汽車信息系統(tǒng):緣何成為攻擊新目標?
來源:日經(jīng)技術(shù)在線
作者:日經(jīng)技術(shù)在線
摘要: 變成軟件集合體的汽車,如今正面臨著新的威脅(圖1)。2010年,美國的研究人員發(fā)現(xiàn),經(jīng)由汽車內(nèi)外的通信渠道可以攻擊車載軟件的漏洞,從而影響車輛的控制系統(tǒng)。這表明,雖然注重實時性的車載系統(tǒng)與信息系統(tǒng)存在不同,但在認證、通信保密等方面,車載軟件存在信息安全上的弱點。
Abstract:
Key words :
近年來,包括導(dǎo)入各式各樣的軟件在內(nèi),信息技術(shù)在汽車上的運用越來越廣泛。有些汽車配備的電子控制單元(ECU:Electronic Control Unit)甚至多達100個以上,程序代碼據(jù)說多達約1000萬行,汽車已經(jīng)變成了配備大量軟件的系統(tǒng)。
變成軟件集合體的汽車,如今正面臨著新的威脅(圖1)。2010年,美國的研究人員發(fā)現(xiàn),經(jīng)由汽車內(nèi)外的通信渠道可以攻擊車載軟件的漏洞,從而影響車輛的控制系統(tǒng)。這表明,雖然注重實時性的車載系統(tǒng)與信息系統(tǒng)存在不同,但在認證、通信保密等方面,車載軟件存在信息安全上的弱點。
而且,今后車載軟件系統(tǒng)受到攻擊的可能性還會上升。這是因為攻擊的途徑正在增加。車輛外部接口的種類越來越多,除了故障診斷功能“OBD-II”和充電控制接口之外,還包括與智能手機、平板電腦聯(lián)動的功能等。
圖1:與汽車相關(guān)的系統(tǒng)和威脅
本文將對汽車為何需要信息安全、日本信息處理推進機構(gòu)(IPA)開展的汽車威脅與對策分析、信息安全強化措施等進行介紹。
汽車為何需要信息安全?
在汽車上采用控制軟件等信息技術(shù)并不是新鮮事。早在1980年,就曾在ECU中嵌入了擁有大約2000行代碼的軟件。那么,為什么時至今日,汽車開始需要信息安全了呢?
這并不僅僅是因為開篇提到的軟件規(guī)模擴大了數(shù)千倍而已,還與汽車技術(shù)的三大趨勢有關(guān)。
第一個趨勢是,以智能手機為中心,汽車與互聯(lián)網(wǎng)聯(lián)動越來越普遍。智能手機與傳統(tǒng)手機的一大差異在于客戶可以開發(fā)應(yīng)用,比較自由地向任何人提供。從簡單應(yīng)用到實用類型,市面上流通的應(yīng)用種類繁多。面向汽車的應(yīng)用也已經(jīng)出現(xiàn)。
問題是,在這些應(yīng)用中,有一些應(yīng)用的可靠性很差。黑客有可能通過其中的漏洞,以智能手機為跳板,給車載設(shè)備和車載導(dǎo)航儀系統(tǒng)造成損害,或是經(jīng)由智能手機泄露車內(nèi)信息,侵犯駕駛員的隱私。而且,使用智能手機意味著汽車隨時都與外部網(wǎng)絡(luò)連接。因此,經(jīng)由外部網(wǎng)絡(luò)和智能手機,能夠?qū)φ谛旭偟钠嚢l(fā)起攻擊。
除了智能手機之外,ETC(自動收費系統(tǒng))、智能車鑰匙等通過無線與外部連接的功能,以及純電動汽車(EV)經(jīng)由充電插頭連接車載網(wǎng)絡(luò)的功能也在逐漸普及。
今后,隨著汽車開始隨時隨地接入車外網(wǎng)絡(luò),夸張點說,攻擊者無需靠近汽車,就可以跨越網(wǎng)絡(luò)攻擊全世界的汽車。即使不是隨時隨地接入網(wǎng)絡(luò),用戶誤下載的智能手機惡意以應(yīng)用也有可能危害到汽車。
車載設(shè)備廣泛采用通用系統(tǒng)
