Когда дело доходит до компьютерной безопасности, есть три основные цели: конфиденциальность — гарантия того, что никто не сможет украсть ваши данные; целостность — гарантия того, что ваши данные не были изменены несанкционированным образом; и доступность — убедитесь, что у вас есть доступ к ресурсам, которые вам нужны, чтобы делать то, что вам нужно.

Большинство исследований сосредоточено на первых двух, говорит Нин Чжан, доцент кафедры компьютерных наук и инженерии Инженерной школы Маккелви Вашингтонского университета в Сент-Луисе. Легко понять, почему. «Если вы мешаете мне использовать мою кредитную карту, это нормально. Это не так плохо, как если бы она была украдена и использована вором», — сказал он. изрытая выбоинами дорога со скоростью 80 миль в час, окруженная другими транспортными средствами, делающими то же самое? В этой ситуации небольшой доступ — может быть, к тормозам? — пригодился бы.

Ученик Чжана представил исследование на 43-м симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско 23–25 мая, в котором была представлена ​​новая структура доступности систем в киберфизических системах, таких как беспилотные автомобили. Это гарантирует пользователю доступ к некоторым элементам управления миссией, чтобы в случае кибератаки система оставалась в безопасности.

Описанный Чжаном метод основан на двух принципах: изоляции критических и некритических компонентов и полном посредничестве над критическими системными ресурсами. Чтобы критически важные компоненты были недоступны для хакера, их необходимо изолировать от остальной части сложной системы. «Это похоже на укрепленный замок», — сказал Чжан, имея в виду изолированную среду, в которой компьютеры хранят потенциально опасное программное обеспечение вдали от своих критических компонентов.

Чтобы сохранить маленькую доверенную вычислительную базу, эта доверенная среда выполнения поддерживает очень узкую функциональность для киберфизической системы, например, возможность затормозить, отключить газ или, возможно, немного повернуть руль. Эти функции остаются доступными для оператора транспортного средства, даже если операционная система автомобиля подвергается атаке.

Поддержание доступности не является тривиальным вопросом; в конце концов, операционная система управляет всем в машине. «Если системой управляет хакер, — сказал Чжан, — то, конечно, вы не сможете контролировать ее».

Вот где происходит сокращение поверхности атаки, чтобы ограничить точки, в которых злоумышленник может повлиять на доверенную среду через свое влияние на операционную систему. Для этого доверенная среда будет реагировать только на определенный набор команд. Если запрос выходит за рамки этих команд, в доступе будет отказано.

Этот процесс известен как монитор ссылок и состоит из двух частей. «Сначала, например, я вам говорю: «Вы можете только писать мне письма. Никаких звонков. Никаких электронных писем. Никаких сообщений», — сказал Чжан. Если вы отправите электронное письмо, оно будет удалено, даже не прочитав.

«После того, как я получу письмо, мне разрешено делать только определенные запросы», — сказал он. Поворот влево или вправо может быть приемлемым: «Но если вы попросите что-нибудь еще? Я вышвырну вас». Нет доступа.

После этого может быть параметр, на сколько градусов колесо может повернуться, как долго колесо может оставаться в этом положении и так далее. Информация должна поступать из определенного места, и запрос должен соответствовать определенным параметрам, чтобы получить доступ к этой ограниченной функциональности.

«Поскольку они взаимодействуют с физической средой , киберфизические системы должны обеспечивать выполнение вычислительных задач в режиме реального времени, таких как контроллеры», — сказал Ченьянг Лу, профессор информатики и инженерии Фуллграфа и автор статьи.

«Традиционно это достигается с помощью планировщика в реальном времени в операционной системе, который, однако, может быть включен в состав. Ключевым достижением RT-TEE является предоставление безопасной структуры планирования в реальном времени, которая поддерживает гарантии производительности в реальном времени для безопасности. -критические задачи, даже когда остальная часть системы скомпрометирована», — сказал Лу.

Мысль о том, что чью-то машину могут взломать, не беспокоит отдаленное будущее. Это было сделано раньше. Чжан говорит, что для беспилотных автомобилей и всех киберфизических систем крайне важно, чтобы третий столп безопасности — доступность — также был защищен.

«Когда дело доходит до безопасности критически важных систем, которые я разрабатываю, я спрашиваю: «Согласился бы я сидеть в машине, когда такой продвинутый хакер атакует машину?» Если я этого не сделаю, то я плохо работаю».