變成軟件集合體的汽車，如今正面臨著新的威脅（圖1）。2010年，美國(guó)的研究人員發(fā)現(xiàn)，經(jīng)由汽車內(nèi)外的通信渠道可以攻擊車載軟件的漏洞，從而影響車輛的控制系統(tǒng)。這表明，雖然注重實(shí)時(shí)性的車載系統(tǒng)與信息系統(tǒng)存在不同，但在認(rèn)證、通信保密等方面，車載軟件存在信息安全上的弱點(diǎn)。

 

　　而且，今后車載軟件系統(tǒng)受到攻擊的可能性還會(huì)上升。這是因?yàn)楣舻耐緩秸谠黾?。車輛外部接口的種類越來越多，除了故障診斷功能“OBD-II”和充電控制接口之外，還包括與智能手機(jī)、平板電腦聯(lián)動(dòng)的功能等。

 

 

　　圖1：與汽車相關(guān)的系統(tǒng)和威脅

 

　　本文將對(duì)汽車為何需要信息安全、日本信息處理推進(jìn)機(jī)構(gòu)（IPA）開展的汽車威脅與對(duì)策分析、信息安全強(qiáng)化措施等進(jìn)行介紹。

 

　　汽車為何需要信息安全？

 

　　在汽車上采用控制軟件等信息技術(shù)并不是新鮮事。早在1980年，就曾在ECU中嵌入了擁有大約2000行代碼的軟件。那么，為什么時(shí)至今日，汽車開始需要信息安全了呢？

 

　　這并不僅僅是因?yàn)殚_篇提到的軟件規(guī)模擴(kuò)大了數(shù)千倍而已，還與汽車技術(shù)的三大趨勢(shì)有關(guān)。

 

　　第一個(gè)趨勢(shì)是，以智能手機(jī)為中心，汽車與互聯(lián)網(wǎng)聯(lián)動(dòng)越來越普遍。智能手機(jī)與傳統(tǒng)手機(jī)的一大差異在于客戶可以開發(fā)應(yīng)用，比較自由地向任何人提供。從簡(jiǎn)單應(yīng)用到實(shí)用類型，市面上流通的應(yīng)用種類繁多。面向汽車的應(yīng)用也已經(jīng)出現(xiàn)。

 

　　問題是，在這些應(yīng)用中，有一些應(yīng)用的可靠性很差。黑客有可能通過其中的漏洞，以智能手機(jī)為跳板，給車載設(shè)備和車載導(dǎo)航儀系統(tǒng)造成損害，或是經(jīng)由智能手機(jī)泄露車內(nèi)信息，侵犯駕駛員的隱私。而且，使用智能手機(jī)意味著汽車隨時(shí)都與外部網(wǎng)絡(luò)連接。因此，經(jīng)由外部網(wǎng)絡(luò)和智能手機(jī)，能夠?qū)φ谛旭偟钠嚢l(fā)起攻擊。

 

　　除了智能手機(jī)之外，ETC（自動(dòng)收費(fèi)系統(tǒng)）、智能車鑰匙等通過無線與外部連接的功能，以及純電動(dòng)汽車（EV）經(jīng)由充電插頭連接車載網(wǎng)絡(luò)的功能也在逐漸普及。

 

　　今后，隨著汽車開始隨時(shí)隨地接入車外網(wǎng)絡(luò)，夸張點(diǎn)說，攻擊者無需靠近汽車，就可以跨越網(wǎng)絡(luò)攻擊全世界的汽車。即使不是隨時(shí)隨地接入網(wǎng)絡(luò)，用戶誤下載的智能手機(jī)惡意以應(yīng)用也有可能危害到汽車。

 

　　車載設(shè)備廣泛采用通用系統(tǒng)

 

　　第二個(gè)趨勢(shì)是車載軟件、車載LAN對(duì)于汽車的“行駛、轉(zhuǎn)彎、停車”等基本控制功能的影響正在增大。例如汽車廠商使用通信或信息終端來提供門鎖控制、調(diào)整發(fā)動(dòng)機(jī)功率、更新軟件等服務(wù)。這些功能一旦被黑客成功入侵，很容易產(chǎn)生重大危害。

 

　　而且，為了在降低成本的同時(shí)確保通用性，部分車載系統(tǒng)開始使用Linux之類的通用操作系統(tǒng)。汽車用戶使用起各項(xiàng)服務(wù)來越來越方便，但解析與攻擊操作系統(tǒng)的難度也隨之越來越低。

 

　　不只是操作系統(tǒng)，車載LAN的通用性也在提高。比如德國(guó)政府援助的項(xiàng)目“SEIS（Security Embedded IP-based System）”，該項(xiàng)目正在考慮讓車載LAN采用“以太網(wǎng)”，并使用標(biāo)準(zhǔn)通信協(xié)議“TCP/IP”。2008年，寶馬采用以太網(wǎng)作為車載診斷接口之一，用來改寫軟件。