第二個趨勢是車載軟件、車載LAN對于汽車的“行駛、轉(zhuǎn)彎、停車”等基本控制功能的影響正在增大。例如汽車廠商使用通信或信息終端來提供門鎖控制、調(diào)整發(fā)動機功率、更新軟件等服務(wù)。這些功能一旦被黑客成功入侵,很容易產(chǎn)生重大危害。
而且,為了在降低成本的同時確保通用性,部分車載系統(tǒng)開始使用Linux之類的通用操作系統(tǒng)。汽車用戶使用起各項服務(wù)來越來越方便,但解析與攻擊操作系統(tǒng)的難度也隨之越來越低。
不只是操作系統(tǒng),車載LAN的通用性也在提高。比如德國政府援助的項目“SEIS(Security Embedded IP-based System)”,該項目正在考慮讓車載LAN采用“以太網(wǎng)”,并使用標準通信協(xié)議“TCP/IP”。2008年,寶馬采用以太網(wǎng)作為車載診斷接口之一,用來改寫軟件。
過去,以“CAN(控制器區(qū)域網(wǎng)絡(luò))”為代表,車載LAN的通信方式雖然在電路層級實現(xiàn)了標準化,但請求指令、響應(yīng)機制等具體內(nèi)容大多是因企業(yè)而異的,構(gòu)成了實際運用中的“障礙”。但從信息安全的角度來看,這樣的“障礙”其實是一道“防火墻”。
然而現(xiàn)如今,市面上已經(jīng)出現(xiàn)了使用近距離無線通信“藍牙”、WLAN等網(wǎng)絡(luò)提供車載LAN通信內(nèi)容的適配器。隨著越來越多的車載LAN采用互聯(lián)網(wǎng)標準,車內(nèi)外的眾多設(shè)備和信息系統(tǒng)都將與汽車緊密連接。連接車載LAN越來越簡單,突破“防火墻”也就變得輕而易舉。
時不我待的狀況
第三個趨勢是,隨著EV、ITS(高速公路交通系統(tǒng))技術(shù)的采用,汽車與外部交換車輛信息的必要性日益增加。EV要使用信息處理技術(shù)管理大容量的蓄電池,其作用是管理極其昂貴的電池的充電狀態(tài)、充放電次數(shù)等。
具體事例之一是不在EV內(nèi)部保存充電情況,而是把它記錄存儲到網(wǎng)絡(luò)服務(wù)器的系統(tǒng)。該系統(tǒng)收集電池的充放電次數(shù)和充電量等數(shù)據(jù),存儲到服務(wù)器上。通信使用PHS和3G/4G手機等。除此之外,美國也在研究如何使用EV的充電狀態(tài)管理信息,實現(xiàn)汽車共享等服務(wù)。
另外,與汽油車相比,EV具備電力更加充沛的環(huán)境,處理信息的車載系統(tǒng)發(fā)揮作用的空間會更大。
通過利用ITS技術(shù),充分發(fā)揮車輛信息的服務(wù)也在探討之中。此前,確認路況靠的是設(shè)置在道路上的攝像頭,今后,通過共享各車的信息,駕駛員有望掌握到更詳細、更精準的路況。要想實現(xiàn)這一點,汽車接入互聯(lián)網(wǎng)是必要條件。而且,為了推廣服務(wù),制定并公開通信協(xié)議標準的呼聲估計也會高漲。
而且,在將來,如果ITS技術(shù)運用到自動駕駛等功能上,為了實現(xiàn)可通過外部信息控制汽車等便利的汽車社會,確保信息安全將變得愈發(fā)重要。
從攻擊者的角度來看,前面介紹的三大趨勢就像是不斷在為汽車黑客創(chuàng)造便利條件。接入外部網(wǎng)絡(luò)無疑會為攻擊創(chuàng)造入口;倘若通用系統(tǒng)普及,攻擊的難度便會下降;服務(wù)的多樣化則意味著汽車擁有大量的信息,只要竊取到有價值的信息,就能直接獲利。
