*頭圖來(lái)自 Techcrunch

編者按：360 汽車安全實(shí)驗(yàn)室是國(guó)內(nèi)首支專注于汽車安全研究領(lǐng)域的團(tuán)隊(duì)。2014 年，360 汽車安全實(shí)驗(yàn)室成功破解特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)，2015 年，他們發(fā)現(xiàn)并提交比亞迪汽車在車聯(lián)網(wǎng)云服務(wù)、藍(lán)牙鑰匙的安全漏洞。

該實(shí)驗(yàn)室主要有五大塊研究方向：全生命周期的汽車信息安全咨詢、攻防平衡原則的汽車信息安全評(píng)估、可視化分析的汽車信息安全檢測(cè)平臺(tái)、動(dòng)態(tài)安全監(jiān)測(cè)汽車安全運(yùn)營(yíng)模式、兼顧重大及汽車事件的應(yīng)急響應(yīng)能力。目前他們與整車廠、Tier1（一級(jí)供應(yīng)商）有深度合作，并且有一些非常成功的案例。

在第三屆中國(guó)智能汽車國(guó)際論壇上，360 汽車信息安全團(tuán)隊(duì)負(fù)責(zé)人劉健皓發(fā)表了以「汽車信息安全為核心的汽車互聯(lián)網(wǎng)」為主題的演講。以下內(nèi)容由雷鋒網(wǎng)編輯和整理（在不影響原意的基礎(chǔ)上有刪減）：

隨著汽車技術(shù)的發(fā)展，黑客攻擊技術(shù)在不斷地進(jìn)化，我們要認(rèn)識(shí)到汽車信息安全的問(wèn)題。

整車廠現(xiàn)在面臨的問(wèn)題：

1、去年 Charlie Miller 和 Chris Valasek 破解了吉普自由光以后，克萊斯召回每輛車的成本大約是 150 美金。造成的影響是：不僅承擔(dān)了召回成本，而且在媒體的影響非常差，甚至有些用戶對(duì)智能汽車抱著不敢接受的態(tài)度。

在汽車信息安全研究方面，有很多整車廠把車上的 T-box 直接接入到自己總部的網(wǎng)絡(luò)。攻擊者可以利用這條通路直接攻擊到整車廠內(nèi)部 IT 系統(tǒng)，造成整車廠被攻擊。這不僅影響汽車，而且還影響整車廠 IT 系統(tǒng)的安全。

2、汽車信息安全沒(méi)辦法做到面面俱到。從汽車智能化和網(wǎng)聯(lián)化的發(fā)展來(lái)看，它涉及到不同的安全層面：有物理安全、系統(tǒng)安全、射頻安全、傳感器安全、遙控智能安全。車聯(lián)網(wǎng)這塊，包含移動(dòng)安全、嵌入式安全。

這些安全層面在以前傳統(tǒng) IT 安全里是解決不了的問(wèn)題。傳統(tǒng)安全，比如我的電腦只需要解決 Windows 問(wèn)題就可以解決終端安全了。但車聯(lián)網(wǎng)或者自動(dòng)駕駛技術(shù)是一個(gè)混合體的技術(shù)，涉及的安全層面非常多，所以汽車信息安全沒(méi)有一種有效的手段可以達(dá)到面面俱到。

3、整車廠企業(yè)缺少專業(yè)信息安全人員去做專門(mén)的維護(hù)或做專門(mén)的審核，來(lái)保證我們出廠或者發(fā)布的汽車是安全的。

4、整車廠負(fù)責(zé)把各個(gè)供應(yīng)商的配件組裝起來(lái)，這些零配件出了問(wèn)題，實(shí)際上是供應(yīng)商的問(wèn)題，但最終影響效果是在整車廠上，所以這個(gè)錯(cuò)誤是整車廠來(lái)承擔(dān)，單也得是整車廠來(lái)買，這是非常窘迫的問(wèn)題。

汽車信息安全風(fēng)險(xiǎn)來(lái)自哪些方面？

1、汽車總線

汽車總線與生俱來(lái)就有一種安全風(fēng)險(xiǎn)，因?yàn)樗谠O(shè)置的時(shí)候就沒(méi)有考慮安全問(wèn)題，最初是把它看作一個(gè)封閉式的網(wǎng)絡(luò)來(lái)設(shè)計(jì)的。

在封閉式網(wǎng)絡(luò)里，考慮到安全問(wèn)題，汽車總線在 ECU 或者網(wǎng)絡(luò)安全傳輸過(guò)程中都是云端傳輸，協(xié)議涉及也非常簡(jiǎn)單，只要改幾個(gè)數(shù)據(jù)位。

