Il settore automotive ha adottato da tempo il protocollo CANBus come standard per la rete di controllo. In diversi settori, come ad esempio nel campo dei veicoli autonomi ad uso agricolo, si fa uso di reti di controllo simili.
Le reti CANBus, tuttavia, soffrono di gravi vulnerabilità non appena vengono connesse a reti esterne. La cyber security dei veicoli autonomi per la smart agriculture si rende perciò necessaria in particolar modo per lo sviluppo di metodi di verifica della sicurezza che siano “dominio-specifici” e che consentano di ridurre ragionevolmente la superficie di attacco di tali veicoli.
ISO/SAE 21434, il nuovo standard di cyber security in ambito automotive: correlazioni e limiti
Indice degli argomenti
I veicoli autonomi per la smart agriculture
Nel corso della storia, l’agricoltura si è evoluta da un’occupazione prettamente manuale ad un ambiente altamente tecnologico che sfrutta un’ampia varietà di macchine. Negli ultimi anni, i veicoli agricoli autonomi stanno acquisendo una crescente importanza soprattutto grazie alle innovazioni nel campo della guida autonoma.
I potenziali vantaggi dei veicoli agricoli automatizzati includono un’aumentata produttività, maggiore precisione di lavoro e maggiore sicurezza operativa. Un controllo altamente efficiente dei veicoli agricoli autonomi può essere impegnativo per molteplici motivi: sono tenuti ad affrontare varie condizioni ambientali e mostrano comportamenti che sono difficili da gestire con algoritmi di controllo convenzionali, tanto che approcci innovativi per il loro controllo sono tutt’ora oggetto di ricerca.
La crescente complessità del controllo ha portato a una profonda integrazione delle tecnologie dell’informazione (ICT) all’interno di queste macchine. In particolare, vengono spesso sfruttate reti di controllo comunemente utilizzate nel settore automobilistico, come ad esempio le reti basate su CANbus, ma anche interfacce wireless per il controllo remoto.
Alcuni esempi di tecnologie wireless impiegate comprendono le comuni reti cellulari, protocolli LPWAN (Low Power Wide Area Network) ma anche protocolli proprietari che sfruttano le onde radio.
L’integrazione di queste tecnologie nei veicoli agricoli autonomi ha reso questi più vulnerabili dal punto di vista della sicurezza ICT.
Il rischio, purtroppo, è molto elevato: un controllo malevolo di queste macchine può causare gravi danni all’agricoltura e, in casi estremi, pregiudicare la sicurezza delle persone circostanti.
Per questi motivi devono essere definite procedure che permettano di valutare adeguatamente ed esaustivamente se i prodotti rispettano standard minimi di sicurezza ICT.
La rete CANbus
Come già osservato, le reti di controllo dei veicoli si basano di norma sul protocollo CANbus, sviluppato da BOSCH come un sistema di trasmissione multi-master, con una velocità massima di 1 Mbps.
CANbus è progettato per inviare molti messaggi brevi, contenenti misure come temperature o velocità, trasmessi in broadcast all’intera rete.
Originariamente sviluppato per l’industria automobilistica per sostituire il complesso cablaggio con cavo bus a due fili, ora è uno standard ISO e può essere utilizzato per diverse applicazioni. Una delle sue caratteristiche principali è la robustezza contro il rumore elettromagnetico e la resistenza all’errore.
Tuttavia, il CANbus non può assicurare l’integrità, la riservatezza e la disponibilità della comunicazione, requisiti essenziali nel mondo OT (Operational Technology), con conseguenti gravi vulnerabilità.
Nella letteratura scientifica sono state proposte soluzioni che permettono di adottare le comuni misure di sicurezza ICT nelle reti CANbus, come ad esempio crittografia, meccanismi di autenticazione e sistemi di rilevamento delle intrusioni. Ciascuna di esse, tuttavia, presenta diverse problematiche.
Per quanto riguarda la crittografia, i problemi comprendono la dimensione limitata del campo dati, unito ad un aumento del traffico in tali reti, e la scarsa potenza computazionale delle unità di controllo elettronico (ECU), problemi che rendono limitata la sua diffusione in applicazioni pratiche.
L’impiego di meccanismi di autenticazione è una soluzione più adatta per CANbus; tuttavia, questo non risolve molte problematiche, come ad esempio il caso in cui sia stato compromesso un nodo della rete.