 

　　過去，以“CAN（控制器區(qū)域網(wǎng)絡(luò)）”為代表，車載LAN的通信方式雖然在電路層級(jí)實(shí)現(xiàn)了標(biāo)準(zhǔn)化，但請(qǐng)求指令、響應(yīng)機(jī)制等具體內(nèi)容大多是因企業(yè)而異的，構(gòu)成了實(shí)際運(yùn)用中的“障礙”。但從信息安全的角度來看，這樣的“障礙”其實(shí)是一道“防火墻”。

 

　　然而現(xiàn)如今，市面上已經(jīng)出現(xiàn)了使用近距離無線通信“藍(lán)牙”、WLAN等網(wǎng)絡(luò)提供車載LAN通信內(nèi)容的適配器。隨著越來越多的車載LAN采用互聯(lián)網(wǎng)標(biāo)準(zhǔn)，車內(nèi)外的眾多設(shè)備和信息系統(tǒng)都將與汽車緊密連接。連接車載LAN越來越簡(jiǎn)單，突破“防火墻”也就變得輕而易舉。

 

　　時(shí)不我待的狀況

 

　　第三個(gè)趨勢(shì)是，隨著EV、ITS（高速公路交通系統(tǒng)）技術(shù)的采用，汽車與外部交換車輛信息的必要性日益增加。EV要使用信息處理技術(shù)管理大容量的蓄電池，其作用是管理極其昂貴的電池的充電狀態(tài)、充放電次數(shù)等。

 

　　具體事例之一是不在EV內(nèi)部保存充電情況，而是把它記錄存儲(chǔ)到網(wǎng)絡(luò)服務(wù)器的系統(tǒng)。該系統(tǒng)收集電池的充放電次數(shù)和充電量等數(shù)據(jù)，存儲(chǔ)到服務(wù)器上。通信使用PHS和3G/4G手機(jī)等。除此之外，美國(guó)也在研究如何使用EV的充電狀態(tài)管理信息，實(shí)現(xiàn)汽車共享等服務(wù)。

 

　　另外，與汽油車相比，EV具備電力更加充沛的環(huán)境，處理信息的車載系統(tǒng)發(fā)揮作用的空間會(huì)更大。

 

　　通過利用ITS技術(shù)，充分發(fā)揮車輛信息的服務(wù)也在探討之中。此前，確認(rèn)路況靠的是設(shè)置在道路上的攝像頭，今后，通過共享各車的信息，駕駛員有望掌握到更詳細(xì)、更精準(zhǔn)的路況。要想實(shí)現(xiàn)這一點(diǎn)，汽車接入互聯(lián)網(wǎng)是必要條件。而且，為了推廣服務(wù)，制定并公開通信協(xié)議標(biāo)準(zhǔn)的呼聲估計(jì)也會(huì)高漲。

 

　　而且，在將來，如果ITS技術(shù)運(yùn)用到自動(dòng)駕駛等功能上，為了實(shí)現(xiàn)可通過外部信息控制汽車等便利的汽車社會(huì)，確保信息安全將變得愈發(fā)重要。

 

　　從攻擊者的角度來看，前面介紹的三大趨勢(shì)就像是不斷在為汽車黑客創(chuàng)造便利條件。接入外部網(wǎng)絡(luò)無疑會(huì)為攻擊創(chuàng)造入口；倘若通用系統(tǒng)普及，攻擊的難度便會(huì)下降；服務(wù)的多樣化則意味著汽車擁有大量的信息，只要竊取到有價(jià)值的信息，就能直接獲利。

 

　　當(dāng)然，只要能劫持車鑰匙和發(fā)動(dòng)機(jī)起動(dòng)系統(tǒng)，盜走汽車也是輕而易舉的。而且，劫持汽車的影響并不局限于個(gè)人，有無數(shù)汽車穿行其中的交通設(shè)施是社會(huì)的基礎(chǔ)之一。在大力打擊恐怖活動(dòng)的美國(guó)和歐洲等地，政府主導(dǎo)的汽車信息安全對(duì)策方面的研究正在推進(jìn)之中。即便是從穩(wěn)定社會(huì)的角度出發(fā)，為汽車采取安全對(duì)策也將成為今后必須要做的事情。對(duì)于參與汽車開發(fā)的企業(yè)而言，研究汽車安全的相關(guān)措施可以說已經(jīng)時(shí)不我待了。

　　在信息安全的世界里，在思考如何防御的同時(shí)，研究可能遭遇怎樣的攻擊也非常重要。下面，筆者將在已經(jīng)公開的研究中，挑選4個(gè)具有代表性的事例加以介紹。

