Automotive Security: আধুনিক স্মার্ট গাড়ির সাইবার নিরাপত্তা ঝুঁকি এবং প্রতিরোধ!

একটি আধুনিক গাড়িকে চলন্ত data center হিসেবে বিবেচনা করা যেতে পারে। এর internal architecture-এ থাকে ৫০-১৫০টি Electronic Control Unit (ECU)—মূলত embedded computer—যা বিভিন্ন subsystem নিয়ন্ত্রণ করে। Engine Control Module (ECM), Transmission Control Module (TCM), Brake Control Module, Body Control Module (BCM), এবং Infotainment Unit—এদের কয়েকটি উদাহরণ।

এই ECU-গুলো একে অপরের সঙ্গে communicate করে কয়েকটি network protocol-এর মাধ্যমে:

CAN (Controller Area Network): সবচেয়ে পুরনো এবং common। দুই-তারের differential bus যা real-time control message broadcast করে। CAN-এ কোনো built-in security নেই—কোনো authentication, কোনো encryption।

CAN-FD (CAN with Flexible Data-rate): CAN-এর evolution, বেশি bandwidth এবং larger payload, কিন্তু security model একই।

LIN (Local Interconnect Network): সস্তা, low-speed bus। CAN-এর sub-protocol, sensor এবং actuator-এর জন্য।

FlexRay: Safety-critical application-এর জন্য high-speed, deterministic protocol।

MOST (Media Oriented Systems Transport): Multimedia data-এর জন্য, infotainment system-এ ব্যবহৃত।

Automotive Ethernet: Modern luxury এবং electric vehicle-এ ব্যবহৃত high-bandwidth network—Tesla, Audi, BMW-এর latest model-এ।

ECU-গুলোর মধ্যে gateway থাকে যা different network domain-এর মধ্যে message route করে। এই gateway একটি critical security control point।

CAN bus আধুনিক vehicle-এর central nervous system। কিন্তু এর design ৪০ বছর পুরনো (Bosch ১৯৮৬), এবং সেই সময় cybersecurity consideration ছিল না।

Sniffing: OBD-II port (dashboard-এর নিচে যে port mechanic ব্যবহার করেন) থেকে CAN traffic শুনলে সব ECU-এর message দেখা যায়। কোনো decoding key নেই, কিন্তু reverse engineering লাগে কারণ message-এর meaning vendor-specific।

Injection: Attacker তার own CAN message inject করে gateway বা specific ECU-কে manipulate করতে পারেন। উদাহরণস্বরূপ, brake apply command spoof করা, engine RPM-এর spoofed reading পাঠানো, বা airbag deploy command issue করা।

Replay Attack: Legitimate message record করে পরে replay করা। যেহেতু CAN-এ timestamp বা sequence number নেই, এই attack trivially সম্ভব।

Denial of Service: CAN-এ message priority-based arbitration হয়—lower ID-এর message higher priority পায়। Attacker ID 0 (highest priority) দিয়ে continuous message inject করে অন্য সব ECU-কে message পাঠাতে বাধা দিতে পারেন।

বিখ্যাত research—Stephen Checkoway এবং Karl Koscher-এর ২০১১ এর paper—দেখিয়েছিল CD player-এর firmware-এ malicious code inject করে CAN bus-এ পৌঁছানো এবং vehicle control নেওয়া সম্ভব।

Physical OBD-II access-এর তুলনায় remote attack অনেক বেশি serious। আধুনিক vehicle-এ বহু wireless interface থাকে—প্রতিটি একটি potential attack vector।

Cellular (LTE/5G): Telematics unit cellular network-এর সঙ্গে connected। Manufacturer-এর backend server-এর সঙ্গে communication—OTA update, location tracking, remote diagnostics। ২০১৫-এর Jeep hack এই channel ব্যবহার করেছিল।

Wi-Fi: Many modern vehicle hotspot হিসেবে কাজ করে। যদি Wi-Fi stack-এ vulnerability থাকে, attacker physically কাছাকাছি থেকে exploit করতে পারেন।

Bluetooth: Phone pairing-এর জন্য ব্যবহৃত। BlueBorne-এর মতো Bluetooth stack vulnerability vehicle-এর infotainment compromise করতে পারে।

Key Fob (RKE): Remote Keyless Entry system-এ rolling code ব্যবহৃত হয়, কিন্তু many implementation-এ rolljam, relay, এবং replay attack সম্ভব। ২০২২-২০২৩ সালে Honda, Hyundai-এর বহু model-এ vulnerability documented হয়েছে।

