汽车信息系统:缘何成为攻击新目标?
来源:日经技术在线
作者:日经技术在线
摘要: 变成软件集合体的汽车,如今正面临着新的威胁(图1)。2010年,美国的研究人员发现,经由汽车内外的通信渠道可以攻击车载软件的漏洞,从而影响车辆的控制系统。这表明,虽然注重实时性的车载系统与信息系统存在不同,但在认证、通信保密等方面,车载软件存在信息安全上的弱点。
Abstract:
Key words :
近年来,包括导入各式各样的软件在内,信息技术在汽车上的运用越来越广泛。有些汽车配备的电子控制单元(ECU:Electronic Control Unit)甚至多达100个以上,程序代码据说多达约1000万行,汽车已经变成了配备大量软件的系统。
变成软件集合体的汽车,如今正面临着新的威胁(图1)。2010年,美国的研究人员发现,经由汽车内外的通信渠道可以攻击车载软件的漏洞,从而影响车辆的控制系统。这表明,虽然注重实时性的车载系统与信息系统存在不同,但在认证、通信保密等方面,车载软件存在信息安全上的弱点。
而且,今后车载软件系统受到攻击的可能性还会上升。这是因为攻击的途径正在增加。车辆外部接口的种类越来越多,除了故障诊断功能“OBD-II”和充电控制接口之外,还包括与智能手机、平板电脑联动的功能等。
图1:与汽车相关的系统和威胁
本文将对汽车为何需要信息安全、日本信息处理推进机构(IPA)开展的汽车威胁与对策分析、信息安全强化措施等进行介绍。
汽车为何需要信息安全?
在汽车上采用控制软件等信息技术并不是新鲜事。早在1980年,就曾在ECU中嵌入了拥有大约2000行代码的软件。那么,为什么时至今日,汽车开始需要信息安全了呢?
这并不仅仅是因为开篇提到的软件规模扩大了数千倍而已,还与汽车技术的三大趋势有关。
第一个趋势是,以智能手机为中心,汽车与互联网联动越来越普遍。智能手机与传统手机的一大差异在于客户可以开发应用,比较自由地向任何人提供。从简单应用到实用类型,市面上流通的应用种类繁多。面向汽车的应用也已经出现。
问题是,在这些应用中,有一些应用的可靠性很差。黑客有可能通过其中的漏洞,以智能手机为跳板,给车载设备和车载导航仪系统造成损害,或是经由智能手机泄露车内信息,侵犯驾驶员的隐私。而且,使用智能手机意味着汽车随时都与外部网络连接。因此,经由外部网络和智能手机,能够对正在行驶的汽车发起攻击。
除了智能手机之外,ETC(自动收费系统)、智能车钥匙等通过无线与外部连接的功能,以及纯电动汽车(EV)经由充电插头连接车载网络的功能也在逐渐普及。
今后,随着汽车开始随时随地接入车外网络,夸张点说,攻击者无需靠近汽车,就可以跨越网络攻击全世界的汽车。即使不是随时随地接入网络,用户误下载的智能手机恶意以应用也有可能危害到汽车。
车载设备广泛采用通用系统
第二个趋势是车载软件、车载LAN对于汽车的“行驶、转弯、停车”等基本控制功能的影响正在增大。例如汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新软件等服务。这些功能一旦被黑客成功入侵,很容易产生重大危害。
而且,为了在降低成本的同时确保通用性,部分车载系统开始使用Linux之类的通用操作系统。汽车用户使用起各项服务来越来越方便,但解析与攻击操作系统的难度也随之越来越低。
不只是操作系统,车载LAN的通用性也在提高。比如德国政府援助的项目“SEIS(Security Embedded IP-based System)”,该项目正在考虑让车载LAN采用“以太网”,并使用标准通信协议“TCP/IP”。2008年,宝马采用以太网作为车载诊断接口之一,用来改写软件。
过去,以“CAN(控制器区域网络)”为代表,车载LAN的通信方式虽然在电路层级实现了标准化,但请求指令、响应机制等具体内容大多是因企业而异的,构成了实际运用中的“障碍”。但从信息安全的角度来看,这样的“障碍”其实是一道“防火墙”。
