今年7月在美国拉斯维加斯举行的2017世界黑客大会(Black Hat 2017)上,腾讯安全联合实验室科恩实验室验证了特斯拉的多项安全漏洞电动车,并对特斯拉Model X进行了一次物理无接触远程攻击,它可以在停车和驾驶模式下利用CAN总线任意远程控制汽车。事实上,2016年9月,该实验室已经破解了特斯拉 Model S一次,马斯克亲自给实验室写了一封信表示感谢,并弥补了当时发现的漏洞。
以上只是近年来世界各地针对车辆的无数网络攻击中的一个例子。幸运的是,到目前为止,发动袭击的人基本上都是无害的所谓白帽子黑客,在路上并没有造成很大的伤害。好莱坞大片中描绘的许多汽车的驾驶系统和智能终端速度与激情8 都被反派领导的电脑黑客团队控制,给城市造成了混乱。但是,这也向公众表明,随着联网汽车的不断增加,车辆遭受各种网络攻击的风险仍然存在。
今天我们就汽车信息安全(也叫网络安全)这个话题做一个专题介绍。首先,我们将说明侵害信息安全的几种主要攻击方式和手段,然后介绍目前汽车电子电器架构上常见的防护措施,最后简要总结全球范围内针对汽车信息安全这一主题已经颁布或正在酝酿的一些主要法律、指南和标准。
1.危害车辆信息安全的攻击可以有多种方式,但一般来说可以归纳为三种类型:
首先,通过身体接触进行攻击。来自黑客的观点,他们控制一辆车最简单的方法就是通过后门在里面安装一个系统,这样就很容易获得控制权限。事实上,对特斯拉最早的攻击是通过车载诊断系统(简称OBD)进行的。过去,许多汽车制造商没有对这种攻击不太重视,以为这种接触控制只能通过与车辆本身的物理接触来进行,但一般只有使用者才能做到这一点,所以潜在危险并不大。但随着共享经济的发展,租车现象会越来越普遍,进入和驾驶车辆的几率会急剧增加。黑客可以通过改变ECU软件的内容或者用被篡改的零件替换原来的零件来创造入侵机会。此外,新兴电动汽车引入一些新的物理接口,也会增加通过接触控制汽车的机会。比如黑客可以通过智能充电桩读取和篡改一些车辆信息。
第二,近场控制攻击。现在很多汽车都有蓝牙、车载WIFI或者其他利用射频信号进行通信的设备和装置,比如很多智能车钥匙,都属于近场通信。如果不采取预防措施,近场通信中有许多漏洞可以被利用作为攻击的一种方式。蓝牙本身并没有很好的认证和加密机制。即使WIFI设置了密码,实力不足的密码黑客也可以通过所谓的暴力攻击试错常数排列组合法。很多密码的安全性远没有密码设置者想象的那么安全。通过蓝牙和WIFI,可以连接到离车辆不远处的车内车载系统,对车辆进行控制。
第三,远程控制攻击。首先,在具有车联网的车辆中常用的TBOX(Telematics Box/Control Model)需要连接到互联网、主机或总线。汽车一旦通过TBox联网,立刻就成为传统黑客非常好的场合。攻击它往往是一件很简单的事情,因为传统的用于车内通信的总线根本没有防范这种攻击的机制,比如汽车中最常用的CAN总线。
其次,智能汽车的攻击模式很多。原因之一是智能汽车的操作系统仅限于QNX和安卓等少数几个。一旦知道一个漏洞,汽车本身的安全性马上就成问题了。但是,汽车的工作方式是通过车联网与外界沟通,其潜在风险不可低估。
第三,车主使用的s手机控制各种车辆功能不仅提供了远程启动、上车前打开空调和车窗、油耗观察等便捷功能,还为黑客访问车载系统提供了非常好的通道。
最后,汽车制造商和第三方应用服务提供商可以为具有车联网功能的车辆提供越来越多的云服务。一个典型的例子是车载控制器软件的远程更新(软件/无线闪存或简称SOTA/FOTA)。通过该功能,汽车可以远程更新特定控制器中的软件,而不必像目前大多数汽车一样开到4S商店。特斯拉甚至允许客户通过软件的远程更新,启动一些原有的潜在功能来提供增值服务,例如著名的自动驾驶功能Autopilot2,从而创造了一种前所未有的汽车商业模式,但这种服务也可能为黑客打开一个很好的攻击窗口。
在整个车联网环境中,黑客可以攻击的方式太多了。以下是一些典型的场景:
你可以得到主人通过入侵手机或车机使用的第三方服务app的数据库,获取用户的用户名、密码和使用信息,然后修改这个app,发布给用户。用户安装后,所有信息对黑客都变得透明。
攻击车厂的云数据中心,其实这种攻击近年来经常发生,因为现在几乎所有与车辆和客户相关的信息系统都在云端,这种攻击带来的潜在风险还是很大的。
攻击4S商店的系统,得到店主的数据或在维修时将恶意软件植入车内。
交流过程中的攻击。由于联网需要数据通信,黑客可以在通信过程中劫持数据并非法获取访问权限。
2.面对如此多的信息安全威胁,我们该如何保护它?
