欢迎光临第五届中国汽车网络信息安全峰会2020!

您可以信任联网汽车吗?

发布日期:2020-03-28

GRCCIoVSecurity

2020-03-28 13:36:03


手机阅读


我们日益相互联系的世界的一个不幸副作用是,我们容易受到网络攻击的频率。如果您最近阅读过新闻,则很可能听说过各种容易受到攻击的设备。路由器被黑客入侵,以传播危险的僵尸网络。智能家居系统(包括门铃和摄像头)已受到威胁。去年,FDA甚至不得不发出警告,攻击者可能将家用胰岛素泵作为攻击目标。


尽管有这些不断揭露的内容,但仍有许多连接的设备的漏洞仍然被少报。大多数人都知道他们的笔记本电脑或路由器可能会受到威胁,但是有多少人认为他们的汽车可能已连接到互联网这一事实呢?支持物联网的车辆可能被黑客作为攻击目标的想法不是科幻小说,而是现实。随着当今联网汽车中越来越多的漏洞被发现,加强保护的必要性变得更加明显。




严重的,已证明的危险




任何连接的设备都可能成为潜在攻击者的目标,但车辆被黑客攻击则是一种特别危险的网络攻击。原因很简单:路由器,智能手机或其他设备受损可能会给用户带来不便或导致**或个人信息的损失,但从设计的角度来看,车辆却是庞大,快速且危险的。被盗用的汽车不仅会威胁驾驶员的个人信息,还会潜在地威胁驾驶员及其周围所有人的生命。


这不是闲着的猜测。2015年,研究人员证明,他们可以使用零时差攻击来远程“杀死”公路上的吉普车,使其完全停止。他们不仅可以无线控制吉普车的制动和加速,还可以无线控制吉普车的转向,仪表板功能和其他功能,从而使驾驶员束手无策。


这并不是这些研究人员第一次展示出这种类型的攻击:他们在2013年对福特Escape进行了类似的实验。幸运的是,在攻击者可能造成严重破坏之前,发现了福特漏洞和吉普攻击。但它们的存在给业界带来了警钟。


吉普和福特并不孤单。特斯拉是一家汽车制造商,通常被认为处于技术的最前沿,去年其Model S被中国黑客攻陷。网络安全研究人员能够“欺骗”车辆的自动驾驶仪,使其转向迎面而来的交通,尽管模拟攻击是在受控环境中进行的,但它证明了与车辆黑客攻击有关的更可怕的可能性之一。


中国研究人员此前曾证明过特斯拉汽车存在类似漏洞:2016年和2017年,他们使用了特斯拉Model X的刹车,门控制,灯和其他功能。尤其要注意的是,电动汽车使用了大量软件来规范能源使用,针对电动车的破坏性黑客可能会产生危险的结果。


诸如Consumer Watchdog之类的组织已开始注意到此问题。去年发布的一份报告显示,在高峰时段,对联网汽车发起的全车队网络攻击可能会导致灾难性的生命损失,造成数千人伤亡。该组织向汽车制造商提出挑战,要求他们终止将安全关键系统连接到互联网的做法,甚至敦促国会在制造商自身不愿采取行动的情况下进行干预。




必须更加重视网络安全




考虑到车辆被盗的潜在危险时,请务必记住,精明的黑客甚至不需要完全控制汽车来潜在地造成生命损失。不断喷洒雨刮液或突然爆破立体声来分散驾驶员注意力可能足以引起严重事故。考虑到这一点,任何汽车中都有无数的系统可能被视为“安全关键”。制造商应该将重点放在提高安全性上,而不是将这些系统从网络上完全断开,从而使他们的车辆难以瞄准。


根据BIS Research的**报告,2018年汽车网络安全市场的价值为12.6亿美元,预计2019年至2029年之间的复合年增长率为14.25%,这表明该问题的严重性将导致汽车制造商更加重视安全性。供应链的更多可见性将是此方面的一个关键方面,因为确保连接设备的安全性和真实性的全球标准几乎不存在。如果不能保证将组件安装在车辆中是安全的,那么在将车辆从地段运走之前,可能会损坏它们。


在汽车安全领域,安全启动和基于证书的身份验证等功能变得越来越重要。旨在验证给定设备并确保未受到篡改的技术可以大大确保车辆及其各个组件的安全。有效证书本质上表示“连接此设备很安全”,并且能够验证大量设备的第三方公钥基础结构(PKI)对于汽车制造商而言至关重要。安全启动可确保车辆ECU上的固件未被篡改。


运输行业中的许多人已经开始采用这项技术。AeroMACS技术是航空业的一种标准,它利用了PKI证书,该证书已被证明是有效的。(完整披露:Sectigo已为WiMAX论坛提供有关如何在AeroMACS标准内实施PKI的建议。)强大的支持和生命周期管理计划也至关重要。随着新漏洞的出现,制造商必须通过补丁,软件更新和其他关键措施来支持其使用中的车辆。




安全与信任携手并进




不幸的事实是,网络攻击并非总是“可解决”的问题。不可避免的是,黑客将不断地试图使防御者**一步。同样,安全团队也必须设计出新颖而创新的方法来阻止它们。汽车行业和其他行业一样。但是,通过识别问题并建立验证设备和组件的强有力计划,确保它们没有受到损害并有效地管理其生命周期,汽车制造商可以帮助确保其车辆始终受信任和安全。



Bill Holtz, Sectigo**执行官Bill Holtz为当今的企业(包括自动化,物联网和DevOps)推动数字身份和网络安全方面的创新。





☆ END ☆






关注上方蓝字关注我们





  • 电话咨询
  • 15021948198
  • 021-22306692
None