然而现如今,市面上已经出现了使用近距离无线通信“蓝牙”、WLAN等网络提供车载LAN通信内容的适配器。随着越来越多的车载LAN采用互联网标准,车内外的众多设备和信息系统都将与汽车紧密连接。连接车载LAN越来越简单,突破“防火墙”也就变得轻而易举。
时不我待的状况
第三个趋势是,随着EV、ITS(高速公路交通系统)技术的采用,汽车与外部交换车辆信息的必要性日益增加。EV要使用信息处理技术管理大容量的蓄电池,其作用是管理极其昂贵的电池的充电状态、充放电次数等。
具体事例之一是不在EV内部保存充电情况,而是把它记录存储到网络服务器的系统。该系统收集电池的充放电次数和充电量等数据,存储到服务器上。通信使用PHS和3G/4G手机等。除此之外,美国也在研究如何使用EV的充电状态管理信息,实现汽车共享等服务。
另外,与汽油车相比,EV具备电力更加充沛的环境,处理信息的车载系统发挥作用的空间会更大。
通过利用ITS技术,充分发挥车辆信息的服务也在探讨之中。此前,确认路况靠的是设置在道路上的摄像头,今后,通过共享各车的信息,驾驶员有望掌握到更详细、更精准的路况。要想实现这一点,汽车接入互联网是必要条件。而且,为了推广服务,制定并公开通信协议标准的呼声估计也会高涨。
而且,在将来,如果ITS技术运用到自动驾驶等功能上,为了实现可通过外部信息控制汽车等便利的汽车社会,确保信息安全将变得愈发重要。
从攻击者的角度来看,前面介绍的三大趋势就像是不断在为汽车黑客创造便利条件。接入外部网络无疑会为攻击创造入口;倘若通用系统普及,攻击的难度便会下降;服务的多样化则意味着汽车拥有大量的信息,只要窃取到有价值的信息,就能直接获利。
当然,只要能劫持车钥匙和发动机起动系统,盗走汽车也是轻而易举的。而且,劫持汽车的影响并不局限于个人,有无数汽车穿行其中的交通设施是社会的基础之一。在大力打击恐怖活动的美国和欧洲等地,政府主导的汽车信息安全对策方面的研究正在推进之中。即便是从稳定社会的角度出发,为汽车采取安全对策也将成为今后必须要做的事情。对于参与汽车开发的企业而言,研究汽车安全的相关措施可以说已经时不我待了。
在信息安全的世界里,在思考如何防御的同时,研究可能遭遇怎样的攻击也非常重要。下面,笔者将在已经公开的研究中,挑选4个具有代表性的事例加以介绍。
【事例1】美国的一篇研究论文提到的事例
2010年,一篇基于实证试验的论文“Experimental Security Analysis of a Modern Automobile”发表(图2)。该论文指出,通过在汽车的维护用端口设置特殊仪器,从并排行驶的车辆攻击车载系统的漏洞,能够对刹车、雨刷的控制造成影响。
这篇论文中提到,在窃听对象车辆的通信并解析时,由于没有认证以及发信者地址,很容易伪装。而且,原本必须在行驶中忽略的命令也有可能在行驶中执行。
图2:解析ECU单体(左),在静止的底盘上进行ECU之间的解析和试验(右),行驶中的运行测试(下)
目前,恶意利用这些漏洞成功实施攻击的难度很大。攻击者需要具备信息安全的专业知识、开发攻击软件的能力以及搭建用来连接车载网络、载入任意控制命令的电子平台的能力。而且,攻击需要的器材和软件的功能单靠市面上的产品无法实现,需要重新开发。
但随着时间的推移,今后,当汽车拥有的信息资产价值提升,成为恶意攻击者的攻击对象之后,就像现在消费类产品信息安全的情况一样,网络上到处都有使攻击变得简单的工具。到那时,攻击的难度将直线下降。
【事例2】攻击轮胎压力监测系统
轮胎压力监测系统(TPMS)是利用无线通信不间断地监测轮胎压力的系统(图2)。美国要求汽车必须配备该系统,目的是防止低压轮胎高速行驶导致轮胎破裂的事故发生。为实现该系统,需要通过无线通信把轮胎压力信息收集到车辆中。
