車雲按:2017年6月21日-22日,由中國安全產業協會、TIAA車載信息服務產業應用聯盟與車雲網共同主辦的2017年中國安全產業峰會暨首屆交通安全產業論壇在北京召開。目前在應用智能網聯汽車的時候,相關信息安全也同樣需要進行重視。梆梆安全研究院院長盧佐華帶來了與智能網聯汽車信息安全風險防護相關的主題演講。
梆梆安全研究院院長 盧佐華
以下為演講實錄:盧佐華:我想從昨天開始,大家都收到了從新聞、簡訊、朋友圈,各種各樣的關於6年來京津冀最大冷渦暴雨的預告,會有巨大的狂風、雷電,還有冰雹的可能,所以對大家來到現場真的非常感謝。我不知道大家是不是還得到了救援隊相關的安全信息的通知,北京市易積水地點分布,還有交通出行的注意事項,看到有漩渦的水流不要走,有可能是井蓋被激流衝走了,很危險。我也看到管理部門在採取對應措施,一些交通幹道還有小區在進行井蓋的加固,孩子也通知有大雨的話可以在家學習等。
從這些點都體現出了現在交通的一個安全意識以及安全防範的措施,這個正和我今天想和大家溝通的議題非常的吻合。現在交通在快速的發展,不只是整體的交通規劃,還包括我們出行的交通工具,比如說現在的智能網聯汽車,它跟以前是有很大不同的,它的風險也是我們過去所沒有預見到的。今天我想和大家分享一下我們會面臨哪些新的挑戰和風險,以及我們如何應對它。我們首先來看一下它的新挑戰有哪些。
汽車的信息安全新挑戰汽車從1886年誕生到現在已經有130多年了,從它誕生開始,我們都覺得這只是一個方便我們出行的機械工具,從來沒有想到會跟信息技術、IT技術有如此多緊密的結合。而今天來看,它已經成為現在整個萬物互聯時代版圖中的一員,所以它也規劃到了物聯網技術架構中的一部分,符合這樣的規律。
典型的物聯網基礎架構就是「端管雲」三層,智能網聯汽車要想很好的實現安全運行,也必須從「端管雲」的體系架構來實現安全保障。從這一點來講,安全保護就要從多個層面來進行考慮和實施,我們關注的點不僅僅是汽車自身了,我們還要關注它的通訊、還要關注它的雲端安全。這個架構圖提醒汽車廠商,實現汽車的安全要關注整體生態的安全。而信息安全的從業人員看智能網聯汽車的安全,又有新的挑戰。
信息安全不是今天才誕生的,大家已經花了很多年去研究,但是物聯網時代的安全又跟傳統的信息安全不同。我們來具體看一下智能網聯汽車的信息安全風險與威脅都存在哪些。對於信息安全人員來說,最不了解的其實就是「端管雲」架構中的端。我們可能很熟悉雲端的安全保護,我們有相應的很多保護措施存在了。我們對這個通訊協議也很了解,知道通訊要首先進行認證,然後進行加密傳輸。
但是對於端,對於一個汽車而言呢?我們是缺乏對它的了解的。我上周參加了天津的一個汽車會議,有一個國際汽車安全的專家講到,現在大家在形容智能網聯汽車的時候,經常做一個比喻,說它就是安了4個輪子的大手機,確實很形象,很好理解。但實際上可以這麼認識和理解嗎?我們來對比一組數據。
比如說同是2012年生產的iPhone手機和2012年生產的一輛汽車,我們可以看到手機在這幾年間已經提供了30次與安全相關的軟體升級,而汽車只有1次。第二,對它的支持,這麼多年來手機它只提供2到3年的維護,後續手機就報廢了,不需要再提供支持了。而汽車從2012年到今天可能正是它運行狀態最佳的時候,要全面的提供各種各樣的服務和支持。再看持續生命周期,一般手機正常的只承諾一年的安全維修,因為從兩年開始電池就會因為使用而極度的性能下降,再往後基本上因為軟體的更新和升級硬體不能支持被淘汰,而我們的汽車至少要支持15年。所以說我們從認識上要有所改變,智能網聯汽車的終端安全跟以前的信息安全領域是不同的,我們必須要全面的分析它切實的問題在哪裡,然後才能提供全面的防護。
比如說,從汽車來看,它是非常複雜的。隨著現代化的發展,它跟外界有非常多交互的接口,也就是我們所說的風險點非常多。我們可以看它的T—Box、IVI、車載作業系統,以及跟各種輔助自動駕駛的傳感器都可能會受到攻擊。
還有它的傳輸安全,所有的終端威脅都將是一個非常新的課題提供給我們。同時,我們不僅要從車的角度去看待這些風險點,進行防護,因為車是在一個生態環境裡運行的,車要在路上跑,那麼車就要跟外界進行交互,包括車與車、車與雲、車與人、車與基礎設施等方面,所以我們要進行智能網聯汽車的保護,實際不是只對車保護,還要對我們的雲端,還有外部例如上一個陳專家講的充電樁、充電系統,還有雲端,我們都要進行保護,否則它也有可能會影響汽車正常的安全運行。
那麼我們所碰到的具體的安全問題有哪些呢?