當然,只要能劫持車鑰匙和發(fā)動機起動系統(tǒng),盜走汽車也是輕而易舉的。而且,劫持汽車的影響并不局限于個人,有無數(shù)汽車穿行其中的交通設(shè)施是社會的基礎(chǔ)之一。在大力打擊恐怖活動的美國和歐洲等地,政府主導(dǎo)的汽車信息安全對策方面的研究正在推進之中。即便是從穩(wěn)定社會的角度出發(fā),為汽車采取安全對策也將成為今后必須要做的事情。對于參與汽車開發(fā)的企業(yè)而言,研究汽車安全的相關(guān)措施可以說已經(jīng)時不我待了。
在信息安全的世界里,在思考如何防御的同時,研究可能遭遇怎樣的攻擊也非常重要。下面,筆者將在已經(jīng)公開的研究中,挑選4個具有代表性的事例加以介紹。
【事例1】美國的一篇研究論文提到的事例
2010年,一篇基于實證試驗的論文“Experimental Security Analysis of a Modern Automobile”發(fā)表(圖2)。該論文指出,通過在汽車的維護用端口設(shè)置特殊儀器,從并排行駛的車輛攻擊車載系統(tǒng)的漏洞,能夠?qū)x車、雨刷的控制造成影響。
這篇論文中提到,在竊聽對象車輛的通信并解析時,由于沒有認證以及發(fā)信者地址,很容易偽裝。而且,原本必須在行駛中忽略的命令也有可能在行駛中執(zhí)行。
圖2:解析ECU單體(左),在靜止的底盤上進行ECU之間的解析和試驗(右),行駛中的運行測試(下)
目前,惡意利用這些漏洞成功實施攻擊的難度很大。攻擊者需要具備信息安全的專業(yè)知識、開發(fā)攻擊軟件的能力以及搭建用來連接車載網(wǎng)絡(luò)、載入任意控制命令的電子平臺的能力。而且,攻擊需要的器材和軟件的功能單靠市面上的產(chǎn)品無法實現(xiàn),需要重新開發(fā)。
但隨著時間的推移,今后,當汽車擁有的信息資產(chǎn)價值提升,成為惡意攻擊者的攻擊對象之后,就像現(xiàn)在消費類產(chǎn)品信息安全的情況一樣,網(wǎng)絡(luò)上到處都有使攻擊變得簡單的工具。到那時,攻擊的難度將直線下降。
【事例2】攻擊輪胎壓力監(jiān)測系統(tǒng)
輪胎壓力監(jiān)測系統(tǒng)(TPMS)是利用無線通信不間斷地監(jiān)測輪胎壓力的系統(tǒng)(圖2)。美國要求汽車必須配備該系統(tǒng),目的是防止低壓輪胎高速行駛導(dǎo)致輪胎破裂的事故發(fā)生。為實現(xiàn)該系統(tǒng),需要通過無線通信把輪胎壓力信息收集到車輛中。
圖3:TPMS的構(gòu)造
2010年在美國發(fā)表的論文“Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study”指出了TPMS的漏洞。論文分析了TPMS的無線通信,指出了以下3點。
1.TPMS的通信消息沒有加密,容易竊聽并解析。
2.輪胎閥門上安裝的壓力測量裝置有32bit的固有ID,而且能與距離汽車40m遠的場所進行無線通信。如果在路邊和高架橋等地點進行檢測,可以記錄到特定車輛的通過時間。
3.可以偽裝TPMS的壓力報告消息,隨時點亮報警燈。
TPMS通信消息的解析由具備專業(yè)知識的學(xué)生實施,耗時1周多。雖說需要高度的專業(yè)性,但解析使用的器材成本僅為1000美元左右。
系統(tǒng)原本是為提高汽車的安全性而設(shè)置,但卻暴露出了車載軟件的漏洞,這有可能成為關(guān)乎生命的重大問題。安全對策需更高程度的注意。
【事例3】使用廣域網(wǎng)攻擊車載LAN
2011年,除了事例1、事例2介紹的接觸或近距離攻擊汽車的方法之外,還有論文談到了遠程攻擊接入手機網(wǎng)絡(luò)的汽車的方法。
論文探討了攻擊的多種影響,其中,有可能造成重大危害的,是遠程打開門鎖、惡意攻擊者監(jiān)視汽車等(圖4)。這一研究揭示了無論身處何方都能攻擊汽車的可能性,因此可以說其意義非常深刻。
圖4:遠程攻擊汽車
