứng, những thứ này hiện là các vectơ tấn công khả thi để lấy thông tin đó ”.

Đối với tin tặc, có lý do chính đáng để khai thác vào luồng dữ liệu đó. Nó có thể mở ra cánh cửa chống trộm IP cho công nghệ được sử dụng trong những chiếc xe đó. Đồng thời, dữ liệu cá nhân bị đánh cắp ngày càng có giá trị và nhiều hơn nữa sẽ được thêm vào các phương tiện giao thông theo thời gian.

Oberg nói: “Rất có thể tưởng tượng rằng ô tô của bạn sẽ có cơ sở hạ tầng loại Apple Pay hoặc thứ gì đó sẽ lưu trữ thông tin cục bộ trong ô tô”. “Hoặc có thể đó là một số dữ liệu sinh trắc học và được lưu trữ cục bộ trên phần cứng của chiếc xe đó. Bây giờ có một vectơ tấn công khả thi có khả năng khai thác loại dữ liệu đó. Và khi chúng ta có nhiều thiết bị IoT phân tán hơn và nhiều thứ hơn được thu thập về hành vi cá nhân của mọi người, thì bản thân thiết bị giờ đây trở thành một vectơ tấn công khả thi. Chúng ta sẽ thấy nhiều hơn những điều đó xảy ra với tác động trực tiếp của người tiêu dùng từ những loại vấn đề này. Hiện chưa có nhiều nhà xe thu thập thông tin cá nhân, nhưng sẽ có. Nó giống như bất cứ điều gì trong bảo mật. Khi mọi người bắt đầu thêm quyền tự chủ, thu thập thêm một chút thông tin về hành vi lái xe của mọi người hoặc bất cứ điều gì họ có thể đang làm trên xe của mình, điều đó sẽ có một số lợi ích. Sau đó, chúng sẽ được sửa chữa. Đó là một quá trình lặp đi lặp lại. Điều thú vị ở một chiếc ô tô là tùy theo mức độ nghiêm trọng của cuộc tấn công mà bạn có thể không đưa ra bản vá phần mềm. Nó có thể đã ăn sâu vào hành vi của ô tô, vì vậy bạn có thể không sửa được. Theo thời gian, hy vọng chúng ta sẽ tăng cường bảo mật hơn về cách chiếc xe thu thập dữ liệu và cách nó bảo vệ nó, nhưng chắc chắn sẽ có một quá trình học hỏi. ”

Thêm vectơ tấn công
Phương tiện giao thông với mọi thứ (V2X) - nơi phương tiện giao tiếp với đèn giao thông, các phương tiện khác, thậm chí cả người đi bộ và mạng nói chung - thêm một vectơ tấn công tiềm năng khác. Mặc dù đây là một vấn đề hướng tới tương lai nhiều hơn, nhưng nó cần phải được xem xét ngay bây giờ. Kết hợp điều này, với những chiếc xe hỗ trợ V2X sẽ cần giao tiếp với những chiếc xe không hỗ trợ V2X hoặc các phiên bản cũ hơn của công nghệ đó, do tuổi thọ của xe quá lâu.

“Điều đó có nghĩa là bạn muốn đảm bảo các giao thức giao tiếp được sử dụng hoạt động cùng nhau,” Kouthon nói. “Mọi thứ đều không dây và có hai tiêu chuẩn chính - 5G / dựa trên mạng di động và DSRC, dựa trên tần số vô tuyến trực tiếp giữa các xe ô tô. Tất cả những thứ đó gần như có thể thay thế cho nhau và có thể cả hai đều sẽ hoạt động. Vấn đề thực sự là, vì bạn không có bất kỳ kết nối vật lý nào và bạn đang giao tiếp không dây với môi trường của mình, bạn phải đảm bảo rằng tất cả các thông báo đó là xác thực. Bạn cần biết rằng nếu đèn giao thông báo cho bạn biết rằng nó đang chuyển sang màu xanh, thì đó thực sự là đèn giao thông chứ không phải hacker cố gắng gây tai nạn vì bạn không chú ý. Điều đó trở thành một vấn đề xác thực. Xác thực có nghĩa là tất cả các tin nhắn đều được ký bằng chữ ký, vì vậy ô tô có thể xác minh rằng tin nhắn này đến từ nguồn chính hãng và đó không phải là đèn giao thông giả mạo hoặc cơ sở hạ tầng băng qua đường sắt. Nó cần phải là một cái chính hãng thực sự do thành phố điều hành. ”