第一個新的挑戰就是嵌入式系統的威脅,剛才談了傳統信息安全我們已經有了很多的防護手段,但是從物聯網開始,到智能網聯汽車的發展,就使黑客的焦點引入到了嵌入式系統上。黑客現在已經看到智能設備的核心、相當於設備的大腦都是在嵌入式系統上面,嵌入式系統由於它有智能計算能力並且還能聯網進行遠程控制,所以它成為所有黑客的焦點。
比如說,現在頻頻爆發的各種汽車的攻擊事件,都是從嵌入式系統入手。比如說某品牌汽車被研究人員發現20年來它所使用的密鑰就只有4種,而發現這個巨大的漏洞,就是從嵌入式系統開始入手的。同時我們也看到各種爆發的智能攝像頭安全事件,比如美國東西海岸斷網的事件,也是從嵌入式系統開始入手攻擊成功的,所以帶給我們第一個新的挑戰,就是必須要面對這種針對嵌入式系統的新型攻擊。
第二,在物聯網時代,我們看到攻擊技術得到了極大的發展。在2017年麻省理工科技評論上列出了10大突破性技術,今年竟然把物聯殭屍網絡列為了一大技術。過去我們的突破性技術都是來幫助我們,提升生活,改進科技,促進我們的發展的。而在今年我們看到,一個破壞性的攻擊技術上了榜單,獲得了評獎。
什麼是物聯殭屍網絡呢?就是現在我們所理解的物聯網,但是物聯網由於疏忽、沒有得到合理保護,比如我剛才說的進行了嵌入式系統攻擊,它就會被別人所遙控,成為一個殭屍、一個木馬,這樣就構成了物聯的殭屍網絡。
有了這樣一個殭屍網絡,它其實可以發起造成更大的攻擊和破壞,這樣的一個突破技術是誰在參與呢?當然是有黑客在進行控制,但是終端設備的參與者可能就是我們在座的每一個人。原因可能就是我們沒有進行良好的安全保護,使用了一個沒有進行安全設置的智能設備,比如就包括汽車。
還有一些挑戰,我們從汽車的角度來看,汽車為了實現智能網聯化,它現在更多的功能都實現了電子電氣來進行控制。又由於它對外界有更多的交互,所以它的受攻擊面是非常多的。這裡展示了一個要竊取車輛行駛的GPS軌跡的攻擊數,獲得它的GPS攻擊數據是我們最終的目標,這些路徑有多種方法去獲得。下面節點就可以說樹的葉子端就是它的入口,它包括各種攻擊方法。
就在前兩天我們對一輛汽車進行了實時的GPS劫持破解,最終實現的效果是我們可以把GPS傳到一個控制臺上,從控制臺上完全監控,可以在監控地圖上看到車的行駛軌跡,我們看到車在我們的測試場地繞了一圈,完全的實時展現在控制臺上。所以這是一個新型的、以前傳統的汽車行業是沒有意識到的安全風險。
還有一個挑戰就是安全標準的缺失,因為時間關係,我沒有講太多的攻擊案例。實際上大家去找一找,比如說特斯拉是我們印象中防護最好的汽車廠商,它仍然有多起被破解、被攻擊的事件被展示在網上。對於這麼多的安全事件我們如何進行防範?
