360 汽車安全實驗室:如何保障汽車資訊安全?| 中國智慧汽車國際論壇
*頭圖來自
Techcrunch
編者按:360 汽車安全實驗室是國內首支專注于汽車安全研究領域的團隊。2014 年,360 汽車安全實驗室成功破解特斯拉汽車車聯網系統,2015 年,他們發現並提交比亞迪汽車在車聯網雲服務、藍牙鑰匙的安全性漏洞。
該實驗室主要有五大塊研究方向:全生命週期的汽車資訊安全諮詢、攻防平衡原則的汽車資訊安全評估、視覺化分析的汽車資訊安全檢測平臺、動態安全監測汽車安全運營模式、兼顧重大及汽車事件的應急回應能力。
目前他們與整車廠、Tier1(一級供應商)有深度合作,並且有一些非常成功的案例。
在第三屆中國智慧汽車國際論壇上,360 汽車資訊安全團隊負責人劉健皓髮表了以「汽車資訊安全為核心的汽車互聯網」為主題的演講。
以下內容由雷鋒網編輯和整理(在不影響原意的基礎上有刪減):
隨著汽車技術的發展,駭客攻擊技術在不斷地進化,我們要認識到汽車資訊安全的問題。
整車廠現在面臨的問題:
1、去年 Charlie Miller 和 Chris Valasek 破解了吉普自由光以後,克萊斯召回每輛車的成本大約是 150 美金。造成的影響是:不僅承擔了召回成本,而且在媒體的影響非常差,甚至有些用戶對智慧汽車抱著不敢接受的態度。
在汽車資訊安全研究方面,有很多整車廠把車上的 T-box 直接接入到自己總部的網路。攻擊者可以利用這條通路直接攻擊到整車廠內部 IT 系統,造成整車廠被攻擊。這不僅影響汽車,而且還影響整車廠 IT 系統的安全。
2、汽車資訊安全沒辦法做到面面俱到。從汽車智慧化和網聯化的發展來看,它涉及到不同的安全層面:有物理安全、系統安全、射頻安全、感測器安全、遙控智慧安全。車聯網這塊,包含移動安全、嵌入式安全。
這些安全層面在以前傳統 IT 安全裡是解決不了的問題。傳統安全,比如我的電腦只需要解決 Windows 問題就可以解決終端安全了。但車聯網或者自動駕駛技術是一個混合體的技術,涉及的安全層面非常多,所以汽車資訊安全沒有一種有效的手段可以達到面面俱到。
3、整車廠企業缺少專業資訊安全人員去做專門的維護或做專門的審核,來保證我們出廠或者發佈的汽車是安全的。
4、整車廠負責把各個供應商的配件組裝起來,這些零配件出了問題,實際上是供應商的問題,但最終影響效果是在整車廠上,所以這個錯誤是整車廠來承擔,單也得是整車廠來買,這是非常窘迫的問題。
汽車資訊安全風險來自哪些方面?
1、汽車匯流排
汽車匯流排與生俱來就有一種安全風險,因為它在設置的時候就沒有考慮安全問題,最初是把它看作一個封閉式的網路來設計的。
在封閉式網路裡,考慮到安全問題,汽車匯流排在 ECU 或者網路安全傳輸過程中都是雲端傳輸,協議涉及也非常簡單,只要改幾個資料位元。
2、聯網化
既然網路是封閉的,同時現在又有聯網化的需求,如果把開發的匯流排通過 T-box 直接連接到互聯網,很多互聯網駭客就可以通過這一點攻擊到汽車組建架構,並且去控制汽車。所以聯網化也是一種安全風險。
3、智慧化
現在很多汽車有智慧化的功能,比如自動駕駛或者特斯拉 Autopilot。智慧化有很多的感測器,這些感測器要感知周圍環境,反應到汽車自動駕駛裡,最終反向控制汽車。
如果感測器被干擾,那反向也可以干擾控制汽車。
4、新能源汽車
新能源汽車的 BMS 和充電樁有一些汽車交互,並且也涉及到汽車控制,所以對外開放的介面會引起安全風險。
5、科技化
傳統汽車 ECU 數量非常少,這意味著它的車載軟體代碼比較少。從攻擊者的角度看,他的攻擊面也非常少。
隨著汽車科技化越來越多,一輛車至少有上百個 ECU,每個 ECU 都有可能成為一個攻擊點,上百個 ECU 背後支撐的可能是上千萬個代碼,只要存在著代碼就有可能出現漏洞。科技化會給汽車帶來安全風險。
如何解決安全風險?
我們要設立汽車資訊安全建設的原則。
很多整車廠做資訊安全工作,目標就是做邊界防護,這是安全界裡非常古老的一種方法。因為傳統的辦公網路可以確定一個邊界。現在的網路是移動互聯網,移動互聯網就意味著是端到端的互聯,它的定義非常模糊。特別是汽車,每輛汽車都會跑在互聯網上,它的邊界到底在哪兒?
