אצל ארילו הגנה על הקאנבאס, היא אלמנט הסייבר סיקיוריטי החשוב ביותר

  • זיו לוי, מנכ”ל ארילו דיבר בכנס לסייבר סיקיוריטי בת”א והציג את הפילוסופיה של החברה.
  • ההגנה על הקאנבאס באמצעות פיענוח מסרים והקשריהם היא בליבת גישת הבטחון.
  • לא צריך להבטיח כל דבר לרמה הגבוהה ביותר, צריך להבטיח בטחון מאוזן.
סכמה מערכת ההגנה של ארילו (אתר החברה)
סכימת מערכת ההגנה של ארילו (אתר החברה)

אוטוניוז, 05.07.2017 – עוד לפני שהיו ארגוס, קראמבה וסטראטאפים רבים אחרים בסייבר סיקיוריטי אוטומטיבי היו ארילו (Arilou) וזיו לוי. לוי, אחד ממייסדי החברה והמנכ”ל שלה, החל לפעול בתחום לפני שהוא הפך לדבר הכי סקסי והכי מדובר בהייטק הישראלי. בשיחה עימי הוא מודה שיתכן שארילו הקדימה קצת את זמנה ויתכן שאם היתה קמה באיחור של שנים מעטות, לא היה בכך נזק ניכר. אולי בגלל גילה הקשיש במונחי התעשיה, ארילו נותרה, ציבורית, בצילם של סטראטאפים אחרים. כאשר האוטומוטיב ניוז או וול סטריט ג’ורנל זקוקים לציטוט טוב לסיפור בינוני הם מצלצלים לחברה מ-8200 בארגוס.

כל זה אינו מפריע במיוחד ללוי. בשנה שעברה נרכשה ארילו ע”י NNG, חברה הונגרית בבעלות אנשי עסקים ישראליים המפתחת מערכות אינפוטיינמנט וניווט לכלי רכב ולוי מצא את עצמו מבלה לא מעט בשמים בין מדינות ויבשות.

בינואר השנה ב-CES חשפה ארילו את מערכת ה-PIPS או Parallel Intrusion Preventing System, ששמה דגש על מניעת מתקפות דיגיטליות זדוניות באמצעות הגנה על הקאנבאס, ניתוח המסרים והקונטקסטים שלהם ומניעה במידה ומתגלה שהם זדוניים.

לפני שבוע נחת לוי בתל אביב, מרכז הפיתוח של ארילו נמצא בישראל, כדי לדבר בכנס על סייבר סיקיוריטי אוטומוטיבי, שנערך במסגרת שבוע הסייבר באוניברסיטת ת”א. הדיון בסייבר האוטומוטיבי אורגן ע”י Drive, האקסלרייטור שהוקם ע”י חברת מאיר ושותפות נוספות ומנוהל ע”י בועז ממו, ובו הציגו כעשרה דוברים את עקרונות הגנת הרשת שהחברות שלהן מיישמות. אולם זאבי בבית התפוצות, תפוסה כ-150 מקומות להערכתי, היה מלא עד למושב האחרון. מסתבר שסייבר סיקיוריטי הוא אכן נושא סקסי.

הדברים המובאים להלן הם דברים שלוי שנשא בכנס ובהם הוא תיאר את עקרונות הפעולה של המערכת שארילו מפתחת. בניגוד למערכות אחרות ומתחרות המערכת של ארילו מבוססת פחות על ענן ותקשורת מהירה ויותר על מתן פתרונות מידיים ומהירים במקום, באמצעות יכולת מחשוב הנמצאת ברכיבי מערכת התקשורת של המכונית, לבעיות בטיחות שמתגלות.

