唐迪:車載信息安全測評實踐
責編:gltian |2018-06-20 15:10:27摘要:唐迪針對車聯網網絡安全威脅和需求,梳理了網絡威脅模型和攻擊行為。介紹了國內外標準規劃和標準建設概況,車載信息安全功能設計方向、車載信息安全測評方法、流程和標準實踐。
唐迪????公安部第三研究所助理研究員,博士后
第一部分,車聯網現在面臨的安全形勢,這也是我們現在在車聯網做信息安全的一個大的背景個。第二是我們當前國內外車載或者車聯網相關標準推進的狀態。第三,在標準的制定過程中我們在車載信息安全的要準實踐中做了哪些工作。
先從車載信息安全的形勢說起。實際上車聯網出現信息安全的問題主要來源的原因還是車輛連上了網,最早車聯網本身互聯網化相對來說還是安全的,直接道路2010年,2011年,2013年這幾年才會慢慢有一些實驗室對具備一些比較強大功能的汽車有些聯網功能,比如Wifi,藍牙車輛進行一些實驗性的入侵,才會有這樣一些攻擊和破解。到了2015年車聯網變成很多高級的車輛,包括奧迪、克萊斯勒,還有特斯拉慢慢把車聯網作為必備選項或者高配車型必備的功能才導致車聯網直接暴露在互聯網的端口下導致了原來的漏洞被暴露出來,才有了大量的入侵事件和車輛被控制的事件。
這個安全威脅是來源于整個封閉車輛看總線的網絡系統,通過TBOX或者車載娛樂終端或者Wifi節點暴露在互聯網上導致的結果。最初是因為我們在車輛的生產廠商在設計車輛的車載網絡并沒有考慮信息安全問題,相對封閉的系統相對安全的,導致聯網之后原來那些沒有想到的安全功能和安全漏洞都暴露出來,從而導致了這么一個威脅的出現。
當前對車輛可以被攻擊的脆弱點做的一個整體分析,不管從云端、車端、路端這些通訊、服務和數據可以攻擊的脆弱點超過了50個,而我們這幾年可以看到的比較著名的一些攻擊事件,包括記譜、特斯拉、BYD、福特,包括Wifi密碼破解、鑰匙射頻信號偽造。BYD被攻擊有一個典型的事情就是藍牙直接跟它的車輛總線網絡相接,但是藍牙自己的安全措施和安全功能具有一定的漏洞,當黑客對藍牙密鑰進行攻擊得到相應的P碼,手機鏈到藍牙系統直接到了總線就可以對汽車進行開鎖和啟動,也就導致對這輛車不接觸的情況下進行了劫持。
車聯網本身的信息安全和傳統信息安全最大的不同是造成的后果不一樣,威脅最大的后果是有可能會造成人員的傷亡。所以,信息安全的重要性比傳統信息安全可能更重要。當前我們國家國內外針對這些威脅有很多廠商做了很多工作,他們也做了很多針對車載威脅,以及車聯網威脅的安全的工具,包括ISS、博世、Escrypt都有一些安全解決方案,國內東軟、奇虎、梆梆也有一些產品,車廠也做了很多工作,之前他們設計沒有考慮這些問題,但是去年我們接觸一些大的廠商,長安、吉利、通用、一汽、東風這些企業的過程中發現他們都把信息安全在設計部門作為一個級別非常高的工作,也充分在他們新的產品中,網聯設備的信息安全作為一個設定的目標。
這些產品的出現有一個問題就是現在沒有標準,國家從國外和國內都沒有成熟的標準在應用,而標準主要解決的就是我們現在要解決的問題,包括信息安全產品或者檢測產品,還有一些車輛安全的設計原則,功能和設計的目標,性能指標要求。下面我要介紹的是國內外在解決這個問題上,在標準方面做的一些工作。
當前這個是SAE美國汽車工程學會從2015年開始做這個標準,包括有J3061,3101,還有3138這幾個標準,分別針對了汽車整個的生產周期、研發,還有它的一些硬件的要求,還有一些車與車內通訊的要求,做了這三個標準。這三個標準在全球相對來說是比較成熟的,但實際上也是在去年年底才剛剛發布,具體內容廠商在具體的實踐過程中。除了美國工程汽車工程協會,還有國際的ISO標準,ISO也是跟SAE進行一個合作。也是基于SAE的標準做,分了4個工作組,主要是負責安全威脅的定義和風險的分析,車輛開發安全過程的安全,以及汽車產品發布后的安全。
