当前位置: CompoTech China > 专题 > 专题报道 >
 

Smart Mobility (4):从"供应链管理"落实信息安全

本文作者:任苙萍       点击: 2019-05-14 10:33
前言:
以 Safety 为依归,用 Security 堆栈资安
不论是自驾车或车联网,"信息安全"都是首要议题;高度依赖信息流驱动的交通、运作模式,若不幸信号被窃听、拦截或窜改,轻则蒙受财物损失、重则危及生命!
 
为消费大众熟知的防病毒软件大厂趋势科技 (Trend Micro),其实观察汽车领域已有五年之久。全球消费市场开发协理许育诚谦虚地说,当初他们虽不敢确切预言智能车演进的具体进程,但一直深信这是个极具潜力的市场。果然,在电动车 (EV) 兴起后,人们对于汽车信息安全的关注度直线上升,包括安全 (Safety) 和保全 (Security) 两方面;而被锁定的攻击目标也从车商转变为车体本身——内网从 CANbus 下手,外网以网关 (Gateway) 为入侵门户。再者,过去信息较隐晦、信息安全弱点不见得会被公开,也是近年汽车信息安全给人"旱地拔葱"之感的原因。
 

照片人物:趋势科技全球消费市场开发协理许育诚
 
汽车电气化程度变高,"受骇"态势随之迅猛
许育诚回顾 2012 年,汽车"受骇"事件还只有个位数,但 2015~2018 年倏然陡增 200 多件个案,其中有一半的案例是与罪犯事件有关;惊人的是,今年才刚过完第一季,就已高达 39 个案例是属于资料盗取与车辆窃取!有实体 (physical) 和远程 (remote) 两种攻击手法——前者多从车上诊断系统 (OBD) 的通信端口入侵,后者又可再细分为短距、长距;毫无悬念,长距离黑客的影响更广泛而巨大,有六大途径:
1. 服务器或数据桥接:充电桩/租借站侧录数据即属此类,约 20%;
2. 被动无钥进入系统 (Passive Keyless Entry and Start Systems, PKES):通过"守株待兔+盲扫"分工合作偷车,由于破解工具已经可以在市面上取得,目前此类攻击比最大,约 33%;
3. ODB 之类的编/解碼车机:直接撤销 (revoke) 车机原始密钥,约 11%;
4. 手机应用程序植入后门,盗取密钥窃取车辆,约 10%;
5. 中控式车用信息娱乐系统 (IVI):从外部互联网或内部总线侵入,约 8%;
6. 最后一种的类别则是属于"附带损害"(Collateral Damage),主要是因为许多车内系统也采用一般通用的 Wi-Fi、蓝牙、USB 及摄影机等不同系统。当这些系统被发现有漏洞,也意味着它们也存在于车内系统。例如,2017 被揭露的 KRACK WPA2 漏洞就是一个典型案例,此类附带损害约 18%。
 
其中,PKES Relay 攻击时有所闻,今年第一季全球已经有 22 起窃车案件都与PKES Relay 攻击有关,近日才又传出经由共享汽车 APP 偷窃百辆奔驰车的消息,空旷停车场尤易中标。许育诚说明,采用 PKES 的汽车会持续发出低频信号,即使静止时也不例外;窃贼往往是两人一组,一人专司听取特定车型的低频信号,一人手持扫描装置在停车场乱枪打鸟式的随机寻找车主的遥控钥匙所在,如果信号对上了,负责扫描的人就会把信号以高频传给守株待兔者,进行完美的 PKES 的 Relay 攻击。这还只是单点袭击,当汽车电气化程度普及后,总线通信、乃至联网车 (Connected Cars) 需求亦逐渐增温。
 

图1:联网车之内、外部网络架构,与电信连接、云服务和商业管理息息相关
资料来源:趋势科技提供
 
汽车联网为大势所趋,供应链管理难在"稽核"
在汽车智能化的过程中,一样存在信息 (IT) 与操作 (OT) 的整合问题;而网络连接和底层通信协议的增多,意味着所曝露的门户和漏洞风险正悄悄升高且有扩散之虞。许育诚以 OBD 为例,早期车机装置多自成封闭格局,但这样"与世隔绝"(isolation) 作业环境因取得信息有限,会造成诊断、除错盲点,有必要藉由连网将来自于内、外部的所有行车记录文件 (Log) 集中管理、并汇整为有意义的数据后外送,以协助判读,但前提是得克服延迟 (Latency) 和文件格式共通性;特别是自驾车须与"高精度地图"紧密连动,对带宽和计算力更是一大考验。
 