首先是我們現在還沒有真正可依據的安全標準,因為這是一個新興的事物。對於我們而言,安全標準現在是缺乏的,既沒有基礎的安全指導,產品和服務也沒有相對應的安全要求,測試更是各個廠家依據自己的理解去進行規劃和實踐的。不過,從今年來看,安全標準層面已經得到了大力的發展。在年初的TC260標委會會議上,就有多個關於汽車的安全標準議題在提案進行立項。汽車相關的各個產業、協會、聯盟也正在制定相關標準,我們可以期待很快就可以有相關汽車行業的安全標準出臺。
針對這些汽車安全的挑戰,我們要制定一個什麼樣的安全保障體系呢?我剛才提到包括汽車廠商以及信息安全行業的廠商,這些都是一個新的行業。我們梆梆安全是從2014年開始,就針對物聯網以及車聯網來進行深入的研究。
現在向大家展示一下《智能網聯汽車信息安全》白皮書,這是我們跟汽車工程學會,北京航空航天大學共同聯合編寫發布的,在12號中國智能網聯汽車產業創新聯盟上,正式發布了這本白皮書。這本白皮書是針對我剛才所談到的各種挑戰和我們現在的法律法規缺失,以及會碰到的各種問題,我們如何來應對它而給出的一些探討和思路,包括分析當前的產業現狀與趨勢,解析面臨的威脅,提出了安全方法論,保障體系以及關鍵的防護措施。今天為了感謝大家冒暴雨而來,會後可以在我們的展臺上領取這本書。
下面想結合白皮書以及剛才談到的問題,具體再跟大家做詳細的解讀。第一,剛才我說了幾大風險,可能還不是非常的系統化,它是一些新興的挑戰。我們真正從智能網聯汽車的角度來看,它有4層威脅,12大風險。
4層威脅從「端管雲」角度來看,剛才在雲端、通訊端沒有展開,我們重點放在端這一層面,也就是汽車終端。在汽車這一層它又分成了多個層次,所以汽車是面臨多域分層次的風險以及需要對應的保護。我們會從汽車的節點層、車內網絡傳輸層以及重點架構的層面,來整體分析汽車終端的安全威脅。
然後汽車必須要注重外部的威脅,除了基礎的「端管雲」,我們必須要看到它跟外部的交互而產生的風險,比如我們都有一個手機屏幕,可以通過手機上的一個軟體去控制汽車,了解汽車的狀況,在未來的發展當中,汽車的各項功能會更多的通過手機來控制。比如說了解我的汽車當前的各種安全狀況,在歐美已經實現了家長能夠通過手機來控制汽車的車速,來限制孩子開車不要超速。所以我們總結是4層威脅,12大風險。
車聯網安全防護方法論對於這些我們如何進行防護呢?首先我們給出了一個安全的方法論。
整個信息安全要與智能網聯汽車信息安全的生命周期相融合。大家更多理解的比如軟體生命周期,對於汽車生命周期還是跟過去不同的。剛才我前面做過對比,汽車它可能有15年以上的生命周期,所以汽車生命周期是從它的設計開始、生產、投入運維一直到用戶使用,這個階段都是它的生命周期。
它的使用者可能是個人或是租賃行業,在這個階段也需要進行相應的安全防護。直到這輛汽車廢棄,它的信息安全生命周期才算結束。有時候對於運營管理或者車廠,都只是生命周期的一個環節,對於安全角度來說,我們是要整個生命周期都要考慮到,都要提前的規劃,這是第一點。
第二是分域隔離,縱深防禦。剛才談到對於汽車終端而言,它是一個非常複雜的結構,包括它內部的網絡到外面的與各個接口的設備,要分域隔離,縱深防禦。
第三要與車內小微生態環境實現安全防禦的細粒度化。剛才前面提到嵌入式系統是現在非常容易受到黑客侵入的攻擊點,梆梆安全也提出了一個微邊界的理念。實際上就是在當前信息安全防護的領域裡,我們不能再沿用原來過去的邊界安全或者是無邊界安全,因為我們已經越過了網際網路發展階段,雲計算發展階段,移動互聯發展階段,我們現在進入的是物聯網階段。
物聯網階段的特徵可以說是融合了過去所有的網際網路和移動網際網路的特徵,它的設備分布在廣闊的世界裡,而每一點卻有很強的計算能力,可能不亞於我們原來的PC。所以我們有了一個新的防護理念就是微邊界的防護理念,每個點貌似是不重要的微點,實際上它在整個系統裡邊都有非常重要的作用。
比如聯網汽車,要是把關注點都放到雲端,而對汽車終端缺乏防護的話,對於我們個人來說那可能就是財產甚至生命的損失。看到剛才我所說的物聯殭屍網絡的快速發展,這種技術性的突破,如果不對每一個點保護好,還只是關注通訊和雲端,就會構成大量的殭屍在整個網絡上肆虐。
所以車內小微生態環境的安全防禦是必須要考慮的,要做到細粒化的防禦,這個就要有針對車內嵌入式系統的微邊界防禦體系。同時,我們還要進行場景化的防禦,提升安全強度以及響應。
關鍵安全防護技術談了這麼多理論上的、觀念性的,下面我想跟大家交流一下具體如何來實現這種防禦。我們剛剛談了車輛終端非常重要,那麼車輛終端有哪些防護手段呢?
