Sicurezza del Bus CAN: La Battaglia Invisibile della Cybersecurity nei Veicoli Connessi

L’integrazione crescente della connettività digitale nei veicoli moderni ha elevato l’importanza della cybersecurity, in particolare nel sistema del Controller Area Network (CAN) bus.

Originariamente progettato per una comunicazione efficiente tra le Unità di Controllo Elettronico (ECU), il bus CAN manca di misure di sicurezza integrate, rendendolo un obiettivo primario per le minacce informatiche.

Questo documento esplora le vulnerabilità del bus CAN, inclusa la mancanza di autenticazione e crittografia, la suscettibilità ad attacchi di negazione del servizio e di replay, e i crescenti rischi posti dalla connettività wireless.

Per affrontare queste sfide, presentiamo un approccio multilivello alla sicurezza del bus CAN, incorporando Sistemi di Rilevamento e Prevenzione delle Intrusioni (IDPS), autenticazione e crittografia dei messaggi, gateway sicuri, segmentazione della rete e meccanismi di Secure Boot.

Un contributo chiave di questo studio è l’analisi delle reti neurali profonde per la rilevazione delle anomalie, che consente l’identificazione in tempo reale di attività malevole.

Inoltre, esaminiamo l’efficacia dell’autenticazione crittografica e delle tecniche di crittografia leggera nella protezione delle comunicazioni all’interno del veicolo.

I risultati evidenziano la necessità critica di una strategia di cybersecurity proattiva, enfatizzando soluzioni di sicurezza guidate dall’IA, crittografia post-quantistica e protezione basata su blockchain per combattere i vettori di attacco in evoluzione.

Implementando queste difese, l’industria automobilistica può migliorare la sicurezza dei veicoli, proteggere l’integrità dei dati e rafforzare la fiducia dei consumatori in un panorama sempre più connesso.

Introduzione: Le Minacce Invisibili nei Veicoli Connessi

Man mano che i veicoli evolvono in macchine digitali sofisticate, l’importanza della cybersecurity nell’industria automobilistica non è mai stata così grande.

Il Controller Area Network (CAN) bus, originariamente sviluppato per semplificare la comunicazione all’interno del veicolo tra le Unità di Controllo Elettronico (ECU), è diventato un obiettivo primario per le minacce informatiche.

Sebbene la sua efficienza nella gestione delle funzioni del veicolo sia innegabile, la sua mancanza di protocolli di sicurezza integrati lascia i veicoli moderni vulnerabili a una nuova generazione di attacchi informatici.

I criminali informatici stanno sfruttando sempre più le debolezze nelle reti CAN, minacciando la sicurezza dei veicoli, l’integrità dei dati e la fiducia dei consumatori.

Con l’adozione rapida di veicoli connessi e autonomi, comprendere le vulnerabilità del bus CAN e implementare meccanismi di protezione all’avanguardia non è più facoltativo, è una necessità.

Perché la Sicurezza del Bus CAN è Critica

La sicurezza del bus CAN è cruciale poiché i veicoli moderni si affidano a questo protocollo per gestire tutto, dal controllo del motore e dei sistemi di frenata all’infotainment e alle funzionalità di assistenza al conducente.

Un bus CAN compromesso può portare a conseguenze catastrofiche, inclusa l’accelerazione involontaria, il guasto dei freni e l’hijacking remoto dei veicoli.

L’infame hack della Jeep Cherokee nel 2015 ha dimostrato come gli attaccanti potessero manipolare a distanza le funzioni di un veicolo, spingendo l’industria a dare priorità alla sicurezza del CAN.

Uno studio di Miller e Valasek (2015) ha dimostrato che gli attacchi al bus CAN potrebbero causare malfunzionamenti dello sterzo e dei freni, dimostrando che questo non è solo un rischio teorico ma una minaccia reale.

Con l’aumento della comunicazione Veicolo-Tutto (V2X), aggiornamenti Over-the-Air (OTA) e gestione della flotta connessa al cloud, la superficie di attacco dei veicoli si sta espandendo.

La ricerca di Petit e Shladover (2014) mostra che i vettori di attacco wireless aumentano significativamente il potenziale di sfruttamento remoto del bus CAN, rendendo obsoleti i presupposti di sicurezza tradizionali.