 

　　【事例1】美國(guó)的一篇研究論文提到的事例

 

　　2010年，一篇基于實(shí)證試驗(yàn)的論文“Experimental Security Analysis of a Modern Automobile”發(fā)表（圖2）。該論文指出，通過在汽車的維護(hù)用端口設(shè)置特殊儀器，從并排行駛的車輛攻擊車載系統(tǒng)的漏洞，能夠?qū)x車、雨刷的控制造成影響。

 

　　這篇論文中提到，在竊聽對(duì)象車輛的通信并解析時(shí)，由于沒有認(rèn)證以及發(fā)信者地址，很容易偽裝。而且，原本必須在行駛中忽略的命令也有可能在行駛中執(zhí)行。

   

 

　　圖2：解析ECU單體（左），在靜止的底盤上進(jìn)行ECU之間的解析和試驗(yàn)（右），行駛中的運(yùn)行測(cè)試（下）

 

　　目前，惡意利用這些漏洞成功實(shí)施攻擊的難度很大。攻擊者需要具備信息安全的專業(yè)知識(shí)、開發(fā)攻擊軟件的能力以及搭建用來連接車載網(wǎng)絡(luò)、載入任意控制命令的電子平臺(tái)的能力。而且，攻擊需要的器材和軟件的功能單靠市面上的產(chǎn)品無法實(shí)現(xiàn)，需要重新開發(fā)。

 

　　但隨著時(shí)間的推移，今后，當(dāng)汽車擁有的信息資產(chǎn)價(jià)值提升，成為惡意攻擊者的攻擊對(duì)象之后，就像現(xiàn)在消費(fèi)類產(chǎn)品信息安全的情況一樣，網(wǎng)絡(luò)上到處都有使攻擊變得簡(jiǎn)單的工具。到那時(shí)，攻擊的難度將直線下降。

 

　　【事例2】攻擊輪胎壓力監(jiān)測(cè)系統(tǒng)

 

　　輪胎壓力監(jiān)測(cè)系統(tǒng)（TPMS）是利用無線通信不間斷地監(jiān)測(cè)輪胎壓力的系統(tǒng)（圖2）。美國(guó)要求汽車必須配備該系統(tǒng)，目的是防止低壓輪胎高速行駛導(dǎo)致輪胎破裂的事故發(fā)生。為實(shí)現(xiàn)該系統(tǒng)，需要通過無線通信把輪胎壓力信息收集到車輛中。

 

 

　　圖3：TPMS的構(gòu)造

 

　　2010年在美國(guó)發(fā)表的論文“Security and Privacy Vulnerabilities of In-Car Wireless Networks： A Tire Pressure Monitoring System Case Study”指出了TPMS的漏洞。論文分析了TPMS的無線通信，指出了以下3點(diǎn)。

 

　　1．TPMS的通信消息沒有加密，容易竊聽并解析。

 

　　2．輪胎閥門上安裝的壓力測(cè)量裝置有32bit的固有ID，而且能與距離汽車40m遠(yuǎn)的場(chǎng)所進(jìn)行無線通信。如果在路邊和高架橋等地點(diǎn)進(jìn)行檢測(cè)，可以記錄到特定車輛的通過時(shí)間。

 

　　3．可以偽裝TPMS的壓力報(bào)告消息，隨時(shí)點(diǎn)亮報(bào)警燈。

 

　　TPMS通信消息的解析由具備專業(yè)知識(shí)的學(xué)生實(shí)施，耗時(shí)1周多。雖說需要高度的專業(yè)性，但解析使用的器材成本僅為1000美元左右。

 

　　系統(tǒng)原本是為提高汽車的安全性而設(shè)置，但卻暴露出了車載軟件的漏洞，這有可能成為關(guān)乎生命的重大問題。安全對(duì)策需更高程度的注意。

 

　　【事例3】使用廣域網(wǎng)攻擊車載LAN

 

 　　2011年，除了事例1、事例2介紹的接觸或近距離攻擊汽車的方法之外，還有論文談到了遠(yuǎn)程攻擊接入手機(jī)網(wǎng)絡(luò)的汽車的方法。

 

　　論文探討了攻擊的多種影響，其中，有可能造成重大危害的，是遠(yuǎn)程打開門鎖、惡意攻擊者監(jiān)視汽車等（圖4）。這一研究揭示了無論身處何方都能攻擊汽車的可能性，因此可以說其意義非常深刻。

 

 

　　圖4：遠(yuǎn)程攻擊汽車

 

