השימוש בצגי נייר אלקטרוני לחיווי על שגיאות פאטאליות ועל סכנות אבטחה שנפרצה בצומתי IoT קריטיים

אינטרנט-של-דברים (IoT) ו- IoT תעשייתי (IIoT) משמשים יותר ויותר במערכות מאובטחות בהן האבטחה והבטיחות של הרשת כולה הן חשובות יותר מאשר הפונקציונליות של התקנים בודדים על אותה הרשת. המשמעות היא שאם צומת IoT מגלה שהוא נפרץ, או אם אירעה שגיאת קושחה שאינה ניתנת לתיקון, אזי הפעולה הבטוחה ביותר היא שהצומת יושבת בהקדם האפשרי כדי להגן על הצומת ועל הרשת מפני השלכות מסוכנות אפשריות.

עם זאת, ברגע שהצומת מושבת, כל תוכן הזיכרון הנדיף הולך לאיבוד. אחסון נתוני איתור באגים בזיכרון לא-נדיף כגון EEPROM או Flash צורך זמן והספק ומגדיל את הסיכון לנזק פוטנציאלי. בנוסף, ייתכן והמערכת נפגעה עד כדי כך שקריאת הנתונים בהפעלה עשויה שלא לספק נתונים מהימנים אם רצף ההפעלה נפגע גם כן.

מאמר זה מסביר כיצד ניתן לחבר בקלות צגי נייר אלקטרוני (EPD) לצומת IoT או IIoT כדי להציג את השגיאה הידועה האחרונה ולספקאינדיקציה ויזואלית על סיבת אירוע ההשבתה כך שהטכנאים יוכלו לנקוט בפעולה המתאימה. לאחר מכן המאמר מספק דוגמאות לצגי נייר אלקטרוני מבית Pervasive Displays ומבית Display Visions, ודן כיצד ניתן להקים ממשק בין צגים אלו לבין מיקרו-בקר ולהגדיר את תצורתן כדי לספק מידע אבחוני תוך צריכת הספק מועט או כלל לא.

צומתי IoT ו- IIoT עם אבטחה חסונה

הנטל הוא יותר ויותר על המתכננים של צומתי IoT ו- IIoT ליישם שיטות אבטחה יותר ויותר מתוחכמות כדי להבטיח פעולה תקינה של המיקרו-בקר המארח. ככלל, ישנם שלושה סוגים של איומי אבטחה שמפניהם חייבים להתגונן:

1. תקלה בקושחת המיקרו-בקר
2. נתוני כניסה לא-תקינים מחיישנים, מקשים, ציוד היקפי טורי או התקנים חיצוניים אחרים
3. פעולה של שחקן זדוני

תקלה בקושחת המיקרו-בקר יכולה להתרחש עקב מספר סיבות: שגיאות קידוד בקושחה המותקנת; חישובים לא-תקינים שגורמים לתקלה; או, במקרים נדירים ביותר, תקלה בחומרה של המיקרו-בקר. קושחה כתובה היטב מגלה זאת בדרך כלל על ידי בדיקה קפדנית של הכניסות בעזרת סאב-רוטינות ופונקציות. במקרים קיצוניים שבהם הקושחה נעולה או חוזרת על עצמה בחוג, קוצב-זמן מפקח (Watchdog) ישחזר את הקושחה על ידי הפנייה לסאב-רוטינה לבקרת שגיאות או על ידי איפוס קשיח של המיקרו-בקר.

במקרה של נתוני כניסה לא-תקינים, כמו למשל אם חיישן חיצוני מתקלקל או שהושחת, נתונים מחוץ לתחום יכולים להוביל לכך שייתכן שהם לא יטופלו כראוי בקוד היישום. לדוגמה, אם חיישן טמפרטורת הסביבה בחדר בקרה מאוכלס בבני-אדם רושם באופן שגוי טמפרטורה לוהטת של 250°F‏, זה עשוי להיות עקב תקלה בחיישן או השחתה בזדון. יתכן שמתכנתי קושחה רשלניים לא קידדו קריאת טמפרטורה גבוהה זו, שבתורה יכולה להוביל למשהו טריוויאלי כמו רישום נתונים שגוי או למשהו רציני כמו לאפשר לפורץ גישה לאזור מאובטח או קריטי. לדוגמה, שגיאת חישוב באלגוריתם הבקרה עלולה להוביל לתקלה בציוד או לפציעה קשה של בני-אדם. התוצאות השליליות הפוטנציאליות הן רבות.