Vulnerabilità del Bus CAN: Un Approfondimento

Nonostante la sua efficienza, il protocollo CAN non è stato progettato tenendo conto della cybersecurity. Alcune delle principali vulnerabilità includono:

1. Mancanza di Autenticazione e Crittografia

A differenza dei moderni protocolli di comunicazione, i messaggi del bus CAN mancano di meccanismi di autenticazione, il che significa che qualsiasi ECU sulla rete può inviare e ricevere messaggi senza verifica.

Gli attaccanti che sfruttano accessi fisici o remoti non autorizzati possono iniettare comandi malevoli, potenzialmente sovrascrivendo funzioni critiche per la sicurezza.

Studi di Woo e Kim (2015) indicano che l’aggiunta di codici di autenticazione dei messaggi (MAC) potrebbe prevenire attacchi di spoofing, ma l’implementazione rimane una sfida a causa delle limitazioni di larghezza di banda.

2. Modello di Comunicazione Broadcast

Poiché tutte le ECU condividono lo stesso bus e ricevono tutti i messaggi trasmessi, un singolo nodo compromesso può manipolare il comportamento del veicolo.

La ricerca di Checkoway et al. (2011) ha scoperto che compromettere un sistema di infotainment può consentire il movimento laterale attraverso la rete CAN, influenzando i sistemi critici del veicolo.

3. Attacchi di Negazione del Servizio (DoS)

Un attacco comune al bus CAN comporta l’inondazione della rete con messaggi ad alta priorità, sovraccaricando il sistema e bloccando i segnali legittimi.

Uno studio di Choi et al. (2018) ha dimostrato che gli attacchi DoS potrebbero causare malfunzionamenti degli airbag, guasti dei freni e anomalie nel cruscotto.

4. Attacchi di Replay

Gli attaccanti possono catturare messaggi CAN validi e reinviarli in seguito, rendendo difficile per i veicoli distinguere tra comandi legittimi e fraudolenti.

Groll e Rieke (2019) propongono timestamp crittografici per mitigare gli attacchi di replay, sebbene l’implementazione nel mondo reale affronti sfide di sovraccarico computazionale.

5. Sfruttamenti Remoti e Superfici di Attacco Wireless

L’integrazione di Wi-Fi, Bluetooth e comunicazione cellulare espande i vettori di attacco oltre l’accesso fisico.

La ricerca di Koscher et al. (2010) ha confermato che la connettività wireless potrebbe essere sfruttata per iniettare comandi del bus CAN a distanza, dimostrando la necessità di una maggiore sicurezza dei gateway.

Sicurezza del Bus CAN: Presente e Futuro

Per combattere queste vulnerabilità, i leader del settore stanno implementando un approccio multilivello che combina strategie di sicurezza hardware e software.

1. Sistemi di Rilevamento e Prevenzione delle Intrusioni (IDPS)

La rilevazione basata su firme è una tecnica fondamentale utilizzata nei Sistemi di Rilevamento e Prevenzione delle Intrusioni (IDPS) per identificare minacce informatiche note nelle reti CAN automobilistiche.

Questo metodo si basa su un database di firme di attacco predefinite, modelli unici associati ad attività malevole, come iniezioni di comandi non autorizzati, attacchi di replay o messaggi ECU falsificati.

Quando il traffico del bus CAN viene monitorato, il sistema confronta ogni messaggio con queste firme memorizzate per rilevare e segnalare attività sospette in tempo reale.

La rilevazione delle anomalie attraverso Reti Neurali Profonde (DNN) è un metodo avanzato specificamente progettato per affrontare le vulnerabilità all’interno del Controller Area Network (CAN).

Poiché il bus CAN manca di funzionalità di sicurezza native come autenticazione e crittografia, diventa altamente suscettibile a minacce informatiche, inclusi attacchi ransomware.

Per affrontare questo problema, recenti ricerche di Zhou et al. (2019) hanno proposto un sistema innovativo che sfrutta reti neurali profonde per la rilevazione in tempo reale delle anomalie nei messaggi del bus CAN.

Questo metodo prevede di trattare la rilevazione delle anomalie come un problema di modellazione cross-domain, dove le sequenze di pacchetti di dati del bus CAN vengono elaborate in modo concorrente.