图3:TPMS的构造
2010年在美国发表的论文“Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study”指出了TPMS的漏洞。论文分析了TPMS的无线通信,指出了以下3点。
1.TPMS的通信消息没有加密,容易窃听并解析。
2.轮胎阀门上安装的压力测量装置有32bit的固有ID,而且能与距离汽车40m远的场所进行无线通信。如果在路边和高架桥等地点进行检测,可以记录到特定车辆的通过时间。
3.可以伪装TPMS的压力报告消息,随时点亮报警灯。
TPMS通信消息的解析由具备专业知识的学生实施,耗时1周多。虽说需要高度的专业性,但解析使用的器材成本仅为1000美元左右。
系统原本是为提高汽车的安全性而设置,但却暴露出了车载软件的漏洞,这有可能成为关乎生命的重大问题。安全对策需更高程度的注意。
【事例3】使用广域网攻击车载LAN
2011年,除了事例1、事例2介绍的接触或近距离攻击汽车的方法之外,还有论文谈到了远程攻击接入手机网络的汽车的方法。
论文探讨了攻击的多种影响,其中,有可能造成重大危害的,是远程打开门锁、恶意攻击者监视汽车等(图4)。这一研究揭示了无论身处何方都能攻击汽车的可能性,因此可以说其意义非常深刻。
图4:远程攻击汽车
这篇论文提到的事例是,攻击者为实施远程攻击,利用逆向工程技术,通过解析通信及信息终端,开发出了针对特定车型的入侵代码和可执行代码。实施攻击的难度很大。但是,倘若有人开发出了攻击大企业提供的通信及信息服务的代码,并且将其散布,就有可能造成大范围危害,造成严重损失。
论文列举出的防范对策包括“切断不必要的外部通信”、“取消多余的通信服务”、“监测通信状况”、“从车载系统的开发阶段编程时就要有安全意识”、“安装软件升级功能”以及“考虑多种功能联动时的安全”。
【事例4】解析防盗器密钥
在2012年8月举办的“第21届USENIX Security”上,发表了一篇关于只需大约5分钟即可破解“HITAG2”密码锁验证密钥这一问题的论文。
HITAG2是1990年代开发的防盗方案,其原理是使用RFID标签控制发动机的起动。采用专用加密方式,认证和加密均使用48位密钥。在这篇论文中,研究人员把目光放在了HITAG2的漏洞上,表示只需利用1分钟的时间收集认证步骤的数据,然后经过5分钟的测试,便可破解密钥,并且在现场进行了演示。
在验证漏洞时,测试RFID系统使用的是“Proxmark III”板卡。通过窃听智能钥匙与车载防盗器之间的电波并解析,伪造出了正确的密钥。Proxmark III配备了处理HF/LF频带电波编解码的FPGA(现场可编程门阵列)、实施帧处理的MCU等,破解条件完备。但从一般用户的角度来看,攻击难度可以说略高。
关于HITAG2的漏洞,在信息安全相关会议“BlackHat 2012”上,也有与会者发布报告称使用FPGA只需50秒即可破解验证密钥。攻击的方法在一般用户看来同样难度较大,应对方式与之前谈到的方法相同。但该报告还指出,使用FPGA可以高速破解密码。
使用FPGA破解密码非常简单。销售密码恢复(密码破解)软件的俄罗斯企业ElcomSoft表示,与使用高性能处理器并行计算相比,使用FPGA破解密码的速度要快好几倍,而且耗电量不到10分之1。这是因为FPGA能够针对破解密码,使硬件处理最优化。
应对这些事例的可行措施包括“使用AES等非专用加密方式”、“改进随机数生成器”等。除了企业实施的对策之外,用户估计也需要采取防范他人接触汽车钥匙、锁车门、锁方向盘等措施。
