青骥信息安全编译技术专题
过去的几年以我们从未预料到的方式发生了革命性的变化。随着联网、自动驾驶、共享和电动汽车(CASE)的不断发展有效地将车辆转变为移动计算平台,从而改善了乘客和车主的拥有体验。然而,尽管网络连接和软件驱动功能具有明显的优势,但仍有风险和威胁需要应对,即数据隐私和网络安全。在同样革命性的几年里,该行业见证了网络攻击的规模、频率和复杂性呈指数级增长。汽车业现在正在加快采取必要的积极措施,以确保他们的车辆安全,并确保司机和乘客的安全。
Upstream多年来一直在帮助汽车生态系统的利益相关方了解并降低网络风险,与一些领先的汽车OEM、零部件供应商、保险供应商、航空公司等合作,保护数百万辆已经上路的汽车。我们一直在提供完整的汽车特定威胁情报,利用公开、深度和暗网(的威胁情报)资源,帮助汽车利益相关方识别和管理供应链和资产中发现的风险和漏洞。
第一章 标准、法规和网联汽车生态系统
全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%。
启动UNECE法规和ISO/SAE标准
近年来,针对汽车行业的网络攻击数量激增,令人担忧,与几年前相比,如今道路上的联网车辆数量急剧增加,知识和汽车网络黑客工具的普及,导致了对汽车网络攻击的新流行。通过广泛连接的无线网络收集的数据增加了攻击载体,从OEM后端服务器到车辆电子控制单元(ecu),甚至信息娱乐单元的蓝牙功能。
对改善驾驶和更好的客户体验的需求推动原始设备制造商创造新的技术先进的创新,这些创新是由(网络)连接实现的。不幸的是,(网络)连接的另一面是,这扩大了黑客发现新的攻击媒介和利用每个漏洞的攻击面,使车辆、网络和后端服务器容易受到攻击。
为了创建一个统一的方法来应对这些网络威胁,汽车 OEM、一级和二级供应商正在实施 UNECE 的 WP .29 R155 和 R156 法规以及 ISO/SAE 21434 标准。这些旨在使制造商能够灵活地提供创新的网络安全方法,同时确保为其客户提供高水平的安全和保障,同时在整个行业中创建统一的术语。
-
R155 CSMS 网络安全管理系统 从需求设计到产品实现的网络安全管理
-
R156 SUMS 软件更新管理系统 保障整个车辆生命周期内安全更新软件的网络安全措施
值得注意的是,这些标准和法规反映了整个汽车行业采用技术的流动性。WP .29 R155和ISO/SAE 21434都没有列出具体的解决方案和精确的流程,而是专注于实现高标准的网络安全分析。
该(标准)指导方针强调,必须从研发阶段、生产阶段以及后期生产阶段开始,全面考虑车辆的网络安全威胁和漏洞。
虽然许多国家计划接受这一新规定,但这之外一些国家将采用自己的地方性法规和监督。这要求OEM、Tier-1和Tier-2供应商遵守各种法规,具体取决于其产品的预期市场。举个例子,比如在美国政府选择不参与联合国监管,它有国家公路交通安全管理局(NHTSA)。该组织制定当地车辆安全标准,并推荐最佳网络安全实践。
2021年10月,中国实施了有关收集用户和司机个人数据的新规定。此外,数据必须存储在中国。在数据需要转移到国外的情况下,相关公司必须首先经过监管机构的评估批准。他们定义了政府机构、标准和各种数据保护措施,这些措施不会在其他国家被采用。
然而,我们看到WP.29法规和ISO/SAE 21434在全球范围内对OEM的决策起着决定性作用,因为WP.29的采用正在通过一个临界质量,从而导致全球运营的变化。
|
|
|
|
四轮车辆,重量低于 350 公斤(~770 磅),发动机体积不超过 50 立方厘米。其最高速度设计为 45 公里/小时(~28 英里/小时)
|
|
|
四轮车辆,重量小于400千克(~880磅)连续额定功率不超过15kW
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
任何机动、轮式或固定式农业设备,具有两轴,且其行驶速度大于6km/h(~3.5mph)
|
|
根据类别分类,车辆受 R155、R156 或 WP .29 指南 5的监管。
“强调从领导层到员工层网络安全的重要性表明了有效管理网络安全风险的严肃性,并将有助于组织在整个产品开发过程中更好地优先考虑网络安全。”
——NHTSA 2020现代车辆安全网络安全最佳实践
在如今生态系统中的UNECE WP 29.R155 CSMS 和 R156 SUMS
联合国欧洲经济委员会(UNECE)于2020年6月宣布了WP .29 R155和R156法规。
R155要求创建一个网络安全管理系统(CSMS),该系统涵盖车辆从开发、生产到汽车售后的整个生命周期。这包括要求OEM担起责任,确保供应商符合法规中提到的安全措施。
到2025年,一辆联网汽车每小时将产生25GB的数据,如果完全自动驾驶,则最高可达500GB。
这些问题归结为今天的汽车业领导者想要解决的一个核心问题:到2025年,预计将有数亿辆汽车上路,预计每辆车每小时至少产生25 GB的数据,公司将如何保护这些汽车免受今天已知的威胁和未知的未来威胁?