TPMS (Tire Pressure Monitoring): প্রতিটি wheel-এ sensor wireless ভাবে pressure data পাঠায়। Tracking attack possible—একটি car-কে unique sensor ID দিয়ে track করা।

Infotainment USB/CD: Malicious media file infotainment-এর parsing engine exploit করতে পারে।

V2X (Vehicle-to-Everything): আধুনিক vehicle-এ V2V (Vehicle-to-Vehicle), V2I (Vehicle-to-Infrastructure) communication। DSRC (5.9 GHz) বা C-V2X protocol। এই emerging technology-এর attack surface গবেষণাধীন।

২০১৫ সালের Jeep Cherokee hack অটোমোটিভ cybersecurity-এর ইতিহাসে watershed moment। Charlie Miller এবং Chris Valasek demonstrate করেছিলেন কীভাবে cellular network-এর মাধ্যমে একটি driving Jeep-এর সম্পূর্ণ control নেওয়া যায়।

Attack chain:

1. Initial Access: Sprint cellular network-এ Uconnect head unit (infotainment)-এর exposed D-Bus service আবিষ্কার। Port 6667 publicly accessible ছিল cellular IP range থেকে।
2. Code Execution: D-Bus-এ unauthenticated command execution achieved।
3. Persistence: Firmware modification through Uconnect's V850 chip। এই chip Uconnect এবং CAN bus-এর মধ্যে bridge।
4. CAN Injection: V850-এর modified firmware থেকে arbitrary CAN message inject—steering, brake, transmission control।

এই vulnerability-এর কারণে Fiat Chrysler ১.৪ মিলিয়ন vehicle recall করতে বাধ্য হয়েছিল—অটোমোটিভ ইতিহাসের প্রথম large-scale cybersecurity recall। এর পরে US-এ NHTSA এবং অন্যান্য regulator অটোমোটিভ cybersecurity-কে regulatory framework-এ আনতে শুরু করেছে।

Tesla-এর security model traditional manufacturer-দের চেয়ে অনেক আধুনিক। তাদের architecture-এ:

• Bug Bounty Program: ২০১৪ থেকে চালু, modern OEM-দের মধ্যে অন্যতম mature।
• OTA Update: Cellular এবং Wi-Fi-এর মাধ্যমে regular security update।
• Code Signing: ECU firmware cryptographically signed।
• Internal Network Segmentation: Infotainment এবং safety-critical network আলাদা।

তবে Tesla-ও সম্পূর্ণ invulnerable নয়। Tencent-এর Keen Security Lab বহুবার Tesla-তে vulnerabilities discover করেছে—remote code execution, CAN bus access, এবং Autopilot system manipulation। প্রতিটি case-এ Tesla দ্রুত OTA patch দিয়েছে।

Pwn2Own Automotive (২০২৪-এ launched) প্রথম automotive-specific contest যেখানে researcher-রা Tesla, Sony, এবং অন্যান্য system-এ exploit demonstrate করেন।

Electric vehicle (EV)-এর কিছু unique attack surface আছে:

Charging Infrastructure: Public charging station, especially DC fast charger, vehicle-এর সঙ্গে complex communication করে (CHAdeMO, CCS, NACS protocol)। Charger-এর payment system, charging session authentication, এবং grid communication—সব layer-এ vulnerability সম্ভব।

Battery Management System (BMS): EV-এর battery pack-এ thousands of cell এবং sophisticated BMS। BMS compromise battery-কে overcharge, overheat, এমনকি thermal runaway-এ নিয়ে যেতে পারে—একটি catastrophic safety risk।

Grid Integration: Vehicle-to-Grid (V2G) technology EV-কে power network-এর সঙ্গে bi-directional connect করে। এর security implication massive—compromised EV fleet potentially grid attack-এর tool হতে পারে।

Autonomous এবং semi-autonomous vehicle-এ new dimension যোগ হয়েছে cybersecurity-এ। Sensor (LiDAR, camera, radar, ultrasonic) এবং AI/ML model-এর সঙ্গে adversarial attack সম্ভব।

Sensor Spoofing:

