За последние несколько десятилетий возможности подключения многих электронных систем вышли за рамки интернета вещей. Теперь они интегрированы в современные автомобили, которыми множество людей пользуется каждый день. Системы, которые когда-то были чисто механическими, теперь снабжаются программным обеспечением, что придаёт им новые возможности, для которых они изначально не были предназначены. Сегодня автомобиль обладает функциями, которые не только обеспечивают его движение, но и связывают его с внешними экосистемами, позволяя поддерживать связь с другими транспортными средствами, передавать предупреждения о безопасности на придорожную инфраструктуру в режиме реального времени, получать обновления сетевого уровня и данные о трафике из централизованных систем.
Такая взаимосвязь обеспечивается протоколами связи, которые позволяют ТС обмениваться данными в режиме реального времени в рамках всей экосистемы. Однако этот рост обусловлен ещё и повышенным рискам взлома, хакерских атак, перехвата управления и т.п. Каждое сообщение, передаваемое автомобилем, может быть подделано, заглушено или воспроизведено, что может привести к последствиям, варьирующимся от нарушения дорожного движения до критически важных инцидентов, влекущих гибель людей.
Расширенная коммуникационная система V2X (или «Vehicle-to-Everything» — связь между транспортными средствами и всем остальным), соединяет автомобиль со всеми элементами транспортной экосистемы вокруг него. А безопасностью V2X — называется набор протоколов, технологий и стандартов, разработанных для защиты этих беспроводных коммуникаций от кибератак, искажения данных и/или несанкционированного доступа. Данная коммуникационная модель в целом охватывает 4 различных типа взаимодействия, каждый из которых имеет свою функцию и сферу применения.
Технология V2V (Vehicle-to-Vehicle) позволяет транспортным средствам обмениваться напрямую друг с другом данными о безопасности в режиме реального времени, включая информацию о резком торможении, смене полосы движения и предупреждениях о столкновении.
Технология V2I («транспортное средство — инфраструктура») обеспечивает связь автомобиля с инфраструктурой около дороги, включая контроллеры светофоров, системы взимания платы за проезд, датчики безопасности и различные другие придорожные устройства.
Технология Vehicle-to-Pedestrian (V2P) способствует обмену информацией с пешеходами и велосипедистами, у которых есть подключённые носимые устройства.
Технология Vehicle to Network (V2N) обеспечивает связь автомобиля с сотовыми сетями для динамического управления дорожным движением, удалённой диагностики и обновлений по беспроводной сети (OTA).
Каждый из этих каналов имеет свой профиль риска, и обеспечение безопасности одного не гарантирует безопасность остальных. Например, скомпрометированный канал V2I может манипулировать временем работы светофора, не затрагивая уровень V2V, и наоборот. Аналогично, поддельное оповещение V2P о появлении пешехода в непосредственной близости, может вызвать ненужное экстренное торможение у машины.
Но более серьёзную обеспокоенность вызывает не только то, чем обмениваются эти протоколы, но и то, какие действия они санкционируют. В условиях всё более автоматизированной экосистемы, сообщения не просто информируют участников дорожного движения, а передают инструкции. А в таком сценарии любая фальсифицированная манипуляция, например, сигнал экстренного торможения, воспроизведение сигнала о разрешённом проезде через перекрёсток или добавление предупреждения о превышении скорости, может напрямую привести к физическим воздействиям на дороге. Более того, степень уязвимости напрямую зависит от беспроводной технологии, на которой работает сеть.
Технология V2X работает на основе одной из двух базовых беспроводных технологий, каждая из которых имеет свою собственную архитектуру безопасности и историю внедрения.
Специализированная связь ближнего радиуса действия (DSRC — Dedicated Short-Range Communications), созданная на основе стандарта IEEE 802.11p и работающая в диапазоне 5,9 ГГц, специально разработана для обмена данными между ТС и другими подобными устройствами. Она поддерживает прямой обмен сообщениями с низкой задержкой без использования сотовой сети. Её структура безопасности определена в соответствии со стандартом IEEE 1609.2, который регулирует форматы сертификатов, аутентификацию сообщений и защиту конфиденциальности. Зрелость DSRC является одновременно сильной стороной и ограничением: стандарт хорошо изучен, широко протестирован и стабилен, но его архитектура не была разработана с учётом масштабов современных развертываний подключённых транспортных средств.
В отличие от DSRC, технология с подключением к сотовой связи (C-V2X) построена на стандартах 3GPP и все чаще используется в сетях 5G. Она поддерживает, как прямую связь между устройствами (через интерфейс PC5), так и связь в сетях дальнего действия через сотовую инфраструктуру. Возможность работы в двух режимах значительно расширяет охват, открывая возможности для интегрированных в облако приложений безопасности, которые DSRC не поддерживает. Однако такое подключение также расширяет поверхность атаки, создавая зависимости от сотовой сети, уязвимости на стороне облака и проблемы аутентификации на периферии сети, которых нет при использовании только DSRC.
