相關(guān)鏈接
汽車(chē)信息安全問(wèn)題不容忽視(上)
三、攻擊汽車(chē)的途徑很多很廣
日本信息處理推進(jìn)機(jī)構(gòu)(IPA)通過(guò)分析與汽車(chē)信息安全相關(guān)的攻擊方法,提出三種攻擊途徑。
(一)直接攻擊
汽車(chē)不同于個(gè)人電腦和手機(jī),由于其擁有較大的體積及某些特性,用戶很難時(shí)刻監(jiān)控車(chē)輛,攻擊者很容易直接接觸到汽車(chē)。
(二)從外圍產(chǎn)品入侵
除了汽車(chē)廠商提供的功能之外,用戶購(gòu)買(mǎi)并安裝在車(chē)上的外圍產(chǎn)品也種類(lèi)繁多。安裝這些產(chǎn)品的同時(shí),來(lái)自外部的病毒等威脅有可能進(jìn)入車(chē)載系統(tǒng)。
關(guān)于外圍產(chǎn)品,尤其是智能手機(jī),一方面很容易就能獲得面向汽車(chē)的通用應(yīng)用軟件,但另一方面,其中也摻雜著大量惡意應(yīng)用軟件或者包含惡意代碼的應(yīng)用軟件。所以,在汽車(chē)研發(fā)階段,就必須要考慮到用戶可能攜帶哪些外圍產(chǎn)品進(jìn)入車(chē)內(nèi),其中就包括智能手機(jī)。
(三)從外部網(wǎng)絡(luò)攻擊
為確保便捷性和安全性,汽車(chē)上有很多使用網(wǎng)絡(luò)通信的設(shè)備。例如智能鑰匙、輪胎壓力監(jiān)測(cè)系統(tǒng)(TPMS)、路車(chē)間通信都使用短距離無(wú)線通信功能,都有可能受到通信信息被竊聽(tīng)、被惡意中斷等潛在威脅。
最近,智能手機(jī)與車(chē)載系統(tǒng)聯(lián)網(wǎng)的功能越來(lái)越普遍,汽車(chē)連接外部網(wǎng)絡(luò)的環(huán)境日益完備。再加上車(chē)載信息服務(wù)開(kāi)始普及,從外部網(wǎng)絡(luò)實(shí)施攻擊的潛在威脅已成為現(xiàn)實(shí)。以電動(dòng)汽車(chē)為例,充電時(shí),充電信息將被發(fā)送至外部網(wǎng)絡(luò),用于管理充電情況和充電記錄。
一般來(lái)說(shuō),攻擊者不愿留下攻擊痕跡。因此,經(jīng)由外部網(wǎng)絡(luò)實(shí)施攻擊應(yīng)該是攻擊者最喜歡的方法之一。反言之,如果攻擊者必須直接接觸車(chē)輛才能實(shí)施攻擊,則攻擊難度就會(huì)明顯增加。在假設(shè)攻擊的來(lái)源時(shí),了解攻擊者的內(nèi)心想法是第一步。
從攻擊者的角度來(lái)看,只要連接外部網(wǎng)絡(luò),就意味著打開(kāi)了一個(gè)攻擊入口;通用系統(tǒng)被廣泛采用,則意味著攻擊難度下降;繼而,服務(wù)多樣化將使汽車(chē)擁有更多信息。如果盜取有價(jià)值的信息,就會(huì)獲得收益。
四、日本定義汽車(chē)信息安全模型
圖4 IPA Car模型
由于不同廠商和不同價(jià)位(等級(jí))的汽車(chē),在結(jié)構(gòu)和功能等方面存在很大差異,因而很難定義全行業(yè)通用的汽車(chē)模型。日本信息處理推進(jìn)機(jī)構(gòu)在研究汽車(chē)系統(tǒng)的信息安全時(shí),從汽車(chē)可靠性等角度出發(fā),按照車(chē)輛功能模塊進(jìn)行分類(lèi),研究出一個(gè)汽車(chē)信息安全模型——“IPA Car”(圖4),對(duì)可能攻擊汽車(chē)系統(tǒng)的途徑、不同汽車(chē)功能模塊的信息安全對(duì)策等做出了系統(tǒng)的整理。
IPA Car將汽車(chē)局域網(wǎng)最大限度地抽象化,假定用1條總線連接全部功能。把所有功能分成“行駛、停止、轉(zhuǎn)彎”等“基本控制功能”、提升舒適性和便利性的“擴(kuò)展功能”、用戶帶入車(chē)內(nèi)的外圍產(chǎn)品等的“普通功能”。
(一)明確應(yīng)該保護(hù)的范圍
表1 應(yīng)當(dāng)保護(hù)的信息資產(chǎn)
應(yīng)當(dāng)保護(hù)的對(duì)象類(lèi)別 說(shuō)明
