K8000越野电动绞盘 G9000越野电动绞盘 N12000专业电动绞盘 N15000工业电动绞盘 H12000工业液压绞盘 H15000工业液压绞盘 K5000P便携式电动绞盘
K8000 越野绞盘 G9000 4WD绞盘 N12000 专业绞盘 N15000 救援绞盘 H12000 工业绞盘 H15000 工业绞盘 K5000P 便携式绞盘

汽车信息安全(3):攻击汽车的途径

热度1188票  浏览18次 时间:2013年5月15日 12:43
用户无法一直监控汽车拓松汽车户外网 -7QZF,X0^hC3v-Oz
拓松汽车户外网 -*d l,Hi.S:]:G
       IPA通过分析与汽车信息安全相关的攻击方法,设想出了三种攻击途径(见图1)。

zK(I|!ZT1
图1:针对汽车的三种攻击方法
拓松汽车户外网 -f8n F*t)W)P+My


1.直接攻击 
$t4}L*Pg'@^z1
:wh Z He'\?8nQ1       汽车不同于个人电脑和手机,由于其较大的体积及一些性质,用户很难一直监视车辆。恶意攻击者比较容易直接接触到汽车。而且,在进行年检等检测的时候,汽车必须交由检查人员管理,有可能给装扮成检查人员的第三方留下可乘之机。而且,用户在自行改造时,也可能无意识地解除汽车的安全功能。
~@(v#p#mM{1拓松汽车户外网 -.Vq.K c A?.ro;v
2.从便携式产品入侵拓松汽车户外网 -e|!_N;G\ i*F!YG

9{gp2| h$^b1       除了汽车厂商提供的功能之外,用户通过汽配市场等途径购买并安装在车上的产品也种类繁多。拆装这些产品时,来自外部的病毒等威胁有可能进入车内。拓松汽车户外网 -*`a&j^[O%A

J\,I,E8k,b0u1       关于便携式产品,尤其是智能手机,一方面很容易就能获得面向汽车的通用应用,但另一方面,其中也掺杂着大量山寨应用和包含恶意代码的应用。在开发阶段就必须要考虑到用户可能携带哪些产品进入车内,其中就包括智能手机。拓松汽车户外网 -`+h(m2nx3S\

w%[6B5b9RM13.从外部网络攻击拓松汽车户外网 -(u0F ]x(['["E

gnjisk1       为确保利便性和安全性,汽车上有很多使用通信的装置。例如智能钥匙、轮胎压力监测系统(TPMS)、路车间通信这些使用短距离无线通信的功能,就有可能受到通信被窃听、被恶意中断等威胁。
]vXL w \ Eg1
"`['j [,Q5r XR1       而且,最近智能手机与车载系统联动的功能越来越普遍,汽车连接外部网络的环境日益完善。再加上车载信息服务开始普及,从外部网络实施攻击的威胁已成为现实。以纯电动汽车为例,充电时,充电信息将被发送至外部网络,管理充电情况和充电记录。拓松汽车户外网 -7Hr6T-g psv5{Sv? z

/i'cq pq8M+o1       一般来说,恶意攻击者不喜欢留下攻击痕迹。因此,经由外部网络实施攻击应该算是心理负担最小的方法。反言之,如果攻击者必须直接接触车辆才能实施攻击,攻击的难度就会明显增加。在假设攻击的来源时,了解攻击者的位置和立场是分析信息安全的第一步。

Y7cy'\w1o1拓松汽车户外网 -| PCDd;`OHA(WYp,l

安全对策用汽车模型的定义 拓松汽车户外网 - `0R ~3TlO%U:g/kFe

`"AM[ e Vz%H\m F1       由于不同厂商和不同价位(等级)的汽车在构造和功能等方面有很大差异,因此很难定义全行业通用的汽车模型。因此,IPA在思考汽车系统的信息安全时,从汽车需要的可靠性等角度出发,设想了按照车辆功能群进行分类的汽车模型——“IPA Car”(图2)。
拓松汽车户外网 -K xj8JPS

图2:IPA Car的模型 (点击放大)


9Gm6[Nz1       IPA Car将车载LAN最大限度地抽象化,假设用1条总线连接全部功能。把所有功能分成实现“行驶、停止、转弯”的“基本控制功能”、提升舒适性和便利性的“扩展功能”、用户带入车内的产品等“一般功能”。
_*m7}(n(hG5Qc5V8I x1拓松汽车户外网 -zn c \8Z8U
       容易成为攻击入口的外部接口可能包含在各项功能中,IPA Car将外部接口其整理到“扩展功能”与“一般功能”之间的连接部分。另外,“基本控制功能”与“扩展功能”合称为“车载系统”,这两个功能群又细分为“驱动类”、“信息娱乐类”这样的形式。本连载在探讨威胁和对策时,主要是针对“车载系统”。
Qs6q8t{&Lr1拓松汽车户外网 -n'?8}Uo#{%x
       “扩展功能”大致可以分成两类。一是包括“车体系统”、“安全舒适功能”、“诊断及维护”在内的“控制相关功能”,主要与行驶、停止、转弯等汽车的物理功能密切相关。
5RA,xDx7z!U9H#A1拓松汽车户外网 -}f:@7l'm^
       另一类是包含“ITS功能”、“通信与信息”、“信息娱乐”等在内的“信息相关功能”,是有关向驾驶员提供信息的功能。这两类功能的相关服务一旦发生安全问题,产生的风险截然不同。在采取对策时,根据其中的差别探讨安全问题非常重要。拓松汽车户外网 -Au0H9u O)q@4`

~/@+^.tN1       IPA认为,上述各功能管理着表1列出的信息和动作。例如,在探讨某车载系统的安全时,要首先理清该系统与哪项功能联动、使用哪些信息,然后再有重点地探讨相应的安全问题。届时,表1的思路可以起到帮助作用。下一篇中,笔者将介绍排查出的威胁安全事例及对策。

1ly:XD%_1拓松汽车户外网 -+k)P{Yf&{

表1:应当保护的信息资产示例拓松汽车户外网 -^r+}w6k1o!A g3S

-m i+Ve,C%MV!kS)h1

应当保护的对象类别说明
基本控制功能的运行基本控制功能的连贯性和可用性,基本控制功能的执行环境和使其运行的通信
汽车固有信息包括汽车车体中固有的信息(车辆ID、设备ID等)、认证信息码、行驶及运行记录等积累的信息
汽车状态信息表示汽车状态的数据、位置、车速、目的地等
用户信息用户(驾驶员和乘员)的个人信息、认证信息、缴费信息、使用记录和操作记录等
软件ECU(Electronic Control Unit)的固件等关系到汽车基本控制功能和扩展功能的软件
内容视频、音乐、地图之类的应用数据
设置信息硬件和软件的运行设置数据

f~Efm1nM1
TAG: 汽车信息安全
顶:56 踩:85
对本文中的事件或人物打分:
当前平均分:-0.26 (365次打分)
对本篇资讯内容的质量打分:
当前平均分:-0.14 (357次打分)
【已经有325人表态】
57票
感动
38票
路过
28票
高兴
33票
难过
44票
搞笑
37票
愤怒
45票
无聊
43票
同情
上一篇 下一篇

欣宇时代

    消防绞盘

欣宇时代

    维金商务资讯网


    中国汽车绞盘网


    中国宠物医师网

泥地越野绞盘不可缺

TOSOO汽车户外商城

消防救援绞盘 - Fire & Rescue Winches