מאות ECUs בכלי רכב

זיו לוי, מנכ"ל ארילו בכנס הסייבר (אוטוניוז)
זיו לוי, מנכ”ל ארילו בכנס הסייבר (אוטוניוז)

יש לנו עשרות ECU בכלי רכב, בפרימיום קארס יש לנו מאות מהם, אמר זיו בתחילת דבריו. אנחנו מדברים על ארכיטקטורת כלי הרכב, זו ורסיה מאד פשוטה של זה, אבל בסופו של דבר ה-ECUs מחוברים לאותה רשת, בדרך כלל רשתCAN bus , אבל היום יש גם אית’רנט ורשתות נוספות. אני אתרכז בקאנבאס שהיא עדיין ה-bus הקריטי ביותר היום שעדיין קיים ויתקיים לפחות בכמה השנים הבאות אם לא יותר מזה.

לפעמים יש לכם רכיבים שיוצרים הפרדה ברשת. כאלה שיוצרים תת רשת בכלי הרכב לפעמים אפילו 10 או 20 תתי רשתות כאלה בכל כלי רכב. בסופו של דבר התקשרות דורשת  סוג של קונקטיבי גייטואיי ויש יותר הפרדה פונקציונלית מאשר הפרדה לשם בטחון. אפילו שאנחנו נתקלים ברשתות עם גייטואיי בטוח אבל רמת הבטחון, עד כמה שראינו, מוטלת בספק.

הקאנבאס הוא פרוטוקול מאד פשוט ומאד ישן והדרך שבה הוא בנוי היא שלכל מסר יש רעיון, שבדרך כלל מצביע על סוג המסר, מי צריך לקרוא את המסר הזה ולטפל בו ואז יש לכם את אורך המסר ועד לשמונה בייט של נתונים. זה פשוט מאד.

הבעיה היא קודם כל, נעוצה בבאס תקשורת משותף ופירוש הדבר הוא שכל אחד יכול לשלוח כל אינפורמציה שהוא רוצה. העדיפות מבוססת על ה-ID של המסר. כך שבסיסית השולח יכול לקבל עדיפות על פני משלחים אחרים רק אם הוא שולח מסרים שלהם עדיפות גבוהה יותר ופירוש הדבר ID נמוך יותר. בעיה שניה היא חוסר באימות (authentication) מכל סוג שהוא. אנחנו לא יודעים מי השולח, מי אמור להיות המקבל, כך שבסיסית זה מערב פרוע לתקשורת. זה מאד שונה מרשת IP שאנחנו מכירים ואפילו להם יש הרבה בעיות בטחון אבל זה, עם הקאנבאס, הרבה יותר גרוע. זה סוג הרקע שאנחנו צריכים לעבוד איתו כי הפרוטוקולים לא ישתנו. לא בעתיד הקרוב. אז אנחנו צריכים לאמץ את המסרים מהסוג הזה.

כעת כהדגמה להתקפה וזה מה שלמעשה הדגמנו ל-OEMs שונים, אנחנו יכולים להתקיף כל אחת מהמערכות המחוברות, במקרה זה מערכת האינפוטיינמנט שיש לה בלוטות’, Wi-Fi , תקשורת סלולרית, ויותר. ברגע שאנחנו משיגים גישה לזה, אנחנו למעשה יכולים להשיג גישה לכל אחד מה-ECU ולרשת. כמו שהוזכר בשיחה הראשונה היום, המחשב הראשון ייפרץ, זו לא שאלה האם זה יקרה זו שאלה איזה ECU ומתי. והבעיה היום היא שהבטחון ברשת בסיסית לא קיים באמת. האתגרים להאקרים [הינם] להשיג גישה ל-ECU הראשון ומשם, ברגע שאתה ברשת, אתה בסיסית יכול לתקשר עם כל האחרים ולשלוט בכל דבר שקורה.