如上所述,汽车信息安全领域的研究人员正在逐渐增加。今后估计还会发现其他各式各样的威胁。汽车相关企业应当集全行业之力,全面梳理各类威胁,而不是单独采取对策。日本信息处理推进机构(IPA)也在全力研究汽车信息安全,请大家积极灵活地加以利用。
攻击汽车的途径
以日本信息处理推进机构(IPA)设想的汽车模型为基础,对可能攻击汽车系统的途径、不同车辆功能群的安全对策等稍作整理。
用户无法一直监控汽车
IPA通过分析与汽车信息安全相关的攻击方法,设想出了三种攻击途径(见图5)。
图5:针对汽车的三种攻击方法
1.直接攻击
汽车不同于个人电脑和手机,由于其较大的体积及一些性质,用户很难一直监视车辆。恶意攻击者比较容易直接接触到汽车。而且,在进行年检等检测的时候,汽车必须交由检查人员管理,有可能给装扮成检查人员的第三方留下可乘之机。而且,用户在自行改造时,也可能无意识地解除汽车的安全功能。
2.从便携式产品入侵
除了汽车厂商提供的功能之外,用户通过汽配市场等途径购买并安装在车上的产品也种类繁多。拆装这些产品时,来自外部的病毒等威胁有可能进入车内。
关于便携式产品,尤其是智能手机,一方面很容易就能获得面向汽车的通用应用,但另一方面,其中也掺杂着大量山寨应用和包含恶意代码的应用。在开发阶段就必须要考虑到用户可能携带哪些产品进入车内,其中就包括智能手机。
3.从外部网络攻击
为确保利便性和安全性,汽车上有很多使用通信的装置。例如智能钥匙、轮胎压力监测系统(TPMS)、路车间通信这些使用短距离无线通信的功能,就有可能受到通信被窃听、被恶意中断等威胁。
而且,最近智能手机与车载系统联动的功能越来越普遍,汽车连接外部网络的环境日益完善。再加上车载信息服务开始普及,从外部网络实施攻击的威胁已成为现实。以纯电动汽车为例,充电时,充电信息将被发送至外部网络,管理充电情况和充电记录。
一般来说,恶意攻击者不喜欢留下攻击痕迹。因此,经由外部网络实施攻击应该算是心理负担最小的方法。反言之,如果攻击者必须直接接触车辆才能实施攻击,攻击的难度就会明显增加。在假设攻击的来源时,了解攻击者的位置和立场是分析信息安全的第一步。
安全对策用汽车模型的定义 由于不同厂商和不同价位(等级)的汽车在构造和功能等方面有很大差异,因此很难定义全行业通用的汽车模型。因此,IPA在思考汽车系统的信息安全时,从汽车需要的可靠性等角度出发,设想了按照车辆功能群进行分类的汽车模型——“IPA Car”(图6)。
图6:IPA Car的模型
IPA Car将车载LAN最大限度地抽象化,假设用1条总线连接全部功能。把所有功能分成实现“行驶、停止、转弯”的“基本控制功能”、提升舒适性和便利性的“扩展功能”、用户带入车内的产品等“一般功能”。
容易成为攻击入口的外部接口可能包含在各项功能中,IPA Car将外部接口其整理到“扩展功能”与“一般功能”之间的连接部分。另外,“基本控制功能”与“扩展功能”合称为“车载系统”,这两个功能群又细分为“驱动类”、“信息娱乐类”这样的形式。本连载在探讨威胁和对策时,主要是针对“车载系统”。
“扩展功能”大致可以分成两类。一是包括“车体系统”、“安全舒适功能”、“诊断及维护”在内的“控制相关功能”,主要与行驶、停止、转弯等汽车的物理功能密切相关。
另一类是包含“ITS功能”、“通信与信息”、“信息娱乐”等在内的“信息相关功能”,是有关向驾驶员提供信息的功能。这两类功能的相关服务一旦发生安全问题,产生的风险截然不同。在采取对策时,根据其中的差别探讨安全问题非常重要。
IPA认为,上述各功能管理着表1列出的信息和动作。例如,在探讨某车载系统的安全时,要首先理清该系统与哪项功能联动、使用哪些信息,然后再有重点地探讨相应的安全问题。届时,表1的思路可以起到帮助作用。下一篇中,笔者将介绍排查出的威胁安全事例及对策。(特约撰稿人:中野 学,日本信息处理推进机构)
表1:应当保护的信息资产示例
原因在用户?还是在攻击者?