In particolare, i pacchetti di dati vengono organizzati in tre gruppi: ancoraggio (dati noti buoni), positivo (dati operativi normali) e negativo (dati anomali) e alimentati in un’architettura di Rete Neurale Profonda che impiega una strategia di addestramento a pesi condivisi.

Questo approccio utilizza una rete di funzione di perdita triplet incorporata, originariamente utilizzata nel riconoscimento facciale, per ottimizzare le distanze tra questi gruppi.

La DNN mira a minimizzare la distanza tra i punti dati ancorati e positivi (comportamenti normali), mentre massimizza simultaneamente la distanza tra i punti dati ancorati e negativi (comportamenti anomali).

La rete neurale profonda estrae vettori di caratteristiche distintive dai messaggi del bus CAN, che racchiudono modelli comportamentali critici come frequenze dei messaggi, sequenze di ID dei messaggi e contenuto del payload.

Quando implementato in scenari in tempo reale, questo sistema monitora continuamente i messaggi CAN in arrivo, identificando rapidamente le deviazioni dal comportamento di base appreso.

Al rilevamento di attività anomale indicative di ransomware o manipolazione malevola, l’IDPS attiva avvisi immediati e risposte protettive automatizzate come l’isolamento della rete o la sospensione dell’ECU.

Complementando la rilevazione basata su anomalie, la segmentazione della rete rafforza ulteriormente la sicurezza del bus CAN separando l’infrastruttura di comunicazione interna del veicolo in segmenti isolati.

Questo approccio separa i sistemi critici per la sicurezza, come sterzo, frenata e airbag, dai sistemi non critici come infotainment e telematica. Le Unità di Controllo Elettronico (ECU) dei gateway applicano politiche di comunicazione rigorose, limitando i movimenti laterali e prevenendo la diffusione del ransomware attraverso le reti del veicolo.

2. Autenticazione e Crittografia dei Messaggi

L’autenticazione dei messaggi garantisce che i messaggi provengano da fonti legittime e rimangano inalterati durante la trasmissione. Tecniche come i Codici di Autenticazione dei Messaggi Basati su Hash (HMAC) forniscono una soluzione affidabile ed efficiente.

Zhang et al. (2021) hanno dimostrato l’efficacia della combinazione di HMAC con l’Algoritmo di Crittografia Leggera (TEA), che offre una forte sicurezza contro le modifiche non autorizzate ai messaggi e agli attacchi di replay, imponendo al contempo un sovraccarico di prestazioni minimo.

Inoltre, i metodi di autenticazione basati su hardware, come le Funzioni Fisiche Non Clonabili (PUF), utilizzano caratteristiche uniche di fabbricazione delle ECU per generare identificatori crittografici sicuri, riducendo significativamente i rischi di accesso non autorizzato.

La crittografia completa l’autenticazione proteggendo la riservatezza dei messaggi, garantendo che solo le ECU autorizzate possano interpretare i dati trasmessi.

I metodi di crittografia simmetrica sono preferiti per l’uso automobilistico a causa delle loro minime richieste computazionali, consentendo una crittografia rapida ed efficiente dei messaggi adatta per la comunicazione in tempo reale.

Protocolli come i Protocolli di Crittografia e Autenticazione Leggeri (LEAP) sono specificamente progettati per ambienti automobilistici, bilanciando una sicurezza robusta con i requisiti di prestazioni.

LEAP sfrutta algoritmi di cifratura a flusso leggeri e migliorati per fornire simultaneamente autenticazione e crittografia, garantendo comunicazioni CAN sicure senza introdurre latenze significative o vincoli sulle risorse.

3. Gateway Sicuri e Segmentazione della Rete

La segmentazione della rete è emersa come una strategia cruciale di cybersecurity per proteggere i bus Controller Area Network (CAN) automobilistici dalle minacce informatiche.

Questo approccio implica la divisione logica della rete interna del veicolo in più segmenti isolati, ciascuno con protocolli di sicurezza distinti.

Limitando la comunicazione tra questi segmenti, la segmentazione riduce efficacemente il potenziale per gli attaccanti di muoversi lateralmente attraverso la rete, limitando significativamente la diffusione delle minacce.

Anche se un segmento è compromesso, la segmentazione garantisce che i sistemi critici—come frenata, sterzo o controllo della sicurezza—rimangano sicuri e operativamente non influenzati.