טכניקת הגנה ראשונה – גישה פשוטה ודטרמינסטית

קיימות היום גישות אחדות להבטיח את הרשת. גישה ראשונה היא גישה פשוטה מאד לפיירוואל, שזה לשים סוג של רשימת פקודות דטרמיניסטית על ה-ECU או על הגייטואיי, משהו שיוצר הפרדה בין ECU אחד או כמה ECUs לשאר הרשת. הדבר הטוב בגישה זאת הוא שהיא דטרמיניסטית מאד, כך שאתה יכול להיות בטוח ולדעת בדיוק מה עומד לקרות ברשת, מה עובר ומה לא יכול לעבור. הבעיה עם גישה זאת שלהיות כל כך דרטמיניסטי ופשוט, שהיא יכולה להתמודד עם סט אחד פשוט של התקפות. כך שהיא מגבילה למשל שליחה של כמה סוגים של מסרים, אבל היא אינה יכול לעסוק במה שקורה בתוך המסרים עצמם. אם אני עושה מניפולציה לסוג לגיטימי של מסר, עם נתונים לא ליגיטימיים במסר מהסוג זה, גישת הפיירואל לא תעזור.

טכניקה שניה – גילוי חדירה

ההתפתחות של הגישה הזאת, היא מערכות גילוי חדירה (intrusion detection systems) שהן מערכות יותר מתקדמות. מערכות אלה מסתכלות לא רק לתוך ה-ID או סוג המסרים אלא גם לתוך התוכן שלהם. אנחנו מנסים ליישם טכניקות גילוי נורמליות על רשתות קאנבאס. ופירוש הדבר יישום בקרה, בחינה של התוכן, של הנתונים, בדיקת הקונטקסט שלהם. רק לדעת שהנתונים הם נכונים לכשעצמם, אם מסתכלים על מסר יחיד זה לא מספיק. אז לדוגמא אם אני רואה מסר שמצביע על מהירות כלי רכב של 100 קמ”ש זה לגיטימי לחלוטין. אבל אם הוא מגיע שניה אחרי אינדיקציה על 20 קמ”ש משהו כאן שגוי. עלינו להבין את זה. וגם אם למשל הגיר הוא בחניה אבל אנחנו רואים איזושהי אינדיקציה שהמכונית נעה זה לא הגיוני, אפילו אם כל מסר לכשעצמו הוא לגיטימי לחלוטין. וזה מה שמערכות מסוג זה מנסות לעשות. הניתוח נעשה בזמן אמת בכלי הרכב. בגלל שאם אתה רוצה לפעול על המסר, לא רק להצביע שמשהו שגוי אלא גם לעשות משהו אודותיו, עליך לעשות את כל התהליכים האלה בכלי הרכב, ברשת בזמן אמת. לכן יישום של כל הסוגים של טכניקות גילוי אנומליות מבוססות ענן זה לא מספיק טוב אם אתה רוצה לעבוד בזמן אמיתי.

הבעיות עם הטכניקה הזאת היא שראשית כל השאלה היא של גילוי. כיצד אתה יכול לגלות התקפות. התקפות מתוחכמות, אבל מבלי שיש לך אינדיקציות או false positives על דברים שאינם התקפה. אם אתה רק עושה גילוי, false positive, זה לא עניין כזה גדול בגלל שאנחנו יודעים איך לעבוד עם false positive. כל אחד שיש לו אנטי ווירוס יודע שאנטי ויירוס מקפיץ לפעמים מסרים שאינם וירוסים. הוא ישאל אותך מה אתה רוצה לעשות עם כמה קבצים, אם אתה יודע מה הקובץ, או לא אתה גוגל אותו וזה בסדר. אבל אנחנו רוצים להיות פעילים ברשת, אנחנו רוצים גם להיות מסוגלים ליירט התקפות בזמן אמת אז גילוי עם false positive זה פשוט משהו שאנחנו לא יכולים לקבל. וזה האתגר הראשי של גישה זאת.