這篇論文提到的事例是,攻擊者為實施遠程攻擊,利用逆向工程技術(shù),通過解析通信及信息終端,開發(fā)出了針對特定車型的入侵代碼和可執(zhí)行代碼。實施攻擊的難度很大。但是,倘若有人開發(fā)出了攻擊大企業(yè)提供的通信及信息服務(wù)的代碼,并且將其散布,就有可能造成大范圍危害,造成嚴重損失。
論文列舉出的防范對策包括“切斷不必要的外部通信”、“取消多余的通信服務(wù)”、“監(jiān)測通信狀況”、“從車載系統(tǒng)的開發(fā)階段編程時就要有安全意識”、“安裝軟件升級功能”以及“考慮多種功能聯(lián)動時的安全”。
【事例4】解析防盜器密鑰
在2012年8月舉辦的“第21屆USENIX Security”上,發(fā)表了一篇關(guān)于只需大約5分鐘即可破解“HITAG2”密碼鎖驗證密鑰這一問題的論文。
HITAG2是1990年代開發(fā)的防盜方案,其原理是使用RFID標簽控制發(fā)動機的起動。采用專用加密方式,認證和加密均使用48位密鑰。在這篇論文中,研究人員把目光放在了HITAG2的漏洞上,表示只需利用1分鐘的時間收集認證步驟的數(shù)據(jù),然后經(jīng)過5分鐘的測試,便可破解密鑰,并且在現(xiàn)場進行了演示。
在驗證漏洞時,測試RFID系統(tǒng)使用的是“Proxmark III”板卡。通過竊聽智能鑰匙與車載防盜器之間的電波并解析,偽造出了正確的密鑰。Proxmark III配備了處理HF/LF頻帶電波編解碼的FPGA(現(xiàn)場可編程門陣列)、實施幀處理的MCU等,破解條件完備。但從一般用戶的角度來看,攻擊難度可以說略高。
關(guān)于HITAG2的漏洞,在信息安全相關(guān)會議“BlackHat 2012”上,也有與會者發(fā)布報告稱使用FPGA只需50秒即可破解驗證密鑰。攻擊的方法在一般用戶看來同樣難度較大,應(yīng)對方式與之前談到的方法相同。但該報告還指出,使用FPGA可以高速破解密碼。
使用FPGA破解密碼非常簡單。銷售密碼恢復(fù)(密碼破解)軟件的俄羅斯企業(yè)ElcomSoft表示,與使用高性能處理器并行計算相比,使用FPGA破解密碼的速度要快好幾倍,而且耗電量不到10分之1。這是因為FPGA能夠針對破解密碼,使硬件處理最優(yōu)化。
應(yīng)對這些事例的可行措施包括“使用AES等非專用加密方式”、“改進隨機數(shù)生成器”等。除了企業(yè)實施的對策之外,用戶估計也需要采取防范他人接觸汽車鑰匙、鎖車門、鎖方向盤等措施。
如上所述,汽車信息安全領(lǐng)域的研究人員正在逐漸增加。今后估計還會發(fā)現(xiàn)其他各式各樣的威脅。汽車相關(guān)企業(yè)應(yīng)當集全行業(yè)之力,全面梳理各類威脅,而不是單獨采取對策。日本信息處理推進機構(gòu)(IPA)也在全力研究汽車信息安全,請大家積極靈活地加以利用。
攻擊汽車的途徑
以日本信息處理推進機構(gòu)(IPA)設(shè)想的汽車模型為基礎(chǔ),對可能攻擊汽車系統(tǒng)的途徑、不同車輛功能群的安全對策等稍作整理。
用戶無法一直監(jiān)控汽車
IPA通過分析與汽車信息安全相關(guān)的攻擊方法,設(shè)想出了三種攻擊途徑(見圖5)。
圖5:針對汽車的三種攻擊方法
1.直接攻擊
汽車不同于個人電腦和手機,由于其較大的體積及一些性質(zhì),用戶很難一直監(jiān)視車輛。惡意攻擊者比較容易直接接觸到汽車。而且,在進行年檢等檢測的時候,汽車必須交由檢查人員管理,有可能給裝扮成檢查人員的第三方留下可乘之機。而且,用戶在自行改造時,也可能無意識地解除汽車的安全功能。
2.從便攜式產(chǎn)品入侵
