汽车信息安全问题不容忽视(下)

相关链接

　　汽车信息安全问题不容忽视(上)

　　三、攻击汽车的途径很多很广

　　日本信息处理推进机构(IPA)通过分析与汽车信息安全相关的攻击方法,提出三种攻击途径。

　　(一)直接攻击

　　汽车不同于个人电脑和手机,由于其拥有较大的体积及某些特性,用户很难时刻监控车辆,攻击者很容易直接接触到汽车。

　　(二)从外围产品入侵

　　除了汽车厂商提供的功能之外,用户购买并安装在车上的外围产品也种类繁多。安装这些产品的同时,来自外部的病毒等威胁有可能进入车载系统。

　　关于外围产品,尤其是智能手机,一方面很容易就能获得面向汽车的通用应用软件,但另一方面,其中也掺杂着大量恶意应用软件或者包含恶意代码的应用软件。所以,在汽车研发阶段,就必须要考虑到用户可能携带哪些外围产品进入车内,其中就包括智能手机。

　　(三)从外部网络攻击

　　为确保便捷性和安全性,汽车上有很多使用网络通信的设备。例如智能钥匙、轮胎压力监测系统(TPMS)、路车间通信都使用短距离无线通信功能,都有可能受到通信信息被窃听、被恶意中断等潜在威胁。

　　最近,智能手机与车载系统联网的功能越来越普遍,汽车连接外部网络的环境日益完备。再加上车载信息服务开始普及,从外部网络实施攻击的潜在威胁已成为现实。以电动汽车为例,充电时,充电信息将被发送至外部网络,用于管理充电情况和充电记录。

　　一般来说,攻击者不愿留下攻击痕迹。因此,经由外部网络实施攻击应该是攻击者最喜欢的方法之一。反言之,如果攻击者必须直接接触车辆才能实施攻击,则攻击难度就会明显增加。在假设攻击的来源时,了解攻击者的内心想法是第一步。

　　从攻击者的角度来看,只要连接外部网络,就意味着打开了一个攻击入口;通用系统被广泛采用,则意味着攻击难度下降;继而,服务多样化将使汽车拥有更多信息。如果盗取有价值的信息,就会获得收益。

　　四、日本定义汽车信息安全模型

　　图4 IPA Car模型

　　由于不同厂商和不同价位(等级)的汽车,在结构和功能等方面存在很大差异,因而很难定义全行业通用的汽车模型。日本信息处理推进机构在研究汽车系统的信息安全时,从汽车可靠性等角度出发,按照车辆功能模块进行分类,研究出一个汽车信息安全模型——“IPA Car”(图4),对可能攻击汽车系统的途径、不同汽车功能模块的信息安全对策等做出了系统的整理。

　　IPA Car将汽车局域网最大限度地抽象化,假定用1条总线连接全部功能。把所有功能分成“行驶、停止、转弯”等“基本控制功能”、提升舒适性和便利性的“扩展功能”、用户带入车内的外围产品等的“普通功能”。

　　(一)明确应该保护的范围

　　表1 应当保护的信息资产

　　应当保护的对象类别        说明

　　基本控制功能的运行        基本控制功能的连贯性和可用性,基本控制功能的执行环境和使其运行的通信。

　　汽车固有信息        包括汽车车体中固有的信息(车辆ID、设备ID等)、认证信息码、行驶及运行记录等积累信息。

　　汽车状态信息        表示汽车状态的数据、位置、车速、目的地等。

　　用 户 信 息        用户(驾驶员和乘坐人员)的个人信息、认证信息、缴费信息、使用记录和操作记录等。

　　软 件        ECU固件等关系到汽车基本控制功能和扩展功能的软件。

　　内 容        视频、音乐、地图之类的应用数据。

　　设 置 信 息        硬件和软件的运行设置数据。

　　容易成为攻击入口的外部接口可能包含在汽车的各项功能中,IPA Car将外部接口归纳为“扩展功能”与“普通功能”之间的连接部分。另外,“基本控制功能”与“扩展功能”合称为“车载系统”,这两个功能群又细分为“驱动类”、“信息娱乐类”等形式。

