【牛人访谈】特斯拉“失联”凸显5G时代网联汽车信息安全问题
星期一, 五月 18, 2020
安全牛评:5月13日晚,特斯拉国内数位车主发微博称,特斯拉App大面积宕机,致使手机无法与车链接,手机钥匙失效,导致无法获取车辆信息、无法点亮车内仪表盘、中控屏。多车主处于“盲开”状态,甚至有些车主被锁在汽车中,对车主行车安全和人身安全构成威胁。特斯拉线上客户回复称,是由于系统服务器故障导致手机APP无法直接控制车辆。
特斯拉“失联”事件凸显了5G时代电动汽车行业网络安全问题的严峻性:对于特斯拉这个“轮子上的iPhone”,由于涉及用户人身安全,其网络安全问题比移动安全和应用安全问题要严重得多,也复杂得多。从网络安全的角度来看,智能联网汽车的攻击面极为宽广,从软件漏洞、通讯安全、APP安全、隐私数据保护到供应链安全和AI安全,智能联网汽车从诞生之日起始终是网络安全热门新闻和头条竞争者,在特斯拉中国发生大规模“失联”事件之前,今年3月以来,特斯拉就曾先后曝出Model3仪表盘漏洞、二手车泄露用户数据,以及特斯拉供应商Visser遭勒索软件攻击数据泄露等事件。
众所周知,特斯拉是网络安全能力最强的电动汽车厂商,过去几年在安全人才、技术架构研发、漏洞赏金计划等领域投入重金,但依然无法有效防范各种漏洞利用、数据泄露和服务中断等问题。
Ponemon的一项研究表明,汽车行业将近63%的汽车制造商对汽车软硬件安全性的测试覆盖率不到50%,将近30%的公司没有合适的网络安全团队来处理其技术和安全基础设施,更不用说保护智能汽车了。
缺少安全标准和投入,可能意味着未来的电动汽车网络安全评级将是比“中保研碰撞测试”更加“无情”的铁壁,例如特斯拉Model3是唯一获得IIHS最佳安全奖的电动汽车,但是在Thatcham Research的防盗性和安全性测试中只获得“Basic”低分。这也意味着网络安全短板将成为制约电动汽车行业起飞的最大瓶颈之一。5G时代,智能联网汽车安全何去何从?安全牛有幸邀请到东软集团网络安全事业部产品总监兼物联网安全研发中心主任陈静相,为我们解读5G时代智能网联汽车信息安全市场的现状、挑战与对应的安全体系框架。
东软集团网络安全事业部产品总监兼物联网安全研发中心主任陈静相
汽车信息安全是跨行业、跨界的领域,对于汽车来说,信息安全从一个较新的概念发展到现在即将有国家强制性标准的颁布。从信息安全角度来看,汽车是一个新的应用场景,对传统IT来说,可能都是数字化、信息化的场景里考虑交易是否安全,考虑日常业务运营是否安全;汽车信息安全更多的还会考虑信息安全会不会带来更大的影响。所以,对于这样一个跨界领域,有一些思考和挑战,在这里跟大家分享一下。
自2015年起,行业内相关的从业专家开始通过渗透攻击的方式涉足该领域,到2015年以后,这类的攻击变得相对的比较频繁,产生了实质性的影响,克莱斯勒事件,我们基本把它认定为车载信息安全的元年,为什么这么说呢?这件事情给整个车厂带来很深远的影响,包括政府政策、行业关注度等。在这个时间点,为什么能爆发这么大的信息安全问题呢?主要原因还在于传统的汽车行业在做转型,提出了智能网联的概念,智能网联要做什么?需要做更多的生态应用。随着时间推移,我们能看到,国家2025规划也好,我们的一些预测也好,车厂的转型逐步走向成熟。
从两个维度思考,一个是信息安全领域的专家,在其从业领域针对性的做研究和攻防;另一个是根据汽车行业发展趋势,汽车越来越智能化、网联化。因此,信息安全是非常重要的里程碑式的环节,该环节的出现打通了虚拟的现实化和实际的物理运营当中的一个通路,一旦发生问题可能对于交通出行会带来不可估量的生命财产影响。
伴随汽车智能网联的趋势愈发明显,安全的问题也会不断凸显。
以特斯拉与克莱斯勒为例,从某种意义上来说,这两个例子的攻击流程很相似,首先都是通过网络漏洞,克莱斯勒通过网络找到域名登录权限,通过网络漏洞介入之后找到控车系统的漏洞,克莱斯勒漏洞最开始在车机上,具备的是OTA功能,车机有控制车身的一些权限,通过这样的漏洞,对车内网络进行刷写,车机和车联网络之间许多任何验证,直接对V850控制器做了刷写,最后达到控制CAN网络、控制各个车辆功能的实施入侵的流程。特斯拉也是类似的,特斯拉某种程度上通过钓鱼Wi-Fi的搭建,升级了网关固件,进行了对整车的控制,对于车联网来说,攻击思路上、攻击路径上是有层次和组合的,并不是单一一个点、一个问题就能产生最终达到目的的攻击行为。