• LiDAR sensor-এ laser দিয়ে false return inject করে ghost obstacle তৈরি বা real obstacle hide করা।
• Camera-এর সামনে adversarial patch বা sticker দিয়ে object recognition confuse করা।
• Radar spoofing-এর জন্য specialized equipment।
• GPS spoofing—যা Tesla এবং অন্যান্য autonomous system-এ Mediterranean researcher-রা demonstrate করেছেন।

Adversarial ML Attacks: Tesla Autopilot-এর neural network-কে confuse করার জন্য road sign-এ subtle modification—যা মানুষের চোখে normal কিন্তু AI-এর জন্য সম্পূর্ণ ভিন্ন object।

Adversarial Patches: McAfee researcher-রা ২০২০ সালে দেখিয়েছিলেন একটি simple piece of tape দিয়ে speed limit sign-এ "35" কে "85" হিসেবে read করানো সম্ভব—Tesla তখন automatically accelerate করতে শুরু করে।

Over-the-Air (OTA) update আধুনিক vehicle-এর জন্য essential, কিন্তু এর own security implication আছে। যদি OTA mechanism compromise হয়, attacker simultaneously পুরো fleet-এ malicious firmware push করতে পারেন—একটি catastrophic supply chain attack।

Secure OTA-এর core requirement:

• Code Signing: প্রতিটি update cryptographically signed, vehicle এ verify করে।
• Secure Boot: Only signed firmware execute হয়।
• Atomic Updates: Update fail হলে rollback।
• Update Channel Security: TLS, mutual authentication backend-এর সঙ্গে।
• Privilege Separation: Update mechanism-এ minimum necessary access।

Uptane এবং SUIT (Software Updates for Internet of Things) hardened OTA framework যা automotive ecosystem-এ adopted হয়েছে।

Automotive cybersecurity এখন regulated industry। প্রধান framework:

UN Regulation No. 155 (UN R155): WP.29-এর adopted, ২০২২ থেকে EU-তে mandatory। Vehicle manufacturer-দের জন্য Cybersecurity Management System (CSMS) certification লাগে।

UN Regulation No. 156 (UN R156): Software update process-এর regulation।

ISO/SAE 21434: Automotive cybersecurity-এর জন্য international standard। Risk assessment, design, validation, এবং production-throughout cybersecurity lifecycle।

ISO 26262: Functional safety, কিন্তু modern interpretation cybersecurity-এর সঙ্গে integrated।

NHTSA Cybersecurity Best Practices: US-এ voluntary guidance।

এসব framework অনুযায়ী OEM-দের cybersecurity team, threat modeling, penetration testing, এবং incident response capability থাকতে হবে।

Automotive cybersecurity-এর জন্য multi-layer defense প্রয়োজন:

Secure Architecture: Domain-based architecture যেখানে infotainment, body, powertrain, safety-critical network আলাদা domain-এ। Domain controller-এর মাধ্যমে strict gateway control।

Hardware Security: HSM (Hardware Security Module) সব ECU-এর জন্য, secure key storage এবং cryptographic operation। Trusted Platform Module (TPM) integration।

Network Security: CAN bus authentication—SecOC (Secure Onboard Communication) standard যা MAC (Message Authentication Code) যোগ করে CAN message-এ। Intrusion Detection System (IDS)-এর in-vehicle deployment।

Application Security: Memory-safe language (Rust adoption growing), secure coding practice, comprehensive testing।

Supply Chain Security: Tier-1 এবং Tier-2 supplier-দের cybersecurity requirement, SBOM, এবং continuous monitoring।

Incident Response: Automotive Vehicle Security Operations Center (V-SOC), real-time monitoring, এবং rapid OTA patch capability।

Jeep hack ছাড়াও বহু high-profile case আছে:

BMW ConnectedDrive (২০১৫): ২.২ মিলিয়ন vehicle-এ vulnerability—telematics unit-এর backend communication-এ man-in-the-middle attack সম্ভব ছিল।

Tesla Model S (২০১৬): Keen Security Lab-এর demonstrated remote attack যা Tesla-কে browser through compromise এবং brake control achieve করেছিল।

Hyundai/Kia Theft Surge (২০২২-২০২৩): TikTok challenge-এর মাধ্যমে massive theft—একটি simple USB cable দিয়ে immobilizer-less Hyundai এবং Kia start করা যায়। লক্ষ লক্ষ vehicle affected।

Honda Rolling-PWN (২০২২): Honda-এর rolling code system-এ replay vulnerability।

প্রতিটি incident automotive industry-কে cybersecurity-এর গুরুত্ব নতুন করে বুঝিয়েছে।