基本控制功能的運(yùn)行 基本控制功能的連貫性和可用性,基本控制功能的執(zhí)行環(huán)境和使其運(yùn)行的通信。
汽車(chē)固有信息 包括汽車(chē)車(chē)體中固有的信息(車(chē)輛ID、設(shè)備ID等)、認(rèn)證信息碼、行駛及運(yùn)行記錄等積累信息。
汽車(chē)狀態(tài)信息 表示汽車(chē)狀態(tài)的數(shù)據(jù)、位置、車(chē)速、目的地等。
用 戶 信 息 用戶(駕駛員和乘坐人員)的個(gè)人信息、認(rèn)證信息、繳費(fèi)信息、使用記錄和操作記錄等。
軟 件 ECU固件等關(guān)系到汽車(chē)基本控制功能和擴(kuò)展功能的軟件。
內(nèi) 容 視頻、音樂(lè)、地圖之類(lèi)的應(yīng)用數(shù)據(jù)。
設(shè) 置 信 息 硬件和軟件的運(yùn)行設(shè)置數(shù)據(jù)。
容易成為攻擊入口的外部接口可能包含在汽車(chē)的各項(xiàng)功能中,IPA Car將外部接口歸納為“擴(kuò)展功能”與“普通功能”之間的連接部分。另外,“基本控制功能”與“擴(kuò)展功能”合稱為“車(chē)載系統(tǒng)”,這兩個(gè)功能群又細(xì)分為“驅(qū)動(dòng)類(lèi)”、“信息娛樂(lè)類(lèi)”等形式。
“擴(kuò)展功能”大致可以分成兩類(lèi):一類(lèi)是包括“車(chē)體系統(tǒng)”、“安全舒適功能”、“診斷及維護(hù)”在內(nèi)的“控制功能”,主要與行駛、停止、轉(zhuǎn)彎等汽車(chē)的物理功能密切相關(guān);另一類(lèi)是包含“ITS功能”、“通信與信息”、“信息娛樂(lè)”等在內(nèi)的“信息功能”,是有關(guān)向駕駛員提供信息的功能。這兩類(lèi)功能的服務(wù)一旦發(fā)生安全問(wèn)題,產(chǎn)生的風(fēng)險(xiǎn)截然不同,在采取對(duì)策時(shí),也要根據(jù)各自的差別采取相應(yīng)的安全問(wèn)題對(duì)策。
日本信息處理推進(jìn)機(jī)構(gòu)認(rèn)為,表1列出的上述各功能,管理著汽車(chē)的信息和動(dòng)作。在研究某項(xiàng)車(chē)載系統(tǒng)的安全時(shí),要首先理清該系統(tǒng)與哪項(xiàng)功能聯(lián)動(dòng)、使用哪些信息,然后再有重點(diǎn)地研究相應(yīng)的安全問(wèn)題。
(二)在各個(gè)生命周期采取措施
日本信息處理推進(jìn)機(jī)構(gòu)按照汽車(chē)的生命周期(策劃、開(kāi)發(fā)、使用、廢棄),整理出相應(yīng)的信息安全對(duì)策(見(jiàn)表2),共分15項(xiàng)。
根據(jù)表2,在貫穿汽車(chē)整個(gè)生命周期分為“管理”、“策劃”、“開(kāi)發(fā)”、“使用”、“廢棄”等階段,各階段需要注意的事項(xiàng)如下。
表2 汽車(chē)生命周期的信息安全對(duì)策
生命周期 安全舉措 概要
管理 制定安全規(guī)則 設(shè)定安全組織的規(guī)定和規(guī)則。
實(shí)施安全教育 對(duì)參與開(kāi)發(fā)和使用的人員,實(shí)施安全概念和安全技術(shù)的培訓(xùn)。
安全信息的收集和發(fā)布 收集可能與自己的組織開(kāi)發(fā)的系統(tǒng)有關(guān)的漏洞的信息、事件信息、標(biāo)準(zhǔn)化動(dòng)向等,向相關(guān)人員發(fā)布。
策劃階段 定義安全事項(xiàng) 對(duì)于將要開(kāi)發(fā)的系統(tǒng),結(jié)合其使用方法和使用的信息,定義安全要件。
確保安全預(yù)算 為開(kāi)發(fā)階段的信息安全對(duì)策費(fèi)、使用階段實(shí)施的安全升級(jí)等制定預(yù)算。
外包開(kāi)發(fā)時(shí)的安全措施 確定外包開(kāi)發(fā)時(shí)的簽約規(guī)則、能擔(dān)保人員和委托品的安全質(zhì)量的規(guī)則及篩選方法。
應(yīng)對(duì)與新技術(shù)相關(guān)的威脅 探討今后汽車(chē)可能采用的新技術(shù)的威脅和風(fēng)險(xiǎn)。