在國際上除了ISO歐洲也做了一些標準,這個是WP29,這是聯合國下的一個汽車安全的論壇,它的主要的功能是為聯合國制定一些車輛信息安全的規范,這些規范在協約國里是強制執行的,他們現在已經做的一些工作,包括系統的分析智能汽車的安全威脅,目前為止他們已經完成了基本方針的評審,下一步的工作重點主要在開發和測試上。這是國外一些標準的介紹。我們國家質檢總局下的國標委負責推進整個汽車信息安全的標準,實際負責和做這個標準的時候三個標委會都涉及到聯網汽車或者汽車電子相應的信息安全的標準。包括通標委、信安標委和汽標委,信安標委主要是對于信息安全的一些測評,產品的一些標準的制定。汽標委以前是傳統汽車,現在根據汽車的發展速度成立了一個新的智能網聯汽車的分標委,包括自動駕駛工作組,還有汽車信息安全工作組。汽車信息安全工作組主要分兩個部分,一個做國內汽車信息安全體系,另外做國際的法規協調。
汽標委的體系架構,包括基礎標準、通用規范標準、產品與技術應用標準及相關標準。其中信息安全標準在通用標準中是一個部分,他和功能安全是一個并行的標準體系。我把信息安全標準進行一個展開,這是汽標委在汽車信息安全標準體系的一個過程,它跟傳統的信息安全標準比較像,包括有基礎標準、關鍵系統與部件、功能應用管理,以及其他的一些相關標準。除了汽標委現有的標準已經立項了,但是標準都是在研過程中,包括T-BOX和網關信息安全技術要求,兩周前才開完一次標準的討論會,也就是剛剛立項,現在正在研究過程中,其中還有兩個標準,一個是漏洞應急相應,還有通用測試方法。
信安標委會也在做汽車電子的信息安全標準的推進,汽車電子安全標準推進主要是落在信息安全評估和標準工作組,包括信息安全產品和信息安全產品測評的標準都在WG5工作組。
當前用的標準體系大概是這樣,對不同的層級進行分可以分基礎層、安全要求層和測評認證層幾個部分。現有的一個是汽車電子系統網絡安全指南,還有車載公共安全技術要求,? 這兩個標準都是在研過程中。具體信安標委會對汽車標準的體系規劃大概這幾個部分,包括終端、應用、服務、操作系統、芯片、通信、測評,還有一些車載網絡和無人駕駛這幾個部分。
當前標準現狀是汽車電子網絡系統網絡安全指南已經立項,去年4月立項,去年開的啟動會,今年也對于了一次。還有信安標委會發布的汽車電子網絡安全標準化白皮書,對未來三標準的規劃做了一些描述。去年11月開的一次汽車電子網絡安全指南標準的啟動會,這個標準主要包括以下幾個部分,一個是汽車電子系統網絡安全的指導原則,網絡安全過程框架,生命周期安全控制,網絡安全管理和輔助管理,以及最后的網絡安全過程框架實施。這些標準里很多內容也是參照跟國際的SAE、ISO的標準進行了參考和借鑒。
今年對這個標準的推進。以上是對當前國內外標準現狀的情況。我們在公安部第三研究所國家信息安全檢測中心做了一些工作。我們首先對當親的車聯網本身電子系統和電子網絡系統的設備,它的很多信息安全的威脅或它需要的安全功能的解決方案跟傳統信息安全是有很多類似之處,我們通過分析,現在車聯網上的電子系統與實際已有的安全功能一個對應,也就是當某些產品它具有一些威脅,比如T-BOX可能在網絡控制、網絡隔離、漏洞掃描、滲透都需要做一些安全功能和安全的加固。以這個分析結果為基礎,我們認為車聯網本身在測評方面應該分不同的幾個階段,也分不同的幾個內容。第一是車載網絡設備。車載網絡設備就包括一些CAN總線所連接的電子設備、T-BOX、車載娛樂系統、藍牙及WIFI網絡連接設備。
第二是車載的信息安全產品,傳統的信息安全加一些防火墻、IPS,還有一些審計軟件,實際上未來在車載上也可能會有車載的防火墻,車載的安全網關這樣的產品。針對這些產品也需要檢測,而且這個產品在市場上已經有了包括360在做的,也都屬于車載信息安全的范疇。除了以上產品級的測試,我們現在認為就是一個正向的測試,還有一部分是車載電子信息設備的逆向測試,剛才大家很多演講人都提到滲透的問題,這個電子設備本身在設計之初沒有考慮信息安全功能,不管是編寫代碼和其他框架設計的時候都沒有考慮信息安全問題,所以,他有很多漏洞,也存在一個車載電子信息設備的滲透測試。除了對設備單體進行一個測試,還有對車載信息系統我們對整車進行分級測試和安全性評估,除了整車再往大里走就是車聯網,車聯網正在做的工作也是現在公安部也在推的一個工作,就是車聯網等級保護的測評。現在在上海我們已經對上汽通用和上汽車斗爭在做相應的等保測評的工作。