　　這篇論文提到的事例是，攻擊者為實(shí)施遠(yuǎn)程攻擊，利用逆向工程技術(shù)，通過解析通信及信息終端，開發(fā)出了針對(duì)特定車型的入侵代碼和可執(zhí)行代碼。實(shí)施攻擊的難度很大。但是，倘若有人開發(fā)出了攻擊大企業(yè)提供的通信及信息服務(wù)的代碼，并且將其散布，就有可能造成大范圍危害，造成嚴(yán)重?fù)p失。

 

　　論文列舉出的防范對(duì)策包括“切斷不必要的外部通信”、“取消多余的通信服務(wù)”、“監(jiān)測(cè)通信狀況”、“從車載系統(tǒng)的開發(fā)階段編程時(shí)就要有安全意識(shí)”、“安裝軟件升級(jí)功能”以及“考慮多種功能聯(lián)動(dòng)時(shí)的安全”。

 

　　【事例4】解析防盜器密鑰

 

 　　在2012年8月舉辦的“第21屆USENIX Security”上，發(fā)表了一篇關(guān)于只需大約5分鐘即可破解“HITAG2”密碼鎖驗(yàn)證密鑰這一問題的論文。

 

　　HITAG2是1990年代開發(fā)的防盜方案，其原理是使用RFID標(biāo)簽控制發(fā)動(dòng)機(jī)的起動(dòng)。采用專用加密方式，認(rèn)證和加密均使用48位密鑰。在這篇論文中，研究人員把目光放在了HITAG2的漏洞上，表示只需利用1分鐘的時(shí)間收集認(rèn)證步驟的數(shù)據(jù)，然后經(jīng)過5分鐘的測(cè)試，便可破解密鑰，并且在現(xiàn)場(chǎng)進(jìn)行了演示。

 

　　在驗(yàn)證漏洞時(shí)，測(cè)試RFID系統(tǒng)使用的是“Proxmark III”板卡。通過竊聽智能鑰匙與車載防盜器之間的電波并解析，偽造出了正確的密鑰。Proxmark III配備了處理HF/LF頻帶電波編解碼的FPGA（現(xiàn)場(chǎng)可編程門陣列）、實(shí)施幀處理的MCU等，破解條件完備。但從一般用戶的角度來看，攻擊難度可以說略高。

 

　　關(guān)于HITAG2的漏洞，在信息安全相關(guān)會(huì)議“BlackHat 2012”上，也有與會(huì)者發(fā)布報(bào)告稱使用FPGA只需50秒即可破解驗(yàn)證密鑰。攻擊的方法在一般用戶看來同樣難度較大，應(yīng)對(duì)方式與之前談到的方法相同。但該報(bào)告還指出，使用FPGA可以高速破解密碼。

 

　　使用FPGA破解密碼非常簡(jiǎn)單。銷售密碼恢復(fù)（密碼破解）軟件的俄羅斯企業(yè)ElcomSoft表示，與使用高性能處理器并行計(jì)算相比，使用FPGA破解密碼的速度要快好幾倍，而且耗電量不到10分之1。這是因?yàn)镕PGA能夠針對(duì)破解密碼，使硬件處理最優(yōu)化。

 

　　應(yīng)對(duì)這些事例的可行措施包括“使用AES等非專用加密方式”、“改進(jìn)隨機(jī)數(shù)生成器”等。除了企業(yè)實(shí)施的對(duì)策之外，用戶估計(jì)也需要采取防范他人接觸汽車鑰匙、鎖車門、鎖方向盤等措施。

 

　　如上所述，汽車信息安全領(lǐng)域的研究人員正在逐漸增加。今后估計(jì)還會(huì)發(fā)現(xiàn)其他各式各樣的威脅。汽車相關(guān)企業(yè)應(yīng)當(dāng)集全行業(yè)之力，全面梳理各類威脅，而不是單獨(dú)采取對(duì)策。日本信息處理推進(jìn)機(jī)構(gòu)（IPA）也在全力研究汽車信息安全，請(qǐng)大家積極靈活地加以利用。

　　攻擊汽車的途徑

 

　　以日本信息處理推進(jìn)機(jī)構(gòu)（IPA）設(shè)想的汽車模型為基礎(chǔ)，對(duì)可能攻擊汽車系統(tǒng)的途徑、不同車輛功能群的安全對(duì)策等稍作整理。

 

　　用戶無法一直監(jiān)控汽車

 

　　IPA通過分析與汽車信息安全相關(guān)的攻擊方法，設(shè)想出了三種攻擊途徑（見圖5）。

 

 

　　圖5：針對(duì)汽車的三種攻擊方法

 

　　1．直接攻擊

 

 　　汽車不同于個(gè)人電腦和手機(jī)，由于其較大的體積及一些性質(zhì)，用戶很難一直監(jiān)視車輛。惡意攻擊者比較容易直接接觸到汽車。而且，在進(jìn)行年檢等檢測(cè)的時(shí)候，汽車必須交由檢查人員管理，有可能給裝扮成檢查人員的第三方留下可乘之機(jī)。而且，用戶在自行改造時(shí)，也可能無意識(shí)地解除汽車的安全功能。