Mọi thứ càng trở nên phức tạp hơn khi nhận được tin nhắn từ những chiếc xe khác, bởi vì giờ đây tất cả các nhà sản xuất phải thống nhất một bộ giao thức để mỗi chiếc xe có thể nhận ra những chiếc xe khác. Công việc đang được tiến hành để biến điều đó thành hiện thực, để khi một chiếc BMW hoặc Chrysler giao tiếp với một chiếc Volkswagen, Volkswagen có thể đảm bảo rằng đó là một chiếc BMW hoặc Chrysler thực sự.

“Điều đó trở thành một vấn đề của việc phân phối chứng chỉ,” Kouthon nói. “Đó là một vấn đề cũ đã được nghiên cứu rất kỹ trong bối cảnh của các trang web trên internet, và thường thì nó khá phức tạp. Chuỗi chứng chỉ có thể rất dài. Trong truong hop cua xe, co the noi, cac co quan chuc nang da lam ra nhung mau thuan loi. Ví dụ: bạn muốn ô tô có thể xác minh tối đa 2,000 tin nhắn mỗi giây. Điều đó có ảnh hưởng đến cơ sở hạ tầng vì không thể mất quá nhiều thời gian để xác minh từng thông báo. Điều đó cũng ảnh hưởng đến định dạng chứng chỉ, bản chất của chúng và điều đó có nghĩa là bạn không thể thiết kế những chứng chỉ này giống hệt như các trang web được thiết kế, nơi chúng có thể xác thực lẫn nhau. Với một trang web, người ta giả định rằng người dùng có thể đợi vài giây, trong khi trên ô tô, các quyết định phải được đưa ra trong micro giây ”.

Chỉ trong năm qua, các nhà cung cấp IP trên toàn ngành công nghiệp ô tô đã phát hành các phiên bản bảo mật của bộ vi xử lý của họ. Schweiger cho biết các phiên bản bộ xử lý lockstep của một số bộ xử lý nhất định đã được triển khai để giải quyết các khía cạnh an toàn, chẳng hạn như ASIL D.

“Chúng tôi cần cung cấp IP để bảo mật địa chỉ, thường nằm trong hệ thống tin cậy gốc, vì vậy, chiếc xe có thể khởi động trước tiên một cách rất an toàn và biệt lập, đồng thời có thể xác thực tất cả các hệ thống khác để đảm bảo phần mềm không bị hỏng hoặc bị thao túng, ”Anh nói. “Khi bạn mở chiếc xe ra thế giới bên ngoài, với liên lạc giữa xe với xe, liên lạc giữa xe với cơ sở hạ tầng, cập nhật qua mạng, cùng với WiFi, Ethernet, 5G, v.v., nó sẽ mở rộng bề mặt của cuộc tấn công của một chiếc xe hơi. Đó là lý do tại sao phải đưa ra các biện pháp để ngăn chặn tình trạng kẻ gian đột nhập vào xe ”.