שחקנים זדוניים הם שונים בכך שלהם עשויות להיות כוונות לגרום לתפקוד לקוי של ה- IoT. תקלה עקב ניסיון פריצה עלולה להתגלות על ידי רוטינות האבטחה ולהיות מזוהה כפריצה, אך היא עשויה גם להסוות את עצמה כתקלה בקושחה או כנתוני כניסה חיצוניים לא-חוקיים. בדוגמה של קריאת טמפרטורת סביבה של ‎250°F‏, זה יכול להיגרם על ידי שחקן זדוני שבדק את התנהגות הקושחה בקריאה כה גבוהה מתוך כוונה לבדוק שיטת חדירה; לדוגמה, דלתות עשויות להיפתח אוטומטית אם קריאת טמפרטורת הסביבה של 250°F‏ מתפרשת באופן שגוי כשריפה.

התגובה לתקלות קושחה

ללא קשר למקור השגיאה, קושחת המיקרו-בקר עבור צומתי IoT ו- IIoT עם אבטחה חסונה חייבת להיות נקייה מפגמים ומתקלות. יש לקודד את כל התקלות וללכוד אותן. יש לבדוק בקפדנות את הכניסות לסאב-רוטינות ולפונקציות ולתקף את כל נתוני כניסות החיישנים. יש לתכנת את קוצבי-הזמן המפקחים (Watchdog) כך שיגלו קוד נעול או חוזר על עצמו בחוג ולכן לוקח זמן ארוך יותר מדי בהשוואה לזמן פעולה רגיל ידוע.

כאשר מתגלית תקלה בקושחה בצומת IoT או IIoT עם אבטחה חסונה, בין אם התקלה מקרית או מכוונת, על הקושחה ללכוד את האירוע בהקדם האפשרי. פעולות נפוצות כוללות ניסיון לפצות על התקלה. עבור חיישן פגום שיוצר בעקביות נתונים שהם מחוץ לתחום, הקושחה יכולה לכלול "אופן צליעה" עבור אותו חיישן כדי לפצות על הנתונים השגויים עד שניתן יהיה להחליפו. ניתן לאתחל מחדש את רוטינת הקושחה המחזירה תוצאות שגויות. לעתים קרובות קוד שגיאה נשלח על פני הרשת כדי להודיע למארח הרשת על הבעיה.

עם זאת, בחלק מצומתי ה- IoT או IIoT עם אבטחה חסונה קיימת קטגוריה מיוחדת של תקלות שלא ניתן או שאסור שיקבלו פיצוי או אמצעי-נגד. זה יכול לכלול גילוי של השחתה פיזית, תקלות בבדיקת-סכום (Checksum) פנימית, מספר תקלות מובנות בבדיקה-עצמית (BIST) וכל תקלה שיכולה להיגרם על ידי קושחה או מערכת שנפרצו. במקרים כאלו של אבטחה חסונה, האפשרות היחידה עשויה להיות השבתת הצומת באופן מיידי ומאובטח. מארח הרשת יקבע כי הצומת הושבת כאשר הוא אינו מצליח לענות לבקשות רשת. אם הצומת הושבת מבלי לשלוח דוח שגיאה למארח, ואם הצומת מתעלם מפקודות הרשת להפעלה-מחדש, זוהי אינדיקציה לכך שהתרחשה תקלה פאטאלית ויש לשלוח טכנאי שיבדוק פיזית את הצומת כדי לגלות את הסיבה לתקלה.

