汽车信息安全(4):“间接”威胁同样存在
原因在用户?还是在攻击者?
威胁发生的原因大致可分成两类。一类是“用户偶然引发的失误等”,另一类是“攻击者故意引发”。按照不同的发生原因,相应的威胁分别如表1、表2所示。
表1:用户操作造成的威胁
表2:攻击者干扰引发的威胁
例如,来自外部的直接攻击是通过汽车与外部通信的物理接口(无线通信、USB端口等)实施。从过去的攻击事例来看,“接入手机网的车载信息服务和信息娱乐系统功能易受到来自外部的DoS(Denial of Service)攻击和非法利用”。
与之相比,车载LAN是“封闭的通信系统”,可以说遭受外部直接攻击的可能性较小。尤其是驱动系统和底盘系统,除了车载LAN之外,这两个系统没有其他外部接口,可以认为全部通信都经由“封闭的”车载LAN。
即便如此,这两个系统仍有可能遭受攻击。因为受到直接攻击的其他功能有可能感染病毒,“间接”向车载LAN传输非法命令。也就是说,攻击的来源是原本可靠的车内的其他功能。
入侵车载LAN并非只有“间接”途径可走。如今,绝大多数车辆都配备了诊断功能“OBD-II”(第二代车载诊断系统),通过OBD-II的接口,也有可能直接攻击车载LAN。OBD-II与车载LAN是连接在一起的。
但实际的汽车系统中,与“行驶、停止、转弯”相关的功能连接在一起的车载LAN的外部接口大多设有网关,提高了安全性。
但表3并未涵盖所有的汽车安全对策。今后,除此之外,还必须要思考车载系统特有的安全对策。现在,部分汽车研究机构已经开始探讨车载系统特有的安全对策。全世界的研究人员也在不断改进攻击技术和对策技术,积累新的点子。倘若大家有意对安全对策进行全面梳理,就要定期关注相关内容的更新。
另外,这里只是大致罗列了可能存在的威胁和安全对策。在现实中,由于成本等原因,很难做到面面俱到。各公司要根据各自的功能和服务,实施合理的风险管理,包括“重点保护什么”、“采用哪项技术”等。
威胁发生的原因大致可分成两类。一类是“用户偶然引发的失误等”,另一类是“攻击者故意引发”。按照不同的发生原因,相应的威胁分别如表1、表2所示。
表1:用户操作造成的威胁
威胁 | 说明 |
---|---|
设置错误 | 用户经由汽车内的用户接口,错误实施操作、设置引发的威胁 |
感染病毒 | 通过用户从外部带入的产品和记录介质,车载系统感染病毒和恶意软件引发的威胁 |
表2:攻击者干扰引发的威胁
威胁 | 说明 |
---|---|
非法利用 | 无正当权限者通过伪装和攻击产品漏洞,利用汽车系统功能的威胁 |
非法设置 | 无正当权限者通过伪装和攻击产品漏洞,非法变更汽车系统设置数据的威胁 |
信息泄露 | 汽车系统中应当受到保护的信息落入非法人员之手的威胁 |
窃听 | 车载设备之间的通信、汽车与周边系统的通信遭到窃听、截取的威胁 |
DoS攻击 | 通过非法或过多的连接要求造成系统瘫痪、服务受阻的威胁 |
虚假消息 | 攻击者通过发送虚假消息,使汽车系统执行非法动作和显示的威胁 |
记录丢失 | 删除或篡改操作记录等,使用户之后无法查看的威胁 |
非法转播 | 通过控制通信途径,劫持正规通信、夹杂非法通信的威胁 |
在根据表1、表2中的威胁、思考车载系统遭受攻击的途径时,需要按照途径,分成直接连接各项功能的物理接口以及车载LAN两类,分别考虑(图1)。对于不同的途径,影响和对策的范围也各不相同。
图1:各功能群可能存在的威胁汇总 (点击放大) |
例如,来自外部的直接攻击是通过汽车与外部通信的物理接口(无线通信、USB端口等)实施。从过去的攻击事例来看,“接入手机网的车载信息服务和信息娱乐系统功能易受到来自外部的DoS(Denial of Service)攻击和非法利用”。
与之相比,车载LAN是“封闭的通信系统”,可以说遭受外部直接攻击的可能性较小。尤其是驱动系统和底盘系统,除了车载LAN之外,这两个系统没有其他外部接口,可以认为全部通信都经由“封闭的”车载LAN。
即便如此,这两个系统仍有可能遭受攻击。因为受到直接攻击的其他功能有可能感染病毒,“间接”向车载LAN传输非法命令。也就是说,攻击的来源是原本可靠的车内的其他功能。
入侵车载LAN并非只有“间接”途径可走。如今,绝大多数车辆都配备了诊断功能“OBD-II”(第二代车载诊断系统),通过OBD-II的接口,也有可能直接攻击车载LAN。OBD-II与车载LAN是连接在一起的。
但实际的汽车系统中,与“行驶、停止、转弯”相关的功能连接在一起的车载LAN的外部接口大多设有网关,提高了安全性。
风险管理至关重要
要想减轻前面提到的威胁,必须要采取合理的安全对策。日本信息处理推进机构(IPA)分析并按照与一般信息系统相同的分类,对汽车安全对策进行了整理(表3)。
表3:针对威胁的安全对策
类别 | 安全对策 | 说明 | |
---|---|---|---|
安全要件定义 | 要件管理工具 | 要件管理工具是能够整理复杂的程序要求,使要件与设计、功能相对应,并对其进行管理的工具。整理安全要件有助于防止漏装安全功能。 | |
安全功能设计 | 安全架构设计 | 在明确系统的使用案例和模型的前提下,分析威胁和风险,根据安全方针,设计应对方法和应对位置的方法。能够防止对策疏漏引发的漏洞等。 | |
安全功能设计 | 利用安全功能 | 加密 | 加密包括保护信息资产本身的“内容加密”,以及防止通信遭到窃听的“通信通道加密”两类。根据加密方式的不同,处理速度、数据量等也存在差异,因此,根据要求选择加密方式非常重要。 |
认证 | 对用户、通信对象以及追加的程序等是否合法、是否遭到了篡改进行认证的方法。除了密码、哈希值等软件处理之外,还包括IC芯片等使用专用硬件的方法。 | ||
访问控制 | 对使用者的操作权限、功能机通信的范围等实施管理。通过恰当地设定使用者及功能的影响范围,防止设想外的利用,并保护主要功能不被其他功能发生的问题影响 | ||
安全安装 | 安全编程 | 防止缓冲区溢出等已知漏洞的编程技术。包括禁止利用存在漏洞的函数、禁止容易产生误解的编码表述等。 | |
安全评估 | 安全测试 | 确认系统成品是否存在漏洞的方法。包括检测已知漏洞的工具、调查未知漏洞的模糊测试等方法。 | |
其他措施 | 制定指南等 | 通过指南等书面形式,向用户传达正确的使用方法和发生安全问题时的应对方法非常重要。而且,工厂出货时的设置也要注意防范安全问题。 |
但表3并未涵盖所有的汽车安全对策。今后,除此之外,还必须要思考车载系统特有的安全对策。现在,部分汽车研究机构已经开始探讨车载系统特有的安全对策。全世界的研究人员也在不断改进攻击技术和对策技术,积累新的点子。倘若大家有意对安全对策进行全面梳理,就要定期关注相关内容的更新。
另外,这里只是大致罗列了可能存在的威胁和安全对策。在现实中,由于成本等原因,很难做到面面俱到。各公司要根据各自的功能和服务,实施合理的风险管理,包括“重点保护什么”、“采用哪项技术”等。