Mạng trên chip (NoC) trong các SoC ô tô cũng có thể đóng một vai trò nào đó ở đây. Kurt Shuler, phó chủ tịch tiếp thị tại động mạch IP. “Trong công ty của bạn, bạn đang xem xét lưu lượng mạng và có một bức tường lửa thường ở các rìa của mạng. Bạn đặt nó ở một nơi nào đó một cách chiến lược trong mạng để theo dõi lưu lượng truy cập. Trong một SoC, bạn cũng làm điều tương tự. Các đường trục trong SoC ở đâu? Đâu là nơi bạn muốn xem dữ liệu và kiểm tra dữ liệu đó? Bạn không nhất thiết phải thực hiện kiểm tra gói tin sâu và xem xét tất cả nội dung của các gói tin trong mạng trên chip. Nhưng bởi vì tường lửa có thể lập trình được, bạn có thể nói, 'Trong loại trường hợp sử dụng này, với loại giao tiếp này, từ bộ khởi tạo IP này, có thể tại cụm CPU, dữ liệu hợp lệ để chuyển đến bộ nhớ này hoặc thiết bị ngoại vi này, và đó là một giao tiếp hợp lệ. ' Bạn cũng có thể sử dụng nó để kiểm tra hệ thống bằng cách nói, 'Chỉ cho phép thông qua nếu có thông tin liên lạc không hợp lệ trong trường hợp sử dụng đó.' Sau đó, bạn có thể gửi thông tin đến hệ thống để chỉ ra điều gì đó tồi tệ đang xảy ra. Điều này rất hữu ích vì tin tặc sẽ cố tình tạo ra lưu lượng truy cập đó để thử xem bạn có loại bảo mật nào. Do đó, bạn cũng có thể yêu cầu hệ thống cho phép dữ liệu đi qua, và không tác động lên nó, để gắn thẻ dữ liệu và các lệnh mà bạn cho là không tốt. Và nếu ai đó đang làm hỏng hệ thống - bỏ cả đống rác vào - bạn có thể bắt được chúng. "

Tường lửa với NoC cũng có thể được sử dụng để thực thi chức năng an toàn. “Nếu bạn đang đi từ một phần kém an toàn hơn của chip - giả sử đó là ASIL B hoặc A, hoặc có thể đó là QM - và dữ liệu và lệnh từ phía đó của chip sẽ chuyển sang phía ASIL D, bạn muốn để có thể kiểm tra điều đó để đảm bảo rằng dữ liệu được bọc trong ECC hoặc bất kỳ phương pháp nào được yêu cầu cho mặt an toàn hơn của chip. Tường lửa giúp làm điều đó. Chức năng tường lửa đó được sử dụng như một phương tiện dự phòng để đảm bảo dữ liệu đến từ một phần kém an toàn hơn của chip được bảo vệ đúng cách trước khi chuyển sang phần an toàn hơn của chip, ”Shuler giải thích.

Mô phỏng và thử nghiệm
Lập kế hoạch trước trong thiết kế và sản xuất có thể giúp xác định các lỗ hổng phần cứng cho phép dữ liệu bị xâm phạm.

Marc Swinnen, giám đốc tiếp thị sản phẩm của bộ phận kinh doanh bán dẫn tại Ansys. “Bạn có thể trích xuất mã đã được mã hóa từ một con chip chỉ bằng cách phân tích nó, thăm dò nó bằng điện từ, thăm dò chữ ký nhiễu nguồn của nó. Với hack phần mềm, bạn luôn có thể sửa nó bằng cách cập nhật phần mềm, nhưng nếu phần cứng của bạn dễ bị tấn công bởi loại hack này, bạn không thể làm gì được. Bạn phải chế tạo một con chip mới vì đã quá muộn để làm bất cứ điều gì. Bạn thực sự cần phải mô phỏng điều đó trước khi nó đến thời điểm đó và mô phỏng tình huống nếu ai đó đặt một đầu dò EM cao hơn vài mm trên chip của tôi, nó sẽ nhận được tín hiệu gì? Dây nào trong số các dây dẫn của tôi sẽ phát ra nhiều nhất và việc che chắn của tôi hoạt động tốt như thế nào? Ngoài ra, chữ ký tiếng ồn điện của tôi là gì? Tất cả những điều này có thể được quy định. Có thể lấy số liệu về số chu kỳ mô phỏng cần thiết để trích xuất mã hóa. "

Một số điều này cũng có thể được xác định trong quá trình thử nghiệm, bao gồm nhiều điểm chèn trong suốt quy trình thiết kế đến sản xuất. Điều đó có thể kết hợp mọi thứ từ dữ liệu kiểm tra thông thường trong hệ thống không đạt, đến dữ liệu sửa chữa bộ nhớ và logic, cũng như dữ liệu được thu thập từ giám sát trong mạch.