威胁发生的原因大致可分成两类。一类是“用户偶然引发的失误等”,另一类是“攻击者故意引发”。按照不同的发生原因,相应的威胁分别如表2、表3所示。
表2:用户操作造成的威胁
表3:攻击者干扰引发的威胁
可能经由OBD-II攻击
在根据表2、表3中的威胁、思考车载系统遭受攻击的途径时,需要按照途径,分成直接连接各项功能的物理接口以及车载LAN两类,分别考虑(图7)。对于不同的途径,影响和对策的范围也各不相同。
图7:各功能群可能存在的威胁汇总
例如,来自外部的直接攻击是通过汽车与外部通信的物理接口(无线通信、USB端口等)实施。从过去的攻击事例来看,“接入手机网的车载信息服务和信息娱乐系统功能易受到来自外部的DoS(Denial of Service)攻击和非法利用”。
与之相比,车载LAN是“封闭的通信系统”,可以说遭受外部直接攻击的可能性较小。尤其是驱动系统和底盘系统,除了车载LAN之外,这两个系统没有其他外部接口,可以认为全部通信都经由“封闭的”车载LAN。
即便如此,这两个系统仍有可能遭受攻击。因为受到直接攻击的其他功能有可能感染病毒,“间接”向车载LAN传输非法命令。也就是说,攻击的来源是原本可靠的车内的其他功能。
入侵车载LAN并非只有“间接”途径可走。如今,绝大多数车辆都配备了诊断功能“OBD-II”(第二代车载诊断系统),通过OBD-II的接口,也有可能直接攻击车载LAN。OBD-II与车载LAN是连接在一起的。
但实际的汽车系统中,与“行驶、停止、转弯”相关的功能连接在一起的车载LAN的外部接口大多设有网关,提高了安全性。
风险管理至关重要
要想减轻前面提到的威胁,必须要采取合理的安全对策。日本信息处理推进机构(IPA)分析并按照与一般信息系统相同的分类,对汽车安全对策进行了整理(表3)。
表3:针对威胁的安全对策但表3并未涵盖所有的汽车安全对策。今后,除此之外,还必须要思考车载系统特有的安全对策。现在,部分汽车研究机构已经开始探讨车载系统特有的安全对策。全世界的研究人员也在不断改进攻击技术和对策技术,积累新的点子。倘若大家有意对安全对策进行全面梳理,就要定期关注相关内容的更新。
另外,这里只是大致罗列了可能存在的威胁和安全对策。在现实中,由于成本等原因,很难做到面面俱到。各公司要根据各自的功能和服务,实施合理的风险管理,包括“重点保护什么”、“采用哪项技术”等。
安全措施要覆盖商品的整个生命周期
日本信息处理推进机构(IPA)按照汽车的生命周期(策划、开发、使用、废弃),整理出了相应的安全对策(表1),其中也包括了所有企业都需要的管理方针。共分了15个项目。
表4:整个生命周期的举措 直到废弃都不能怠慢
让我们先来根据表4,了解一下在影响整个生命周期的“管理”、“策划”、“开发”、“使用”、“废弃”各个阶段的注意事项。
1.管理(整体)
无论在汽车生命周期的哪一个阶段,产品提供商都必须要坚持不懈地实施安全对策。制定整体方针,并按照这一方针,在各个阶段实施连贯的安全对策。如果每次开发产品和服务时都从零开始制定安全对策,不仅会造成大量浪费,还有可能让组织的安全对策出现偏差。
在管理方面,尤为重要的是培养精通信息安全的人才、制定贯穿整个开发体制的基本规则、不断收集与“日新月异”的攻击方式相关的信息。
2.策划阶段
从进入实际的开发之前的策划阶段开始,就要结合安全对策,这一点非常重要。因为在策划阶段,经常要讨论汽车整个生命周期的预算。
在这一阶段,汽车的理念、配备的功能都将确定。此时,需要考虑各项功能的安全性的重要程度,为与重要程度相符的对策分配预算。而且,在选择车辆配备的功能,转交给开发方面的时候,一定不要忘记要包括安全要件。
3.开发阶段
在制造阶段,汽车企业及部件企业设计硬件和软件并安装到汽车上,是安全对策的最前线。
这一阶段必须要做的是“准确安装要件定义”、“安装时杜绝漏洞”、“万一存在漏洞,也要能在出货之前发现”。至于相关对策,还请参考本连载的前几篇文章。此外,如果预算充裕,还需购置漏洞评估设备等。