 

　　2．從便攜式產(chǎn)品入侵

 

　　除了汽車廠商提供的功能之外，用戶通過汽配市場(chǎng)等途徑購(gòu)買并安裝在車上的產(chǎn)品也種類繁多。拆裝這些產(chǎn)品時(shí)，來自外部的病毒等威脅有可能進(jìn)入車內(nèi)。

 

　　關(guān)于便攜式產(chǎn)品，尤其是智能手機(jī)，一方面很容易就能獲得面向汽車的通用應(yīng)用，但另一方面，其中也摻雜著大量山寨應(yīng)用和包含惡意代碼的應(yīng)用。在開發(fā)階段就必須要考慮到用戶可能攜帶哪些產(chǎn)品進(jìn)入車內(nèi)，其中就包括智能手機(jī)。

 

　　3．從外部網(wǎng)絡(luò)攻擊

 

　　為確保利便性和安全性，汽車上有很多使用通信的裝置。例如智能鑰匙、輪胎壓力監(jiān)測(cè)系統(tǒng)（TPMS）、路車間通信這些使用短距離無線通信的功能，就有可能受到通信被竊聽、被惡意中斷等威脅。

 

　　而且，最近智能手機(jī)與車載系統(tǒng)聯(lián)動(dòng)的功能越來越普遍，汽車連接外部網(wǎng)絡(luò)的環(huán)境日益完善。再加上車載信息服務(wù)開始普及，從外部網(wǎng)絡(luò)實(shí)施攻擊的威脅已成為現(xiàn)實(shí)。以純電動(dòng)汽車為例，充電時(shí)，充電信息將被發(fā)送至外部網(wǎng)絡(luò)，管理充電情況和充電記錄。

 

　　一般來說，惡意攻擊者不喜歡留下攻擊痕跡。因此，經(jīng)由外部網(wǎng)絡(luò)實(shí)施攻擊應(yīng)該算是心理負(fù)擔(dān)最小的方法。反言之，如果攻擊者必須直接接觸車輛才能實(shí)施攻擊，攻擊的難度就會(huì)明顯增加。在假設(shè)攻擊的來源時(shí)，了解攻擊者的位置和立場(chǎng)是分析信息安全的第一步。

 

　　安全對(duì)策用汽車模型的定義 由于不同廠商和不同價(jià)位（等級(jí)）的汽車在構(gòu)造和功能等方面有很大差異，因此很難定義全行業(yè)通用的汽車模型。因此，IPA在思考汽車系統(tǒng)的信息安全時(shí)，從汽車需要的可靠性等角度出發(fā)，設(shè)想了按照車輛功能群進(jìn)行分類的汽車模型——“IPA Car”（圖6）。

 

 

　　圖6：IPA Car的模型

 

　　IPA Car將車載LAN最大限度地抽象化，假設(shè)用1條總線連接全部功能。把所有功能分成實(shí)現(xiàn)“行駛、停止、轉(zhuǎn)彎”的“基本控制功能”、提升舒適性和便利性的“擴(kuò)展功能”、用戶帶入車內(nèi)的產(chǎn)品等“一般功能”。

 

　　容易成為攻擊入口的外部接口可能包含在各項(xiàng)功能中，IPA Car將外部接口其整理到“擴(kuò)展功能”與“一般功能”之間的連接部分。另外，“基本控制功能”與“擴(kuò)展功能”合稱為“車載系統(tǒng)”，這兩個(gè)功能群又細(xì)分為“驅(qū)動(dòng)類”、“信息娛樂類”這樣的形式。本連載在探討威脅和對(duì)策時(shí)，主要是針對(duì)“車載系統(tǒng)”。

 

　　“擴(kuò)展功能”大致可以分成兩類。一是包括“車體系統(tǒng)”、“安全舒適功能”、“診斷及維護(hù)”在內(nèi)的“控制相關(guān)功能”，主要與行駛、停止、轉(zhuǎn)彎等汽車的物理功能密切相關(guān)。

 

　　另一類是包含“ITS功能”、“通信與信息”、“信息娛樂”等在內(nèi)的“信息相關(guān)功能”，是有關(guān)向駕駛員提供信息的功能。這兩類功能的相關(guān)服務(wù)一旦發(fā)生安全問題，產(chǎn)生的風(fēng)險(xiǎn)截然不同。在采取對(duì)策時(shí)，根據(jù)其中的差別探討安全問題非常重要。

 

