车云按:上个月底克莱斯勒被Charlie Miller&Chris Valasek联手破解的事件似乎打开了一个开关,通用、特斯拉纷纷中招,还有黑客发现了可以在品牌之间无差别攻击的手段。黑帽大会+USENIX安全会议,也公布了一个又一个让车企们胆跳心惊却还要表现得面不改色的安全漏洞。
随着联网功能、近场通讯手段的愈加增多,汽车上可被攻击的地方也越来越多。要攻破一辆汽车的防线,能从哪些方面入手?汽车制造商和供应商们又该怎么防止入侵呢?在逐个分析完破解案例之后,下面进入总结篇。
安全攻击案例的一夕爆发打了车企们一个措手不及,黑客希望藉此引起车企、乃至汽车行业对于信息安全重视的目的,也达到了。
但是这种方式,也难免让一些人走上极端,把信息安全妖魔化:以信息安全为矛进行攻击,引起过分担忧;一味强调自身的安全性能,把攻击破解的案例视作歪门邪道。不论是哪一种,都难免让围观者依旧不明真相。
其实,前人给了很好的案例。现在在汽车上发生的事情,在互联网、移动互联网新兴的时候同样发生过,这也是车联网时代必须要面对、无法回避的一个过程。车企究竟要为信息安全交出多少学费,需要考量的因素也不止一个。
第一弹:安全破防之后果
评估一个事项的重要程度,要看能够引起什么后果。从今年的这些案例之中,以及过往的研究中,不难发现,在汽车上,后果基本分三个方面:
1.隐私数据的泄露带来的间接财产损失
对汽车的远程攻击类大多都能够做到,尤其是从车载系统、车联网服务App为入口开始的攻击。与个人而言,隐私数据可能是个人的身份信息,或者账户信息,有可能带来个人的财产损失;从企业来说,可复制类攻击能够拿到的绝对不止一个人的数据,也不止限于用户信息数据,对于企业的竞争力与发展来说,皆是威胁。
2.直接财产损失
遥控钥匙与点火防盗系统的漏洞均属于此类,或者打开车门拿走车中财务,或者连车一起拿走。
3.人身安全威胁
所有能够入侵到CAN总线底层核心功能,远程控制车辆的转向、加速与刹车的攻击都能够对人身安全造成威胁。
对人身安全的威胁危害性大,所以极容易被车企们所否认,并反复强调车辆的安全性能,同时也因为在现实生活中发生概率之低及发生场景之少,也成为车企的借口之一。毕竟真正意义上的黑客攻击,还是利益至上,单纯为了危害生命而危害生命的,并非没有,但是都属于特殊人群才需要考虑的事情。
相比之下,隐私数据的泄露带来的间接财产损失与直接财产损失对于普通大众来说,是更可能发生的事情。而且这一类攻击不会涉及到车辆核心功能的远程控制,无需突破CAN总线就可以达成,实现起来也更加简单。
「后果」的另外一个层面,是要如何去修复漏洞。有些漏洞,看似简单,但是却涉及到基础架构问题,堵上一个入口难免会被发现第二个,防不胜防;而有些漏洞,直指底层,比如密码和通讯协议的破解,虽然可能只需要更换一个小小的硬件,但是涉及面广、伤筋动骨。这些都是车企们最不愿意看到的。
不同的损失对应不同的方案,想要面面俱到,就得从底层做起。
第二弹:安全防护之能力
即便如此,要为车企们辩解的话,理由还是很好找的:车辆的开发周期长,在开发过程中会增加很多技术,而这些技术必然不是开发之初能够想到的;车企在设计一款汽车的时候,信息安全必定不是最先考虑的因素,难免会存在各种“妥协”。不过归根结底,不过是车企们对于信息安全的认识不足,把握不准,才会造成了现如今准备并不充分的现状。
在与车云菌聊起这个话题的时候,大陆ITS事业部的资深系统架构师宋雷认为,要想对车辆进行信息安全的防护,需要从几个不同的层次来看,从车辆底层向外分别是CAN总线、T-box(车联网服务位于车辆内独立的通讯模块)、中控屏的信息娱乐系统以及车外的TSP后台。
这一点与飞驰镁物首席运营官COO蔡东的看法比较类似。在汽车联网的标准网络结构中,以TSP后台为核心,车辆通过T-box与之相连,智能手机/手表上的App通过Wi-Fi与之进行数据交互,第三方的内容/服务提供商需要与之相连,另外TSP还可能会车企一些其他的系统有连接。