2、聯(lián)網(wǎng)化

既然網(wǎng)絡(luò)是封閉的，同時(shí)現(xiàn)在又有聯(lián)網(wǎng)化的需求，如果把開(kāi)發(fā)的總線通過(guò) T-box 直接連接到互聯(lián)網(wǎng)，很多互聯(lián)網(wǎng)黑客就可以通過(guò)這一點(diǎn)攻擊到汽車組建架構(gòu)，并且去控制汽車。所以聯(lián)網(wǎng)化也是一種安全風(fēng)險(xiǎn)。

3、智能化

現(xiàn)在很多汽車有智能化的功能，比如自動(dòng)駕駛或者特斯拉 Autopilot。智能化有很多的傳感器，這些傳感器要感知周圍環(huán)境，反應(yīng)到汽車自動(dòng)駕駛里，最終反向控制汽車。

如果傳感器被干擾，那反向也可以干擾控制汽車。

4、新能源汽車

新能源汽車的 BMS 和充電樁有一些汽車交互，并且也涉及到汽車控制，所以對(duì)外開(kāi)放的接口會(huì)引起安全風(fēng)險(xiǎn)。

5、科技化

傳統(tǒng)汽車 ECU 數(shù)量非常少，這意味著它的車載軟件代碼比較少。從攻擊者的角度看，他的攻擊面也非常少。

隨著汽車科技化越來(lái)越多，一輛車至少有上百個(gè) ECU，每個(gè) ECU 都有可能成為一個(gè)攻擊點(diǎn)，上百個(gè) ECU 背后支撐的可能是上千萬(wàn)個(gè)代碼，只要存在著代碼就有可能出現(xiàn)漏洞。科技化會(huì)給汽車帶來(lái)安全風(fēng)險(xiǎn)。

如何解決安全風(fēng)險(xiǎn)？

我們要設(shè)立汽車信息安全建設(shè)的原則。

很多整車廠做信息安全工作，目標(biāo)就是做邊界防護(hù)，這是安全界里非常古老的一種方法。因?yàn)閭鹘y(tǒng)的辦公網(wǎng)絡(luò)可以確定一個(gè)邊界?，F(xiàn)在的網(wǎng)絡(luò)是移動(dòng)互聯(lián)網(wǎng)，移動(dòng)互聯(lián)網(wǎng)就意味著是端到端的互聯(lián)，它的定義非常模糊。特別是汽車，每輛汽車都會(huì)跑在互聯(lián)網(wǎng)上，它的邊界到底在哪兒？

在汽車的信息安全方面，我們要設(shè)定一個(gè)原則：不是站在對(duì)黑客進(jìn)行邊界防御的立場(chǎng)，因?yàn)楹诳筒灰欢ㄔ谶吔?，他有可能在你的?nèi)部，所以要建立清除內(nèi)部危險(xiǎn)的免疫系統(tǒng)。

汽車和車聯(lián)網(wǎng)系統(tǒng)要有自己的安全能力和防護(hù)能力。建立一個(gè)免疫系統(tǒng)，它自身就可以防護(hù)攻擊，而不是要靠外部防護(hù)設(shè)備或者信息安全產(chǎn)品。

根據(jù)這個(gè)思路，我們分為幾個(gè)路線：

1、對(duì)產(chǎn)品進(jìn)行安全分析。首先把我們的產(chǎn)品拿出來(lái)看，它有沒(méi)有安全工作，達(dá)到安全要求？如果沒(méi)有，那后續(xù)相應(yīng)地設(shè)計(jì)肯定不能滿足信息安全需求。

我們?cè)谇捌谛枰踩稍儯o它提安全要求。在安全設(shè)計(jì)的時(shí)候，要對(duì)汽車面臨的一些信息安全風(fēng)險(xiǎn)進(jìn)行分析，并且對(duì)于這些危險(xiǎn)進(jìn)行建模，要了解我們面對(duì)的風(fēng)險(xiǎn)和要加固的范圍。

2、在建設(shè)過(guò)程當(dāng)中，我們要遵循代碼審計(jì)，做防護(hù)測(cè)試，在不同的節(jié)點(diǎn)要安全驗(yàn)收。

比如，供應(yīng)商提供的產(chǎn)品，要有一個(gè)安全驗(yàn)收的流程。在這方面，還需要一些外圍安全產(chǎn)品，做具有針對(duì)的防護(hù)，防護(hù)做完之后要再確診風(fēng)險(xiǎn)。

3、根據(jù)現(xiàn)有威脅情報(bào)，我們不能防護(hù)一些從來(lái)沒(méi)有發(fā)生過(guò)的事情，我們防護(hù)的是現(xiàn)實(shí)存在的東西。

對(duì)汽車和 IT 系統(tǒng)當(dāng)中的數(shù)據(jù)，每天產(chǎn)生的數(shù)據(jù)量非常大，我們要用機(jī)器學(xué)習(xí)的技術(shù)來(lái)處理。安全應(yīng)用人員只是幫我們做決策而已。我們的安全是重監(jiān)控的，會(huì)提取很多數(shù)據(jù)，目的是：安全不是防護(hù)，是及時(shí)地把損失終止。