טכניקה שלישית – הצפנה

גישה שלישית היא קריפטוגרפיה (הצפנה). כמו שהזכרתי הרבה בעיות שהן מבוססות על העובדה שבקאנבאס אין אות’ניטיקיישן, אנחנו לא יודעים מי השולח, וכו’ הלאה. אז גישה אחת יכולה להיות להצפין או לפחות לחתום על התקשורת. זה ייתן לנו את הביטחון שלפחות השולח הוא מי שהוא אמור להיות. אז זה שימושי למדי. הבעיה עם גישה זאת היא קודם כל הצפנה דורשת משאבים נוספים. בכל ECU יצטרך להיות או עוד כוח מחשוב או יחידת SHM וכו’ הלאה ופירוש הדבר עלויות נוספות, פירוש הדבר שינוי ה-ECU. זה דבר אחד. הדבר האחרון הוא כל הבאקאנד. עכשיו תצטרך שיהיה לך key management system וזה כאב ראש גדול למי שאינו עוסק בזה, ולעדכן ECUs רבים מאד ולשנות וכו’ הלאה. בעיה נוספת עם הגישה הזאת היא latency. כך שאם אתם רוצים להצפין, או לחתום, או לאמת תקשורת זה לוקח זמן. זה לא פשוט. זה פשוט מעביר את המסר. וכמה מסרים בקאנבאס הם קריטיים והקריטיים הם בדיוק המסרים שאתם רוצים לוודא. לכן יש כאן סוג של בעיה גם כן. אבל כמובן יש כמה יתרונות לטכניקה הזאת. חברות אחדות מיישמות למעשה טכניקה זאת של חתימה ללא שימוש בהצפנה למשל מצרפים משקל נוסף שאינו קריפטוגרפי אלא פאיילואד שאתה למעשה אינך יכול להסיר, מהתקשורת וזה נותן לך סוג של אבטחה של השולח.

טכניקה רביעית – מי הוא השולח

הטכניקה הרביעית הוא ניסיון להבין מי הוא השולח מבלי להשתמש בהצפנה. והדרך שאנחנו יכולים לעשות זאת היא ע”י לנסות לנתח את כל סוגי המאפיינים של התקשורת וכאשר אנחנו יודעים מי הוא השולח ולמעשה על בסיס ה-DNA אם אתם רוצים, אנחנו יכולים לעשות הרבה דברים שאנחנו לא יכולים לעשות אם אנחנו לא יודעים מי הוא השולח. זה מונע את הבעיה הבסיסית ביותר של הקאנבאס ומשווה אותו לסטים שונים של פרוטוקולים.

סיכום – שילוב של גישות

כך שלמעשה אלה הגישות העיקריות שאנחנו בארילו משלבים אחדות מהן ליצור מה שאנחנו חושבים שהיא הגישה הבטוחה ביותר כך שאנחנו יכולים לקחת את החיובי, (pros), מכל אחת מהגישות האלה ולא להסתמך על השלילי (cons) של כל אחת, אבל כמובן כמו כל דבר לכל גישה יש את הפרוס וקונס ובסוף אלה סוגים של גישות שאתה צריך להבין מה מתאים לצרכים הספציפיים שלך, על מה אתה רוצה להגן. לא צריך להבטיח כל דבר לרמה הגבוהה ביותר, אתה צריך להבטיח בטחון מאוזן, ומשלב כמה מהגישות האלה אני חושב שאנחנו יכולים להגיע לרמה טובה מאד מאד של בטחון, אוטמים לחלוטין את החלקים הקריטיים אבל לא ממוקדים על שימת מאמץ רב מדי על מערכות שאינן כל כך קריטיות אך חשובות. הקאנבאס, כעמוד השדרה של הרשת, כפי שאנחנו רואים אותו, הוא הדבר החשוב ביותר להגן עליו ראשון ואחר כך אתה יכול להבטיח את שאר השכבות, מה-ECU לענן וכו’ הלאה.

תגובה ראשונה

תגובה

כתובת האימייל שלך לא תפורסם


*


error: Alert: Content is protected !!