沒你想象的那么安全！細(xì)講汽車網(wǎng)絡(luò)

 車廠Fiat Chrysler最近因為軟件漏洞而召回130萬輛小貨卡…想象一下，如果是黑客先發(fā)現(xiàn)那個漏洞而且用以發(fā)動攻擊呢?

上方大圖：美國橡樹嶺國家實驗室(ORNL)旗下的國家交通研究中心(NTRC)內(nèi)部的車用傳動系統(tǒng)動力計，能測試不同載重與路況下的貨柜聯(lián)結(jié)車引擎系統(tǒng)。

汽車網(wǎng)絡(luò)安全不能適用“人多勢眾”這種說法，而且剛好相反，其主要理由有二：首先，當(dāng)連網(wǎng)車輛的數(shù)量飆升，對于黑客的吸引力也越大，因為這代表者潛在受害者族群更大;其次，每輛車的科技通訊系統(tǒng)軟硬件內(nèi)容不段增加，意味著對黑客來說有更多能攻擊的潛在弱點。

今日的汽車內(nèi)部動輒有上億行軟件程序代碼、60個控制單元，這大部份是因為車廠持續(xù)為產(chǎn)品增添安全、娛樂、導(dǎo)航、自動駕駛等功能，其他理由包括有越來越多車隊科技通訊工具選項出現(xiàn)、其使用率也越來越高，許多貨運業(yè)者、出租車行等利用以管理監(jiān)測旗下車輛的績效、駕駛行為以及貨物狀況。

隨著車廠與售后市場供貨商開發(fā)更多應(yīng)用，每輛車子的軟件程序代碼數(shù)量也將會持續(xù)呈倍數(shù)成長;每一行程序代碼都是一個可能被黑客利用的潛在機會，就算程序開發(fā)者也一直在努力除錯、想盡辦法在黑客之前找出那些弱點。最近有一個案例是，車廠Fiat Chrysler因為軟件漏洞而召回130萬輛小畫卡，該漏洞會導(dǎo)致事故發(fā)生時側(cè)邊安全氣囊不作用、安全帶也不會收緊，而且已經(jīng)造成至少1人死亡、2人受傷的慘劇。

想象一下，如果是黑客先發(fā)現(xiàn)了該軟件程序代碼漏洞而且開始利用，例如在貨卡行駛于高速時觸發(fā)安全氣囊，甚至是讓某特定物流公司的一整隊相同型號小貨卡車隊都遭遇相同情況…或是黑客利用其他程序代碼對車輛傳動系統(tǒng)實施勒索軟件攻擊，要求該種貨卡的車主或車隊經(jīng)營者支付贖金，才能讓車子再度發(fā)動…

這類場景并不是假設(shè);舉例來說，在一個針對Ford Escape休旅車以及Toyota Prius混合動力車輛的概念驗證中，黑客成功在遠(yuǎn)程讓剎車失效，并掌控方向盤，而且這已經(jīng)是四年前的事了。從那時候到現(xiàn)在，市面上的車輛又添加了更多科技通訊軟硬件，也創(chuàng)造了更多潛在的漏洞。

汽車網(wǎng)絡(luò)安全面臨的挑戰(zhàn)與攻擊向量并非新鮮事，而是PC、服務(wù)器以及其他傳統(tǒng)IT系統(tǒng)曾經(jīng)歷過的遭遇之翻版。以前面提到的勒索軟件為例，這種攻擊方式在十幾年前就出現(xiàn)過，所以現(xiàn)在許多企業(yè)組織應(yīng)該已經(jīng)很擅長應(yīng)對;但實際上，工作場所的勒索軟件攻擊仍然猖獗而且不斷增加，主要是因為IT部門呈現(xiàn)扁平化發(fā)展。

以PC為例，這些裝置通常沒有時間去下載修補程序或更新Windows等基礎(chǔ)平臺，更別說是其他應(yīng)用程序如瀏覽器、PDF閱讀器等;修補程序與軟件更新一旦未執(zhí)行，就會為勒索軟件以及其他各種黑客攻擊制造機會。無怪乎根據(jù)HPE (Hewlett Packard Enterprise)的調(diào)查，前十大軟件攻擊漏洞都有超過一年以上的歷史，而且68%超過三年。

如果這還不夠，現(xiàn)在的IT部門也需要支持越來越多額外的新科技，例如數(shù)字廣告牌等影音裝置，以及智能大樓管理應(yīng)用的物聯(lián)網(wǎng)設(shè)備;影音與物聯(lián)網(wǎng)裝置跟PC、服務(wù)器一樣，也需要軟件更新、下載修補程序以應(yīng)對黑客攻擊，而問題在于IT部門對PC/服務(wù)器的經(jīng)驗更廣泛，還在學(xué)習(xí)如何維護影音與務(wù)聯(lián)網(wǎng)系統(tǒng)、了解它們的弱點所在。

車隊基本上就是這種情況的現(xiàn)在進(jìn)行式。在車隊總部，會有某個部門──大概就是IT部門──需要負(fù)責(zé)開發(fā)并強化車輛網(wǎng)絡(luò)安全政策;為妥善達(dá)成任務(wù)，他們首先得了解攻擊向量并開始無止盡地下載修補程序與軟件更新，以應(yīng)對那些黑客攻擊。這需要大量時間、人力以及金錢，就像是維護影音與物聯(lián)網(wǎng)裝置那樣。