为避免馈入错误数据而"误入歧途",GPS 导航装置会有"防呆"机制 (例如,突然出现不寻常大转弯导致跳动的线性轨迹变异过大),此类"防呆"机制应该运用在其他的传感器上、而不是单纯只做信号传送而已。另值得留意的是,取道 IVI 攻击的占比虽非最大,但威力不下于直接攻击服务器;若情节严重到需要召回 (Recall),车厂损失将动辄逾百万美元!因此,趋势科技主张汽车信息安全应扩及零组件制造商,落实供应链管理 (SCM) 的稽核 (audit) 工作。不过许育诚提到,在他们与汽车工厂实际接触时发现:"如何验证出厂的产品没问题",是供应链成员心里的一个痛点。
 
例如,在芯片厂商认知中,安全又好用的"可信赖平台模块"(Trusted Platform Module, TPM),许多承包制造商 (OEM) 却不熟悉编码工程,无法稽核其供货商的产品是否达标?此时,通常只得全然信赖对方的自我宣告、或要求出具第三方验证报告。有鉴于此,已有一些 OEM 自发成立联盟,互相为援;另一个快捷方式是加入可昭公信的既有生态系,趋势科技与嵌入式系统大厂风河 (Wind River) 的合作就是一例——将入侵防御、URL 过滤和应用程控等套件预载于 Wind River Titanium Cloud,建构运营商等级的网络功能虚拟化 (NFV) 基础软件平台。
 

图2:趋势科技在网络信息安全堆栈的布局 (红色区块标示处)
资料来源:趋势科技提供
 
Be Ready!有些机会,一旦错过就不再
以"深度封包检测"(Deep Packet Inspection, DPI) 为核心,结合入侵检测系统 (IDS)、入侵预防系统 (IPS) 及状态防火墙等功能,为前端、边缘到核心网络提供各种网络安全。作为Wind River Titanium Cloud 生态系统一员,趋势科技事先进行测试和验证,让服务供货商和电信设备制造商 (TEM) 可借助 Titanium Server 放心选择经过"预验证"的软、硬件产品。随着温瑞尔在各种垂直应用的深化,趋势科技未来在自驾车等交通运输网络的部署,亦可抢得先机。
 
"事实上,全球十大车商的 IT 信息安全皆是采用趋势科技的解决方案;然而信息安全威胁变化极大,我们最忧心的一件事就是一旦有新型态的攻击出现,信息安全公司无法及时地提供解决方案来解决客户的问题!所以,我们必须 Be Ready",许育诚说。他表示,将 DPI 用于车联网,则能探查车内异常行为;唯汽车由于未知太多,基于管理决策授权逻辑的"白名单"会比黑名单更适合确保通信协议免受攻击。此外,"机器学习"(Machine Learning) 是探究未知最好的工具,建置于电子控制单元 (ECU) 中,可"异中求同",找出对汽车安全的重大影响因子。他还强调,"Security"应以"Safety"为依归,意即:生命安全顺位高于一切!
 
许育诚认为,这需要健全法规和整体环境的成全;而 SCM 是一种"Multi-layers Defense"(多层次防卫) 概念,当中每个环节皆松懈不得,将"Security"当作显学的以色列堪为楷模,在设计之初就坚守这个铁律;不只视为内建 (built-in secure) 的基础功能,还力求持续可行 (keep-it secure)。目前有许多的车商在研究如何运用区块链的技术于生产履历上就是一个很好范例,在区块链的技术上趋势科技也已着手进行研究。他总结,当汽车产业日趋开放,IT 云端与 OT 底层的对接与跨域流动是合理且必要的发展,而投入相关供应链的业者越见活跃,也代表市场越大。换个角度看,集众人之力纠错,防毒将更有效率,也能提升行车安全。
 
趋势科技亦志在完善从嵌入式系统、应用层、云端到运营的信息安全堆栈,可对车联网提供多层的安全防护保障。