　　IPA認(rèn)為，上述各功能管理著表1列出的信息和動(dòng)作。例如，在探討某車載系統(tǒng)的安全時(shí)，要首先理清該系統(tǒng)與哪項(xiàng)功能聯(lián)動(dòng)、使用哪些信息，然后再有重點(diǎn)地探討相應(yīng)的安全問題。屆時(shí)，表1的思路可以起到幫助作用。下一篇中，筆者將介紹排查出的威脅安全事例及對(duì)策。（特約撰稿人：中野 學(xué)，日本信息處理推進(jìn)機(jī)構(gòu)）

 

　　表1：應(yīng)當(dāng)保護(hù)的信息資產(chǎn)示例

　

    　原因在用戶？還是在攻擊者？

 

　　威脅發(fā)生的原因大致可分成兩類。一類是“用戶偶然引發(fā)的失誤等”，另一類是“攻擊者故意引發(fā)”。按照不同的發(fā)生原因，相應(yīng)的威脅分別如表2、表3所示。

 

　　表2：用戶操作造成的威脅

 

 

　　表3：攻擊者干擾引發(fā)的威脅

 

 

　　可能經(jīng)由OBD-II攻擊

 

　　在根據(jù)表2、表3中的威脅、思考車載系統(tǒng)遭受攻擊的途徑時(shí)，需要按照途徑，分成直接連接各項(xiàng)功能的物理接口以及車載LAN兩類，分別考慮（圖7）。對(duì)于不同的途徑，影響和對(duì)策的范圍也各不相同。

 

 

　　圖7：各功能群可能存在的威脅匯總

 

　　例如，來自外部的直接攻擊是通過汽車與外部通信的物理接口（無線通信、USB端口等）實(shí)施。從過去的攻擊事例來看，“接入手機(jī)網(wǎng)的車載信息服務(wù)和信息娛樂系統(tǒng)功能易受到來自外部的DoS（Denial of Service）攻擊和非法利用”。

 

　　與之相比，車載LAN是“封閉的通信系統(tǒng)”，可以說遭受外部直接攻擊的可能性較小。尤其是驅(qū)動(dòng)系統(tǒng)和底盤系統(tǒng)，除了車載LAN之外，這兩個(gè)系統(tǒng)沒有其他外部接口，可以認(rèn)為全部通信都經(jīng)由“封閉的”車載LAN。

 

　　即便如此，這兩個(gè)系統(tǒng)仍有可能遭受攻擊。因?yàn)槭艿街苯庸舻钠渌δ苡锌赡芨腥静《荆?ldquo;間接”向車載LAN傳輸非法命令。也就是說，攻擊的來源是原本可靠的車內(nèi)的其他功能。

 

　　入侵車載LAN并非只有“間接”途徑可走。如今，絕大多數(shù)車輛都配備了診斷功能“OBD-II”（第二代車載診斷系統(tǒng)），通過OBD-II的接口，也有可能直接攻擊車載LAN。OBD-II與車載LAN是連接在一起的。

 

　　但實(shí)際的汽車系統(tǒng)中，與“行駛、停止、轉(zhuǎn)彎”相關(guān)的功能連接在一起的車載LAN的外部接口大多設(shè)有網(wǎng)關(guān)，提高了安全性。

 

　　風(fēng)險(xiǎn)管理至關(guān)重要

 

　　要想減輕前面提到的威脅，必須要采取合理的安全對(duì)策。日本信息處理推進(jìn)機(jī)構(gòu)（IPA）分析并按照與一般信息系統(tǒng)相同的分類，對(duì)汽車安全對(duì)策進(jìn)行了整理（表3）。

 

　　表3：針對(duì)威脅的安全對(duì)策但表3并未涵蓋所有的汽車安全對(duì)策。今后，除此之外，還必須要思考車載系統(tǒng)特有的安全對(duì)策?，F(xiàn)在，部分汽車研究機(jī)構(gòu)已經(jīng)開始探討車載系統(tǒng)特有的安全對(duì)策。全世界的研究人員也在不斷改進(jìn)攻擊技術(shù)和對(duì)策技術(shù)，積累新的點(diǎn)子。倘若大家有意對(duì)安全對(duì)策進(jìn)行全面梳理，就要定期關(guān)注相關(guān)內(nèi)容的更新。

 

 

　　另外，這里只是大致羅列了可能存在的威脅和安全對(duì)策。在現(xiàn)實(shí)中，由于成本等原因，很難做到面面俱到。各公司要根據(jù)各自的功能和服務(wù)，實(shí)施合理的風(fēng)險(xiǎn)管理，包括“重點(diǎn)保護(hù)什么”、“采用哪項(xiàng)技術(shù)”等。

 

　　安全措施要覆蓋商品的整個(gè)生命周期

 

　　日本信息處理推進(jìn)機(jī)構(gòu)（IPA）按照汽車的生命周期（策劃、開發(fā)、使用、廢棄），整理出了相應(yīng)的安全對(duì)策（表1），其中也包括了所有企業(yè)都需要的管理方針。共分了15個(gè)項(xiàng)目。