WP .29 R155 是否与实际威胁一致?
在UNECE发布2020年公告后,Upstream的分析师将整个2020和2021全年的每起事件都纳入了WP .29 R155附件5中提到的七个威胁类别的框架。
根据WP .29 R155威胁和漏洞分类的2020-2021年网络事件
Upstream的研究团队分析了2020和2021年发生的公开报道的汽车网络事件,将它们与R155附件5中列出的7个威胁类别相关联。有些事件属于多个威胁类别。
4.3.1与现场车辆相关的后端服务器威胁
-
-
-
后端服务器上与车辆相关的数据丢失或泄露(“数据泄露”)
违反“员工滥用特权(内部攻击)”部分,一家北美 EV OEM 指控其一名软件工程师在 2021 年 1 月下载并窃取了 26,000 个私人文件。在 2021 年 8 月的另一起事件中,一家中东租赁集团旗下的一家Telematics服务提供商(TSP)出现了网络问题,如 4.3.1 第 2 节所述,造成司机遇到车辆操作困难。
4.3.2对车辆通信渠道的威胁
WP .29 R155 包括八项与车辆通信渠道相关的威胁的详细描述:
-
-
-
-
-
-
-
-
-
2019年3月,研究人员发现一家北美OEM的车辆容易受到GPS欺骗攻击。在一次试驾中,一次分阶段的袭击导致汽车减速,意外地偏离了主要道路。
-
2018年5月,黑客在一家北美物联网软件应用程序和telematics产品和服务提供商(TSP)运行的后端服务器上发现了一个配置错误的漏洞。这使得黑客可以直接访问跟踪车辆位置、用户信息甚至远程关闭发动机所需信息的关键数据库。
-
同年12月,一名机械师在一家欧洲 OEM 的仪表盘中发现了一个隐藏的加密狗,它取代了 CAN 信息来操纵里程显示。在移除硬件后,里程表增加了40,000公里,显示了真实的里程表计数,展示了设备可以多么容易地穿透和操纵车辆数据。
4.3.3车辆更新程序方面的威胁
-
-
2020年4月,黑客操纵了一家欧洲OEM的信息娱乐软件更新过程。在信息娱乐系统固件升级过程中,黑客利用解析机制中的漏洞,绕过完整性检查,使其能够无障碍地访问可控制牵引力的信息娱乐系统,该系统包含用户的个人数据。这样的访问最终可能导致其他设置的利用,包括汽车前灯。
4.3.4由于人为的意外行为导致的网络攻击对车辆的威胁
-
所有者、操作员或其他授权用户被骗采取行动,无意中加载恶意软件或启用攻击。
-
该规定概述了当合法行为者可能在无意中为攻击打开大门发起攻击的危险,并将其列为“合法行为者可能在无意中为网络攻击提供便利的行动”。当未遵循已规定的安全程序时,可能会出现这种情况。
例如:在2021年6月中旬,一家欧洲奢侈品OEM的北美部门遭遇了一次入侵,近1000名现有和潜在买家的个人数据被泄露。发生泄漏的原因是,有权访问数据库的第三方供应商无意中将数据以不受保护的方式存储在云存储平台上。虽然是供应商未能将数据存储在安全的位置,违反了规定,但暴露在风险中的是OEM。
在另一个例子中,一家大型的亚洲OEM机密移动应用程序源代码和内部工具在2021年1月发布在网上。黑客利用一个配置错误的Git服务器获得了访问权限,该服务器保留了默认凭据。结果,他们的内部核心移动库、车辆物流门户以及部分专有诊断工具都被泄露。
4.3.5车辆面临的外部连接威胁
WP.29 R155列出了与车辆外部连接有关的三种可能威胁:
-
操纵车辆远程信息处理、远程操作系统和攻击近距离无线通信的系统
-
托管的第三方软件,例如娱乐应用程序,用作攻击车辆系统的手段
-
连接到外部接口的设备,例如USB端口、OBD端口,用作攻击车辆系统的手段