首先要從車載的作業系統說起,它必須要保證車載的安全,要保證它是可信、可監控、且發現問題能夠快速響應的,這是我們微邊界的一套理論,就是第一層系統安全。
第二是固件安全,就是剛才討論的嵌入式系統的。
下面是數據安全,還有它的密鑰安全。出現問題可控、可管理來進行空中升級,這是實現車輛安全防護的相關技術。
下面我跟大家講一下固件安全,它是嵌入式系統保護的一個核心。有人說智能時代最重要的是什麼呢?最重要的就是它的控制程序。對於汽車來說,自動駕駛、無人駕駛,如果被入侵了,那完全可以對你進行劫持。
而對於現在我們的發展階段呢?自動駕駛裡可能有我們核心的一些技術,它要是被竊取了,那對於廠家來說是重大的損失。所以固件裡邊的程序安全是當前我們認為最重要的一個環節。梆梆安全有一個針對固件安全的原碼保護產品,它實現的就是剛才我所說的,第一是保護智慧財產權,可以讓你的代碼不被別人看到,不被竊取。
第二,我們知道程序不可能完美,總是存在漏洞的。嵌入系統攻擊都是在找出你的漏洞,植入木馬。那我們怎麼辦呢?能夠避免漏洞嗎?實際上是不可能的,一定會存在你不了解的Bug。但我們看人一般都帶有病菌,但是我們也能夠很正常、健康的工作、生活,實際上是我們有抵禦的能力。
我們現在要做的就是,即使軟體存在一些安全隱患、Bug,但是也能夠正常運行,直到自己進行安全的修復。方法就是它可以隱藏起來,不讓人知道整個的工作邏輯、業務邏輯、流程,和它們之間的關係。這也是我們梆梆安全源碼保護產品的功能。
大家可以簡單看一下這兩幅圖,這是在我對程序原碼進行保護之前,它的結構、邏輯清晰可見。一旦被實施攻擊它很容易就找到你的思路,也找到你的問題和弱點。如果我進行源碼保護,整個控制流扁平化,它的指令會進行替換,還可以進行一些加密,它看到的邏輯結構就是混亂的,攻擊者就很難竊取你的程序裡所包含的有價值的信息以及可能存在的安全漏洞的,這是實現的第一點,程序的保護。
第二個我們來談一下,端管雲的第二點,管理通訊層面。通訊層面其實很好理解,就是網絡傳輸。現在傳輸的方式非常多,比如說在我們汽車上有多種接口,通過wifi、藍牙、4G、5G等,我們要保證傳輸的安全。傳輸安全最重要的是什麼呢?就是加密。加密是不是足矣呢?可能還需要加上一個身份認證。但是大家可以想到,所有的認證和加密基礎都依賴於密鑰的安全,密鑰在物聯網階段很容易受到白盒攻擊。
什麼是白盒攻擊?在網際網路時代,攻擊比較很困難,因為你有一個可信的邊界,我要攻擊你,你的內容都放在數據中心裡頭了。但是現在我要攻擊一輛車其實很簡單,我可以把這輛車買回來,就是現在物聯網攻擊的一個特點:攻擊者就是這個被攻擊設備的所有者。
我擁有這輛車,我可以完全把它拆了,具體怎麼燒制的、怎麼接線的,然後把它程序提取出來進行調試,比如說內存dump,然後進行分析直到拿到密鑰。所以以前我們傳統的安全考慮認證、通訊加密,這些都是非常必要的手段,但是還不充分,我們還需要保證這個安全措施能夠正常的運用起來。所以我們要進行一個密鑰的保護。
我講一個比較新型的安全保護方法,那就是安全密鑰白盒。安全密鑰白盒是什麼呢?就是針對攻擊者也是所有者的情況,他把車拆開來看時,這是在一個不信任的環境下,一個有惡意攻擊者的場景下,來實現保護。在這種環境下,比如他就是被汽車黑客看到程序了,他在一步步的調試。但是這種情況下我們的安全密鑰白盒也能夠保證密鑰不會出現。什麼叫不會出現?這裡面確實技術比較高深,今天我們研究院的密碼博士也在場,有興趣也可以到我們的展臺進一步交流。
