文：岡 健五，譯：?？W(wǎng)

在間諜電影和科幻電影中，我們經(jīng)?？吹狡嚤缓诳徒庸艿膱鼍?。汽車聯(lián)網(wǎng)從此將成為司空見慣的常態(tài)，這些場景也不再僅僅是虛構(gòu)。在這個系列文章中，我們闡述下保護汽車網(wǎng)絡(luò)安全的“汽車安全”技術(shù)。

近幾年，汽車網(wǎng)絡(luò)安全已經(jīng)得到了非常廣泛的關(guān)注。與網(wǎng)絡(luò)安全相關(guān)的協(xié)會，或注重汽車網(wǎng)絡(luò)安全的會議今年開始已逐年增加。在各大黑客學(xué)會諸如“DEF CON”和“黑帽子”協(xié)會上的網(wǎng)絡(luò)安全相關(guān)的演講受到大家高度關(guān)注。并且可以看到政府主導(dǎo)的車載網(wǎng)絡(luò)安全相關(guān)活動也逐漸出現(xiàn)。例如，美國參議員愛德華馬基已在2013年12月發(fā)出對20家汽車制造商的問卷調(diào)查。在問卷中，他質(zhì)問了制造商在安全性測試方面的水平，比如：你采取了什么樣的網(wǎng)絡(luò)安全保護措施？調(diào)查問卷結(jié)果的摘要已在2015年1月刊登。

調(diào)查表明，在問卷調(diào)查的時候，大多數(shù)汽車制造商是沒有考慮到網(wǎng)絡(luò)安全的威脅以及他們的產(chǎn)品的網(wǎng)絡(luò)安全解決方案的。但這也不是一件壞事，汽車制造商隨后，開始明確表態(tài)改善車內(nèi)網(wǎng)絡(luò)安全。汽車行業(yè)內(nèi)紛紛在研究和開發(fā)部門，生產(chǎn)部門設(shè)立了安全專家小組，或安排安全技術(shù)人員入駐到供應(yīng)商。

現(xiàn)在的汽車行業(yè)由于硬件和軟件技術(shù)進步的拉動，在全世界范圍內(nèi)成長為數(shù)十億規(guī)模的市場。遠(yuǎn)程升級(OTA)推出的新的服務(wù)，如軟件更新，遠(yuǎn)程診斷，有創(chuàng)造進一步增長空間的潛力。但是，這些新的服務(wù)，必需要在保證安全通信的環(huán)境下，確保車輛的安全性。
此外，涉及到新的無線通信技術(shù)的車車輛通信(V2V)和車路通信(V2I)已經(jīng)出現(xiàn)。通過V2V和V2I，汽車與其他汽車和基礎(chǔ)設(shè)施將保持常態(tài)溝通，我們的汽車受到的網(wǎng)絡(luò)攻擊會越來越多。

針對汽車網(wǎng)絡(luò)攻擊出現(xiàn)的一個主要的原因為車輛系統(tǒng)的電控化，同時多個車輛系統(tǒng)的協(xié)作更加緊密。像車道保持輔助系統(tǒng)，自動剎車系統(tǒng)，自動泊車系統(tǒng)等更復(fù)雜的功能不斷安裝在汽車上，使得車上安裝的ECU數(shù)量每年不斷增加?？傮w而言，汽車的大部分功能是由ECU控制的。而且，越是復(fù)雜的功能，軟件就越復(fù)雜。目前的汽車一般配備有50-70個ECU。

另外一個原因是，在汽車設(shè)計過程中，沒有把網(wǎng)絡(luò)安全作為一個重要因素考慮。把所謂的安全（Safety）當(dāng)做重中之重，結(jié)果反倒把網(wǎng)絡(luò)安全忽視了。

傳統(tǒng)的車輛已有被攻擊的案例。比如里程表的非法操作，芯片調(diào)諧以及利用診斷口盜用車輛等。里程表的非法操作雖然是幾十年來一直有的攻擊，但最近幾年不斷增加。汽車?yán)锍瘫聿皇且粋€簡單的機械裝置，它已成為由軟件來控制的電子設(shè)備。出于這個原因，如果采用特殊的裝置，它比機械的里程表更容易篡改。在歐洲，里程表篡改帶來的非法營運導(dǎo)致的損失估計將高達每年60億歐元。因此，汽車制造商一直采取措施，防止對里程表的非法操作。

芯片調(diào)諧攻擊同樣具有悠久的歷史。如果想要提高發(fā)動機的性能，車主會使用芯片調(diào)諧方法。當(dāng)發(fā)動機過度使用而損壞了的時候，車主又會將軟件恢復(fù)到最初的版本，然后汽車制造商就要依據(jù)擔(dān)保合同，修復(fù)損壞的引擎。由此付出的巨大成本已經(jīng)受到汽車制造商的關(guān)注。