2021 年 1 月,一名研究人员入侵了一家亚洲 OEM 车辆中的信息娱乐单元。黑客在车载信息娱乐系统 (IVI) 中发现了一个漏洞,通过插入 一个USB 设备,他能够获得系统的 root shell 访问权限。
另一个例子是2021年9月,窃贼使用复杂的黑客硬件在伦敦偷走了 25 辆欧洲制造的豪华汽车。一旦进入车内,他们就执行物理网络攻击,包括连接到OBD端口,重新编程新的密钥,使他们能够完全访问车辆功能。
4.3.6对车辆数据/代码的威胁
UNECE WP 29.R155 法规列出了与车辆数据和代码相关的七种可能威胁:
-
-
-
-
-
-
-
车辆软件(恶意)操纵对司机、行人和整个OEM生态系统都是一种危害。例如,在2021年9月,欧洲的一家北美电动汽车OEM的车辆所有者可以通过下载一个破解版本的操作系统,非法使用汽车控制系统软件,解锁自动驾驶功能,并可能解锁其他敏感的远程信息数据。这次网络安全漏洞不仅打开了潜在的漏洞,还将司机、乘客和行人置于危险之中,因为该系统是为了识别北美常用的路标而设计的。
在另一起事件中,中国当局调查了一家亚洲OEM,此前有指控称,(该厂商)在激活驾驶员辅助功能时发生的一起事故中操纵了撞车数据。这是一个数据操纵的例子,目的是伪造车辆的驾驶数据(例如,里程数、行驶速度、行驶方向等)。
4.3.7如果没有充分保护或加固,可能被利用的潜在漏洞威胁
-
-
-
-
-
-
2021年9月,新加坡科技与设计大学(Singapore University of Technology and Design)的网络安全研究人员在来自不同的系统芯片(SoC)供应商的嵌入在汽车部件中的设备中发现了蓝牙漏洞。这组漏洞适用于4.3.7的第3部分,统称为BrakTooth (CVE-2021-28139),可以利用一系列攻击,包括拒绝服务(DoS)和车辆中的任意代码执行。他们的研究显示,BrakTooth影响了各行业1400多种不同的产品。
适应性是WP.29R155和ISO/SAE 21434的重要组成部分,在不妨碍制造商将新技术推向市场的能力的情况下提供了明确的指导方针。
ISO/SAE 21434对UNECE WP.29 R155和R156的支持
WP .29 R155 / R156、ISO/SAE 21434 之间的一个关键区别在于,ISO/SAE 为 OEM 和供应商如何计算资产的风险评分并确定漏洞紧迫性的优先级提供了深入的方法。
该标准提供了一个结构化的网络安全框架,将网络安全确立为汽车从概念阶段到退役的整个生命周期中不可或缺的工程元素。
ISO/SAE 21434、R155和R156的实际应用
|
|
|
Early detection & rapid response
|
|
预测车辆离开经销商后,未来可能会出现哪些安全漏洞。
|
|
|
|
在可能的情况下持续更新允许OEM避免召回符合R156的OTA更新。
|
ISO/SAE 21434致力于支持UNECE WP.29 R155,反之亦然,在全球范围内保护车辆。
威胁分析和风险评估(TARA)
该标准特别要求整车厂分析车辆整个生命周期的威胁和风险,以确定道路用户可能受到汽车网络威胁和漏洞的影响程度。这个“威胁分析和风险评估”的过程被称为TARA,它是通过计算已知和已登记目的网络威胁的影响和可行性来完成的,也被称为cve (Common vulnerability & exposure)。(有关cve的更多信息,请参阅第3章)
ISO/SAE标准解释说,确定可行性的一种方法是使用CVE的CVSS 3.X(通用漏洞评分系统)可利用性分数,其值范围在0.12(非常低)到3.89(高)之间。
当查看209个汽车相关CVE的平均CVSS 3.x可利用性分数(包括CVSS 3.X分数)时(自2015年CVSS 3.x评分方法开始使用以来),超过75%的CVSS可利用性分数被评为“中”和“高”,这突显了许多汽车漏洞带来的高级别威胁。