עם זאת, ברגע שהצומת מושבת, כל נתוני הזיכרון הנדיף והסטטוס נמחקים מייד. זה הופך את אבחון הסיבה להשבתה לקשה מאוד אם לא לבלתי אפשרית. לחלופין, לפני השבתת הצומת, ניתן לאחסן את נתוני הדיאגנוסטיקה בזיכרון לא-נדיף כגון EEPROM או Flash. הבעיה היא שכתיבה לסוגי זיכרון אלו אורכת זמן ובמהלכה הצומת חייב להישאר פעיל ועשוי לגרום לנזק נוסף.

אבחון שגיאות פאטאליות באמצעות נייר אלקטרוני

צגי EPD צורכים מעט מאד הספק וניתן להשתמש בהם לאחסון ולהצגת מידע על השגיאות והאבחון עד ממש לפני השבתת הצומת. לאחר השבתת הצומת, צג ה- EPD יכול לשמור על תמונת התצוגה שלו ללא כל צריכת הספק למשך ימים או שבועות. המידע שבצג נותן לטכנאים אינדיקציה ויזואלית על הסיבה להשבתה ומאפשר להם להחליט אם זה בטוח להפעיל את צומת ה- IoT או אם יש לנתק אותו מהרשת לצורך ניתוח מפורט.

דוגמה ל- EPD המתאים עבור הצגת מידע אבחוני הוא מודול ה- EPD‏ E2271CS091 מבית Pervasive Displays. הוא מתממשק לכל מיקרו-בקר תואם באמצעות ממשק טורי SPI ויש לו צג של 2.71 אינץ' עם ניגודיות גבוהה (איור 1).

איור 1: למודול EPD‏ E2271CS091 יש צג של 2.71 אינץ' עם ניגודיות גבוהה ורזולוציה של 176‏ x‏ 264‏ פיקסלים. יש לו זווית צפייה רחבה וממשקים לכל מיקרו-בקר תואם באמצעות ממשק SPI. (מקור התמונה: Pervasive Displays)

מודול EPD‏ E2271CS091 משתמש בצג מטריצה אקטיבית של טרנזיסטורי פילם-דק (TFT) עם רזולוציה טבעית של 176‏ x‏ 264‏ פיקסלים ב- 117 נקודות לאינץ' (dpi). זה מאפשר לצג להכיל מידע רב שיסייע לטכנאים באבחון. למסך נגד-סינוור יש זווית צפייה רחבה של כמעט 180° המאפשרת צפייה נוחה בצג במיקומי הרכבה לא-רגילים. ה- EPD דורש הספקת-כוח של 3.0 וולט.

המיקרו-בקר המארח שולח נתונים ל- EPD באמצעות ממשק SPI על מחבר הרצועה עם 24 פינים של הצג. תקשורת הנתונים SPI היא רק בכיוון אחד, מהמיקרו-בקר המארח אל ה- EPD. התקשורת היחידה בחזרה מה- EPD למיקרו-בקר המארח היא דרך פין "התקן עסוק" על מחבר הרצועה, המפשט מאוד את הממשק ומגדיל את הביטחון בנתוני האבחון המוצגים.

אם מתגלית שגיאה או ניסיון פריצה, ואם השגיאה חמורה דיה כדי לדרוש השבתת הצומת, יש ללכוד תחילה את השגיאה באמצעות קושחה, קוצב-זמן מפקח (Watchdog) או בשיטה אחרת. לאחר מכן יש להעביר את הבקרה לרוטינת רישום שגיאות השולחת נתונים ל- EPD. רוטינת רישום שגיאות זו צריכה להיות המשימה בעדיפות העליונה ביותר כדי למנוע הפרעה או השחתה של הנתונים. עבור אמינות מקסימלית, מומלץ שרוטינת רישום השגיאות תהיה עצמאית לחלוטין, ללא פניות לסאב-רוטינות או פונקציות חיצוניות. אידיאלית, רוטינת רישום השגיאות צריכה להיות בזיכרון Flash מוגן-כתיבה פרמננטי כדי להבטיח את שלמות הקוד, אפילו לאחר עדכוני הקושחה.

