2013年Charlie Miller和Chris Valesek表明它是多么容易接管。这是一个巨大的时刻,使汽车行业站起来,注意他们制造的连通汽车的脆弱性。
Miller和Valesek并不是恶意地在路上跑车,但他们确实给了示威活动,以便汽车行业将严重地承担安全性。如此所见视频,这两位研究人员通过他们的笔记本电脑能够在高速公路上关闭车辆的发动机,或喷洒在挡风玻璃上的窗户洗涤液,这可能会使毫无戒心的司机猛烈地摇晃轮子并击中另一辆车。他们确定了超过七大类遥控攻击表面,根据他们的20种型号(2014年至2015)来自不同的汽车制造商。
为了帮助汽车行业有一点手,Fast(汽车安全技术研究的未来)最近发布了一个宣言,走向明天的“有机安全”的车辆,宣布其组织和行业意图有助于实现汽车安全创新的未来。以前“汽车安全审查委员会”(ASRB)并创立Aeris那英特尔安全和优步2016年,FASTRES促进行业范围的合作,以驱动整个汽车供应链的网络安全。
Fast是一个中立的非营利组织,寻求通过自我修复车辆的愿景来实现汽车安全的创新。它正在努力提供可操作的应用和理论研发,以驱动整个供应链中的网络安全系统的系统协调,并确保在连接和自主车辆中的信任。
连接的汽车数量被设置为爆炸。例如,Gartner预测会有2020年,巷道上的250万台车辆。但FAST表示,在没有信任的情况下,这些汽车是网络安全的,不会发生自动车辆的群众。
Fast的执行董事Craig Hurst表示,关联和自治车的社会福利承诺是深刻的。然而,通过连接来实现某些固有的风险,他警告说。“今天车辆中的几乎每个无线通信接口都有漏洞,”他说。
现代车辆计算的爆炸复杂性的性质正在创建一个“系统系统”,它在系统上引入了依赖性 - 这是一个连接到互联网的笔记本电脑,连接到可靠的TCU(远程信息处理控制单元),与制动器相连,他说过。
“安全性需要从车辆系统架构设计的开始,”赫尔特指出,从广泛的,不同的角度来看。“我们正在从当前的有限状态移动,但将车辆连接(远程信息处理,信息娱乐等)扩展到高度复杂,完全连接的环境,包括车辆到车辆(V2V),车辆到基础设施控制(V2I),或者更普遍,车辆到一切(V2X)。“
He added that the attack surfaces of today’s connected vehicle goes beyond its in-vehicle systems to also include the increasing range of external networks to which the vehicle connects, including Wi-Fi, cellular, GPS (global positioning system), digital broadcast radio, service garages, toll roads, drive-through windows and gas stations.
有些系统显示出脆弱也包括远程无钥匙入口,无担保的Wi-Fi热点,OBD-II(板载诊断系统)和USB。2015年英特尔安全性发布了白皮书其中,它在下一代汽车上列出了许多最可靠的曝光攻击表面。一旦黑客通过这些入口点之一访问,就可以注入控制器区域网络(CAN)消息,以操纵车辆中的其他系统 - 即使是安全关键系统,英特尔指出。
“在未来的几年中,连接的车辆将越来越依赖于外部系统和网络,以支持新的服务和交互。此外,遥测数据分析正在从集中于车辆性能和位置,专注于更敏感的消费者体验和个人数据,如3D面部识别,乘客参加,上下文语音处理,支付历史和细节以及驾驶习惯,“赫斯特说过。
他希望通过Fast的努力,未来有机安全的车辆的贡献者可以在建筑和格林菲尔德的方法中共同努力,并推动敏捷,迭代研究。
宣言指出,从设计阶段的一开始,整体安全将是一个故意和积极的承诺,并且必须引导OEM的整个供应链来采用安全最佳实践,并生产可靠的技术组件。到达安全车辆将需要在过程和管理方面的创新,以及创造更安全的嵌入式系统。
Hurst表示,汽车OEM是通过供应链构建汽车的专家,通过供应链,他们基本上融合了各种各样的组件的汽车安全。
“事实上,传统汽车控制和总线系统的复杂性 - 他们历来一直被彼此独立的专用系统 - 被视为对黑客攻击的重要威慑力”,“他说。“但是,需要一种不同的汽车安全方法,因此需要向前发展,因为许多,许多并发和显着的变化在未来的互联网和自主汽车移动时扑灭。”
超过仅仅是车辆
汽车将具有显着扩展的网络攻击表面。Fast相信,专注于汽车安全将继续在行业和政府中迅速加剧。将技术采用在没有严格的安全设计生命周期方法的现代车辆中,应用于“系统系统”方法,将创造风险。
如果别人控制了一辆汽车,他们不只是谈论生命丧失的风险,但身份盗窃的风险,因为盗贼将有一个窗户进入驾驶员的习惯。汽车的位置可以提供当有人回家或可能频繁的银行时提供独特的信息。
预测到2020年的道路上有2.5亿辆连通汽车。根据该报告,在2035年的部分和全自动车辆中的市场分析点以770亿美元接近770亿美元。跟踪&黑客:安全与隐私差距让美国司机有风险“这是由马萨诸塞州立道创造的。