在汽車的資訊安全方面,我們要設定一個原則:不是站在對駭客進行邊界防禦的立場,因為駭客不一定在邊界,他有可能在你的內部,所以要建立清除內部危險的免疫系統。
汽車和車聯網系統要有自己的安全能力和防護能力。建立一個免疫系統,它自身就可以防護攻擊,而不是要靠外部防護設備或者資訊安全產品。
根據這個思路,我們分為幾個路線:
1、對產品進行安全分析。首先把我們的產品拿出來看,它有沒有安全工作,達到安全要求?如果沒有,那後續相應地設計肯定不能滿足資訊安全需求。
我們在前期需要安全諮詢,給它提安全要求。在安全設計的時候,要對汽車面臨的一些資訊安全風險進行分析,並且對於這些危險進行建模,要瞭解我們面對的風險和要加固的範圍。
2、在建設過程當中,我們要遵循代碼審計,做防護測試,在不同的節點要安全驗收。
比如,供應商提供的產品,要有一個安全驗收的流程。在這方面,還需要一些週邊安全產品,做具有針對的防護,防護做完之後要再確診風險。
3、根據現有威脅情報,我們不能防護一些從來沒有發生過的事情,我們防護的是現實存在的東西。
對汽車和 IT 系統當中的資料,每天產生的資料量非常大,我們要用機器學習的技術來處理。安全應用人員只是幫我們做決策而已。我們的安全是重監控的,會提取很多資料,目的是:安全不是防護,是及時地把損失終止。
建設思路:雲、管、端
把汽車、車聯網或自動駕駛整個劃分完之後,可以用三個字來概括:雲、管、端。
在雲端和管端,與傳統 IT 系統一樣,它最後也會用到伺服器。在管道這端,照樣走的是運營商的套路,即 API、GPRS 和 4G。在雲端和管端我們可以沿用傳統 IT 思路。
汽車是一個非常特殊的終端,可以分為:決策、感知、控制。決策主要就是由自動駕駛這樣的系統進行的路徑規劃,感知是指感測器,控制是指執行器。
從決策到控制會有一個網路傳輸,我們會發現很多的攻擊最終是落到「攻擊汽車匯流排」,從而達到控制汽車的目的。
保障 CAN 匯流排安全
我們有一個容忍度,就是我可以讓你在車載系統、IT 系統來回折騰,只要不要影響汽車控制就可以了。但是,有很多的攻擊都最終能深入到汽車控制,所以我們要保障 CAN 匯流排的安全。
在 CAN 匯流排以外,實際上是屬於 IT 層面的,傳統 IT 防不住。在 CAN 匯流排以下是 OT 層面的,就是控制資訊。
在控制領域做安全,現在還在一個初步摸索的階段,包括現在的工業 4.0、工業互聯網都是在 IT 層面上做。在 IT 層面上有很多東西可以互用,但是沒有辦法解決根本問題。
自動駕駛工作原理是先通過感測器去感知周圍資料,再把資料來源匯總到自動駕駛系統。這個系統負責兩個事:
路徑規劃。這輛車應該開到哪兒,走到哪兒,怎麼行駛規劃出來;
HMI 人機交互。這輛車應該怎麼走,前面有幾輛車,限速是多少,在第幾條道上,把這些資訊顯示給使用者。
如果一輛自動駕駛汽車的感測器不可靠,會影響到自動駕駛的演算法。如果自動駕駛的演算法出問題,汽車在操作上肯定會出問題,在 HMI 上的顯示也會出問題。自動駕駛安全實際上依靠的是感測器的可靠性和自動駕駛的冗餘性。
車載終端安全,是指汽車匯流排和感測器的安全。車載終端分為系統、應用、硬體安全,把這些安全做到了就可以保證車載終端相對安全狀態。
安全測試,從硬體、到系統、到應用等多方面多唯獨的安全測試,保障車載系統運行安全;
安全防護,通過清理、殺毒、加速、終端防護、聯網防火牆、車載控制防護;
安全監控,對於車載資訊系統資料進行即時監控、動態防護。
移動終端安全,現在很多攻擊汽車,攻擊車聯網就必須要有一輛車才能夠去做測試,實際上有很多攻擊,測試者只需要一個車載 APP 軟體就可以對車聯網發起一些攻擊和測試。
對於車載終端的安全要求是防逆向、防調試、防纂改、防打包,在這個領域裡有很多公司都可以做這件事,就是一個簡單的 App 加固問題。
從經驗上總結,雖然特斯拉屢次被破解,但它沒有因為車聯網安全事件召回某一輛車,為什麼?原因在於:通過遠端 OTA 的手段來降低資訊安全問題給車廠帶來的損失、加密晶片可以通信提供端到端的加密和身份認證、可信的通道可以保護傳輸的加密不被駭客劫持。
*文中圖片由劉健皓提供