【相關(guān)新聞】
【汽車(chē)信息安全】(二)攻擊車(chē)載軟件的案例接連不斷
【汽車(chē)信息安全】(一):車(chē)載軟件或成攻擊突破口
奇妙的四螺旋槳遙控直升機(jī)“Multicopter”
超低燃耗輕型車(chē):實(shí)現(xiàn)與混合動(dòng)力車(chē)媲美的節(jié)能性
上海車(chē)展,無(wú)可挑剔的亞洲第一����!
在前文中,筆者介紹了信息安全研究人員發(fā)表的車(chē)載軟件攻擊研究案例�����。而在本文中��,筆者將以日本信息處理推進(jìn)機(jī)構(gòu)(IPA)設(shè)想的汽車(chē)模型為基礎(chǔ)����,對(duì)可能攻擊汽車(chē)系統(tǒng)的途徑、不同車(chē)輛功能群的安全對(duì)策等稍作整理���。
用戶(hù)無(wú)法始終監(jiān)控汽車(chē)
IPA通過(guò)分析與汽車(chē)信息安全相關(guān)的攻擊方法,設(shè)想出了三種攻擊途徑(見(jiàn)圖1)��。
圖1:針對(duì)汽車(chē)的三種攻擊方法
1.直接攻擊
汽車(chē)不同于個(gè)人電腦和手機(jī)���,由于其較大的體積及某些特性�����,用戶(hù)很難始終監(jiān)視車(chē)輛���。惡意攻擊者比較容易直接接觸到汽車(chē)��。而且�,在進(jìn)行年檢等檢測(cè)的時(shí)候�����,汽車(chē)必須交由檢查人員管理�,有可能給裝扮成檢查人員的第三方留下可乘之機(jī)。而且�,用戶(hù)在自行改造時(shí),也可能無(wú)意識(shí)地解除汽車(chē)的安全功能���。
2.從便攜式產(chǎn)品入侵
除了汽車(chē)廠(chǎng)商提供的功能之外��,用戶(hù)通過(guò)汽配市場(chǎng)等途徑購(gòu)買(mǎi)并安裝在車(chē)上的產(chǎn)品也種類(lèi)繁多�。拆裝這些產(chǎn)品時(shí)��,來(lái)自外部的病毒等威脅有可能進(jìn)入車(chē)內(nèi)���。
關(guān)于便攜式產(chǎn)品���,尤其是智能手機(jī)����,一方面很容易就能獲得面向汽車(chē)的通用應(yīng)用��,但另一方面���,其中也摻雜著大量山寨應(yīng)用和包含惡意代碼的應(yīng)用���。在開(kāi)發(fā)階段就必須要考慮到用戶(hù)可能攜帶哪些產(chǎn)品進(jìn)入車(chē)內(nèi),其中就包括智能手機(jī)。
3.從外部網(wǎng)絡(luò)攻擊
為確保利便性和安全性�����,汽車(chē)上有很多使用通信的裝置���。例如智能鑰匙、輪胎壓力監(jiān)測(cè)系統(tǒng)(TPMS)����、路車(chē)間通信這些使用短距離無(wú)線(xiàn)通信的功能,就有可能受到通信被竊聽(tīng)����、被惡意中斷等威脅����。
而且�,最近智能手機(jī)與車(chē)載系統(tǒng)聯(lián)動(dòng)的功能越來(lái)越普遍,汽車(chē)連接外部網(wǎng)絡(luò)的環(huán)境日益完善�����。再加上車(chē)載信息服務(wù)開(kāi)始普及���,從外部網(wǎng)絡(luò)實(shí)施攻擊的威脅已成為現(xiàn)實(shí)���。以純電動(dòng)汽車(chē)為例,充電時(shí)����,充電信息將被發(fā)送至外部網(wǎng)絡(luò),管理充電情況和充電記錄�。
一般來(lái)說(shuō),惡意攻擊者不喜歡留下攻擊痕跡���。因此��,經(jīng)由外部網(wǎng)絡(luò)實(shí)施攻擊應(yīng)該算是心理負(fù)擔(dān)最小的方法�����。反言之����,如果攻擊者必須直接接觸車(chē)輛才能實(shí)施攻擊,攻擊的難度就會(huì)明顯增加����。在假設(shè)攻擊的來(lái)源時(shí),了解攻擊者的位置和立場(chǎng)是分析信息安全的第一步�。
安全對(duì)策用汽車(chē)模型的定義
