Instytut Łączności

Tematem seminarium była ocena bezpieczeństwa jednego z kluczowych elementów systemu tachografu cyfrowego - czujnika ruchu, odpowiedzialnego za dostarczanie danych o prędkości i przebiegu pojazdu. W dobie rosnącej cyfryzacji transportu oraz coraz większych wymagań dotyczących kontroli czasu pracy kierowców, niezawodność i odporność takich rozwiązań na manipulacje ma fundamentalne znaczenie.

Przeprowadzone w IŁ-PIB badania wykazały, że zidentyfikowana podatność nie wynikała z błędu producenta ani wadliwej implementacji urządzenia. Wręcz przeciwnie - analizowany czujnik spełniał obowiązujące wymagania bezpieczeństwa i był zgodny z odpowiednimi profilami zabezpieczeń.

Tak naprawdę jak się okaże w podsumowaniu, to jest nie tyle podatność samego sensora, co pewna luka bezpieczeństwa w wymaganiach

- jak podkreślił podczas seminarium dr inż. Mariusz Gajewski.

Źródłem podatności okazała się konstrukcja normy regulującej komunikację pomiędzy czujnikiem a tachografem (ISO 16844-3). W jej obecnym kształcie dopuszcza ona scenariusz, w którym możliwe jest usunięcie zapisów zdarzeń (tzw. logów audytowych) bez naruszenia formalnych mechanizmów bezpieczeństwa, a nawet bez znajomości kluczy kryptograficznych.
 

Co szczególnie istotne, problem ten nie wynika z błędów implementacyjnych po stronie producentów.

Implementacja była zgodna ze specyfikacją - to właśnie po stronie normy jest ułomność, która pozwoliła na wykonanie tego ataku

- zaznaczył prowadzący.

Badania przeprowadzone przez zespół IŁ-PIB potwierdziły skuteczność takiego scenariusza w warunkach laboratoryjnych. Mówimy więc nie o hipotetycznym ryzyku, lecz o realnym mechanizmie, który - w określonych warunkach - może zostać wykorzystany do ukrycia zdarzeń rejestrowanych przez system tachografu.

Jednocześnie analiza pokazała, jak złożone są nawet pozornie proste systemy techniczne.

Nawet w tak prostym urządzeniu jak czujnik ruchu liczba możliwych kombinacji komunikacji jest naprawdę duża

– podkreślił dr inż. Mariusz Gajewski.

To właśnie ta złożoność - połączona z niedoskonałościami norm - tworzy przestrzeń dla nieoczywistych podatności, które mogą zostać wykryte jedynie w wyniku pogłębionych badań bezpieczeństwa.

Instytut Łączności - PIB nie ograniczył się jednak do identyfikacji problemu. Wyniki badań zostały przekazane do europejskich struktur odpowiedzialnych za rozwój i utrzymanie profili zabezpieczeń, w tym do Wspólnego Centrum Badawczego Komisji Europejskiej (JRC). Celem tych działań jest doprowadzenie do modyfikacji norm i standardów, tak aby podobne podatności były eliminowane już na etapie projektowania systemów.

Równolegle przeprowadzona została współpraca z producentem badanego rozwiązania. Jej efektem było wprowadzenie zmian w konstrukcji urządzenia, które - przy zachowaniu zgodności z obowiązującymi wymaganiami - zwiększają jego odporność na zidentyfikowany typ ataku.
To przykład sytuacji, w której badania bezpieczeństwa nie tylko wykrywają problem, ale realnie podnoszą poziom bezpieczeństwa produktu dostępnego na rynku.

Seminarium dr. inż. Mariusza Gajewskiego pokazało w praktyce, że bezpieczeństwo systemów technicznych nie kończy się na spełnieniu norm - a często właśnie wtedy zaczyna się najciekawsza część pracy badawczej.

Instytut Łączności - PIB nie tylko ocenia zgodność rozwiązań z wymaganiami, ale aktywnie uczestniczy w ich kształtowaniu - tam, gdzie kończy się norma, zaczyna się jej doskonalenie.