欢迎光临第五届中国汽车网络信息安全峰会2020!

汽车制造商在互联世界中面临新的网络挑战

发布日期:2020-04-07

GRCCIoVSecurity

2020-04-07 13:26:30

手机阅读


弗雷迪·福尔摩斯(Freddie Holmes)访谈ESCRYPT,了解如何在日益互联的环境中确保新车辆的安全




网络安全是现代汽车工业中一个常见的话题,但是对于必须保护哪些车辆及其相关数据,以及谁应该受到保护,仍然存在歧义。迄今为止,大多数安全漏洞都是以研究为主导的,所谓的“白帽子黑客”通常会根据制造商的要求进行渗透测试。


黑客已经展示出如何利用半自动驾驶系统来欺骗汽车行驶路径中的物体。插电式混合动力车的电池充电系统已通过其内置的Wi-Fi被入侵;并通过笔记本电脑控制了联网汽车的油门和制动器。2016年2月,一位研究人员甚至设法从澳大利亚一直到英国的Nissan Leaf进行远程访问。


令人担心的是,最终将恶意进行此类活动以牟取**甚至政治利益。现在可以通过电子方式控制车辆的加速,制动和转向,这为驾驶员提供了被人质甚至更人质绑架的机会。然后存在随着更多的元件被连接而损害车辆中存储的私人信息的风险。对于普通消费者而言,这似乎有些牵强,但随着连接性和自动驾驶技术的进步,它不再仅仅出现在科幻小说领域。


ESCRYPT-硬件安全模块-HSM是汽车安全的核心



(图* 硬件安全模块(HSM)是汽车安全的核心。资料来源:ESCRYPT)


ESCRYPT北美安全咨询负责人罗伯特·兰伯特(Robert Lambert)警告说:“要确切了解这些攻击将如何传播还为时过早。“例如,我们还没有看到勒索软件进入这个领域,但是随着车辆变得越来越复杂,这种情况即将到来。”


ESCRYPT总部位于德国,专注于嵌入式设备的安全性,尤其是移动领域的安全性。它是ETAS的子公司,而ETAS则由博世全资拥有。ESCRYPT可能与全球**的汽车供应商之一建立了联系,但是只要与他人保持一定距离,便可以自由地直接与其他1层级合作。目前,它为北美,欧洲和亚洲的所有**汽车制造商提供全球支持。



如何解决安全问题?


近年来,网络安全可能已成为头条新闻,但这并不是汽车行业的新考虑因素。


EVITA项目于2008年7月启动,这是生产用于车辆ECU的安全硬件组件的一部分。作为该600万欧元(664万美元)计划的一部分,定义了各种类型的安全硬件,后来以硬件安全模块(HSM)的形式实现了。本质上,这些HSM提供了硬件“信任根”,可实现软件的安全启动,空中(OTA)更新的安全以及车辆,后端与测试仪基础结构之间的车载网络上的安全消息传递。



确切了解这些攻击的发展方式还为时过早。例如,我们还没有看到勒索软件进入这个领域,但是随着车辆变得越来越复杂,


除其他外,ESCRYPT为现在在现代车辆中可以找到的许多HSM提供了软件堆栈。这实质上为车辆网络内的IT安全提供了硬件锚点,并防止未经授权的访问和操纵。该公司将HSM描述为当今保护车辆网络的“**手段”。



新的攻击媒介


黑客拥有比以往更多的机会来访问联网的车辆。可以将车辆视为房屋:与互联网的每个新连接都代表在房屋中添加的另一扇门或窗户。为了防止入侵者,所有这些入口点都必须锁定。


“回想起1990年代,当时计算机首次连接到互联网;有大量新产品可以保护公司免受恶意攻击,例如VPN和防火墙。这就是我们目前使用汽车的阶段。”兰伯特说。“过去,低速移动网络提供车辆连接,但如今的型号具有各种新的切入点。”


即使在最不可能的地区也可以发现漏洞。在汽车行业之外,赌场曾经被鱼缸中具有Wi-Fi功能的温度计入侵,而美国零售巨头Target在其供暖,通风和空调(HVAC)承包商的数据泄露后遭到黑客入侵。



数字签名可用于验证车辆之间的消息。但是,从车辆发出的那些消息也可以用来跟踪该车辆,因此也存在隐私的元素


随着电动汽车(EV)的激增,各种通信将在这些系统**动,以访问充电器。然后是远程诊断的热潮,它利用了有关车辆使用情况和健康状况的数据。还应考虑无线更新的趋势,在这种情况下,车辆软件会实时更新。尽管这将由汽车制造商直接推动,但仍有风险在更新到达车辆之前对其进行篡改。


但是有解决方案。兰伯特说:“理想情况下,发送到车辆的固件应该以已经存在于车辆中的信任根为基础进行签名。” “确保正确完成还需要一些保护,并且车辆中的HSM通常用作信任的硬件根,以确保这些签名有效和正确。”



安全的出行未来


在不久的将来,这些互联的车辆将成为互联生态系统的一部分,并与其他互联汽车,路边基础设施,无线网络和其他互联设备进行通信。业界必须确保这些网络之间的消息发送是防篡改的,并且实际上必须包含预期的信息,例如从路边单元发送的警报,以警告自动驾驶汽车前方发生撞车事故。


(图* 安全凭据管理–启用V2X的好处。资料来源:ESCRYPT )


兰伯特说:“数字签名可用于验证车辆之间的消息,但是当您考虑到车辆之间可能流过的消息时,需要注意的是。“您可能想知道后面的车辆正在加速并且可能有撞到您的危险。但是,从车辆发出的那些消息也可以用来跟踪该车辆,因此也存在隐私的元素。V2X系统为每辆车使用许多证书,从而允许以不同的证书发送消息,从而提高了隐私性。”


显然,汽车制造商要跟上所有这些,就面临着巨大的挑战。考虑到涉及到的通信范围广泛,确保联网汽车的安全并不是一项简单的任务,而且专用网络安全公司的专业知识也不能被过分夸大。


Lambert总结道:“作为全球**的车辆安全保护提供商,ESCRYPT认识到这些技术可以改善驾驶体验并降低死亡率。” “但是,如果可以将消息发送到车辆,导致其执行可能有害的动作,那么对这些消息进行适当保护非常重要。”





END





点击上方蓝字关注我们




  • 电话咨询
  • 15021948198
  • 021-22306692
None