使用車輛診斷連接器盜取車輛是一個相對較新的攻擊方法。2012年，出現(xiàn)一份豪華車成為該手段的盜竊目標(biāo)的報告。近幾年，汽車鑰匙光泛采用電子編碼，使得它僅能用于特定車輛。但是，黑客如果侵入OBD（車載診斷）端口，可以使用特殊的設(shè)備，通過一個新的程序更新被盜汽車的密鑰。如果用戶使用這個密鑰的話，攻擊者就可以將汽車盜走。

他們的研究包括兩個部分：

• 一旦車輛在被非法訪問，會受到什么樣的攻擊？

• 怎么樣可以從遠(yuǎn)程訪問車輛內(nèi)網(wǎng)

第一，如果攻擊者可以發(fā)送適當(dāng)?shù)拿畹杰囕vCAN網(wǎng)絡(luò)中，已經(jīng)證明，在原則上通過總線可以控制任何ECU。研究者已經(jīng)驗證車門解鎖、制動器的激活/關(guān)閉、發(fā)動機的故障/關(guān)閉等都可以控制。通過這種攻擊，可以直接影響車輛的安全性能。

第二，車載藍(lán)牙、車聯(lián)網(wǎng)設(shè)備、媒體播放器等可以成為外部連接接口。如果這些遭到惡意使用，攻擊者可以訪問車載網(wǎng)絡(luò)。例如，通過利用車聯(lián)網(wǎng)處理單元的一個軟件缺陷，對網(wǎng)關(guān)進行程序更新，從那里連接到車內(nèi)網(wǎng)絡(luò)。已被證明這樣能夠?qū)⒚畎l(fā)送到最終目標(biāo)的-發(fā)動機ECU。

另一個案例，使用特定的WMA音頻文件，惡意利用信息娛樂系統(tǒng)中的媒體播放器軟件的錯誤。當(dāng)用戶用媒體播放器播放有這個特定的WMA文件的CD的時候，軟件漏洞被惡意利用，特定命令就被注入到車載網(wǎng)絡(luò)中。最后將命令發(fā)送到發(fā)動機控制器也成為可能的攻擊。

在2013 DEF CON上，查理·米勒先生和克里斯公布了針對兩款車的安全性分析的報告，報告表明，如果通過OBD端口介入CAN總線的內(nèi)部，那么通過發(fā)送相應(yīng)的信息，就可以發(fā)起包括操控發(fā)動機ECU動作在內(nèi)的多項攻擊。

有人分析了自動駐車功能。這個功能的特性之一是，只有把變速檔位調(diào)到倒擋，且速度為8公里以下的時候，系統(tǒng)才會工作?？刂圃摴δ艿能浖窃贑AN總線獲取的信息基礎(chǔ)上進行控制的。然而，連接到CAN總線的設(shè)備能夠?qū)⑾l(fā)送到連接到該總線上的任意其他設(shè)備,這種簡單機制很容易被誤用，這是進行欺騙性網(wǎng)絡(luò)攻擊的慣用手段。

調(diào)查結(jié)果顯示，攻擊者通過操作通信，可以將“倒檔且車速低于8公里”的欺騙消息發(fā)動到總線上，激活自動停車功能的軟件。如果汽車正在以120公里/小時的速度行駛，自動停車功能被激活，汽車將在未經(jīng)許可的情況下自動轉(zhuǎn)向。行進之中的突然自動轉(zhuǎn)向，將導(dǎo)致悲慘的事故。隨著汽車自動“行駛、停車和轉(zhuǎn)向”功能的導(dǎo)入，攻擊者可以利用這些使得汽車和用戶面臨安全和經(jīng)濟上的損害。

2014年的DEF CON上，查理·米勒先生和克里斯再次對20多輛汽車進行調(diào)查，研究其受到遠(yuǎn)程攻擊的可能性，結(jié)果顯示車載網(wǎng)絡(luò)存在被遠(yuǎn)程攻擊的入口和路徑。

目前為止我們所提到的，只是車載系統(tǒng)上網(wǎng)絡(luò)攻擊的一小部分，汽車正在快速發(fā)展。汽車在給我們帶來便利性的同時，也給我們帶來一些生活中不必要麻煩。

新一代的網(wǎng)聯(lián)汽車與外部一直保持著通訊連接，很容易成為車網(wǎng)絡(luò)攻擊通道。雖然如果車輛僅在車載網(wǎng)絡(luò)上進行通信，不具有外部通信接口，它就被分離成孤島。但是，之前提到的OTA軟件更新，遠(yuǎn)程診斷等功能，都避免不了各種外部通信接口，如果加上V2V和V2I，一臺汽車將繼續(xù)擴展成為大型互聯(lián)網(wǎng)絡(luò)的一個節(jié)點。

可以預(yù)期在未來的網(wǎng)絡(luò)上不斷增加的網(wǎng)絡(luò)攻擊，考慮到車子與網(wǎng)絡(luò)互聯(lián)，不僅要保證司機的人身安全，所有網(wǎng)域內(nèi)其他的聯(lián)網(wǎng)車輛和基礎(chǔ)設(shè)施都要防止受到攻擊，汽車網(wǎng)絡(luò)安全是極其重要的。