因而,很容易分析出汽车上能够被攻击的几个点:
1.汽车端:信息娱乐系统、T-box、内部CAN网络、外部的钥匙
2.手机、手表上的App
3.与CAN网络连接的OBD
4.TSP后台所在的云端服务器
5.通讯过程,包括从T-box到后台的通讯,App到后台的通讯,从信息娱乐系统到CAN总线之间的通讯过程等等
在这里,每一个点上都必须进行安全防护。在这之中,App与OBD是最容易突破的地方。App所运行的手机/手表与OBD都属于不可控的硬件,有联网能力但是否有安全防护措施、这些措施的防护能力如何却并不可控。而且,从硬件性能上来说,受限于手机与OBD的运算能力,很多防护能力较强的措施无法在其上进行部署,因而很容易被作为突破口来立典型。
而其他受控于车企的这些元素之中,在蔡东看来,完全可以用短板原理来保证安全。与我们熟知的短板原理不同,蔡东提到的短板原理包含三个维度:
1.短板,最短的板决定了储水量的多少,因而必须关注短板在哪里,并进行改进
2.板与板之间的缝隙,板与板之间的缝隙如果过大也会出现漏水现象,表现在安全措施中,可以看做是组件与组件之间的联系,要做好隔离,通讯方式要需要关注
3.运营维护,如果木桶使用时间长了,会出现被腐蚀侵蚀的现象,运营维护对应的则是安全管理,蔡东认为信息安全三分技术七分管理,这也是目前车企在信息安全上容易忽略的地方
第三弹:安全部署之成本
安防措施必不可少,但所谓道高一尺魔高一丈,安全措施本身并没有封顶一说,再加上因为防护点众多,防守相对于攻击而言难度更高,所以在安全在做到满分是一件不可能的事情:对硬件设备条件要求会很高,那么车辆所花的研发资金与时间很可能会被无限放大。
虽然车企们算是栽了一个大跟头,但是却并不代表他们在信息安全方面完全无准备。车企必然会为在选择安防方案的时候,会考虑车辆定位对方案进行评估,最终选择一个兼顾成本与性能的方案,而目前的结果不过是验证了一点:大多数车企的评估标准并不能很好地适应,而且出漏洞的地方还会是比较基础的地方,是一些经历过互联网、移动互联网洗礼的人不会犯的错误。
在这样的背景条件下,于车企而言,最重要的就是,原则性错误不能犯,基础的必备安全措施不能少,都有什么呢?
1.无论是在汽车端、手机端或者云端,与通讯信息来源之地的双向验证并不可少,且传输安全中的加密与签名校验必不可少。这也是目前几期案例中比较典型的例子,不过是缺少了签名校验或者双向验证中的一环,就会造成黑客长驱直入的情况发生。而且,对于一些重要功能的调用,比如通过App远程启动车辆等,还可以视情增加二次验证。
2.隔离层设计与权限管理。隔离层设计不必多说,CAN总线就是个很好的例子,不过也如同Charlie Miller的研究显示,很容易出现的漏洞是,有隔离而无防护,或者只有简单的边界防护。至于权限管理,设置权限是一方面,不在未开放的领域能够让人获取到更多的权限也是一个方面,比亚迪就是个很好的例子。设置在后台的额外权限虽然并未开放,但是一旦被突破就可以获取,也会造成安全威胁。
3.硬件级控制指令,是为了防止远程控制命令的优先级高于本地。
4.安全告警与操作记录上传功能。现在的案例中,除特斯拉之外,其他车企并未发现在出现安全为题时后台或者车主能够收到提醒的情况。
5.安全管理。安全管理涉及到的方面很多,但有一些必不可少的,在架构之前有策略、流程与制度的制定、风险评估;实施之后需要进行定期的安全审计并进行持续改进,对安全事件要进行监控,发生事件时需要有应急响应措施。
车云小结
汽车的信息安全是个新兴的领域,如同互联网、移动互联网一样,初始之时,会因为经验不足而受到挫折。经受了阵痛之后,就会是一个此消彼长的阶段,攻击者与防护者的经验与技术手段都会增加,安全的堡垒也会在博弈之中反复进行建立——摧毁——再度建立的循环,每一次重建,都是一次升级。如中国移动首席科学家杨景所说,联网会带来安全的威胁,也会让更多的人加入到保护的行列,汽车的信息安全刚刚起步,在有了实际的攻击场景之后,才会产生有效的防护手段。
)