　　“扩展功能”大致可以分成两类:一类是包括“车体系统”、“安全舒适功能”、“诊断及维护”在内的“控制功能”,主要与行驶、停止、转弯等汽车的物理功能密切相关;另一类是包含“ITS功能”、“通信与信息”、“信息娱乐”等在内的“信息功能”,是有关向驾驶员提供信息的功能。这两类功能的服务一旦发生安全问题,产生的风险截然不同,在采取对策时,也要根据各自的差别采取相应的安全问题对策。

　　日本信息处理推进机构认为,表1列出的上述各功能,管理着汽车的信息和动作。在研究某项车载系统的安全时,要首先理清该系统与哪项功能联动、使用哪些信息,然后再有重点地研究相应的安全问题。

　　(二)在各个生命周期采取措施

　　日本信息处理推进机构按照汽车的生命周期(策划、开发、使用、废弃),整理出相应的信息安全对策(见表2),共分15项。

　　根据表2,在贯穿汽车整个生命周期分为“管理”、“策划”、“开发”、“使用”、“废弃”等阶段,各阶段需要注意的事项如下。

　　表2 汽车生命周期的信息安全对策

　　生命周期        安全举措        概要

　　管理        制定安全规则        设定安全组织的规定和规则。

　　实施安全教育        对参与开发和使用的人员,实施安全概念和安全技术的培训。

　　安全信息的收集和发布        收集可能与自己的组织开发的系统有关的漏洞的信息、事件信息、标准化动向等,向相关人员发布。

　　策划阶段        定义安全事项        对于将要开发的系统,结合其使用方法和使用的信息,定义安全要件。

　　确保安全预算        为开发阶段的信息安全对策费、使用阶段实施的安全升级等制定预算。

　　外包开发时的安全措施        确定外包开发时的签约规则、能担保人员和委托品的安全质量的规则及筛选方法。

　　应对与新技术相关的威胁        探讨今后汽车可能采用的新技术的威胁和风险。

　　开发阶段        设计        结合安全功能的安装方式和日志收集方式等进行设计。

　　安装时的信息安全对策        利用可防止漏洞出现的安全编码和编码标准。

　　安全评估和调试        在测试环节利用源代码的复查和模糊测试等方式检验。

　　准备向用户提供信息所需内容        汇总有助于用户正确利用系统的信息。

　　使用阶段        安全问题的应对        构筑发生事件时能快速采取应对措施的联络体制,实施训练等。

　　向用户和汽车相关人员提供信息        探讨在发现漏洞时向用户发布安全补丁和信息的方法。

　　充分利用漏洞相关信息        合理使用漏洞相关信息,防止已经发现的漏洞再发、减少漏洞对于相关系统的危害。

　　废弃阶段        制定废弃方针等        在汽车废弃时提供信息删除功能,防止用户信息等落入他人之手,并公开删除方法。

　　1、管理

　　无论在汽车生命周期的哪一个阶段,产品提供商都必须要坚持不懈地实施信息安全对策。制定整体方针,并按照这一方针,在各个阶段实施连贯的信息安全对策。如果每次开发产品和服务时都从零开始制定信息安全对策,不仅会造成大量浪费,还有可能让组织的信息安全对策出现偏差。

　　在管理方面,尤为重要的是培养精通信息安全的人才、制定贯穿整个开发体制的基本规则、不断收集与新型攻击方式相关的信息。

　　2、策划阶段

　　进入实际的开发之前,要从策划阶段就开始导入信息安全对策,这一点非常重要。因为在策划阶段,经常要讨论汽车整个生命周期的预算。

　　在这一阶段,汽车的理念、配备的功能都将明确。此时,需要考虑各项功能安全性的重要程度,为与重要程度相符的对策分配预算。而且,在选择车辆配备的功能然后转交给开发阶段的时候,一定要提交包括信息安全在内的需求。