開(kāi)發(fā)階段 設(shè)計(jì) 結(jié)合安全功能的安裝方式和日志收集方式等進(jìn)行設(shè)計(jì)。
安裝時(shí)的信息安全對(duì)策 利用可防止漏洞出現(xiàn)的安全編碼和編碼標(biāo)準(zhǔn)。
安全評(píng)估和調(diào)試 在測(cè)試環(huán)節(jié)利用源代碼的復(fù)查和模糊測(cè)試等方式檢驗(yàn)。
準(zhǔn)備向用戶提供信息所需內(nèi)容 匯總有助于用戶正確利用系統(tǒng)的信息。
使用階段 安全問(wèn)題的應(yīng)對(duì) 構(gòu)筑發(fā)生事件時(shí)能快速采取應(yīng)對(duì)措施的聯(lián)絡(luò)體制,實(shí)施訓(xùn)練等。
向用戶和汽車(chē)相關(guān)人員提供信息 探討在發(fā)現(xiàn)漏洞時(shí)向用戶發(fā)布安全補(bǔ)丁和信息的方法。
充分利用漏洞相關(guān)信息 合理使用漏洞相關(guān)信息,防止已經(jīng)發(fā)現(xiàn)的漏洞再發(fā)、減少漏洞對(duì)于相關(guān)系統(tǒng)的危害。
廢棄階段 制定廢棄方針等 在汽車(chē)廢棄時(shí)提供信息刪除功能,防止用戶信息等落入他人之手,并公開(kāi)刪除方法。
1、管理
無(wú)論在汽車(chē)生命周期的哪一個(gè)階段,產(chǎn)品提供商都必須要堅(jiān)持不懈地實(shí)施信息安全對(duì)策。制定整體方針,并按照這一方針,在各個(gè)階段實(shí)施連貫的信息安全對(duì)策。如果每次開(kāi)發(fā)產(chǎn)品和服務(wù)時(shí)都從零開(kāi)始制定信息安全對(duì)策,不僅會(huì)造成大量浪費(fèi),還有可能讓組織的信息安全對(duì)策出現(xiàn)偏差。
在管理方面,尤為重要的是培養(yǎng)精通信息安全的人才、制定貫穿整個(gè)開(kāi)發(fā)體制的基本規(guī)則、不斷收集與新型攻擊方式相關(guān)的信息。
2、策劃階段
進(jìn)入實(shí)際的開(kāi)發(fā)之前,要從策劃階段就開(kāi)始導(dǎo)入信息安全對(duì)策,這一點(diǎn)非常重要。因?yàn)樵诓邉濍A段,經(jīng)常要討論汽車(chē)整個(gè)生命周期的預(yù)算。
在這一階段,汽車(chē)的理念、配備的功能都將明確。此時(shí),需要考慮各項(xiàng)功能安全性的重要程度,為與重要程度相符的對(duì)策分配預(yù)算。而且,在選擇車(chē)輛配備的功能然后轉(zhuǎn)交給開(kāi)發(fā)階段的時(shí)候,一定要提交包括信息安全在內(nèi)的需求。
3、開(kāi)發(fā)階段
在生產(chǎn)制造階段,汽車(chē)廠商及零部件廠商開(kāi)始設(shè)計(jì)硬件和軟件并安裝到汽車(chē)上,這是采取信息安全對(duì)策的最重要環(huán)節(jié)。
這一階段必須要做的是“按照需求定義進(jìn)行準(zhǔn)確安裝”、“安裝時(shí)杜絕漏洞”、“萬(wàn)一存在漏洞,也要能在出貨之前發(fā)現(xiàn)”。
4、使用階段
這是用戶買(mǎi)到汽車(chē)并實(shí)際使用的階段。在車(chē)輛使用期間,位置信息、用戶下載的應(yīng)用軟件、用戶的操作記錄和行駛記錄等大量信息將存儲(chǔ)在車(chē)輛和數(shù)據(jù)中心之中。而且,還會(huì)有很多像汽車(chē)共享、租車(chē)、公司用車(chē)這種用戶并非車(chē)主、用戶會(huì)在短期內(nèi)更替的情況。
雖然信息安全對(duì)策要配合用戶使用場(chǎng)景來(lái)實(shí)施,但也要注意保護(hù)個(gè)人信息隱私。另外,如果在車(chē)輛售出后發(fā)現(xiàn)漏洞,還必須考慮營(yíng)建能將相關(guān)信息通知用戶和車(chē)主,與銷(xiāo)售商店和維修廠家等合作應(yīng)對(duì)的體制。
5、廢棄階段
在用戶因換購(gòu)、故障等原因廢棄汽車(chē)的階段,往往最容易忽視信息安全對(duì)策,因此在這一階段尤其要注意。廢棄的方式包括通過(guò)二手車(chē)銷(xiāo)售商店等渠道轉(zhuǎn)讓給其他用戶、注銷(xiāo)后報(bào)廢等。不同的情況應(yīng)采取不同的對(duì)策。
