ECU Reflashing: গাড়ির ইঞ্জিন কন্ট্রোল ইউনিট ম্যানিপুলেট করার সাইবার ঝুঁকি!

Engine Control Unit বা ECU হলো এমন একটি এমবেডেড কম্পিউটার যা গাড়ির ইঞ্জিনের বিভিন্ন কার্যক্রম নিয়ন্ত্রণ করে। এর মধ্যে রয়েছে fuel injection timing, ignition timing, air-to-fuel ratio, idle speed, emission control এবং অন্যান্য অসংখ্য পরামিতি। যদিও "ECU" শব্দটি ঐতিহাসিকভাবে ইঞ্জিন কন্ট্রোলারের জন্য ব্যবহৃত হতো, আজকাল এটি গাড়ির যেকোনো ইলেকট্রনিক কন্ট্রোল ইউনিটকে বোঝাতে ব্যবহৃত হয়।

আধুনিক গাড়িতে বিভিন্ন বিশেষায়িত ECU রয়েছে যেমন Powertrain Control Module (PCM), Transmission Control Module (TCM), Body Control Module (BCM), Antilock Braking System (ABS) controller, Airbag Control Module, Adaptive Cruise Control unit, Telematics Control Unit (TCU) এবং Infotainment system। এই সমস্ত ECU একটি বা একাধিক bus network এর মাধ্যমে একে অপরের সাথে যোগাযোগ স্থাপন করে।

Controller Area Network বা CAN bus আজকাল সবচেয়ে সাধারণ যানবাহন যোগাযোগ প্রোটোকল। 1986 সালে Bosch দ্বারা বিকশিত, CAN একটি multi-master broadcast প্রোটোকল যা নিম্ন খরচে নির্ভরযোগ্য যোগাযোগ প্রদান করে। তবে CAN ডিজাইনে কোনো প্রমাণীকরণ বা এনক্রিপশন অন্তর্ভুক্ত করা হয়নি, যা সাইবার নিরাপত্তার দৃষ্টিকোণ থেকে গুরুতর সমস্যা। নতুন গাড়িতে CAN-FD, FlexRay, MOST এবং automotive Ethernet এর মতো উন্নত প্রোটোকল ব্যবহৃত হচ্ছে।

ECU Reflashing হলো ECU এর firmware সম্পূর্ণ বা আংশিকভাবে পুনরায় প্রোগ্রাম করার প্রক্রিয়া। এটি বিভিন্ন বৈধ উদ্দেশ্যে করা হয় যেমন নির্মাতার আপডেট প্রয়োগ, ত্রুটি সংশোধন, নতুন ফিচার সংযোজন বা পারফরম্যান্স টিউনিং। প্রক্রিয়াটি সাধারণত On-Board Diagnostics বা OBD-II port এর মাধ্যমে সম্পন্ন হয়, যা 1996 সাল থেকে সমস্ত যাত্রীবাহী গাড়িতে বাধ্যতামূলক।

Unified Diagnostic Services বা UDS, যা ISO 14229 মান অনুসরণ করে, ECU এর সাথে যোগাযোগের জন্য মানসম্পন্ন প্রোটোকল প্রদান করে। UDS এর মাধ্যমে diagnostic trouble code পড়া, sensor data মনিটর করা, actuator test করা এবং firmware আপডেট করা যায়। নির্মাতারা সাধারণত তাদের নিজস্ব diagnostic protocol যেমন BMW এর Tool32, Mercedes এর Xentry এবং Volkswagen এর VAG-COM ব্যবহার করেন।

ECU Reflashing এর প্রক্রিয়া কয়েকটি ধাপে সম্পন্ন হয়। প্রথমে সিকিউরিটি অ্যাক্সেস অর্জন করতে হয়, যা সাধারণত seed/key challenge-response পদ্ধতি ব্যবহার করে। এরপর existing firmware backup নিয়ে নতুন firmware ব্লক আকারে স্থানান্তর করা হয়। প্রতিটি ব্লক CRC দিয়ে যাচাই করা হয় এবং সঠিকভাবে সংরক্ষণ নিশ্চিত করা হয়। অবশেষে ECU পুনরায় চালু করা হয় এবং নতুন firmware সক্রিয় হয়।