Implementazioni avanzate della segmentazione della rete utilizzano Unità di Controllo Elettronico (ECU) dei gateway che applicano regole di comunicazione rigorose e monitorano il traffico di rete in tempo reale.

Questi gateway fungono da checkpoint di sicurezza dedicati, analizzando continuamente i flussi di messaggi per attività anomale o non autorizzate.

Se viene rilevato un comportamento malevolo, si verifica immediatamente l’isolamento del segmento interessato, garantendo che le funzionalità critiche rimangano protette.

Questo metodo non solo previene l’escalation delle minacce informatiche, ma facilita anche una risposta e un recupero rapidi, mantenendo la sicurezza e l’integrità operativa dei sistemi automobilistici.

4. Secure Boot e Verifica dell’Integrità del Firmware

Garantire l’integrità e l’autenticità del firmware è fondamentale per proteggere il Controller Area Network (CAN) da potenziali minacce informatiche.

Due meccanismi critici impiegati per raggiungere questo obiettivo sono il Secure Boot e la Verifica dell’Integrità del Firmware. Questi processi lavorano in tandem per prevenire l’esecuzione di codice non autorizzato e mantenere l’affidabilità dei sistemi all’interno del veicolo.

Secure Boot: Stabilire una Catena di Fiducia

Il Secure Boot è un protocollo di sicurezza che garantisce che il sistema embedded di un veicolo si avvii utilizzando solo software verificato e fidato.

Stabilisce una Catena di Fiducia (CoT), a partire da una Radice di Fiducia (RoT) immutabile incorporata nell’hardware, che verifica ogni successivo livello di software prima dell’esecuzione.

Questo processo impedisce il caricamento di codice malevolo o manomesso durante la sequenza di avvio. 

L’implementazione del Secure Boot implica:

2. Radice di Fiducia (RoT): Un componente immutabile, spesso memorizzato nella Memoria di Solo Lettura (ROM), contenente il codice iniziale e le chiavi crittografiche necessarie per il primo passo di verifica. 

3. Verifica del Bootloader: La RoT verifica la firma digitale del bootloader utilizzando crittografia asimmetrica (ad es., RSA o ECC). Se la firma è valida, il bootloader viene eseguito; altrimenti, il processo di avvio viene interrotto. 

4. Verifica del Sistema Operativo e delle Applicazioni: Il bootloader, ora fidato, verifica il sistema operativo e le applicazioni in modo simile, garantendo che ciascun componente sia autenticato prima dell’esecuzione.

Questo processo di verifica a più livelli garantisce che solo software autenticato venga caricato, proteggendo la rete CAN da potenziali minacce informatiche.

Verifica dell’Integrità del Firmware: Garantire una Fiducia Continua

Oltre al processo di avvio iniziale, la Verifica dell’Integrità del Firmware monitora continuamente l’integrità del firmware durante il funzionamento. Questo implica:

• Hashing Crittografico: Generare un hash del codice del firmware e confrontarlo con un valore noto buono. Qualsiasi discrepanza indica una potenziale manomissione. 

• Firme Digitali: Utilizzare firme digitali per verificare che gli aggiornamenti del firmware provengano da fonti fidate e non siano stati alterati durante la trasmissione. 

Queste misure garantiscono che eventuali modifiche non autorizzate al firmware vengano rilevate tempestivamente, mantenendo la sicurezza della rete CAN. 

Implementazione nei Sistemi Automobilistici

Implementare il Secure Boot e la Verifica dell’Integrità del Firmware nei veicoli implica integrare questi meccanismi nelle Unità di Controllo Elettronico (ECU) che gestiscono varie funzioni all’interno del veicolo. Questa integrazione richiede:

• Supporto Hardware: Le ECU devono essere dotate di moduli di sicurezza hardware in grado di eseguire operazioni crittografiche necessarie per il Secure Boot e i controlli di integrità. 

• Architettura Software: Il software deve essere progettato per supportare sequenze di avvio sicure e verifiche di integrità in tempo reale senza compromettere le prestazioni. 

Uno studio sul processore di rete del veicolo S32G274A ha dimostrato l’integrazione pratica dei meccanismi di Secure Boot post-quantistici, evidenziando la fattibilità e l’importanza di queste misure di sicurezza nei moderni sistemi automobilistici. 