לפני עדכון ה- EPD עם נתוני השגיאה, על המיקרו-בקר המארח לשלוח תחילה פקודת איפוס רכה דרך ממשק ה- SPI ל- EPD כדי לנקות את התצוגה. לאחר מכן הוא שולח את פרטי התצוגה בשחור-לבן בסדרה של רצפי בייטים, כאשר כל ביט בבייט מייצג פיקסל ב- EPD. לאחר השלמת הרצף, רוטינת רישום השגיאות יכולה להשבית את המיקרו-בקר. ליצרני מיקרו-בקרים שונים יש דרכים שונות להשבתה מכיוון שזה תלוי בארכיטקטורה וביצרן. במצבים מסוימים ומסיבות של אבטחה, ליצרן יכולה להיות דרך לא-מתועדת להשבית את המיקרו-בקר הזמינה רק על פי בקשה. אופציונלית, ניתן להשתמש במעגל חיצוני לניתוק הספקת-הכוח למיקרו-בקר, אם כי זה מגדיל את מורכבות המערכת ומקטין את האמינות. לפיכך עדיף לשלוט על ההשבתה באמצעות הקושחה של המיקרו-בקר.

כדי לסייע בפיתוח באמצעות ה- EPD, חברת Pervasive Displays מציעה את ערכת הרחבת EPD‏ B3000MS034 (איור 2). לערכה יש לוח הרחבה עם מחבר עבור צג EPD עם 24 פינים, כמו גם מחברים עבור צגי EPD אחרים מבית Pervasive Displays הדורשים מחברים של 40 פינים ו- 26 פינים. לוח ההרחבה תואם לערכות הפיתוח וההערכה LaunchPad מבית Texas Instruments, אך יכול לשמש גם עם ערכות פיתוח אחרות. ניתן לחבר כבל גישור עם 20 פינים למחבר פס-פינים ב- °‏90‏ עם 20 פינים, שכאשר הוא מולחם ללוח ההרחבה מאפשר ניטור של אותות הבקרה ל- EPD במהלך הפיתוח.

איור 2: ערכת ההרחבה עבור מודול E2271CS091 EPD מבית Pervasive Displays כוללת מחבר עם 24 פינים על לוח ההרחבה עבור כבל הרצועה עם 24 פינים של הצג. הערכה כוללת גם כבל מגשר ומחבר פס-פינים ב- °‏90‏ עם 20 פינים. (מקור התמונה: Pervasive Displays)

אפשרות EPD נוספת היא ה- EA EPA20-A מבית Display Visions (איור 3).

איור 3: צג EA EPA20-A EPD‏ מבית Display Visions הוא צג 72‏ x‏ 172‏ היכול לשמור על סטטוס הצג ללא חיבור להספקת-כוח. (מקור תמונה: Visions Display)

ל- EPD זה צג גווני אפור של 72‏ x‏ 172‏ והוא גם משתמש בממשק SPI עבור תקשורת עם מיקרו-בקר מארח. ה- EPD הוא בהספק נמוך ביותר הדורש הספקת-כוח יחידה של 3.3 וולט וצורך רק 40 מיליוואט (mW) במהלך שינוי התצוגה. ה- EA EPA20-A EPD מבית Display Visions יכול גם לשמור על התצוגה שלו ללא הספקת-כוח.

סיכום

צומתי IoT ו- IIoT עם אבטחה חסונה חייבים לעיתים להיות מושבתים בתגובה לשגיאת קושחה פאטאלית או איום שהתגלה. זה יכול לגרום לאובדן של כל הנתונים הנדיפים, כולל הסטטוס הפנימי של המיקרו-בקר המארח. ניתן אזי לשלוח נתוני סטטוס ואבחון ל- EPD מחובר לפני ההשבתה ולהציגם במשך ימים או שבועות. זה מעניק לטכנאים את המידע הדרוש להם כדי לקבוע את סיבת ההשבתה ולנקוט באמצעי זהירות עתידיים, במידת הצורך, כדי להגן על הצומת ועל הרשת.