因此,我们认为,在汽车信息安全领域应该分四个层次:
首先,我们需要保护车辆对外连接接口,正因为车辆有17个或者更多的接入,所有接口设备的信息安全是非常重要的,包括它的连接、关键业务敏感的传输非常重要。
第二个层次,网络隔离从某种意义上延缓或者阻断攻击路的完成,对于整车网络来说,引入以太网,整车网络的交互包括控制关联越来越紧密,在整车网络当中如何保证通信安全性、指令的安全性,信息认证很重要。
第三个层次,在各个敏感业务之间,在ECU之间,我们需要进行更安全传输。对第三层来说,各个零部件供应商并不是完全满足AUTOSAR,并不是完全有资源做类似的传输之间的保障,我们也在想如何保证所有的支持AUTOSAR和非AUTOSAR能同时达到安全传输层级。
第四个层次,对每个ECU、每个控制器都能做系统层级安全的保障。现阶段来看,在某些高系统的资源丰富的设备上,我们达到这样的系统层级安全保证,对于一些MCU、一些控制器,我们还没法做相应的约束,因为相关一些原因,未来在车联网发展过程中,最终第四层次也许会得到一定实现,会有更好方法解决ECU安全保护方案。
在此攻击链路下,我们定义四层相关的信息安全保护规划和策略,针对这四层,我们提出4+2安全体系框架供参考,第一,信息安全基础建设能力:证书和电子密钥服务系统、信息安全管理平台、安全芯片相关的安全能力是我们认为一个系统要达到信息安全所具备的基础能力,在这些能力之上,针对车联网或者智能网联业务逐层构建安全的建设,第一层,我们需要对车联网平台需要保证安全接入,我们需要保证车和云端业务的连接应该是安全可信的,接着对车上各个不同域有安全隔离、安全认证以及敏感业务的加密应用,最终我们会针对车上做一些安全部署,给每个ECU和给每一个车载设备做系统级别的安全加固。通过这样一个部署能达到对车辆安全的逐步建设,信息安全建设不是一步到位的,也不需要一口气建设的非常完整,随着车联网或者智能网联汽车业务的应用和逐渐深入,我们可以有选择、有针对性的做一些安全方面的部署和实施。
5G与物联网之间相辅相成,而智能网联汽车信息安全作为物联网安全下其一分支,已领先在国际法规、国家标准领域先行一步。
对于信息安全标准来说,国内已有信息安全标准体系的框架,框架包括车载信息安全领域首批完成5个标准,通用标准、网关标准、通信标准、充电安全,网关标准更多关注车内网络之间如何定义信息安全的需求。通信安全更多关注的是如何保障车和TBOX功能层面安全,远程关注新能源车数据收集平台,定义数据收集标准,如何在数据收集要准里保证远程通信安全,充电安全更多考虑汽车和充电桩过程中怎么保证充电链路的安全性。
2016年,国内汽车信息安全发展之初,作为国内第一个发起《车载信息安全产品系列标准技术要求》的企业,联合国家网络与信息系统安全产品质量监督检验中心、中国信息安全认证中心、中国软件评测中心、信息产业信息安全测评中心,3家汽车巨头共同制定完成。
2017年,中国信息安全标准委员会第一次设立了国家车载信息安全体系标准,布局国标法律法规的起草、编写和讨论工作,该标准体系已成为目前国内首项汽车信息安全领域的国家标准。同年,联合国世界车辆法规协调论坛(WP29)与ISO国际标准组织正式组建汽车信息安全标准小组进行国际标准的编写、在当时我有幸作为中国代表团中的唯一企业成员代表,参与专家组的讨论。
2018-2019年由中国电子技术标准化研究院指导编写的《信息安全技术 车载网络设备信息安全技术要求》正在由包括公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件测评中心、国家工业信息安全发展研究中心、公安部交通管理科学研究所、工信部第五研究所、中科院信息工程研究所等单位的领导;国产品牌车企、众多高校专家,与网络安全厂商等65家单位和企业报名参与标准编写工作。该标准发布后将成为智能网联汽车信息安全强制性国家标准。
企业在智能网联汽车信息安全的发展需要同时在汽车电子和网络安全两个业务上有很深的技术积累,安全厂商从从技术角度落手去进行研发和落地同时依靠合作的力量将技术建设成生态。智能网联汽车信息安全从最初技术上的空白到行业实践的落地,车厂和用户的接受度等,每一步走过来都面对了诸多挑战,特别是车规的限制。对技术的先进性和落地性要求很高,凭借多年来对嵌入式和车规的经验与了解,合作开拓的心态和勇气可以帮助同智能网联汽车信息安全之路的同路人共同战胜挑战,守护出行安全。
相关阅读