Независимо от технологии, используемой в развёртывании системы V2X производителем оборудования или поставщиком, ландшафт угроз остаётся неизменным. Векторы атак различаются по масштабу и сложности, в зависимости от того, работает ли сеть на основе DSRC или C-V2X, но категории рисков остаются теми же. Понимание этих рисков — первый шаг к пониманию того, от чего должно защищать автомобиль.
В отличие от традиционной IT-среды, где угрозы в основном ограничиваются потерей/изменением данных и репутационными последствиями, воздействие на V2X имеют прямое физическое измерение. Однако сети V2X подвержены специфическому и хорошо задокументированным типам кибератак, которые подразделяются на пять категорий.
Атака с использованием подмены данных: злоумышленник выдаёт себя за легитимное транспортное средство, бортовой блок (OBU — On-Board Unit) или придорожный блок (RSU), после чего внедряет ложные сообщения в сеть. Он может фальсифицировать события экстренного торможения, создавать «призрачные» транспортные средства или предупреждать об опасности, на которые близлежащие транспортные средства реагируют в режиме реального времени.
Отказ в обслуживании (DoS) / подавление каналов связи: характеризуется перегрузкой канала V2X нелегитимным трафиком или физически нарушает работу диапазона сотовой связи, препятствуя доставке достоверных сообщений о безопасности адресатам. Это лишает находящиеся поблизости автомобили необходимой им информации о ситуации для принятия решений, касающихся безопасного вождения.
При атаке повторного воспроизведения, действительный пакет данных V2X (например, подлинное оповещение о чрезвычайной ситуации или сигнал о разрешённом проезде через перекрёсток), перехватывается и ретранслируется позже или из другого места. Сообщение проходит проверку подлинности, поскольку изначально было подписано легитимным источником, но описывает условия, которые больше не существуют, заставляя автомобиль действовать на основе ложного контекста.
Атака Сивиллы: взломщик генерирует множество поддельных учётных записей и одновременно передаёт сообщения от имени всех них, фабрикуя события трафика, имитируя столкновения, крупные аварии, перекрытия дорог или взламывая системы обнаружения нарушений, которые полагаются на сетевой консенсус для выявления аномальных узлов.
Внедрение ложных данных: взломанный автомобиль манипулирует собственной телеметрией, скоростью, местоположением и направлением движения, прежде чем передать сообщение. Поскольку сообщение исходит от легитимного узла с учётными данными, оно проходит стандартные проверки аутентификации. Окружающие транспортные средства получают криптографически корректные, но фактически неверные данные. Тут владельцу машины полезно будет знать статистику – такой тип несанкционированного скрытого внедрения распространяется, в большинстве случаев, через компьютеры автосервисов, если те оперируют обычными (но уже заражёнными) компьютерами при диагностике, а не защищёнными ноутбуками.
Безопасность V2X — это не единый механизм контроля, а многоуровневая система. А понимание угроз и регулирующих норм лишь отвечает на вопросы «что» и «почему». Для выполнения нормативных требований производители оригинального оборудования полагаются на решения в области проектирования систем безопасности, которые эффективно снижают риски. В основе обеспечения безопасности V2X лежит инфраструктура открытых ключей (PKI). Это система, которая устанавливает и проверяет личность каждого участника/юнита (unit) сети V2X.
Практически каждому устройству V2X выдаётся доверенным центром цифровой сертификат. Когда автомобиль отсылает пакет данных (передаёт сообщение), оно криптографически подписывается с использованием закрытого ключа устройства. Любое принимающее устройство может проверить подпись по соответствующему открытому сертификату, чтобы подтвердить подлинность и убедиться, что оно не было изменено во время передачи.
Это технический механизм, предписанный стандартом IEEE 1609.2. Он также является основой для требований по борьбе с угрозами подмены «личности» устройства. Без функционирующей PKI проверка на основе сертификатов вообще невозможна, а её отсутствие может устранить технический барьер, который может привести к кибератакам.
В то время как PKI определяет, как работает доверие в системе управления учётными данными безопасности (SCMS), система управления сертификатов (CCMS) определяет, как оно администрируется. Такое администрирование, как правило, функционирует в режиме бэкэнд-системы, отвечающие за полный жизненный цикл каждого сертификата в сети. На практике, при производстве автомобиля его бортовое устройство (OBU) регистрируется в соответствующей системе управления учётными данными и получает набор оперативных сертификатов. По мере истечения срока действия этих сертификатов система выдаёт новые. Если устройство скомпрометировано или ведёт себя аномально, то SCMS отзывает его сертификаты и удаляет его из доверенной сети.