(三)呼吁用戶廣泛協(xié)助
上面提到的貫穿汽車(chē)整個(gè)生命周期的應(yīng)對(duì)措施中,在開(kāi)發(fā)階段幾乎不可能制造出毫無(wú)漏洞的系統(tǒng),所以在使用階段“向用戶、汽車(chē)相關(guān)人員提供信息”尤為重要。
汽車(chē)的生命周期很長(zhǎng)。用戶開(kāi)始使用之后,很可能會(huì)出現(xiàn)新的攻擊方式和漏洞。在使用后給車(chē)輛安裝安全補(bǔ)丁等機(jī)制不可或缺。但是,如果像一般計(jì)算機(jī)信息系統(tǒng)的軟件升級(jí)那樣安裝安全補(bǔ)丁,通過(guò)互聯(lián)網(wǎng)升級(jí),或許會(huì)造成更多的不安全問(wèn)題。用戶可以在車(chē)檢時(shí)實(shí)施升級(jí),電動(dòng)汽車(chē)則可以在充電時(shí)升級(jí)。
現(xiàn)在的車(chē)載導(dǎo)航系統(tǒng)可能保存著車(chē)主的住址,公司用車(chē)則可能保存著客戶的信息,如果車(chē)載導(dǎo)航系統(tǒng)連接了社交網(wǎng)絡(luò)服務(wù)(SNS),還有可能保存著用戶的賬號(hào)、密碼等數(shù)據(jù)。在計(jì)算機(jī)信息系統(tǒng)領(lǐng)域,廢棄硬盤(pán)泄露信息的例子很多。如今,汽車(chē)上也已經(jīng)出現(xiàn)了車(chē)載導(dǎo)航儀顯示以前車(chē)主個(gè)人隱私信息之類(lèi)的問(wèn)題。
所以,要想確保信息安全,除了汽車(chē)廠商要采取積極的應(yīng)對(duì)措施之外,汽車(chē)用戶的協(xié)助同樣不可或缺。
五、需要及早對(duì)汽車(chē)信息安全問(wèn)題采取措施
如果通過(guò)攻擊破解汽車(chē)信息,劫持鑰匙、啟動(dòng)系統(tǒng),就能夠簡(jiǎn)單地盜得汽車(chē)。那樣一來(lái),受害的不僅僅是個(gè)人,還將延伸到整個(gè)社會(huì)。因?yàn)?無(wú)數(shù)汽車(chē)交織組成的交通基礎(chǔ)設(shè)施是社會(huì)平臺(tái)之一。
正因如此,美國(guó)和歐洲在應(yīng)對(duì)恐怖襲擊過(guò)程中,由政府主導(dǎo)推進(jìn)汽車(chē)信息安全對(duì)策。為了保障社會(huì)平臺(tái)的穩(wěn)定,今后也必須要對(duì)汽車(chē)信息安全問(wèn)題采取對(duì)策。對(duì)于汽車(chē)廠商來(lái)說(shuō),應(yīng)對(duì)汽車(chē)信息安全問(wèn)題刻不容緩。
但是,我們知道汽車(chē)信息安全措施沒(méi)有“標(biāo)準(zhǔn)”,不能一概而論。因?yàn)殡S著使用環(huán)境、服務(wù)內(nèi)容的不同,采取的措施也大不相同,而且,一旦確定了“標(biāo)準(zhǔn)”,也會(huì)方便攻擊者進(jìn)行惡意攻擊。另外,車(chē)載系統(tǒng)與網(wǎng)絡(luò)、信息系統(tǒng)的互聯(lián)今后還會(huì)加速發(fā)展。在汽車(chē)開(kāi)始飛速互聯(lián)之際,信息安全對(duì)策要實(shí)施到何種程度?這方面,我們可以參考日本信息處理推進(jìn)機(jī)構(gòu)研究的“IPA Car”汽車(chē)信息安全模型,實(shí)現(xiàn)嚴(yán)格的風(fēng)險(xiǎn)管理,采取全面的威脅及對(duì)策。
此外,信息安全不是單憑開(kāi)發(fā)者的努力就能做到的。除了在實(shí)際使用汽車(chē)的階段采取信息安全對(duì)策之外,還要從不同的角度(開(kāi)發(fā)人員、服務(wù)商、車(chē)主等)提升安全意識(shí)。
(完)
譯自:2013年8月【日本】IPA網(wǎng)站
編譯:工業(yè)和信息化部國(guó)際經(jīng)濟(jì)技術(shù)合作中心 王喜文
更多精彩內(nèi)容參見(jiàn)“中國(guó)經(jīng)濟(jì)網(wǎng)-國(guó)際頻道-國(guó)際IT行業(yè)資訊”