由于不同廠(chǎng)商和不同價(jià)位(等級(jí))的汽車(chē)在構(gòu)造和功能等方面有很大差異,因而很難定義全行業(yè)通用的汽車(chē)模型���。因此���,IPA在思考汽車(chē)系統(tǒng)的信息安全時(shí),從汽車(chē)需要的可靠性等角度出發(fā)���,設(shè)想了按照車(chē)輛功能群進(jìn)行分類(lèi)的汽車(chē)模型——“IPA Car”(圖2)。
圖2:IPA Car的模型
IPA Car將車(chē)載LAN最大限度地抽象化�����,假設(shè)用1條總線(xiàn)連接全部功能。把所有功能分成實(shí)現(xiàn)“行駛���、停止��、轉(zhuǎn)彎”的“基本控制功能”��、提升舒適性和便利性的“擴(kuò)展功能”�����、用戶(hù)帶入車(chē)內(nèi)的產(chǎn)品等“一般功能”�����。
容易成為攻擊入口的外部接口可能包含在各項(xiàng)功能中���,IPA Car將外部接口其整理到“擴(kuò)展功能”與“一般功能”之間的連接部分。另外�����,“基本控制功能”與“擴(kuò)展功能”合稱(chēng)為“車(chē)載系統(tǒng)”����,這兩個(gè)功能群又細(xì)分為“驅(qū)動(dòng)類(lèi)”�、“信息娛樂(lè)類(lèi)”這樣的形式�����。本連載在探討威脅和對(duì)策時(shí)��,主要是針對(duì)“車(chē)載系統(tǒng)”�����。
“擴(kuò)展功能”大致可以分成兩類(lèi)���。一是包括“車(chē)體系統(tǒng)”�����、“安全舒適功能”���、“診斷及維護(hù)”在內(nèi)的“控制相關(guān)功能”,主要與行駛�、停止、轉(zhuǎn)彎等汽車(chē)的物理功能密切相關(guān)����。
另一類(lèi)是包含“ITS功能”��、“通信與信息”�����、“信息娛樂(lè)”等在內(nèi)的“信息相關(guān)功能”,是有關(guān)向駕駛員提供信息的功能��。這兩類(lèi)功能的相關(guān)服務(wù)一旦發(fā)生安全問(wèn)題,產(chǎn)生的風(fēng)險(xiǎn)截然不同。在采取對(duì)策時(shí)��,根據(jù)其中的差別探討安全問(wèn)題非常重要��。
表1:應(yīng)當(dāng)保護(hù)的信息資產(chǎn)示例
|
應(yīng)當(dāng)保護(hù)的對(duì)象類(lèi)別 |
說(shuō)明 |
|
基本控制功能的運(yùn)行 |
基本控制功能的連貫性和可用性�,基本控制功能的執(zhí)行環(huán)境和使其運(yùn)行的通信 |
|
汽車(chē)固有信息 |
包括汽車(chē)車(chē)體中固有的信息(車(chē)輛ID�����、設(shè)備ID等)�、認(rèn)證信息碼�����、行駛及運(yùn)行記錄等積累的信息 |
|
汽車(chē)狀態(tài)信息 |
表示汽車(chē)狀態(tài)的數(shù)據(jù)���、位置���、車(chē)速、目的地等 |
|
用戶(hù)信息 |
用戶(hù)(駕駛員和乘員)的個(gè)人信息�����、認(rèn)證信息����、繳費(fèi)信息�、使用記錄和操作記錄等 |
|
軟件 |
ECU(Electronic Control Unit)的固件等關(guān)系到汽車(chē)基本控制功能和擴(kuò)展功能的軟件 |
|
內(nèi)容 |
視頻、音樂(lè)���、地圖之類(lèi)的應(yīng)用數(shù)據(jù) |
|
設(shè)置信息 |
硬件和軟件的運(yùn)行設(shè)置數(shù)據(jù) |
IPA認(rèn)為����,上述各功能管理著表1列出的信息和動(dòng)作。例如�,在探討某車(chē)載系統(tǒng)的安全時(shí),要首先理清該系統(tǒng)與哪項(xiàng)功能聯(lián)動(dòng)����、使用哪些信息,然后再有重點(diǎn)地探討相應(yīng)的安全問(wèn)題��。屆時(shí)�����,表1的思路可以起到幫助作用。下一篇中�����,筆者將介紹排查出的威脅安全事例及對(duì)策。(日經(jīng)技術(shù)在線(xiàn) 供稿)