這將使得某些方面失去控制，特別是在供貨商的支持上;舉例來說，許多貨運業(yè)者傳統(tǒng)上每3~5年會出售或交易一批車輛，因為保修期與維修方式的成本上升，但因為景氣周期性因素(包括現(xiàn)在)，市面上有越來越多二手卡車，迫使車隊老板不得不把車輛保留更多年。

車輛的年份越老，車上的科技通訊系統(tǒng)供貨商就越不太可能愿意為那些較舊的產(chǎn)品提供修補程序與軟件更新，有一些供貨商甚至已經(jīng)結(jié)束營業(yè)或被收購，除非有其他廠商接手提供支持，車隊老板就得搞清楚該如何自己確保這些“孤兒”的安全性。這種情況對于很多CIO或IT部門經(jīng)理應(yīng)該都很熟悉，他們也會遇到那種已經(jīng)5年甚至10年的設(shè)備，供貨商早就不見了、被收購了，或是停止支持舊產(chǎn)品。

以上只是車隊遇到的情況，私家車面臨的安全漏洞問題更嚴(yán)重;看看消費者家里的PC就知道，因為很多人不知道定期下載修補程序與軟件更新的重要性，受到惡意軟件威脅可說是家常便飯。有鑒于此，試想該如何教育消費者們?yōu)檫B網(wǎng)汽車程序修補與更新軟件?在一輛車子上會有60個控制單元具備固件與軟件。

不斷擴大的風(fēng)險

為了觸及最廣大的潛在市場，車用科技通訊系統(tǒng)硬件需要平價，車廠與企業(yè)客戶會在考慮為車輛添加這類裝置時，對每一分錢斤斤計較。這種情況也會帶來網(wǎng)絡(luò)安全風(fēng)險;舉例來說，「低成本」往往意味著執(zhí)行核心任務(wù)剛好足夠的處理性能以及內(nèi)存容量，而對于處理安全性問題已經(jīng)沒有太多、甚至沒有空間。

那些車用科技通訊裝置對于使用它們的車輛本身或是所鏈接的企業(yè)網(wǎng)絡(luò)，都可能有“后門”;黑客通常會尋找阻力最小的攻擊途徑，因此如果企業(yè)的防火墻或是其他網(wǎng)絡(luò)安全設(shè)備看起來很“硬”，黑客就會把焦點轉(zhuǎn)移到受到較少保護的系統(tǒng)上──而在這個案例中就是企業(yè)的車隊。解決方案之一是確保來自那些車用科技通訊裝置的饋入數(shù)據(jù)是透過安全設(shè)備路由。

還有一個問題是黑客的終極目標(biāo)，也許跟車用科技通訊系統(tǒng)完全無關(guān)，例如是儲存產(chǎn)品開發(fā)信息或員工個人資料的公司服務(wù)器;在這種案例中，車用科技通訊系統(tǒng)只是一個達(dá)到目標(biāo)的手段。不過也有以車用科技通訊系統(tǒng)數(shù)據(jù)為目標(biāo)的案例，黑客可能會想知道貨運路線，以劫持貨車運送的高價值貨品。

美國橡樹嶺國家實驗室(ORNL)旗下的國家交通研究中心(NTRC)的底盤動力計設(shè)備，能在受控制的環(huán)境中測試載客車輛。

另一個情況牽涉新興的車對車通訊(V2V)，這種技術(shù)讓鄰近的車輛能彼此溝通以避免碰撞;根據(jù)市場研究機構(gòu)Juniper Research預(yù)測，到2022年全球市場將會有一半以上的新車都配備V2V功能，這大概是3,500萬輛、占據(jù)整個汽車市場的2.7%，對于某些黑客來說會是很有吸引力的攻擊目標(biāo)。

潛在的攻擊向量之一，是讓少數(shù)幾輛配備V2V的車子感染惡意軟件，然后利用這些感染車輛來散播惡意軟件到每一輛與它們通訊的車輛;還記得我們前面提到的，消費者往往對于自家車子上的科技通訊娛樂系統(tǒng)漠不關(guān)心?這些車子就會是黑客首先攻擊的明顯目標(biāo)。

根據(jù)Juniper的研究：“為了讓V2V成功，廠商的裝置必須要包括蜂巢式連結(jié)以提供空中下載(OTA)固件更新;”這種策略具備潛在優(yōu)點與缺點──如果車廠或第三方供貨商自動推送軟件更新，將之列為維修服務(wù)合約的一部份、而不是讓車隊老板們或消費者自己下載，就可能提升安全性;但是，如果黑客在空中攔截修補程序與軟件更新，就能用以發(fā)現(xiàn)漏洞所在。

大約在十年前(2008年)，美國卡內(nèi)基美隆大學(xué)(Carnegie Mellon University)教授的團隊證實了從軟件修補程序來自動產(chǎn)生攻擊點的方法，在一篇已發(fā)表的研究中，那些攻擊漏洞的平均生成時間為114.6秒，而最短的時間只要1.2秒。

以上是幾個汽車網(wǎng)絡(luò)攻擊會如何、為何以及在何處發(fā)生的案例，除了經(jīng)過設(shè)計的車輛系統(tǒng)安全性是車廠必須提供的，還有其他能減少「攻擊表面」(也就是車輛受攻擊之途徑)的工作要做;例如定期保養(yǎng)能確保車子內(nèi)的軟件是最新狀態(tài)，并在修補程序或是召回事件發(fā)布時實時通知。美國國家高速公路交通安全管理局(NHTSA)負(fù)責(zé)維護一個網(wǎng)站，可供車主注冊數(shù)據(jù)，在車廠宣布召回車輛時收到通知訊息。