EO_486

EDA/SW/T&M 60 - ELETTRONICA OGGI 486 - MAGGIO 2020 AUTOMOTIVE SECURITY accezioni della sicurezza e protezione utilizzate in questo contesto, solitamente espresse con i termini inglesi “safety” e “security”, in quanto si tratta di con- cetti correlati ma completamente diversi. L’obiettivo della safety è quello di garantire che un qualsiasi si- stema in qualsiasi momento si comporti rispettando i suoi requisiti, il che definisce in generale le potenziali minacce alla sicurezza e il modo in cui vengono gesti- te. Per raggiungere i più alti livelli di safety, vengono utilizzati strumenti e metodologie come il tracciamen- to dei requisiti, le revisioni del progetto/codice di pro- grammazione, il collaudo, le verifiche e la ridondanza del sistema. La security, d’altro canto, va ancora ol- tre: oltre agli obiettivi della safety, la security vuole garantire anche che in qualsiasi momento il sistema non faccia nulla che non dovrebbe fare. Oltre a tutte le attività per garantire la safety, devono essere pre- se ulteriori misure di protezione, come la definizione/ applicazione di politiche di sicurezza, l’esecuzione di test di penetrazione o l’analisi di canali segreti. Come mantenere un sistema sicuro Per garantire la sicurezza (security) in un sistema è necessario seguire alcuni principi di base: • Autenticazione: le informazioni possono essere scambiate solo con partner fidati. • Crittografia: le informazioni da memorizzare e tra- sferire tra partner fidati devono essere crittografate • Gestione del ciclo di vita del dispositivo: serve a garantire che le chiavi utilizzate per la sicurezza, sia della centralina elettronica che dei processi di back office, possano essere revocate e sostituite in caso di compromissione. • Separazione: per ridurre al minimo il numero di di- spositivi o funzioni che devono essere messi in sicu- rezza, le tecniche di separazione sicura dovrebbero essere utilizzate per separare i componenti sicuri da quelli non sicuri. L’elenco sopra riportato contiene i principi di base da applicare per lo sviluppo di un sistema sicuro. Tuttavia, è importante ricordare che i principi della sicurezza devono essere applicati fin dall’inizio della fase di progettazione e ad ogni livello del sistema, per garantire che un dispositivo robusto sia in grado di resistere ad un attacco o di recuperare rapidamen- te le sue funzionalità in caso di superamento delle barriere di protezione. Questo approccio è noto come “sicurezza in profondità”, o “security in depth”. La separazione del software è fondamentale Le crescenti interdipendenze tra i segnali e le fun- zioni all’interno di un veicolo, così come la crescente complessità del sistema, stanno portando alla neces- sità di consolidare più funzioni o attività di elabora- zione all’interno di una singola centralina elettronica (Fig. 1). Garantire che funzioni sicure e critiche per la sicurezza rimangano libere da interferenze da parte di funzioni non critiche/non sicure è uno degli aspetti chiave della sicurezza embedded. Un sistema operativo in tempo reale come INTEGRI- Sistema di rilevamento e prevenzione delle intrusioni a bordo veicolo (IDPS) via CAN Il bus CAN è attualmente il principale supporto per il trasporto di dati all’interno dei veicoli. Ogni dispositivo può inviare o ricevere messaggi sul bus. Non esiste un bus master designato e ogni dispositivo può avviare la trasmissione, che è soggetta ad arbitrato. Poiché il numero di centraline elettroniche nei veicoli è cresciuto in modo significativo e la criticità dei vari dispositivi collegati si è ampiamente differenziata, le architetture di rete dei veicoli separano le diverse centraline elettroniche collegandole a bus CAN diversi, che in molti casi vengono interconnessi tramite un gateway. Per gli hacker il bus CAN costituisce una superficie di attacco molto interessante, che permette di prendere completamente il controllo di un veicolo. Dopo aver ottenuto l’accesso al gateway, i messaggi dannosi pos- sono essere iniettati praticamente su qualsiasi segmento del bus CAN – anche nelle centraline critiche come la centralina del motore, le centraline dei freni e così via. Per prevenire una violazione della sicurezza attraverso un messaggio malevolo, il fornitore israeliano di si- curezza informatica, Arilou (parte del gruppo NNG) ha sviluppato un sistema di rilevamento e prevenzione delle intrusioni a bordo del veicolo (IDPS). Esso consente a qualsiasi centralina elettronica di distinguere tra frame legittimi e maligni tramite un agente di sicurezza. L’agente confronta i messaggi con un modello del traffico CAN specificato dal costruttore su un dato seg- mento del bus CAN e filtra i messaggi indesiderati ai livelli più bassi del software della centralina, prima che possano essere elaborati nella centralina interessata. Con una soluzione di questo tipo, la sicurezza del bus CAN viene spostata sui livelli più bassi del software della centralina. Inoltre, l’agente può effettuare controlli di sicurezza su altri componenti del veicolo, che possono poi essere utilizzati per rimuovere la vulnerabilità e aggiornare la centralina elettronica. L’aggiornamento può essere eseguito tramite un servizio OTA (over-the-air), grazie al quale il software di qualsiasi centralina elettronica dalla quale provengono i messaggi dannosi viene aggiornato dal costruttore per risolvere il problema di sicurezza che è stato identificato.