 

　　表4：整個(gè)生命周期的舉措 直到廢棄都不能怠慢

 

　　讓我們先來根據(jù)表4，了解一下在影響整個(gè)生命周期的“管理”、“策劃”、“開發(fā)”、“使用”、“廢棄”各個(gè)階段的注意事項(xiàng)。

 

 

　　1．管理（整體）

 

　　無論在汽車生命周期的哪一個(gè)階段，產(chǎn)品提供商都必須要堅(jiān)持不懈地實(shí)施安全對(duì)策。制定整體方針，并按照這一方針，在各個(gè)階段實(shí)施連貫的安全對(duì)策。如果每次開發(fā)產(chǎn)品和服務(wù)時(shí)都從零開始制定安全對(duì)策，不僅會(huì)造成大量浪費(fèi)，還有可能讓組織的安全對(duì)策出現(xiàn)偏差。

 

　　在管理方面，尤為重要的是培養(yǎng)精通信息安全的人才、制定貫穿整個(gè)開發(fā)體制的基本規(guī)則、不斷收集與“日新月異”的攻擊方式相關(guān)的信息。

 

　　2．策劃階段

 

　　從進(jìn)入實(shí)際的開發(fā)之前的策劃階段開始，就要結(jié)合安全對(duì)策，這一點(diǎn)非常重要。因?yàn)樵诓邉濍A段，經(jīng)常要討論汽車整個(gè)生命周期的預(yù)算。

 

　　在這一階段，汽車的理念、配備的功能都將確定。此時(shí)，需要考慮各項(xiàng)功能的安全性的重要程度，為與重要程度相符的對(duì)策分配預(yù)算。而且，在選擇車輛配備的功能，轉(zhuǎn)交給開發(fā)方面的時(shí)候，一定不要忘記要包括安全要件。

 

　　3．開發(fā)階段

 

　　在制造階段，汽車企業(yè)及部件企業(yè)設(shè)計(jì)硬件和軟件并安裝到汽車上，是安全對(duì)策的最前線。

 

　　這一階段必須要做的是“準(zhǔn)確安裝要件定義”、“安裝時(shí)杜絕漏洞”、“萬一存在漏洞，也要能在出貨之前發(fā)現(xiàn)”。至于相關(guān)對(duì)策，還請(qǐng)參考本連載的前幾篇文章。此外，如果預(yù)算充裕，還需購(gòu)置漏洞評(píng)估設(shè)備等。

 

　　4．使用階段

 

　　這是用戶通過銷售店等渠道買到汽車，實(shí)際使用的階段。在車輛使用期間，位置信息、用戶下載的軟件、用戶的操作記錄和行駛記錄等大量的信息將存儲(chǔ)在車輛和數(shù)據(jù)中心之中。而且，像汽車共享、租車、公司用車這樣，用戶并非車主、用戶會(huì)在短期內(nèi)更替的情況也為數(shù)不少。

 

　　雖然安全對(duì)策要配合用戶使用的場(chǎng)景來實(shí)施，但也要注意保護(hù)隱私。另外，如果在車輛售出后發(fā)現(xiàn)漏洞，還必須考慮構(gòu)筑能將相關(guān)信息通知用戶和車主、與銷售店和維修廠等構(gòu)建合作應(yīng)對(duì)的體制。

 

　　5．廢棄階段

 

　　在用戶因換購(gòu)、故障等原因廢棄汽車的階段，往往容易忽視安全對(duì)策，因此在這一階段尤其要注意。廢棄的方式包括通過二手車銷售店等渠道轉(zhuǎn)讓給其他用戶、注銷后報(bào)廢等。不同的情況必須采取不同的對(duì)策。

 

　　用戶的協(xié)助必不可少 在上面提到的貫穿整個(gè)生命周期的舉措中，筆者覺得最為重要的是在使用階段“向用戶、汽車相關(guān)人員提供信息”。因?yàn)樵陂_發(fā)階段幾乎不可能制造出毫無漏洞的系統(tǒng)。

 

　　汽車的生命周期很長(zhǎng)。在用戶開始使用之后，很可能會(huì)出現(xiàn)新的攻擊方式和漏洞。創(chuàng)造在使用后給車輛安裝安全補(bǔ)丁的機(jī)制可謂勢(shì)在必行。

 

　　但是，安裝安全補(bǔ)丁最好不要像一般信息系統(tǒng)的軟件升級(jí)那樣使用互聯(lián)網(wǎng)。

 