ECU Reflashing গুরুতর সাইবার নিরাপত্তা ঝুঁকি তৈরি করে। সবচেয়ে বড় উদ্বেগ হলো ম্যালিশিয়াস firmware এর ইনস্টলেশন। যদি কোনো আক্রমণকারী OBD-II port এ অ্যাক্সেস পান অথবা remote attack vector এর মাধ্যমে diagnostic system এ প্রবেশ করতে পারেন, তারা গাড়ির আচরণ মৌলিকভাবে পরিবর্তন করতে পারেন।

পারফরম্যান্স টিউনিং বা "chip tuning" বাজার একটি বৃহত্তর ইকোসিস্টেমে বিকশিত হয়েছে যেখানে অনেক টুল সহজলভ্য। KESS V2, Galletto, MPPS এবং Auto Tuner এর মতো ডিভাইস বিভিন্ন গাড়ির ECU পড়তে এবং লিখতে পারে। যদিও এগুলো বৈধ ডায়াগনস্টিক উদ্দেশ্যে বাজারজাত করা হয়, একই টুল ক্ষতিকর উদ্দেশ্যেও ব্যবহার করা সম্ভব।

বিখ্যাত Volkswagen Dieselgate কেলেঙ্কারি 2015 সালে প্রকাশিত হয়েছিল যেখানে দেখা গিয়েছিল কীভাবে ECU firmware ম্যানিপুলেশনের মাধ্যমে emission test বাইপাস করা হয়েছিল। ECU detect করত যখন গাড়িটি পরীক্ষা পরিস্থিতিতে রয়েছে এবং তখনই emission control সম্পূর্ণ সক্রিয় করত। এই কেলেঙ্কারি অবৈধ ECU পরিবর্তনের একটি বাস্তব উদাহরণ যা পরিবেশ এবং জনস্বাস্থ্যের উপর ব্যাপক প্রভাব ফেলেছিল।

2015 সালে Charlie Miller এবং Chris Valasek এর Jeep Cherokee হ্যাক automotive cybersecurity ক্ষেত্রে একটি জলবিভাজক মুহূর্ত। তারা প্রদর্শন করেছিলেন কীভাবে দূরবর্তীভাবে cellular network এর মাধ্যমে Jeep এর Uconnect infotainment system এ অনুপ্রবেশ করে CAN bus এ অ্যাক্সেস পাওয়া যায়। এই অ্যাক্সেসের মাধ্যমে তারা গাড়ির steering, brakes এবং transmission নিয়ন্ত্রণ করতে সক্ষম হয়েছিলেন। ফলস্বরূপ Chrysler প্রায় 1.4 মিলিয়ন গাড়ি রিকল করতে বাধ্য হয়েছিল।

Tencent এর Keen Security Lab বছরের পর বছর Tesla গাড়ির বিভিন্ন দুর্বলতা প্রকাশ করেছে। 2016 সালে তারা প্রথম Tesla Model S এর CAN bus এ remote অ্যাক্সেস প্রমাণ করেছিলেন এবং braking system নিয়ন্ত্রণ করেছিলেন। পরবর্তী বছরগুলোতে তারা autopilot system, key fob, এবং বিভিন্ন ECU তে আরও দুর্বলতা চিহ্নিত করেছেন।

2020 সালে Pen Test Partners একটি জনপ্রিয় immobilizer system - DST80 এর দুর্বলতা প্রকাশ করেছিল যা Toyota, Hyundai, Kia এবং Tesla এর বিভিন্ন মডেলে ব্যবহৃত হত। এই দুর্বলতা key fob ক্লোনিং সম্ভব করেছিল। 2022 সালে গবেষকরা Hyundai এর কিছু মডেলে firmware update process এ দুর্বলতা চিহ্নিত করেছিলেন যা arbitrary code execution সম্ভব করত।

CAN injection attack এর একটি বিখ্যাত উদাহরণ হলো 2023 সালের রিপোর্ট যেখানে চোররা Toyota এবং Lexus গাড়ি চুরির জন্য headlight wiring এর মাধ্যমে CAN bus এ আক্রমণ করছিল। তারা একটি বিশেষ ডিভাইস ব্যবহার করে door unlock এবং engine start commands ইনজেক্ট করতে পারত, যা গাড়ির নকল চাবি ছাড়াই চুরি সম্ভব করত।

ECU Reflashing এর আইনি অবস্থা দেশভেদে ভিন্ন। যুক্তরাষ্ট্রে Clean Air Act emission-related ECU পরিবর্তন নিষিদ্ধ করে এবং EPA এই বিধান কঠোরভাবে প্রয়োগ করে। 2020 সালে EPA Sinister Diesel কোম্পানিকে $1 মিলিয়ন জরিমানা করেছিল emission defeat device বিক্রির জন্য। ইউরোপীয় ইউনিয়নে similar emission regulation প্রযোজ্য এবং type approval নষ্ট হলে গাড়িটি রাস্তায় চলাচলের অযোগ্য হয়ে যায়।