“如果损害高级连接或自主车辆,则一个风险类别将是个人识别的数据,例如家庭地址,导航和路线历史,通信日志,当前位置和路线等。此外,传感器可以提供有趣的攻击目标为了远程访问车辆外部和车内的摄像机,以及麦克风(既集成在车辆中,并在车辆内连接,例如在智能手机的情况下),“赫尔特说。
车辆之间或车辆之间的连接不良,并且数据中心将产生具有明显更大风险的威胁面,包括船队和广泛的系统数据和分析。雷竞技电脑网站“付款和交易数据具有特别敏感性,显然,安全措施应与风险成正比,”他说。
以下是汽车生态系统面临的一些重要障碍,直接关注安全信任:
- 在没有操作员许可的情况下,不得泄露数据机密性 - 车辆和操作员数据。
- 信任数据和系统完整性 - 车辆和操作员数据不得妥协或更改。
- 信任数据和系统可用性 - 依赖于它们的系统和服务必须使用车辆和操作员数据。
为了保护隐私,英特尔指出硬件必须使用加密和加密,以及通过将指针检查功能嵌入硬件来减少代码漏洞。必须解决的其他项目是消息身份验证,强制执行所有系统的整体行为,以及防火墙,以阻止未经批准和不适当的消息,以及关于任何无效尝试的警报安全系统。
英特尔的报告还表示,个人可识别信息(PII)的数据隐私和匿名性现在留下了车辆的范围,需要适当的隐私控制和数据的匿名化。数据隐私有两个方面:个人数据的机密性以及消费者控制之外的数据泄露。
“已知网络犯罪分子攻击和窃取数据。这不仅包括存储个人信息,例如地址簿或信用卡,还包括驾驶,当前位置,以前目的地和其他遥测的风格。对于数据泄露,需要新的方法来证明存储数据,安全地存储数据,在消费时销毁数据,并防止未经授权的访问,“Intel写道。
“Since cars are left unattended most of the time – roughly 90 percent – it doesn’t make much sense to store data directly in the vehicle or to let the vehicle be the decision maker about external commands,” said David Miller, CSO for Covisint. “Instead, all vehicle data should be located outside of the vehicle and in the cloud, where it can be secured and where decisions can be made by owners at any time – and with autonomous vehicles coming fast, this is becoming even more important.”
Fast的宣言
The manifesto says that accelerating the realization of tomorrow’s organically secure vehicles demands tangible research deliverables today — reference architectures, proofs of concept and other theoretical and applied research — that would help automakers reduce risks and liabilities, foster trust in autonomous vehicles and accelerate the safety and quality-of-life benefits that these vehicles promise.
必须在通信基础架构和数据中心内的车辆和设备之间保护通信频道。雷竞技电脑网站
汽车往往持续15年,比大多数软件甚至计算机硬件的生命长得多。与微软的补丁一样看,该公司通常将终生终止其对软件的支持,这在车辆可能让他们易受攻击的情况下。
Markey’s report stated that the proliferation of these technologies raises concerns about the ability of hackers to gain access and control to the essential functions and features of those cars and for others to utilize information on drivers’ habits for commercial purposes without the drivers’ knowledge or consent, the report stated.
“防止远程访问车辆电子设备的安全措施在所有汽车上都是不一致的和随意的。大多数汽车制造商提供了收集和无线传输到数据中心的驾驶历史数据的技术,包括第三方数据中心,并且大多数未描述保护数据的有效手段。“雷竞技电脑网站