因为攻击可以通过各种方式和不同的途径进行,所以从汽车工程的角度来看,防护工作也必须在车辆的各个层面采取不同的对策电子电气架构。信息安全保护包括以下四个级别:
第一层是防火墙,防止车辆通过外部接口攻击,让车辆有一个安全的接口。这一层侧重于车辆内外的信息安全。在这个级别,需要对诊断接口和WIFI、4G、蓝牙等无线通信接口进行特别防范。关键部分是OBD接口、TBox、车载机器和信息娱乐(车载信息娱乐)系统,主要方法是M2M认证,这需要在通信系统中添加必要的安全机制。核心问题之一是密钥管理。
第二层是安全网关,控制车辆中各域之间的通信。这一层侧重于车辆中控制域之间的信息安全。安全网关可以把整车的功能划分到几个不同的域,然后像防火墙或者过滤器一样检查所有通过它的信息的安全性,这样就有了一个集中的入侵检测效果。
第三层是通过信息的认证和完整性保护的安全通信层,重点是ECU之间的信息安全。这一级需要做的是对特定ECU通过特定通信总线(例如CAN总线)传递的消息进行认证,防止黑客入侵开放总线,从而保证车内总线的安全。比如将CAN通信系统嵌入到分布式入侵检测防御系统(IDPS)中,对所有连接到总线上的CAN节点发送的数据和命令进行监控,一旦有异常发送,立即发出警告或采取措施区分可能危及整个网络的节点。在这方面,很多公司都提出了自己的方案。在这些方案中,最常见的入侵检测方法是在要传输的消息中添加消息认证码(简称MAC)。请注意,MAC生成也需要通过ECU的内部安全机制来完成。
第四层是通过集成的硬件安全模块(HSM)并提供一个信任锚或者可信执行环境实现各种安全机制,从而实现安全处理。这一层侧重于ECU中数据处理的信息安全。它值得注意的是,HSM通常带有一个微控制器和一些与保密相关的硬件电路,可以执行各种加密和解密操作或密钥存储和管理,但黑客可以不要侵犯它。许多与信息安全相关的功能和用例,如程序的安全引导、运行时数据的完整性保证、程序的远程更新(SOTA),都离不开安全的数据处理。
3.车辆信息安全的法规、指南和标准
汽车信息系统的安全性已经成为汽车工业的一个重要发展领域。汽车制造商、主要供应商、监管机构、保险公司、科技公司、电信公司和受新攻击环境影响的组织都在努力加强整个行业美国对汽车网络安全的重视。
与此同时,世界上许多国家的政府也注意到了车联网功能带来的新的公共安全问题,这导致了汽车安全与隐私法案,也称为间谍车法案,由美国参议员马基和布卢门撒尔在2015年提出,因为该法案的英文缩写是间谍车法案。相关的政府机构也发布了一些报告,如欧洲联盟网络与信息安全局(Eni)发布的报告和智能汽车的网络安全和弹性由NHTSA国家公路交通安全管理局出版)发行提高机动车辆网络安全的联邦指南和NHTSA和车辆网络安全。今年8月,英国政府发布了《网联汽车信息安全原则和指南》。就连联合国也公布了汽车信息安全的方案,内容涵盖数据和信号加密、车辆数据保护的第三方认证、安全功能等等。联合国计划举行更深入的讨论,目的是起草具有法律约束力的国际标准。
目前国际上有ISO26262等汽车安全相关标准,美国也形成了SAEJ3061/IEEE1609.2等一系列标准。欧洲的EVITA研究项目也提供了相关的汽车信息安全指南。国际标准化组织ISO和美国汽车工程师学会SAE正在合作制定统一的道路车辆信息安全工程国际标准ISO21434。
在2014年中国颁布的国民经济和社会发展第十二个五年规划中,政府首次将汽车信息安全作为重点基础问题进行研究,起步相对较晚。然而,随着近年来在这一领域投入的不断增加,车辆信息安全领域的研究取得了很大的进展。A 云-管-端包括云安全、管安全、端安全在内的数据安全技术框架在业内基本建立,为进一步制定中国智能网联数据安全技术标准奠定了良好基础。
在网联汽车日益普及的今天,车辆的信息安全变得越来越重要。在今天文章中,我们首先简要介绍黑客影响车辆信息安全的三种方式和方法,即物理接触、近场控制和远程控制来实施可能的攻击。其次,介绍了汽车电子电气架构四个层面可以采取的一些保护措施。最后,介绍了欧洲、美国和中国在加强车辆信息安全方面所做的努力,包括立法和标准方面的现状和进展。
标签:汽车车辆信息