Таким образом, орган по борьбе с подозрительным поведением напрямую выполняет свои обязательства по противодействию атакам Сибиллы. Отчёты о подозрительном поведении от транспортных средств в полевых условиях собираются и тщательно анализируются. При обнаружении подозрительных закономерностей орган отзывает сертификаты отмеченных узлов, даже не идентифицируя само транспортное средство.
Хотя PKI решает проблему аутентификации сообщений, на этом пути встречаются некоторые препятствия. Если транспортное средство постоянно передаёт один и тот же сертификат, его можно отслеживать, регистрировать его перемещения и составлять профиль водителя. Хотя это обеспечивает безопасность коммуникационной сети, это нарушает требования GDPR к защите конфиденциальности. Более того, это становится ещё более важным, поскольку стандарт ISO/SAE 21434 рассматривает конфиденциальность как свойство кибербезопасности.
Для решения этой проблемы производители автомобилей и поставщики используют сертификаты псевдонима. Это временные цифровые сертификаты, используемые для аутентификации сообщений. Вместо трансляции постоянного идентификатора они используются через регулярные интервалы. Для стороннего наблюдателя автомобиль после каждого «сеанса связи» выглядит как другой объект. Это обеспечивает аутентификацию каждого сообщения, одновременно гарантируя защиту конфиденциальности.
Аппаратные модули безопасности (HSM)
Все описанные выше механизмы безопасности основаны на одном предположении: что закрытые ключи, используемые для подписи сообщений V2X, не были скомпрометированы. Если злоумышленник получит доступ к ключу подписи транспортного средства (вспоминаем про защищённый компьютер и неавторизованные автосервисы), то каждое передаваемое им сообщение будет криптографически корректным, независимо от его содержимого. Это может привести к внедрению ложных данных, что является одной из самых сложных угроз для обнаружения постфактум.
Для решения этой проблемы стандарт ISO/SAE 21434 требует, чтобы меры безопасности распространялись и на целостность данных в момент их генерации. Тут важнейшую роль начинает играть аппаратный модуль безопасности (HSM — Hardware Security Modules). Это специализированный, защищённый от несанкционированного доступа чип, встроенный в центральный процессорный блок управления (ECU, ECM) или блок дистанционного управления (RSU), который хранит закрытые ключи изолированно от остальных электронных систем.
HSM не раскрывает алгоритм создания ключа и выполняет операцию генерации подписи внутри себя, возвращая устройствам только подпись. Он разработан таким образом, что даже если операционная система автомобиля будет полностью скомпрометирована, злоумышленник не сможет извлечь ключ или подписать произвольное содержимое без контролируемой среды выполнения HSM. Но с развитием мощностей квантовых вычислений, это тоже перестаёт быть панацеей.
Обновления по беспроводному интернет-каналу (OTA) не рассматривает кибербезопасность, как сертификацию, действующую на определённый момент времени. Стандарт требует от производителей оригинального оборудования непрерывного мониторинга, обнаружения угроз и реагирования на них на протяжении всего срока эксплуатации транспортного средства. На практике это означает, что конфигурация безопасности каждого бортового устройства или блока управления (RSU) в развёрнутой сети должна быть обновляемой после того, как авто (либо устройство) будет запущено в серийное производство.
Безопасное обновление по беспроводной сети должно удовлетворять требованиям безопасности производителей оригинального оборудования (OEM) после выпуска продукции. Требования весьма непростые — регулярно обновлять хранилища сертификатов, корректировать параметры безопасности и устранять вновь выявленные уязвимости без отзыва транспортных средств или необходимости физического доступа к устройствам. Этот механизм криптографически проверяет обновления только от OEM-производителей, поскольку поддельные обновления OTA могут устанавливать вредоносные файлы, которые могут полностью вывести из строя всю систему автомобиля.
Безопасность V2X — это не самостоятельная дисциплина, а лишь периферия гораздо более масштабной задачи. Архитектура решения, рассматриваемая в этой статье (PKI, управление учётными данными, псевдонимные сертификаты, HSM и OTA), не работает изолированно. Каждый из этих уровней зависит от других, и пробел в одном из них означает пробел во всех остальных. Более того, по мере масштабирования внедрения и ужесточения нормативных требований, преуспевают те организации, которые рассматривают безопасность, как необходимое инженерное решение, прорабатываемое на этапе первоначальной разработки. Категории угроз задокументированы. Стандарты являются обязательными. Архитектура понятна. Остаётся только внедрение, и именно здесь специфика инфраструктуры, модели развертывания и рыночных обязательств определяют, как это будет выглядеть на практике.