針對以上的威脅和我們測試的內容,我們給出了現在車聯網或者車載電子設備的檢測項目,當然這是部分檢測項目,剛才我也說到其實我認為這個檢測應該分為兩個部分,第一個部分應該是正向的,它應該有一個主動的安全功能,這些安全功能能主動地防御一些威脅,比如有一些訪問控制,通信加密等功能,其次有一些逆向的功能,這修逆向的功能包括滲透的一些測試,對他樓棟進行一些發現,比如邏輯代碼安全、業務安全等漏洞。基于以上的測試項目我們搭建了相應的車載信息安全的檢測平臺,主要包括幾個部分,車載網絡環境、檢測工具、檢測規范、檢測流程。車載網絡環境搭載一個完整的模擬的車輛的電子設備以及CAN總線的網絡環境,檢測工具包括CAN總線的漏洞分析工具、掃描工具,以及移動智能和有一些移動終端上APP的掃描工具。
我們現在所采用的兩個平臺。左邊的平臺針對一個車機檢測的內容,都是從車上拆下來的,包括ECU,網關,還有TCU,還有T-BOX這些部分,都是我們從車上直接拿來用的。另外,簡單的協議分析用的是CAN-OE和USB-CAN軟件,同時我們用檢測工具對CAN內部進行掃描和漏洞的掃描測試,從而發現它的安全性問題。除了這個,我們還做了一個可以模擬實際車輛的安全環境,包括動力系統、診斷系統,通過中央網關對這些系統進行一個連接,包括可以由儀表、轉速表,有轉速,有前后自動門窗的起降器,還包括收音機等等這些娛樂設備。同時,整個檢測平臺所有的接口都是可以通過CAN總線直接連在外面,可以跟我們被測設備進行車機互聯的,通過我們檢測供給可以搭建相應的網絡進行攻擊。
我們檢測平臺用的一些檢測工具,包括CAN總線漏洞掃描工具,CAN協議T-BOX掃描工具以及APP的掃描工具。CAN-總線掃描工具第一個功能就是協議分析。雖然大家都用的是博世CAN總線的協議,但是UBS? ISO的標準不是統一的,不同車廠版本都不太一樣,心里信令的位置也不太一致,我們通過這個協議分析首先確定協議版本,確定完版本我們對它進行模糊測試發現它在CAN中信令的位置觀察ECO的反映來確定到底哪個在它所用信令的位置。在這個基礎上我們進行相應CAN總線的攻擊,用中擊模式進行中間的攻擊,通過劫獲T-BOX發給網絡的信號或者報文,重新劫獲再發送CAN總線是否還有相同的效果。
我們轉速表勻速在轉,它的轉速表不到10,我們通過這個攻擊還是這個轉速,但我們通過發送攻擊它的轉速表可以瘋狂地打轉,如果實車工作中實際是很危險的,也會造成人身的一種傷害,這種攻擊可以發現我們在被測設備中沒做任何安全防護,他在T-BOX接受相應的命令的時候也沒有做任何的認證,導致這么一個攻擊的出現。
APP的檢測,包括越權,有一些是跟傳統的比較像,有一些是跟車輛本身特有的一些漏洞進行掃描。這是實際測的一些產品,因為現在整個車聯網真正把信息安全的功能和加固的東西用在量產車上的,可能在全國也只有一兩家在用,我們測的這兩個產品都是在量產車上馬上實現的,馬上量產車上安裝的產品。
T-BOX,也是它網絡連接的設備,正向、逆流相同兩個測試報告,一個是安全功能檢測報告,另外是安全性漏洞滲透的測試報告。雖然現有的,即使設備車機或者T-BOX有一些安全功能,測試的過程中最終版本是沒人修改過的,但是測試過程中還是大量發現一些漏洞和安全問題。中間車廠也根據這些問題進行了一些修改。
除了剛才我提到對車輛電子設備的一些檢測以外,我們認為實際上車聯網還有一個最大的問題它是一個聯網的系統,不是一個孤立的系統,整個車間還要連車與路,車與人,以及連接的關系,特別車與人連接可能還要跟我們每個人手上的APP或者手機的智能終端進行連接,新型的網絡對于整個信息安全的整體測評來說是一個新的挑戰。在過去以往的等保測評中沒考慮到車端的問題,APP應用到云端基本上這個信息系統測評方法夠結束了,實際上現在又多了一個車端。當前我們正在做的一些研究工作中我們認為現在我們用的一個是采用了傳統網絡等級保護的一些要求,還包括正在編制的一個是物聯網,一個是大數據這兩個等級保護的一些要求。因為車輛本身要收集大量的個人信息,所以,這也增加了一些個人信息安全的要求。最后也要對車聯網上網聯設備也要提出相應的安全要求。左邊是我們的依據。我們整個所采用的檢測的過程中我們涵蓋的內容包括云、管、端三個部分,包括云平臺、主機廠數據服務平臺、車輛終端和移動智能終端幾個部分。
下一篇:崔傳楨:主持人