CYBERSECURITY W AUTOMOTIVE
AUTOSAR jako rozwiązanie architektoniczno-systemowe
Niniejszy artykuł jest częścią cyklu poświęconego tematyce cyberbezpieczeństwa w branży automotive, przygotowanego przez Krzysztofa Labudę.
Celem cyklu jest przybliżenie czytelnikom kluczowych zagadnień z zakresu zabezpieczeń systemów samochodowych, norm branżowych oraz praktycznych rozwiązań, które mają wpływ na bezpieczeństwo nowoczesnych pojazdów. W tej części autor skupia się na roli standardu AUTOSAR (AUTomotive Open System ARchitecture) w implementacji mechanizmów cybersecurity.
Kluczowe elementy AUTOSAR w obszarze cybersecurity
W tym artykule postaram się przybliżyć rozwiązania AUTOSAR pozwalające implementować cyberbezpieczeństwo w pojazdach, czyli innymi słowy implementować najpowszechniejszy model bezpieczeństwa cybernetycznego (zwany trójkątem CIA). Przybliżę również, jak z pomocą AUTOSAR realizować zadanie zapewnienia poufności (Confidentiality), jak sprawdzać spójność (Integrity) oraz zapewniać dostępność(Availability) systemów wchodzących w jego skład.
W ramach cyklu pochylimy się nad:
- przybliżymy jedno z najbardziej znanych rozwiązań dedykowane przez standard – czyli Secure Onboard Communication.
- rozwiązaniami IPS/IDS,
- koncepcjami kryptograficznymi (i ich bolączkami, takimi jak AUTOSAR Crypto Stack), które zostały zrealizowane przez ten standard,
- poruszymy wsparcie dla znanych, choćby z chmur obliczeniowych, systemów IAM (Identity and Access Management),
- przejrzymy wymagania dotyczące DPI (Deep Packet Inspection).
AUTOSAR jako standard architektury ECU w pojazdach
AUTOSAR to konsorcjum, które dostarcza ustandaryzowaną architekturę dla urządzeń wchodzących w skład systemów elektronicznych w automotive – ECU (Electronic Control Units). Wspiera ono podejście zarówno modularne, warstwowe, jak i oparte o komponenty. Samo podejście, czy też architektura, jest otwarte, jednak specyficzne narzędzia do konfiguracji i tworzenia oprogramowania są już płatne i podlegają osobnym licencjom.
Wsparcie dla popularnych protokołów sieciowych
AUTOSAR zapewnia również wsparcie dla wspomnianych w poprzednim cyklu protokołów i standardów sieciowych (CAN / LIN / FlexRay / Ethernet). Sama architektura zapewnia m.in. narzędzia i metodologie do konfigurowania i integrowania komponentów oprogramowania w ECU (czyli mogą być one integrowane w coraz bardziej skomplikowane i większe podsystemy oprogramowania). Narzędzia te automatyzują proces generowania plików konfiguracyjnych, mapowania komponentów oprogramowania do zasobów sprzętowych oraz weryfikacji spójności i kompatybilności systemu.
By nie być gołosłownym, zamieszczam grafikę przedstawiającą warstwowe podejście zaproponowane przez AUTOSAR.
Źródło: https://www.autosar.org/fileadmin/standards/R22-11/CP/AUTOSAR_EXP_LayeredSoftwareArchitecture.pdf
Funkcje bezpieczeństwa i ochrony systemów w AUTOSAR
Architektura AUTOSAR na najwyższym poziomie abstrakcji wyróżnia trzy warstwy oprogramowania:
- warstwa aplikacji,
- środowisko uruchomieniowe RTE (RunTime Environment), będące implementacją interfejsów AUTOSAR dla konkretnego ECU. Wydzielenie tej warstwy umożliwia uniezależnienie komponentów oprogramowania AUTOSAR od mapowania do określonego ECU.
- oprogramowanie podstawowe BSW, które uruchamiane jest na mikrokontrolerze.
Sama architektura również odnosi się i adresuje wymagania bezpieczeństwa oraz ochrony w systemach motoryzacyjnych, zapewniając dedykowane wytyczne, standardy i mechanizmy projektowania. Wdraża zarówno krytyczne funkcje oraz moduły dla safety-critical (bezpieczeństwa),jak i security-critical (bezpieczeństwa funkcji oprogramowania). Obejmuje to takie funkcjonalności, jak obsługa błędów, odporność na błędy i protokoły czy kontrolki bezpieczeństwa.
Zdalne aktualizacje i ochrona przed atakami rollback
Z pewnością godnym uwagi jest fakt, że AUTOASAR daje możliwość zdalnej aktualizacji oprogramowania układowego (FOTA – firmware over-the-air). Składa się na to możliwość użycia protokołów sieciowych występujących w stosie sieciowym (jak m.in. TLS), który w kompleksowy sposób zabezpiecza transmisję poprzez szyfrowanie. Warto też nadmienić, że istnieje możliwość implementacji ochrony przed wycofywaniem zmian, aby zapobiec obniżeniu wersji oprogramowania (rollback prevention) do takich, które będą niezabezpieczone lub podatne na ataki.
Zgodność z normami i regulacjami bezpieczeństwa
Mechanizmy te pozwalają na spełnienie wymagań m.in. normy ISO 24089:202 i regulacji R156, co jest istotne w świetle rosnących wymogów prawnych w branży automotive. AUTOSAR pełni rolę standardu w rozwoju systemów oprogramowania samochodowego, zapewniając znormalizowane i interoperacyjne ramy do projektowania, integracji i wdrażania komponentów oprogramowania w nowoczesnych pojazdach. Promowanie współpracy i standaryzacji w przemyśle motoryzacyjnym przyczynia się do poprawy jakości, niezawodności i wydajności w rozwoju oprogramowania motoryzacyjnego.
Wyzwania wdrożenia AUTOSAR w praktyce
Słowem podsumowania chciałem zwrócić czytelnikowi uwagę na fakt, że można odnieść czasem mylne wrażenie, że opisywany tutaj standard systemowy to podejście łatwe w implementacji. Niestety, nic bardziej mylnego – integracja warstw i komponentów proponowanych prze AUTOSAR to wyzwanie dla inżynierów w branży automotive – nie tylko na poziomie rozwoju, ale przede wszystkim ich integracji.
Autor: Krzysztof Labuda,
Konsultant ds. testów bezpieczeństwa
Uczestnik programu Certified Ethical Hacker CEH v11, który uczy najnowszych narzędzi, technik i metodologii hackerskich klasy komercyjnej, używanych przez hakerów i specjalistów ds. bezpieczeństwa informacji.