　　作為針對(duì)可能遭到瞄準(zhǔn)漏洞的攻擊的用戶確實(shí)采取的安全對(duì)策，可以在車檢時(shí)實(shí)施升級(jí)，純電動(dòng)汽車則可以在充電時(shí)升級(jí)。例如使用嵌入式軟件的電視機(jī)，就有通過電視信號(hào)升級(jí)的案例。

 

　　另外，廢棄階段的“制定廢棄方針等”也容易被忽略，要特別注意。除了車主，汽車還經(jīng)常由他人駕駛。用戶轉(zhuǎn)讓二手車的情況也比較多。租車、汽車共享等多位用戶同開一輛車的機(jī)制也十分普及。這就需要采取措施，防止車主的個(gè)人信息落入他人之手。

 

　　現(xiàn)在的車載導(dǎo)航儀系統(tǒng)可能保存著車主的住址，公司用車則可能保存著客戶的信息，如果車載導(dǎo)航儀可以使用SNS（社交網(wǎng)絡(luò)服務(wù)），還有可能保存著賬號(hào)、密碼等數(shù)據(jù)。

 

　　在信息系統(tǒng)的世界，廢棄的硬盤泄露信息的例子很多。汽車上也已經(jīng)出現(xiàn)了車載導(dǎo)航儀顯示以前車主的信息之類的問題。

 

　　要想確保安全，除了企業(yè)采取措施之外，汽車用戶的協(xié)助同樣不可或缺。今后，企業(yè)對(duì)用戶的安全啟蒙活動(dòng)估計(jì)會(huì)愈發(fā)重要。

 

　　不要為安全對(duì)策制定“標(biāo)準(zhǔn)答案”

 

　　最后，筆者想闡述一下自己對(duì)于汽車信息安全的看法。

 

　　首先，汽車相關(guān)企業(yè)的讀者需要認(rèn)識(shí)到，信息安全對(duì)策沒有“標(biāo)準(zhǔn)答案”。因?yàn)殡S著使用環(huán)境、服務(wù)內(nèi)容的不同，采取的對(duì)策也有很大不同，而且，一旦確定了“標(biāo)準(zhǔn)答案”，必然會(huì)出現(xiàn)專門找（制造）空子的惡意攻擊者。而根據(jù)筆者的經(jīng)驗(yàn)，空子一般都能找到。

 

　　汽車行業(yè)的開發(fā)流程極其注重安全性和可靠性，恐怕很難接受不制定“標(biāo)準(zhǔn)答案”的方針。因?yàn)檫@一方針與徹底排查出可能有損安全性和可靠性的因素并采取對(duì)策、然后將對(duì)策標(biāo)準(zhǔn)化、全公司共享的汽車開發(fā)流程格格不入。

 

　　另外，車載系統(tǒng)與網(wǎng)絡(luò)、信息系統(tǒng)的聯(lián)動(dòng)今后還會(huì)加速發(fā)展。在汽車開始飛速互聯(lián)之際，安全對(duì)策要實(shí)施到何種程度？對(duì)此，筆者還沒有找到答案。

 

　　盡管如此，社會(huì)必然還是會(huì)要求車載系統(tǒng)采取安全對(duì)策。但世上沒有“萬能藥”，公司內(nèi)的各個(gè)組織必須在實(shí)施風(fēng)險(xiǎn)管理的同時(shí)，確定采取對(duì)策的范圍。到那時(shí)，要想實(shí)現(xiàn)嚴(yán)格的風(fēng)險(xiǎn)管理，恐怕必須要采取全面的威脅及對(duì)策方針。屆時(shí)，希望大家可以充分利用IPA公布的“汽車信息安全措施指南”。

 

　　不過，在實(shí)施對(duì)策時(shí)，筆者擔(dān)心只有開發(fā)者在負(fù)責(zé)推動(dòng)汽車安全的發(fā)展。信息安全不是單憑開發(fā)者的努力就能做到的。除了在實(shí)際使用汽車的階段采取安全對(duì)策之外，車主留意即可解除的威脅、必須由提供車載系統(tǒng)聯(lián)動(dòng)服務(wù)的組織實(shí)施對(duì)策的威脅也為數(shù)不少。

 

　　幸運(yùn)的是，汽車行業(yè)存在統(tǒng)一接受教育的機(jī)會(huì)，那就是領(lǐng)取及更新駕照的時(shí)候，而且還有定期檢查車輛的“車檢”體系。今后，很可能必須要利用這些社會(huì)機(jī)制，使汽車所處的環(huán)境更加安全。

 

　　維護(hù)汽車信息安全的舉措才剛剛開始。IPA今后還將與汽車相關(guān)企業(yè)合作，喚醒大家的安全意識(shí)，繼續(xù)整理威脅和對(duì)策技術(shù)。衷心希望各位讀者能夠從不同的角度（開發(fā)人員、服務(wù)商、車主等）出發(fā)，提供協(xié)助。