除了汽車廠商提供的功能之外,用戶通過汽配市場等途徑購買并安裝在車上的產(chǎn)品也種類繁多。拆裝這些產(chǎn)品時,來自外部的病毒等威脅有可能進入車內(nèi)。
關(guān)于便攜式產(chǎn)品,尤其是智能手機,一方面很容易就能獲得面向汽車的通用應(yīng)用,但另一方面,其中也摻雜著大量山寨應(yīng)用和包含惡意代碼的應(yīng)用。在開發(fā)階段就必須要考慮到用戶可能攜帶哪些產(chǎn)品進入車內(nèi),其中就包括智能手機。
3.從外部網(wǎng)絡(luò)攻擊
為確保利便性和安全性,汽車上有很多使用通信的裝置。例如智能鑰匙、輪胎壓力監(jiān)測系統(tǒng)(TPMS)、路車間通信這些使用短距離無線通信的功能,就有可能受到通信被竊聽、被惡意中斷等威脅。
而且,最近智能手機與車載系統(tǒng)聯(lián)動的功能越來越普遍,汽車連接外部網(wǎng)絡(luò)的環(huán)境日益完善。再加上車載信息服務(wù)開始普及,從外部網(wǎng)絡(luò)實施攻擊的威脅已成為現(xiàn)實。以純電動汽車為例,充電時,充電信息將被發(fā)送至外部網(wǎng)絡(luò),管理充電情況和充電記錄。
一般來說,惡意攻擊者不喜歡留下攻擊痕跡。因此,經(jīng)由外部網(wǎng)絡(luò)實施攻擊應(yīng)該算是心理負擔最小的方法。反言之,如果攻擊者必須直接接觸車輛才能實施攻擊,攻擊的難度就會明顯增加。在假設(shè)攻擊的來源時,了解攻擊者的位置和立場是分析信息安全的第一步。
安全對策用汽車模型的定義 由于不同廠商和不同價位(等級)的汽車在構(gòu)造和功能等方面有很大差異,因此很難定義全行業(yè)通用的汽車模型。因此,IPA在思考汽車系統(tǒng)的信息安全時,從汽車需要的可靠性等角度出發(fā),設(shè)想了按照車輛功能群進行分類的汽車模型——“IPA Car”(圖6)。
圖6:IPA Car的模型
IPA Car將車載LAN最大限度地抽象化,假設(shè)用1條總線連接全部功能。把所有功能分成實現(xiàn)“行駛、停止、轉(zhuǎn)彎”的“基本控制功能”、提升舒適性和便利性的“擴展功能”、用戶帶入車內(nèi)的產(chǎn)品等“一般功能”。
容易成為攻擊入口的外部接口可能包含在各項功能中,IPA Car將外部接口其整理到“擴展功能”與“一般功能”之間的連接部分。另外,“基本控制功能”與“擴展功能”合稱為“車載系統(tǒng)”,這兩個功能群又細分為“驅(qū)動類”、“信息娛樂類”這樣的形式。本連載在探討威脅和對策時,主要是針對“車載系統(tǒng)”。
“擴展功能”大致可以分成兩類。一是包括“車體系統(tǒng)”、“安全舒適功能”、“診斷及維護”在內(nèi)的“控制相關(guān)功能”,主要與行駛、停止、轉(zhuǎn)彎等汽車的物理功能密切相關(guān)。
另一類是包含“ITS功能”、“通信與信息”、“信息娛樂”等在內(nèi)的“信息相關(guān)功能”,是有關(guān)向駕駛員提供信息的功能。這兩類功能的相關(guān)服務(wù)一旦發(fā)生安全問題,產(chǎn)生的風險截然不同。在采取對策時,根據(jù)其中的差別探討安全問題非常重要。
IPA認為,上述各功能管理著表1列出的信息和動作。例如,在探討某車載系統(tǒng)的安全時,要首先理清該系統(tǒng)與哪項功能聯(lián)動、使用哪些信息,然后再有重點地探討相應(yīng)的安全問題。屆時,表1的思路可以起到幫助作用。下一篇中,筆者將介紹排查出的威脅安全事例及對策。(特約撰稿人:中野 學(xué),日本信息處理推進機構(gòu))
表1:應(yīng)當保護的信息資產(chǎn)示例
原因在用戶?還是在攻擊者?