Lee Harrison, giám đốc giải pháp kiểm tra vi mạch ô tô tại Điện thoại Siemens. “Sau khi thu thập dữ liệu từ nhiều hệ thống trên thực địa, dữ liệu được phân tích và dựa trên các thuật toán dựa trên AI để sau đó cung cấp phản hồi cho hệ thống vật lý để điều chỉnh và tinh chỉnh hiệu suất của nó. Ở đây, ứng dụng của bộ đôi kỹ thuật số có thể được sử dụng như một phần của quá trình phân tích và sàng lọc ”.

Hình 2: Mô phỏng và thử nghiệm các lỗ hổng dữ liệu. Nguồn: Siemens EDA

Dữ liệu ngoài chip có thể được thu thập và sau đó được chuyển một cách an toàn tới đám mây để phân tích bằng cách sử dụng danh tính và xác thực duy nhất. Điều này đặc biệt quan trọng khi có sự tham gia của các bản cập nhật qua mạng và những bản cập nhật này phải tuân theo các quy định nghiêm ngặt ở nhiều quốc gia, Harrison nói.

Kết luận
Trong khi những khả năng và cải tiến này mang lại một số khuyến khích, bảo mật dữ liệu sẽ tiếp tục là vấn đề trong nhiều năm tới trong tất cả các hệ thống điện tử. Nhưng trong các ứng dụng như ô tô, vi phạm không chỉ là một sự bất tiện. Chúng có thể nguy hiểm.

“Khi chúng tôi nghe về các hoạt động đang diễn ra, chúng tôi tự động cảm thấy thoải mái hơn và nói,“ Ồ, được rồi, mọi thứ đang diễn ra, ”Synopsys 'Clark nói. “Nhưng khi chúng ta nói về việc di chuyển dữ liệu một cách an toàn từ điểm A đến điểm B, hoặc không chấp nhận thiết bị không nên có trên mạng đó, nó bao gồm cả công nghệ và quy trình. Làm thế nào để một tổ chức coi trọng các thực hành an ninh mạng, và làm thế nào để họ xác định và đo lường dựa trên chương trình an ninh mạng tổng thể của họ để họ thấy rằng họ đang cải thiện? Điều đó có thể không liên quan đến cách tôi di chuyển dữ liệu, nhưng nó liên quan đến mọi thứ liên quan đến việc một tổ chức có coi trọng an ninh mạng hay không. Và quá trình đó cho phép các kỹ sư, nhà thiết kế hệ thống, nhà thiết kế cơ sở hạ tầng nói rằng, 'Chúng tôi không chỉ đang phát triển công nghệ thực sự tuyệt vời này mà còn phải có cái nhìn thực sự về an ninh mạng. An ninh mạng có nghĩa là gì trong bối cảnh này? Đó là nơi chúng tôi bắt đầu thấy sự cải thiện thực sự. Các tổ chức phải đủ trưởng thành từ quan điểm kiểm tra an ninh mạng để thừa nhận điều đó và phát triển các quy trình kiểm tra an ninh mạng của họ để đạt được điều đó một cách có ý nghĩa ”.

Oberg của Tortuga đồng ý. “Tất cả là phải có quá trình. An ninh luôn là một hành trình. Bạn không bao giờ có thể được bảo mật, vì vậy điều tốt nhất bạn có thể làm là chủ động. Hãy nghĩ về những gì bạn đang cố gắng bảo vệ, những gì đối thủ có khả năng làm được. Bạn không thể đoán trước mọi thứ. Bạn phải chấp nhận điều đó. Tôi thích cách tiếp cận luôn cởi mở nhất có thể. Đừng cố gắng kìm chế. Tất nhiên, bạn không nên tiết lộ bất kỳ tài sản trí tuệ nào của mình. Nhưng bạn cũng cần phải minh bạch về quy trình của mình với khách hàng. Nếu có điều gì đó xảy ra, họ cần biết quy trình của bạn là gì. Và sau đó, bạn cần phải nói rõ ràng về những gì bạn đã làm và những gì bạn chưa làm. Đó là tất cả về, 'Đây là mô hình mối đe dọa của tôi. Đây là những giả định mà tôi đã đưa ra. Những thứ này chúng tôi đã không xem xét. '”

Nguồn: https://semiengineering.com/data-security-challenges-in-automotive/