An toàn thông tin cho automotive (hay xe điện) hiện nay đang là 1 mảng khá là hot trong những năm trở lại đây, hôm nay mình sẽ việt một số trải nghiệm cũng như 1 số kiến thức mà mình đã tích lũy được trong 1 năm vừa rồi, chia sẻ của một thằng làm bảo mật app sang bảo mật xe.
Automotive Cyber Security là cái gì?
...và yubb, bảo mật thì vẫn là bảo mật, bất kể target nào thì vẫn tuân theo tiêu chí của CIA triad (Confidentiality, Integrity, and Availability), chỉ khác là trong thế giới ô tô, mỗi thành phần sẽ khác rất nhiều so với những ae đang làm web-mobile app – từ ECU đến cổng kết nối OBD-II – đều là một mắt xích có thể trở thành điểm tấn công. Và khi một chiếc xe bốn bánh giờ đây cũng "có IP", có kết nối không dây, thì bài toán bảo mật không chỉ là ngăn chặn hacker đọc trộm dữ liệu, mà còn là đảm bảo phanh không bị vô hiệu hóa từ xa, vô lăng không bị điều khiển từ cloud, hay thậm chí bảo vệ sự an toàn của con người trong từng bit dữ liệu truyền qua CAN bus.
Muốn bảo mật cho một hệ thống ô tô, bạn không chỉ cần kỹ năng của một kỹ sư ATTT mà còn cả những kiến thức đặc thù của Automotive - khá khoai cho những ai nhảy ngang như mình, btw thì với concept sẵn có về bảo mật thì việc vừa học vừa làm cũng không quá bất khả thi.
Nói chung là mọi người cứ việc đọc kĩ, tìm hiểu kĩ target, xem các component trong xe vận hành như nào, communicate như nào từ đó mới "vẽ" được bức tranh tổng thể để xác định đâu là tài sản cần bảo vệ (assets), đâu là điểm tấn công tiềm năng (attack surfaces), và đâu là đường đi nước bước của attacker (attack paths). Hiểu rõ hệ thống, bạn mới có thể đặt đúng câu hỏi kiểu: “Liệu dữ liệu định vị có bị đánh cắp không?”, “Tay lái có thể bị điều khiển từ xa không?”, hay “Firmware update này có bị giả mạo được không?”.
Mỗi câu hỏi như vậy chính là điểm khởi đầu cho một mô hình đe dọa (TARA) — và cũng là tiền đề để lựa chọn giải pháp bảo mật phù hợp: từ xác thực ECU, mã hóa thông điệp trên CAN bus, đến kiểm tra tính toàn vẹn phần mềm trước khi khởi động (Secure Boot).
Với mình, việc "vừa học vừa thử" trên các công cụ như UDSim, CANoe, hoặc thậm chí là cắm tay vào một chiếc OBD cũng đủ để giúp khớp kiến thức ATTT truyền thống với thế giới cơ điện tử phức tạp này. Và một khi bạn cảm thấy hứng thú khi thấy đèn pha nhấp nháy chỉ vì mình gửi một khung tin đúng địa chỉ, thì xin chúc mừng — bạn đã bắt đầu chạm vào “cánh cửa” của Automotive Cyber Security.
Roadmap để "nhảy" vào cái ngành này
Để kể ra tường tận thì khá mất thời gian nên mọi người có thể tự research dựa vào những keyword mà mình đã đưa ra...
| Vai trò | Trách nhiệm chính | Mô tả công việc |
|---|---|---|
| Cyber Engineers | 1. Phân tích mối đe dọa & đánh giá rủi ro (TARA) 2. Xây dựng mục tiêu/ý tưởng bảo mật 3. Viết đặc tả kỹ thuật bảo mật 4. Triển khai yêu cầu bảo mật |
- Công việc chủ yếu xoay quanh việc tạo và review tài liệu kỹ thuật, chẳng hạn như TARA ở cấp độ hệ thống xe hoặc từng component cụ thể. - Ngoài ra, còn phải phát triển các phần mềm/mô-đun để hiện thực hóa yêu cầu bảo mật như: secure boot, secure signing, secure diagnostics... → Vừa làm tài liệu, vừa code, cần hiểu hệ thống kỹ lưỡng. |
| Cyber Test Engineers | 1. Xác minh yêu cầu bảo mật 2. Fuzzing & kiểm thử xâm nhập (Penetration Testing) |
- Thiên về kiểm thử và "vạch lá tìm sâu" – tạo test case để xác minh xem các yêu cầu bảo mật có thực sự được áp dụng hay không. - Đồng thời thực hiện fuzzing và pentest trên cả hệ thống hoặc từng component cụ thể. → Gần giống vai trò pentester truyền thống, nhưng target là ECU, giao thức như CAN, UDS. |
| Cyber Consultants | 1. Tư vấn quy trình bảo mật 2. Phân tích khoảng trống trong tuân thủ quy chuẩn |
- Làm việc nhiều với khách hàng để phân tích hệ thống, đánh giá khoảng trống so với tiêu chuẩn ISO 21434 hoặc R155. - Giúp khách xây dựng quy trình bảo mật toàn diện, từ thiết kế đến sản xuất. → Cần nắm vững các tiêu chuẩn và có kinh nghiệm triển khai thực tế. |
Mấy chỗ để anh em có thể tìm hiểu và thực hành
Sách
- The Car Hacker's Handbook
- Automotive Cybersecurity: An Introduction to ISO/SAE 21434
Courses
- Automotive CyberSecurity - udemy
- Cybersecurity - Automotive - cũng Udemy nốt (nói chung là chưa có nhiều khóa đâu)
CTF
https://core.ed.vsec.blockharbor.io/dashboard
Link tinh
https://www.carhackingvillage.com/ https://vicone.com/
Kết Luận
Nếu bạn đang đến từ ngành IT hoặc ATTT thuần, đừng nản khi thấy những thuật ngữ kỹ thuật “lạ hoắc”. Hệ sinh thái xe hơi rất rộng, nhưng khi đã nắm được cách xe vận hành, cách các module tương tác, bạn sẽ thấy mọi kiến thức bảo mật cũ đều có đất dụng võ. Cuối cùng thì, bảo mật vẫn là bảo mật. Dù target là web app, cloud hay ô tô, thì nguyên tắc vẫn là Confidentiality – Integrity – Availability. Vấn đề chỉ là bạn cần học thêm “ngôn ngữ” của ngành xe để nói chuyện cùng nó mà thôi. Học vừa đủ – Làm thật nhiều – Và cứ thế mà “lên xe”!