威脅發(fā)生的原因大致可分成兩類。一類是“用戶偶然引發(fā)的失誤等”,另一類是“攻擊者故意引發(fā)”。按照不同的發(fā)生原因,相應(yīng)的威脅分別如表2、表3所示。
表2:用戶操作造成的威脅
表3:攻擊者干擾引發(fā)的威脅
可能經(jīng)由OBD-II攻擊
在根據(jù)表2、表3中的威脅、思考車載系統(tǒng)遭受攻擊的途徑時,需要按照途徑,分成直接連接各項功能的物理接口以及車載LAN兩類,分別考慮(圖7)。對于不同的途徑,影響和對策的范圍也各不相同。
圖7:各功能群可能存在的威脅匯總
例如,來自外部的直接攻擊是通過汽車與外部通信的物理接口(無線通信、USB端口等)實施。從過去的攻擊事例來看,“接入手機網(wǎng)的車載信息服務(wù)和信息娛樂系統(tǒng)功能易受到來自外部的DoS(Denial of Service)攻擊和非法利用”。
與之相比,車載LAN是“封閉的通信系統(tǒng)”,可以說遭受外部直接攻擊的可能性較小。尤其是驅(qū)動系統(tǒng)和底盤系統(tǒng),除了車載LAN之外,這兩個系統(tǒng)沒有其他外部接口,可以認為全部通信都經(jīng)由“封閉的”車載LAN。
即便如此,這兩個系統(tǒng)仍有可能遭受攻擊。因為受到直接攻擊的其他功能有可能感染病毒,“間接”向車載LAN傳輸非法命令。也就是說,攻擊的來源是原本可靠的車內(nèi)的其他功能。
入侵車載LAN并非只有“間接”途徑可走。如今,絕大多數(shù)車輛都配備了診斷功能“OBD-II”(第二代車載診斷系統(tǒng)),通過OBD-II的接口,也有可能直接攻擊車載LAN。OBD-II與車載LAN是連接在一起的。
但實際的汽車系統(tǒng)中,與“行駛、停止、轉(zhuǎn)彎”相關(guān)的功能連接在一起的車載LAN的外部接口大多設(shè)有網(wǎng)關(guān),提高了安全性。
風險管理至關(guān)重要
要想減輕前面提到的威脅,必須要采取合理的安全對策。日本信息處理推進機構(gòu)(IPA)分析并按照與一般信息系統(tǒng)相同的分類,對汽車安全對策進行了整理(表3)。
表3:針對威脅的安全對策但表3并未涵蓋所有的汽車安全對策。今后,除此之外,還必須要思考車載系統(tǒng)特有的安全對策?,F(xiàn)在,部分汽車研究機構(gòu)已經(jīng)開始探討車載系統(tǒng)特有的安全對策。全世界的研究人員也在不斷改進攻擊技術(shù)和對策技術(shù),積累新的點子。倘若大家有意對安全對策進行全面梳理,就要定期關(guān)注相關(guān)內(nèi)容的更新。
另外,這里只是大致羅列了可能存在的威脅和安全對策。在現(xiàn)實中,由于成本等原因,很難做到面面俱到。各公司要根據(jù)各自的功能和服務(wù),實施合理的風險管理,包括“重點保護什么”、“采用哪項技術(shù)”等。
安全措施要覆蓋商品的整個生命周期
日本信息處理推進機構(gòu)(IPA)按照汽車的生命周期(策劃、開發(fā)、使用、廢棄),整理出了相應(yīng)的安全對策(表1),其中也包括了所有企業(yè)都需要的管理方針。共分了15個項目。
表4:整個生命周期的舉措 直到廢棄都不能怠慢