建設(shè)思路：云、管、端

把汽車、車聯(lián)網(wǎng)或自動(dòng)駕駛整個(gè)劃分完之后，可以用三個(gè)字來(lái)概括：云、管、端。

在云端和管端，與傳統(tǒng) IT 系統(tǒng)一樣，它最后也會(huì)用到服務(wù)器。在管道這端，照樣走的是運(yùn)營(yíng)商的套路，即 API、GPRS 和 4G。在云端和管端我們可以沿用傳統(tǒng) IT 思路。

汽車是一個(gè)非常特殊的終端，可以分為：決策、感知、控制。決策主要就是由自動(dòng)駕駛這樣的系統(tǒng)進(jìn)行的路徑規(guī)劃，感知是指?jìng)鞲衅?，控制是指?zhí)行器。

從決策到控制會(huì)有一個(gè)網(wǎng)絡(luò)傳輸，我們會(huì)發(fā)現(xiàn)很多的攻擊最終是落到「攻擊汽車總線」，從而達(dá)到控制汽車的目的。

保障 CAN 總線安全

我們有一個(gè)容忍度，就是我可以讓你在車載系統(tǒng)、IT 系統(tǒng)來(lái)回折騰，只要不要影響汽車控制就可以了。但是，有很多的攻擊都最終能深入到汽車控制，所以我們要保障 CAN 總線的安全。

在 CAN 總線以外，實(shí)際上是屬于 IT 層面的，傳統(tǒng) IT 防不住。在 CAN 總線以下是 OT 層面的，就是控制信息。

在控制領(lǐng)域做安全，現(xiàn)在還在一個(gè)初步摸索的階段，包括現(xiàn)在的工業(yè) 4.0、工業(yè)互聯(lián)網(wǎng)都是在 IT 層面上做。在 IT 層面上有很多東西可以互用，但是沒(méi)有辦法解決根本問(wèn)題。

自動(dòng)駕駛工作原理是先通過(guò)傳感器去感知周圍數(shù)據(jù)，再把數(shù)據(jù)源匯總到自動(dòng)駕駛系統(tǒng)。這個(gè)系統(tǒng)負(fù)責(zé)兩個(gè)事：

• 路徑規(guī)劃。這輛車應(yīng)該開(kāi)到哪兒，走到哪兒，怎么行駛規(guī)劃出來(lái)；

• HMI 人機(jī)交互。這輛車應(yīng)該怎么走，前面有幾輛車，限速是多少，在第幾條道上，把這些信息顯示給用戶。

如果一輛自動(dòng)駕駛汽車的傳感器不可靠，會(huì)影響到自動(dòng)駕駛的算法。如果自動(dòng)駕駛的算法出問(wèn)題，汽車在操作上肯定會(huì)出問(wèn)題，在 HMI 上的顯示也會(huì)出問(wèn)題。自動(dòng)駕駛安全實(shí)際上依靠的是傳感器的可靠性和自動(dòng)駕駛的冗余性。

車載終端安全，是指汽車總線和傳感器的安全。車載終端分為系統(tǒng)、應(yīng)用、硬件安全，把這些安全做到了就可以保證車載終端相對(duì)安全狀態(tài)。

• 安全測(cè)試，從硬件、到系統(tǒng)、到應(yīng)用等多方面多唯獨(dú)的安全測(cè)試，保障車載系統(tǒng)運(yùn)行安全；

• 安全防護(hù)，通過(guò)清理、殺毒、加速、終端防護(hù)、聯(lián)網(wǎng)防火墻、車載控制防護(hù)；

• 安全監(jiān)控，對(duì)于車載信息系統(tǒng)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控、動(dòng)態(tài)防護(hù)。

移動(dòng)終端安全，現(xiàn)在很多攻擊汽車，攻擊車聯(lián)網(wǎng)就必須要有一輛車才能夠去做測(cè)試，實(shí)際上有很多攻擊，測(cè)試者只需要一個(gè)車載 APP 軟件就可以對(duì)車聯(lián)網(wǎng)發(fā)起一些攻擊和測(cè)試。

對(duì)于車載終端的安全要求是防逆向、防調(diào)試、防纂改、防打包，在這個(gè)領(lǐng)域里有很多公司都可以做這件事，就是一個(gè)簡(jiǎn)單的 App 加固問(wèn)題。

從經(jīng)驗(yàn)上總結(jié)，雖然特斯拉屢次被破解，但它沒(méi)有因?yàn)檐嚶?lián)網(wǎng)安全事件召回某一輛車，為什么？原因在于：通過(guò)遠(yuǎn)程 OTA 的手段來(lái)降低信息安全問(wèn)題給車廠帶來(lái)的損失、加密芯片可以通信提供端到端的加密和身份認(rèn)證、可信的通道可以保護(hù)傳輸?shù)募用懿槐缓诳徒俪帧?/p>

*文中圖片由劉健皓提供

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。