4.使用阶段
这是用户通过销售店等渠道买到汽车,实际使用的阶段。在车辆使用期间,位置信息、用户下载的软件、用户的操作记录和行驶记录等大量的信息将存储在车辆和数据中心之中。而且,像汽车共享、租车、公司用车这样,用户并非车主、用户会在短期内更替的情况也为数不少。
虽然安全对策要配合用户使用的场景来实施,但也要注意保护隐私。另外,如果在车辆售出后发现漏洞,还必须考虑构筑能将相关信息通知用户和车主、与销售店和维修厂等构建合作应对的体制。
5.废弃阶段
在用户因换购、故障等原因废弃汽车的阶段,往往容易忽视安全对策,因此在这一阶段尤其要注意。废弃的方式包括通过二手车销售店等渠道转让给其他用户、注销后报废等。不同的情况必须采取不同的对策。
用户的协助必不可少 在上面提到的贯穿整个生命周期的举措中,笔者觉得最为重要的是在使用阶段“向用户、汽车相关人员提供信息”。因为在开发阶段几乎不可能制造出毫无漏洞的系统。
汽车的生命周期很长。在用户开始使用之后,很可能会出现新的攻击方式和漏洞。创造在使用后给车辆安装安全补丁的机制可谓势在必行。
但是,安装安全补丁最好不要像一般信息系统的软件升级那样使用互联网。
作为针对可能遭到瞄准漏洞的攻击的用户确实采取的安全对策,可以在车检时实施升级,纯电动汽车则可以在充电时升级。例如使用嵌入式软件的电视机,就有通过电视信号升级的案例。
另外,废弃阶段的“制定废弃方针等”也容易被忽略,要特别注意。除了车主,汽车还经常由他人驾驶。用户转让二手车的情况也比较多。租车、汽车共享等多位用户同开一辆车的机制也十分普及。这就需要采取措施,防止车主的个人信息落入他人之手。
现在的车载导航仪系统可能保存着车主的住址,公司用车则可能保存着客户的信息,如果车载导航仪可以使用SNS(社交网络服务),还有可能保存着账号、密码等数据。
在信息系统的世界,废弃的硬盘泄露信息的例子很多。汽车上也已经出现了车载导航仪显示以前车主的信息之类的问题。
要想确保安全,除了企业采取措施之外,汽车用户的协助同样不可或缺。今后,企业对用户的安全启蒙活动估计会愈发重要。
不要为安全对策制定“标准答案”
最后,笔者想阐述一下自己对于汽车信息安全的看法。
首先,汽车相关企业的读者需要认识到,信息安全对策没有“标准答案”。因为随着使用环境、服务内容的不同,采取的对策也有很大不同,而且,一旦确定了“标准答案”,必然会出现专门找(制造)空子的恶意攻击者。而根据笔者的经验,空子一般都能找到。
汽车行业的开发流程极其注重安全性和可靠性,恐怕很难接受不制定“标准答案”的方针。因为这一方针与彻底排查出可能有损安全性和可靠性的因素并采取对策、然后将对策标准化、全公司共享的汽车开发流程格格不入。
另外,车载系统与网络、信息系统的联动今后还会加速发展。在汽车开始飞速互联之际,安全对策要实施到何种程度?对此,笔者还没有找到答案。
尽管如此,社会必然还是会要求车载系统采取安全对策。但世上没有“万能药”,公司内的各个组织必须在实施风险管理的同时,确定采取对策的范围。到那时,要想实现严格的风险管理,恐怕必须要采取全面的威胁及对策方针。届时,希望大家可以充分利用IPA公布的“汽车信息安全措施指南”。
不过,在实施对策时,笔者担心只有开发者在负责推动汽车安全的发展。信息安全不是单凭开发者的努力就能做到的。除了在实际使用汽车的阶段采取安全对策之外,车主留意即可解除的威胁、必须由提供车载系统联动服务的组织实施对策的威胁也为数不少。
幸运的是,汽车行业存在统一接受教育的机会,那就是领取及更新驾照的时候,而且还有定期检查车辆的“车检”体系。今后,很可能必须要利用这些社会机制,使汽车所处的环境更加安全。
维护汽车信息安全的举措才刚刚开始。IPA今后还将与汽车相关企业合作,唤醒大家的安全意识,继续整理威胁和对策技术。衷心希望各位读者能够从不同的角度(开发人员、服务商、车主等)出发,提供协助。
此内容为AET网站原创,未经授权禁止转载。