汽车CVE攻击可行性评级和CVSS版本3可利用性得分(基于2016-2021年221家与汽车相关的CVE。根据iso/sae 21434标准进行攻击可行性评级。):
黑客形象的演变
国家黑客攻击
据称,网络安全领域正在进行的战斗是由国家资助的黑客组织实施的,他们越来越多地将影响公民日常生活的公共系统作为攻击目标。像许多黑客一样,很难确定他们的位置,也很难获得政府对他们行动的任何正式批准,但他们关注的是类似的目标和影响。
2021 年出现了针对国家资产和平民的网络攻击的报道。
|
2021年11月发现,包括医疗和运输公司在内的美国公司受到了外国政府支持的组织的网络攻击,这些组织早在2020年9月就开始运营。根据网络安全预警发布的美国国土安全部(DHS),黑客组织发起了颠覆性网络攻击范围广泛的美国公司的黑客设法利用旧软件漏洞在产品主要由软件开发人员进入受害者的计算机网络。
|
|
|
一家美日跨国网络安全软件公司声称,自2020年年中以来,地区国家支持的威胁行为者一直在针对交通运输组织和与交通行业相关的政府实体。自2011年以来,这些威胁行动者一直在对香港、菲律宾和台湾的政府、医疗保健、高科技和交通部门的组织进行网络攻击
|
|
|
伊朗交警的数据库被泄露,并在深度网络上出售。被发现待售的数据库,其中包括2021年伊朗车辆的完整资料,包括摩托车和私家车,以及政府、公共和工业车辆。在另一起事件中,针对伊朗的网络攻击,据称是由国家支持的黑客实施的,扰乱了4300个加油站的运营
|
|
|
以色列两家主要公共交通公司遭到勒索软件攻击,数据泄露给暗网。除了被盗的数据,这次攻击还导致这些公司的网站瘫痪
|
运输公司遭受了由外国国家支持的黑客组织执行的勒索软件攻击
|
职业黑客
调校、破解和操纵汽车系统的典型原因之一是通过犯罪行为获取经济利益。不幸的是,相对低成本硬件的可用性增加,加上更多的人被解雇,可能导致了一波盗窃潮。
在2021年上半年,仅在只有21.1万居民的加拿大奥克维尔就发生了124起汽车盗窃案。其中66起盗窃案涉及无钥匙进入或编程(破解)技术,而124起盗窃案中有42起发生在短短四周内。同样令人担忧的是,这些团伙对在光天化日之下进行袭击活动的信心。在不到一分钟的时间里,豪华汽车就能被发现、损坏并开走。
随着复杂的硬件和黑客教程变得容易获得,全球所有地区都发生了大规模的盗窃事件,包括美国、欧洲、加拿大、澳大利亚和其他地方。
为私利进行黑客攻击
对汽车内部工作方式进行调校的渴望给我们带来了关于走私者逃脱当局追捕的浪漫故事,甚至导致了NASCAR(全国运动汽车竞赛协会)的诞生。但在COVID-19封锁期间,人们呆在家里,篡改系统硬件或软件,可能危及多车网络的安全、隐私和可靠性。
私自篡改车辆软件或硬件可能会给车主带来不必要的后果。例如,在互联网论坛中发现的已安装软件可能具有可被黑客利用的嵌入漏洞,从而允许他们获取数据、操纵数据,并可能实施网络攻击。
这导致保险公司越来越有兴趣使用车辆远程信息处理和技术来更好地了解攻击和趋势。
打开汽车的数字引擎盖来调校其性能,为黑客提供了危及个人财产和安全的机会。
供应链
UNECE WP .29 R155 和 ISO/SAE 21434 都专门通过要求整个汽车生态系统共同努力以保护整个供应链来解决这些风险。联合国法规中列出的几乎所有风险都适用于多方(协同),以确保通信系统和电子组件在生产、交付和整个车辆的整个生命周期内都是安全的。一些指南与针对第 1 层和第 2 层组件的网络威胁直接相关,以防止恶意内部 CAN 消息、操纵旨在远程操作系统(如远程遥控钥匙、防盗锁、充电桩)的功能,并防止损坏的应用程序访问.