Conclusione: La Strada da Percorrere per la Cybersecurity Automobilistica

L’evoluzione rapida dei veicoli connessi ha portato a una comodità senza precedenti, ma ha anche esposto vulnerabilità critiche nell’architettura del bus CAN.

Poiché le minacce informatiche continuano a crescere in sofisticazione, garantire la sicurezza delle reti automobilistiche non è più facoltativo, è imperativo.

La ricerca e gli attacchi nel mondo reale evidenziati in questo articolo dimostrano l’urgente necessità di una strategia di difesa proattiva e multilivello.

Integrando la rilevazione delle anomalie guidata dall’IA, l’autenticazione crittografica, i gateway sicuri e la conformità normativa, i produttori di automobili possono rafforzare la sicurezza del bus CAN contro le minacce informatiche emergenti.

Man mano che la tecnologia avanza, l’industria deve anche investire in soluzioni lungimiranti come la crittografia post-quantistica, la sicurezza basata su blockchain e le reti auto-guarenti per rimanere un passo avanti rispetto ai vettori di attacco in evoluzione.

Il futuro della cybersecurity automobilistica dipende da uno sforzo collaborativo tra produttori, responsabili politici ed esperti di cybersecurity.

Solo attraverso l’innovazione continua e la vigilanza possiamo garantire che i veicoli di domani rimangano sicuri, resilienti e affidabili.

In questa battaglia di cybersecurity ad alto rischio, garantire la sicurezza del bus CAN non riguarda solo la protezione dei dati, ma la salvaguardia delle vite sulla strada.

Riferimenti

2. Miller, C., & Valasek, C. (2015). “Sfruttamento Remoto di un Veicolo Passeggeri Non Alterato.”

3. Petit, J., & Shladover, S. E. (2014). “Potenziali Cyberattacchi ai Veicoli Automatizzati.”

4. Koscher, K., Czeskis, A., Roesner, F., et al. (2010). “Analisi di Sicurezza Sperimentale di un’Automobile Moderna.”

5. Woo, S., & Kim, J. (2015). “Un Codice di Autenticazione dei Messaggi Pratico per la Sicurezza del Bus CAN.”

6. Choi, W., Woo, S., & Kim, Y. (2018). “Attacchi di Negazione del Servizio sulle Reti CAN.”

7. Dorri, A., Kanhere, S. S., Jurdak, R., & Gauravaram, P. (2017). “Blockchain per la Sicurezza e la Privacy dell’IoT.”

8. Thiruloga, S., Kukkala, V. K., & Pasricha, S. (2021). “Rilevazione delle Anomalie Basata su IA nelle Reti Automobilistiche.”

9. Zhou, Aiguo & Li, Zhenyu & Shen, Yong. (2019). Rilevazione delle Anomalie dei Messaggi del Bus CAN Utilizzando una Rete Neurale Profonda per Veicoli Autonomi.

10. Zhang, et al. (2021). “Metodo di Autenticazione che Combina HMAC-SHA256 con l’Algoritmo di Crittografia Leggera per la Sicurezza del Bus CAN.” SAE International.

11. Siddiqui, et al. (2017). “Comunicazione Sicura sul Bus CAN: Un Framework di Autenticazione Mutua Basato su PUF.” ResearchGate.

Fonti delle Immagini

• Fonte dell’immagine 1: Emad Aliwa, Omer Rana, Charith Perera e Peter Burnap. 2021. Cyberattacks and Countermeasures for In-Vehicle Networks. ACM Comput. Surv. 54, 1, Articolo 21 (gennaio 2022), 37 pagine. https://doi.org/10.1145/3431233

• Fonte dell’immagine 2: Zhou, & Li, & Shen,. (2019). Rilevazione delle Anomalie dei Messaggi del Bus CAN Utilizzando una Rete Neurale Profonda per Veicoli Autonomi. Applied Sciences. 9. 3174. 10.3390/app9153174.

• Fonte dell’immagine 3: Articolo di ricerca da embeddedcomputing ” Secure Boot: An Integral Security Feature for Code Storage, Operating Systems, and Data Storagel” Link: https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

Questa storia è stata pubblicata originariamente il 21 maggio 2024.