防火墙不能保护今天的联网汽车

中国军事家孙子曾写道:“战争最重要的是进攻敌人的战略。”

专家表示，汽车行业需要遵循孙子的建议，以确保日益互联的汽车不受黑客攻击。

行业观察人士表示，建立防火墙以防止网络攻击最终是徒劳的，而不是建立识别安全漏洞的系统，以便在造成任何真正损害之前阻止它。

“如果你黑进我车的车头，把广播电台换了，我也不在乎。安全专家之一查理·米勒(Charlie Miller)说这周他们展示了他们可以侵入并远程控制一辆克莱斯勒吉普车。

“如果你能侵入我的大脑，让我的刹车失灵，那就是另一回事了。让我们在他们已经进入之后停止攻击，”米勒说。

据IHS Automotive的高级分析师和研究总监埃吉尔·朱利森(Egil Juliussen)说，这被称为运营安全，而汽车行业——甚至是银行业——在采用这一技术方面一直进展缓慢。Juliussen说:“他们认为黑客无法通过他们的周边安全系统，但事实并非如此。”“这是安全的基本原则。”

本周，米勒(Miller)和克里斯•瓦拉塞克(Chris Valasek)展示了他们如何攻破外围安全系统，进入克莱斯勒吉普(Chrysler Jeep)一款早期车型的UConnect头单元，也就是信息娱乐系统，这给汽车业敲响了警钟。此前，黑客只有通过物理连接汽车的车载诊断(OBD-II)端口，才能攻破汽车内部的计算机总线。

Miller和Valasek演示，通过使用车辆的蜂窝网络连接，他们可以无线与吉普的头部单元通话，然后访问吉普的控制区域网络(CAN)。

IHS Automotive

所有的现代汽车都有一个CAN，它作为一个计算机高速公路的各种电子控制元件。在CAN上，Miller和Valasek发现了哪些电子信息控制着各种系统，他们能够发送信息来远程控制刹车、传输、加速和其他重要部件。

随着汽车与其他车辆、周边基础设施、制造商及其零部件供应商的连接越来越紧密，破坏汽车安全的能力只会变得越来越容易。

在自动驾驶的情况下，联网汽车面临更大的风险

而且，随着自动驾驶功能——甚至是完全自动驾驶汽车——的出现，保护计算机系统不受攻击将变得更加重要。

与此同时，汽车制造商已经在不为大多数车主所知的情况下，远程收集车辆数据，以提醒司机需要维修或保养，并为未来的研发做好准备。

电子前沿基金会(Electronic Frontier Foundation)的律师内特·卡多佐(Nate Cardozo)表示:“消费者不知道这些数据被分享给了谁。以福特Sync为例。在服务条款中，它表示，如果你使用Sync命令发送邮件，它将收集位置数据和通话数据。”

Sync是福特目前基于微软windows系统的远程信息处理系统。该公司今年将改用基于qnx软件的系统。

米勒和他的黑客伙伴克里斯·瓦拉塞克(Chris Valasek)向克莱斯勒分享了他们长达一年的努力。克莱斯勒发布了一个软件补丁，以修复汽车头部的安全漏洞。车主必须将补丁下载到USB驱动器上，然后用它更新车辆的软件。

但米勒警告说，虽然克莱斯勒可能已经修复了这个特殊的远程缺陷，“可能还有其他缺陷。”

米勒说:“我不认为有一种方法可以让计算机实现真正安全的通信。”攻破网络防火墙只需要时间和毅力。

CAN总线非常简单，上面的信息非常可预测，Miller说。“当我开始发出引起攻击和身体问题的信息时，这些信息会非常明显地显现出来。对汽车公司来说，制造一种设备或在现有软件中添加一些东西，可以检测我们发送的can信息，而不听它们或采取某种行动，这是非常容易的。”

Juliussen同意了。

一旦越过了防火墙，黑客就可以让计算机模仿网络上的任何其他计算机，这意味着他们可以通过电子信息来控制系统。这基本上就是米勒和瓦拉塞克所做的:他们将头部单元假装成刹车、传动和其他系统的电子控制单元(ECU)。

在安全曲线后面

汽车制造商远远落后于安全曲线，这不仅是因为汽车的平均开发周期为6年，还因为他们没有认真对待潜在的安全问题。

“汽车工业一直是做事慢．我五年前(在一个汽车行业会议上)做了第一次演讲，他们说这非常有趣，但我们还不需要它。”

例如，在回应针对克莱斯勒UConnect总部的黑客攻击时，福特发布了一份声明，声称其通信和娱乐系统的架构与被黑客攻击的不同。福特表示:“我们的车辆有一个基于硬件的内置防火墙，将车辆控制网络与通信和娱乐网络分开。

福特拒绝进一步置评，也没有透露Sync总部和即将成立的qnxunit能否检测到可能表明发生了网络安全漏洞的错误信息，然后关闭该部门。

米勒表示，他可以想象出一种更安全的方法，比如在车辆can内使用加密技术或加密信息，从而使其更难被黑客入侵。

但是，米勒说，如果攻击者可以访问汽车，他们可以访问各种电脑芯片上的固件，并找出加密密钥是什么。“每辆车不会有不同的钥匙，”他说。他指的是，一旦一辆车被黑，所有车型都很容易受到攻击。

一个检测系统和一个更好的防火墙

Miller和Juliussen都表示，汽车公司可以“轻松地”建造一台独立的计算机来检测错误信息。计算机将观察车辆计算机或电子控制单元(ecu)之间流动的信息，并使用数据库来确定哪些信息是真实的。

例如,Isreal-based阿格斯网络安全有限公司是一家为联网汽车行业销售检测软件的初创公司。Argus的Deep Packet Inspection算法扫描车辆网络中的所有流量，识别异常传输，并对威胁做出实时响应。

Miller和Juliussen都相信分层的安全方法。他们表示，在保障互联汽车的未来安全方面，基于硬件的加密和网络攻击检测是最有希望的。

然而，大部分汽车行业的努力已经在进行中，围绕建立一个比今天的CAN规范更安全的总线。

除以太网外，还有大约6种其他车载通信协议，如LIN(本地互连网络)、MOST(媒体导向系统传输)和FlexRay，这些协议旨在随着车辆监控系统变得越来越复杂，增加进出车辆的带宽。

分析师预测，在未来10年或更长的时间里，汽车到基础设施(V2I)和汽车到零售(V2R)将成为互联汽车市场最主要的两个部分。根据ABI Research的数据，到2030年，将有超过4.59亿辆汽车支持V2I, 4.06亿辆汽车支持V2R。

其他人则主张采用不同的安全方法。软件安全公司赛门铁克(Symantec)技术战略副总裁肯·施耐德(Ken Schneider)认为，数字证书——计算机系统之间的数字握手——将是提供隐私的关键，同时也允许关键的驾驶数据被收集。这些数据将帮助地方政府和汽车制造商改善整体交通状况;个人驾驶体验可以使用来自车辆内部计算机的数据。

施耐德说，现代汽车可以有多达200个ecu和内部计算机系统之间的多个通信网络。虽然大多数系统是隔离在汽车内部的，但其他系统用于将数据传回制造商、经销商甚至政府。

施耐德说:“从好的方面来说，这些数据可以让用户体验更加丰富和个性化，因为从一辆车到另一辆车，它将知道我的所有设置，并能够将你的汽车融入你的数字生活。”“另一方面，这也会带来风险。”

这篇题为“防火墙无法保护今天的联网汽车”的文章最初发表于《计算机世界》 ．