讓我們先來根據(jù)表4,了解一下在影響整個生命周期的“管理”、“策劃”、“開發(fā)”、“使用”、“廢棄”各個階段的注意事項。
1.管理(整體)
無論在汽車生命周期的哪一個階段,產(chǎn)品提供商都必須要堅持不懈地實施安全對策。制定整體方針,并按照這一方針,在各個階段實施連貫的安全對策。如果每次開發(fā)產(chǎn)品和服務(wù)時都從零開始制定安全對策,不僅會造成大量浪費,還有可能讓組織的安全對策出現(xiàn)偏差。
在管理方面,尤為重要的是培養(yǎng)精通信息安全的人才、制定貫穿整個開發(fā)體制的基本規(guī)則、不斷收集與“日新月異”的攻擊方式相關(guān)的信息。
2.策劃階段
從進入實際的開發(fā)之前的策劃階段開始,就要結(jié)合安全對策,這一點非常重要。因為在策劃階段,經(jīng)常要討論汽車整個生命周期的預(yù)算。
在這一階段,汽車的理念、配備的功能都將確定。此時,需要考慮各項功能的安全性的重要程度,為與重要程度相符的對策分配預(yù)算。而且,在選擇車輛配備的功能,轉(zhuǎn)交給開發(fā)方面的時候,一定不要忘記要包括安全要件。
3.開發(fā)階段
在制造階段,汽車企業(yè)及部件企業(yè)設(shè)計硬件和軟件并安裝到汽車上,是安全對策的最前線。
這一階段必須要做的是“準確安裝要件定義”、“安裝時杜絕漏洞”、“萬一存在漏洞,也要能在出貨之前發(fā)現(xiàn)”。至于相關(guān)對策,還請參考本連載的前幾篇文章。此外,如果預(yù)算充裕,還需購置漏洞評估設(shè)備等。
4.使用階段
這是用戶通過銷售店等渠道買到汽車,實際使用的階段。在車輛使用期間,位置信息、用戶下載的軟件、用戶的操作記錄和行駛記錄等大量的信息將存儲在車輛和數(shù)據(jù)中心之中。而且,像汽車共享、租車、公司用車這樣,用戶并非車主、用戶會在短期內(nèi)更替的情況也為數(shù)不少。
雖然安全對策要配合用戶使用的場景來實施,但也要注意保護隱私。另外,如果在車輛售出后發(fā)現(xiàn)漏洞,還必須考慮構(gòu)筑能將相關(guān)信息通知用戶和車主、與銷售店和維修廠等構(gòu)建合作應(yīng)對的體制。
5.廢棄階段
在用戶因換購、故障等原因廢棄汽車的階段,往往容易忽視安全對策,因此在這一階段尤其要注意。廢棄的方式包括通過二手車銷售店等渠道轉(zhuǎn)讓給其他用戶、注銷后報廢等。不同的情況必須采取不同的對策。
用戶的協(xié)助必不可少 在上面提到的貫穿整個生命周期的舉措中,筆者覺得最為重要的是在使用階段“向用戶、汽車相關(guān)人員提供信息”。因為在開發(fā)階段幾乎不可能制造出毫無漏洞的系統(tǒng)。
汽車的生命周期很長。在用戶開始使用之后,很可能會出現(xiàn)新的攻擊方式和漏洞。創(chuàng)造在使用后給車輛安裝安全補丁的機制可謂勢在必行。
但是,安裝安全補丁最好不要像一般信息系統(tǒng)的軟件升級那樣使用互聯(lián)網(wǎng)。
作為針對可能遭到瞄準漏洞的攻擊的用戶確實采取的安全對策,可以在車檢時實施升級,純電動汽車則可以在充電時升級。例如使用嵌入式軟件的電視機,就有通過電視信號升級的案例。