如今,UNECE WP .29 R155 CSMS 法规和 ISO/SAE 21434 标准都要求对汽车供应链进行管理。
WP .29 R155规定表明,供应链网络安全管理的责任在于OEM。他们有责任对其供应商的网络安全实践进行尽职调查。现在,确保所有汽车零部件(包括硬件和软件)的安全是汽车制造商的责任。
此外,WP .29 R155要求(章节5.1.1)OEM必须“通过供应链收集和验证本法规要求的信息,以证明供应商相关风险已被识别和管理。”
ISO/SAE 21434 标准也强调了供应链管理的重要性。该标准的第 15 条侧重于“分布式网络安全活动”,并讨论了 OEM、一级和二级供应商之间的网络安全关系。
该标准表明 OEM 有责任确保其供应商实施方法以确保其产品和组件是网络安全的,并建议实施三个主要策略来发展成功的供应商和 OEM 关系:
ISO/SAE 21434 供公司、OEM 及其供应商采取的针对漏洞和事件进行协调的步骤。
需求激增和芯片短缺
在 COVID-19 大流行的早期,随着汽车行业为应对动荡的经济和全球居家需求的影响做好准备,汽车零部件被大量取消。随着新车订单的回升,从制造商那里获得电子元件出现了瓶颈和困难。这为假冒芯片进入市场创造了机会,除了造成功能性售后芯片的汽车盗窃增加之外,还会带来重大的财务和潜在的网络安全影响。
危险的麻烦
最近的芯片短缺是由包括 COVID-19 在内的多种因素造成的,供应链瓶颈为黑客提供了一个机会之窗,让假冒零件、组件和芯片涌入市场。
虽然一些合法的经销商正在清理货架上可以满足现代汽车计算需求的旧芯片,但一些欺诈者制造了假冒的汽车芯片,让它们看起来像是来自合法来源,但无法按需运行。更危险的是那些工作正常但不可靠,在任务模式下过早磨损和失败的设备。
就欺诈性组件而言,黑客只需一台设备就足以获取关键的远程信息处理信息,如位置详细信息、操纵车内麦克风、车辆超控权限以及一系列其他危险活动。除此之外,他们还能够深入了解每辆车及其车主的活动。
芯片短缺的财务影响
芯片短缺在全球各地的汽车制造设施周围形成了堆满无法操作的车辆的停车场,估计2021年汽车业将损失2100亿美元的收入。
2021 年 4 月,一家欧洲 OEM 警告称,由于全球芯片短缺,2021 年第二季度的产量会大幅下降。OEM警告称,影响汽车生产的全球半导体短缺将在下个月(继续)恶化。
此外,一家亚洲OEM报告称,该公司将在2021年8月减产40%,影响其大部分生产线。据估计,当月北美OEM的减产幅度在40%至60%之间,这意味着OEM将减少6万至9万辆汽车的产量。
另一个北美OEM由于零件短缺,比计划少生产了70万辆汽车。与此同时,由于同样的原因,一家北美OEM在4月份因供应不足而暂时关闭工厂之后又在9月份将美国、加拿大和墨西哥的工厂关闭了两周。在一次收益电话会议上,一家北美OEM担心,到2021年底,短缺将影响15 – 20亿美元的收入。
虽然每家公司处理芯片短缺的方式各不相同,但没有一家OEM清楚全球芯片短缺带来的广泛影响或假冒风险。此外,整车厂、一级和二级制造商还必须应对其他网络攻击,从而进一步阻碍生产(更多信息见第5章)。
经销商的责任
除此之外,芯片短缺、供应短缺以及新车成本的上升也催生了二手车市场的繁荣。但由于大多数卖家和买家都不知道汽车在过去十年中所经历的计算机化水平,个人数据被暴露在外,卖家或经销商都没有意识到这一点。
这可能表现为无法清除已保存的GPS位置,不删除蓝牙配对信息,可能最危险的是,不删除对各种智能手机应用程序上车辆的访问。这方面的一个例子是,美国的一位汽车承租人在2035年2月20日能够登录到他的汽车的移动应用程序,并获取有关他四年前归还的汽车的关键数据。他可以通过合法的应用程序锁定、解锁、远程启动,甚至追踪他不再租赁的车辆。(有关攻击细节的更多详细信息,请参见第3章)
说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系[email protected]告知,以便及时处理,谢谢!
原文始发于微信公众号(汽车信息安全):青骥编译 l Upstream 2022全球汽车网络安全报告 第一章 标准、法规和网联汽车生态系统