　　3、开发阶段

　　在生产制造阶段,汽车厂商及零部件厂商开始设计硬件和软件并安装到汽车上,这是采取信息安全对策的最重要环节。

　　这一阶段必须要做的是“按照需求定义进行准确安装”、“安装时杜绝漏洞”、“万一存在漏洞,也要能在出货之前发现”。

　　4、使用阶段

　　这是用户买到汽车并实际使用的阶段。在车辆使用期间,位置信息、用户下载的应用软件、用户的操作记录和行驶记录等大量信息将存储在车辆和数据中心之中。而且,还会有很多像汽车共享、租车、公司用车这种用户并非车主、用户会在短期内更替的情况。

　　虽然信息安全对策要配合用户使用场景来实施,但也要注意保护个人信息隐私。另外,如果在车辆售出后发现漏洞,还必须考虑营建能将相关信息通知用户和车主,与销售商店和维修厂家等合作应对的体制。

　　5、废弃阶段

　　在用户因换购、故障等原因废弃汽车的阶段,往往最容易忽视信息安全对策,因此在这一阶段尤其要注意。废弃的方式包括通过二手车销售商店等渠道转让给其他用户、注销后报废等。不同的情况应采取不同的对策。

　　(三)呼吁用户广泛协助

　　上面提到的贯穿汽车整个生命周期的应对措施中,在开发阶段几乎不可能制造出毫无漏洞的系统,所以在使用阶段“向用户、汽车相关人员提供信息”尤为重要。

　　汽车的生命周期很长。用户开始使用之后,很可能会出现新的攻击方式和漏洞。在使用后给车辆安装安全补丁等机制不可或缺。但是,如果像一般计算机信息系统的软件升级那样安装安全补丁,通过互联网升级,或许会造成更多的不安全问题。用户可以在车检时实施升级,电动汽车则可以在充电时升级。

　　现在的车载导航系统可能保存着车主的住址,公司用车则可能保存着客户的信息,如果车载导航系统连接了社交网络服务(SNS),还有可能保存着用户的账号、密码等数据。在计算机信息系统领域,废弃硬盘泄露信息的例子很多。如今,汽车上也已经出现了车载导航仪显示以前车主个人隐私信息之类的问题。

　　所以,要想确保信息安全,除了汽车厂商要采取积极的应对措施之外,汽车用户的协助同样不可或缺。

　　五、需要及早对汽车信息安全问题采取措施

　　如果通过攻击破解汽车信息,劫持钥匙、启动系统,就能够简单地盗得汽车。那样一来,受害的不仅仅是个人,还将延伸到整个社会。因为,无数汽车交织组成的交通基础设施是社会平台之一。

　　正因如此,美国和欧洲在应对恐怖袭击过程中,由政府主导推进汽车信息安全对策。为了保障社会平台的稳定,今后也必须要对汽车信息安全问题采取对策。对于汽车厂商来说,应对汽车信息安全问题刻不容缓。

　　但是,我们知道汽车信息安全措施没有“标准”,不能一概而论。因为随着使用环境、服务内容的不同,采取的措施也大不相同,而且,一旦确定了“标准”,也会方便攻击者进行恶意攻击。另外,车载系统与网络、信息系统的互联今后还会加速发展。在汽车开始飞速互联之际,信息安全对策要实施到何种程度?这方面,我们可以参考日本信息处理推进机构研究的“IPA Car”汽车信息安全模型,实现严格的风险管理,采取全面的威胁及对策。

　　此外,信息安全不是单凭开发者的努力就能做到的。除了在实际使用汽车的阶段采取信息安全对策之外,还要从不同的角度(开发人员、服务商、车主等)提升安全意识。

　　(完)

译自：2013年8月【日本】IPA网站

编译：工业和信息化部国际经济技术合作中心 王喜文

更多精彩内容参见“中国经济网-国际频道-国际IT行业资讯”