另外,廢棄階段的“制定廢棄方針等”也容易被忽略,要特別注意。除了車主,汽車還經(jīng)常由他人駕駛。用戶轉(zhuǎn)讓二手車的情況也比較多。租車、汽車共享等多位用戶同開一輛車的機制也十分普及。這就需要采取措施,防止車主的個人信息落入他人之手。
現(xiàn)在的車載導(dǎo)航儀系統(tǒng)可能保存著車主的住址,公司用車則可能保存著客戶的信息,如果車載導(dǎo)航儀可以使用SNS(社交網(wǎng)絡(luò)服務(wù)),還有可能保存著賬號、密碼等數(shù)據(jù)。
在信息系統(tǒng)的世界,廢棄的硬盤泄露信息的例子很多。汽車上也已經(jīng)出現(xiàn)了車載導(dǎo)航儀顯示以前車主的信息之類的問題。
要想確保安全,除了企業(yè)采取措施之外,汽車用戶的協(xié)助同樣不可或缺。今后,企業(yè)對用戶的安全啟蒙活動估計會愈發(fā)重要。
不要為安全對策制定“標準答案”
最后,筆者想闡述一下自己對于汽車信息安全的看法。
首先,汽車相關(guān)企業(yè)的讀者需要認識到,信息安全對策沒有“標準答案”。因為隨著使用環(huán)境、服務(wù)內(nèi)容的不同,采取的對策也有很大不同,而且,一旦確定了“標準答案”,必然會出現(xiàn)專門找(制造)空子的惡意攻擊者。而根據(jù)筆者的經(jīng)驗,空子一般都能找到。
汽車行業(yè)的開發(fā)流程極其注重安全性和可靠性,恐怕很難接受不制定“標準答案”的方針。因為這一方針與徹底排查出可能有損安全性和可靠性的因素并采取對策、然后將對策標準化、全公司共享的汽車開發(fā)流程格格不入。
另外,車載系統(tǒng)與網(wǎng)絡(luò)、信息系統(tǒng)的聯(lián)動今后還會加速發(fā)展。在汽車開始飛速互聯(lián)之際,安全對策要實施到何種程度?對此,筆者還沒有找到答案。
盡管如此,社會必然還是會要求車載系統(tǒng)采取安全對策。但世上沒有“萬能藥”,公司內(nèi)的各個組織必須在實施風險管理的同時,確定采取對策的范圍。到那時,要想實現(xiàn)嚴格的風險管理,恐怕必須要采取全面的威脅及對策方針。屆時,希望大家可以充分利用IPA公布的“汽車信息安全措施指南”。
不過,在實施對策時,筆者擔心只有開發(fā)者在負責推動汽車安全的發(fā)展。信息安全不是單憑開發(fā)者的努力就能做到的。除了在實際使用汽車的階段采取安全對策之外,車主留意即可解除的威脅、必須由提供車載系統(tǒng)聯(lián)動服務(wù)的組織實施對策的威脅也為數(shù)不少。
幸運的是,汽車行業(yè)存在統(tǒng)一接受教育的機會,那就是領(lǐng)取及更新駕照的時候,而且還有定期檢查車輛的“車檢”體系。今后,很可能必須要利用這些社會機制,使汽車所處的環(huán)境更加安全。
維護汽車信息安全的舉措才剛剛開始。IPA今后還將與汽車相關(guān)企業(yè)合作,喚醒大家的安全意識,繼續(xù)整理威脅和對策技術(shù)。衷心希望各位讀者能夠從不同的角度(開發(fā)人員、服務(wù)商、車主等)出發(fā),提供協(xié)助。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。