簡單說就是,它可以保證即使進行這樣的調試,它的密鑰也不會出現在你的內存當中,也不會出現在執行過程當中,它已經通過密鑰的算法,完全分解、轉換、替代在你執行過程當中,它是一邊計算,一邊運行,一邊來執行產生密鑰的加解密過程,所以密鑰不會在任何一個時候出現,在哪裡都不會出現,所以能很好的保證密鑰的安全。這樣使你的安全措施加密、通訊、認證能夠得到有效的執行,這是我們在通訊安全裡面的產品。
梆梆安全密鑰白盒
還有雲平臺的安全防護措施,它要保證協同互聯雲平臺的整體安全。這是一個架構也是現在新一代的自防禦的雲安全防護架構。關於雲的安全是更大的領域了,今天我們也不細說了。雲安全也是通過雲計算、大數據安全,我們也有很多新的研究技術在開展。現在我們也在參與一個課題,就是智能汽車數據平臺的安全防護。
因為在智能網聯汽車領域裡,它的數據量確實是跟以往的雲平臺不一樣,它的數據更豐富,因為它要在生態運行進行更多的交互。比如說未來車與車之間的防碰撞,車與設施之間的自動駕駛讀取基礎設施,它會有更多的數據,並且是跨品牌、跨行業、跨領域的。在這個數據平臺上如何進行防護,它已經跨越了過去我們對雲平臺的保護,從基礎設施的保護層面,到了更深層次的數據安全層面,我們現在也在開展這樣的合作和研究。
這就是我們剛才談到的對於汽車而言它要正常的在生態裡來執行。外部信息的一個風險,就是我手機APP的安全。梆梆安全從2010年創業開始就一直專注移動應用安全的保護。我再擴展一句,大家的手機上有沒有裝招商銀行的網銀系統?有。中國銀行、光大銀行、民生銀行、北京銀行或者是購票12306,這些移動應用都是梆梆安全提供保護的。銀行領域裡90%使用了安全加固保護的,大都採用了梆梆安全的移動加固產品。現在基於我們這種保護可以非常完善的放到汽車安全保護架構中的APP外部威脅這一部分,能夠防止他人進行篡改,動態注入,各種劫持等,以此來保護汽車行車的安全以及其他相關的安全。
最後我們還要進行整車系統的安全檢測,從端管雲,到外部的APP都要進行全面的檢測。我印象比較深的是日本IPA發布汽車安全白皮書的時候,它首先來定義智能網聯車是什麼,實際上它把智能網聯車定義為是一個系統,就是包含所有相關的,包括你的通訊、雲端等。所以我們在要進行安全檢測的時候,也必須包括每一個層面。現在梆梆安全已經為多家車企提供了整車系統的安全檢測,從終端、通訊、雲端到手機APP,包括我剛才講的對GPS數據截取實現的攻擊滲透檢測。我們同時也有針對汽車關鍵功能的滲透檢測,這裡展示的是一個攻擊主動剎車功能的路徑圖。
剛才是對汽車保護的四個層面簡要介紹了一下,每一層次我重點介紹了一個我們的產品。實際上對於整個物聯網和智能網聯車而言,梆梆提出了一個USC架構,首先U(Ubiquitous)是泛在的,就是說我們保護的對象是所有物聯網的泛在化接入網絡的終端,都是我們保護的目標,車聯網是我們首先關注的第一個行業領域。
第二個S(Security)是對泛在目標進行安全防護,而我們的安全手段會通過雲服務的方式交付給客戶。在端管雲的安全防護上除了我剛才介紹的那幾個重點的產品,其實還有更多豐富的產品技術和服務,有興趣的嘉賓我們會後可以來溝通。我今天的演講就到這裡,謝謝大家!
相關標籤: ASC2017