2013年05月17日09:30
【相关新闻】
在上篇文章中,笔者对可能攻击汽车各种系统的途径、汽车不同功能群采取的安全对策的差异进行了简单的归纳。这一次,笔者将针对功能群,逐一筛选出可能存在的威胁并思考对策。
原因在用户还是在攻击者?
产生威胁的原因大致可分成两类。一类是“用户偶然引发的失误”,另一类是“攻击者故意引发”。按照不同的发生原因,相应的威胁分别如表1、表2所示。
表1:用户操作造成的威胁
| 威胁 | 说明 |
| 设置错误 | 用户经由汽车内的用户接口,错误实施操作和设置 |
| 感染病毒 | 通过用户从外部带入的产品和记录介质,车载系统感染病毒和恶意软件 |
表2:攻击者干扰引发的威胁
| 威胁 | 说明 |
| 非法利用 | 无正当权限者通过伪装和攻击产品漏洞,利用汽车系统功能 |
| 非法设置 | 无正当权限者通过伪装和攻击产品漏洞,非法变更汽车系统设置数据 |
| 信息泄露 | 汽车系统中应当受到保护的信息落入非法人员之手 |
| 窃听 | 车载设备之间的通信、汽车与周边系统的通信遭到窃听、截取 |
| DoS攻击 | 通过非法或过多的连接要求造成系统瘫痪、服务受阻 |
| 虚假消息 | 攻击者通过发送虚假消息,使汽车系统执行非法动作和显示 |
| 记录丢失 | 删除或篡改操作记录等,使用户之后无法查看 |
| 非法转播 | 通过控制通信途径,劫持正规通信、夹杂非法通信 |
可能经由OBD-II攻击
在根据表1、表2中的威胁、思考车载系统遭受攻击的途径时,需要按照途径,分成直接连接各项功能的物理接口以及车载LAN两类,分别考虑(图1)。对于不同的途径,影响和对策的范围也各不相同。
 |
| 图1:各功能群可能存在的威胁汇总 |
例如,来自外部的直接攻击是通过汽车与外部通信的物理接口(无线通信、USB端口等)实施。从过去的攻击事例来看,“接入手机网的车载信息服务和信息娱乐系统功能易受到来自外部的DoS(Denial of Service)攻击和非法利用”。
与之相比,车载LAN是“封闭的通信系统”,可以说遭受外部直接攻击的可能性较小。尤其是驱动系统和底盘系统,除了车载LAN之外,这两个系统没有其他外部接口,可以认为全部通信都经由“封闭的”车载LAN。
即便如此,这两个系统仍有可能遭受攻击。因为受到直接攻击的其他功能有可能感染病毒,“间接”向车载LAN传输非法命令。也就是说,攻击的来源是原本可靠的车内的其他功能。
入侵车载LAN并非只有“间接”途径可走。如今,绝大多数车辆都配备了诊断功能“OBD-II”(第二代车载诊断系统),通过OBD-II的接口,也有可能直接攻击车载LAN。OBD-II与车载LAN是连接在一起的。
但实际的汽车系统中,与“行驶、停止、转弯”相关的功能连接在一起的车载LAN的外部接口大多设有网关,提高了安全性。
风险管理至关重要
要想减轻前面提到的威胁,必须要采取合理的安全对策。日本信息处理推进机构(IPA)分析并按照与一般信息系统相同的分类,对汽车安全对策进行了整理(表3)。
表3:针对威胁的安全对策
但表3并未涵盖所有的汽车安全对策。今后,除此之外,还必须要思考车载系统特有的安全对策。现在,部分汽车研究机构已经开始探讨车载系统特有的安全对策。全世界的研究人员也在不断改进攻击技术和对策技术,积累新的思路。倘若大家有意对安全对策进行全面梳理,就要定期关注相关内容的更新。
另外,这里只是大致罗列了可能存在的威胁和安全对策。在现实中,由于成本等原因,很难做到面面俱到。各公司要根据各自的功能和服务,实施合理的风险管理,包括“重点保护什么”、“采用哪项技术”等。(日经技术在线! 供稿)