ব্যক্তিগত গবেষণা এবং পারফরম্যান্স উন্নয়নের জন্য ECU টিউনিং অনেক দেশে অনুমোদিত, তবে শুধুমাত্র ট্র্যাক বা race track এ ব্যবহারের জন্য। On-road ব্যবহার warranty void করতে পারে এবং insurance claim refuse হতে পারে। বাংলাদেশের BRTA নীতিমালা অনুযায়ী, যানবাহনের specification পরিবর্তন অনুমোদনের প্রয়োজন।

Right to Repair আন্দোলন automotive সফটওয়্যারের অ্যাক্সেস সংক্রান্ত একটি গুরুত্বপূর্ণ বিতর্ক। নির্মাতারা প্রায়ই ECU সফটওয়্যার এবং diagnostic protocol কে গোপনীয় হিসেবে দাবি করেন, যা স্বাধীন মেকানিক এবং গবেষকদের জন্য সমস্যা সৃষ্টি করে। ম্যাসাচুসেটস এর 2020 Right to Repair Act গাড়ি নির্মাতাদের diagnostic data শেয়ার করতে বাধ্য করেছিল, যা শিল্পে বড় পরিবর্তন এনেছে।

Automotive cybersecurity আজকে গাড়ি নির্মাতাদের জন্য একটি প্রধান অগ্রাধিকার হয়ে উঠেছে। UN Regulation No. 155 (UN R155) 2024 সাল থেকে কার্যকর হয়েছে যা গাড়ি নির্মাতাদের জন্য Cybersecurity Management System (CSMS) বাধ্যতামূলক করেছে। ISO/SAE 21434 হলো automotive cybersecurity engineering এর জন্য আন্তর্জাতিক মান যা সম্পূর্ণ vehicle lifecycle জুড়ে নিরাপত্তা প্রয়োজনীয়তা সংজ্ঞায়িত করে।

আধুনিক ECU তে hardware security module বা HSM ব্যবহার করা হয় যা cryptographic operation, secure key storage এবং authentication প্রদান করে। AUTOSAR এর Secure Onboard Communication বা SecOC স্ট্যান্ডার্ড CAN message এ message authentication code যুক্ত করে authentication এবং anti-replay protection প্রদান করে। Secure boot নিশ্চিত করে যে ECU শুধু authenticated firmware চালাবে।

Intrusion Detection System for vehicles ক্রমশ গুরুত্বপূর্ণ হয়ে উঠছে। Argus, Karamba Security, Upstream এবং অন্যান্য কোম্পানি vehicular IDS সমাধান সরবরাহ করে যা CAN bus traffic মনিটর করে এবং অস্বাভাবিক প্যাটার্ন সনাক্ত করে। Vehicle SOC বা VSOC প্রতিষ্ঠা করে নির্মাতারা তাদের সম্পূর্ণ fleet এর জন্য রিয়েল-টাইম মনিটরিং এবং threat response প্রদান করছেন।

Over-the-Air (OTA) update ক্ষমতা একটি দুই-ধারী তলোয়ার। একদিকে এটি দ্রুত নিরাপত্তা প্যাচ প্রয়োগ সম্ভব করে যা Tesla এর মাধ্যমে জনপ্রিয় হয়েছে। অন্যদিকে, OTA system নিজেই একটি আক্রমণ ভেক্টর তৈরি করে যদি যথাযথভাবে সুরক্ষিত না হয়। নির্মাতাদের কঠোরভাবে code signing, secure communication channel এবং rollback protection বাস্তবায়ন করতে হবে।

ভোক্তাদের জন্য কিছু অনুশীলন গুরুত্বপূর্ণ। শুধুমাত্র authorized dealer বা reputable mechanic এর মাধ্যমে ECU সংক্রান্ত কাজ করান। OBD-II port এ অননুমোদিত device সংযুক্ত করবেন না - কিছু insurance company এর dongle এবং aftermarket telematics device নিরাপত্তা ঝুঁকি তৈরি করতে পারে। key fob কে RFID-blocking pouch এ রাখুন relay attack প্রতিরোধে। আপনার গাড়ির সিকিউরিটি update সম্পর্কে জানুন এবং নির্মাতার recall notice মনোযোগ দিন।