È pertanto necessario verificare che la rete di controllo sia adeguatamente protetta da attori malevoli che possono ottenere l’accesso alla rete tramite una comunicazione wireless o addirittura tramite un accesso fisico, nel caso (piuttosto comune) in cui non sia possibile garantire forme minime di sicurezza fisica dell’hardware.
L’impatto di Log4j: i meccanismi dell’attacco e la threat mitigation nell’automotive
I metodi di verifica per la smart agriculture
Sebbene molti veicoli condividano la tecnologia del CANbus sulla rete di controllo, esiste un’importante varietà di architetture e di interfacce a tale rete che devono essere considerate durante l’analisi di sicurezza. Si rende necessario lo sviluppo di metodi di verifica della sicurezza cyber-fisica che siano “dominio-specifici” e che consentano di ridurre ragionevolmente la superficie di attacco di tali veicoli.
Se il veicolo è dotato di un comando remoto wireless, il primo passo è quello di identificare il metodo usato per la comunicazione. In caso di protocolli standard, come le reti cellulari o protocolli IoT, esistono diversi metodi per valutare le vulnerabilità e consentire di procedere ad un’adeguata fase di valutazione dei rischi.
Tuttavia, molte soluzioni commerciali si affidano a protocolli proprietari. Questo può complicare la valutazione della sicurezza ICT (Information and Communications Technology), in particolare da parte di enti terzi indipendenti. Una tecnologia molto utile per affrontare questo problema è la tecnologia Software Defined Radio (SDR).
In particolare, l’SDR può essere utilizzato per analizzare i protocolli wireless al fine di verificare la loro robustezza contro gli attacchi informatici
Alcuni veicoli potrebbero anche utilizzare gateway per consentire l’interazione diretta con la rete di controllo. Ad esempio, CANbus può interfacciarsi con una LAN wireless tramite un’applicazione web. Un’altra integrazione comune è basata su Bluetooth tramite semplici adattatori collegati alla rete CANbus attraverso una porta cablata.
Queste soluzioni possono presentare gravi problemi di sicurezza ICT. Il segnale wireless può essere ricevuto ad una distanza rilevante dal veicolo. Se il gateway avesse alcune vulnerabilità note, potrebbe essere possibile iniettare pacchetti direttamente nella rete di controllo.
Infine, un’altra interfaccia è rappresentata dal GPS, utilizzato dai veicoli autonomi per stimare la propria posizione. Tuttavia, esistono diversi esempi di GPS Spoofing.
Diversi approcci per il rilevamento di GPS spoofing sono stati presentati nella letteratura scientifica, tuttavia, pochissimi di questi potrebbero essere davvero realizzati in un ambiente a bassa potenza computazionale, come nel caso della smart agriculture.
Il Progetto VALU3S
I produttori di sistemi automatizzati e dei loro componenti hanno dedicato un’enorme quantità di tempo e sforzi alle attività di ricerca e sviluppo.
Questo sforzo si traduce in un sovraccarico del processo di V&V (verifica e convalida) che lo rende dispendioso in termini di tempo e denaro. Il progetto VALU3S, “Verification and Validation of Automated Systems’ Safety and Security”, ECSEL JU, mira a valutare i metodi e gli strumenti di Validation e Verification (V&V) all’avanguardia e a progettare un framework multi-dominio per creare una struttura chiara attorno ai componenti e agli elementi necessari per condurre il processo di V&V.
Il principale benefit previsto dal progetto è quello di ridurre i tempi e i costi necessari per verificare e validare i sistemi automatizzati per quanto riguarda i requisiti di safety, cyber security e privacy.
Ciò avviene attraverso l’identificazione e la classificazione dei metodi di valutazione, degli strumenti e degli ambienti per la V&V di sistemi automatizzati rispetto ai requisiti menzionati.
A tal fine, VALU3S riunisce un consorzio con partner provenienti da 10 paesi diversi, per un totale di 25 partner industriali, 6 istituti di ricerca e 10 università per raggiungere l’obiettivo del progetto.
Conclusioni
Lo sviluppo di procedure condivise e affidabili sembra essere ancora un problema aperto. Allo stesso modo è importante ampliare la disponibilità di tool che permettano un’analisi completa a seconda del contesto specifico.
Problemi che, data l’importanza del settore, richiederanno un ulteriore sforzo da parte delle aziende e degli enti di ricerca nei prossimi anni.
