*頭圖來自 Techcrunch

編者按：360 汽車安全實驗室是國內(nèi)首支專注于汽車安全研究領(lǐng)域的團隊。2014 年，360 汽車安全實驗室成功破解特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)，2015 年，他們發(fā)現(xiàn)并提交比亞迪汽車在車聯(lián)網(wǎng)云服務(wù)、藍牙鑰匙的安全漏洞。

該實驗室主要有五大塊研究方向：全生命周期的汽車信息安全咨詢、攻防平衡原則的汽車信息安全評估、可視化分析的汽車信息安全檢測平臺、動態(tài)安全監(jiān)測汽車安全運營模式、兼顧重大及汽車事件的應(yīng)急響應(yīng)能力。目前他們與整車廠、Tier1（一級供應(yīng)商）有深度合作，并且有一些非常成功的案例。

在第三屆中國智能汽車國際論壇上，360 汽車信息安全團隊負責(zé)人劉健皓發(fā)表了以「汽車信息安全為核心的汽車互聯(lián)網(wǎng)」為主題的演講。以下內(nèi)容由雷鋒網(wǎng)編輯和整理（在不影響原意的基礎(chǔ)上有刪減）：

隨著汽車技術(shù)的發(fā)展，黑客攻擊技術(shù)在不斷地進化，我們要認(rèn)識到汽車信息安全的問題。

整車廠現(xiàn)在面臨的問題：

1、去年 Charlie Miller 和 Chris Valasek 破解了吉普自由光以后，克萊斯召回每輛車的成本大約是 150 美金。造成的影響是：不僅承擔(dān)了召回成本，而且在媒體的影響非常差，甚至有些用戶對智能汽車抱著不敢接受的態(tài)度。

在汽車信息安全研究方面，有很多整車廠把車上的 T-box 直接接入到自己總部的網(wǎng)絡(luò)。攻擊者可以利用這條通路直接攻擊到整車廠內(nèi)部 IT 系統(tǒng)，造成整車廠被攻擊。這不僅影響汽車，而且還影響整車廠 IT 系統(tǒng)的安全。

2、汽車信息安全沒辦法做到面面俱到。從汽車智能化和網(wǎng)聯(lián)化的發(fā)展來看，它涉及到不同的安全層面：有物理安全、系統(tǒng)安全、射頻安全、傳感器安全、遙控智能安全。車聯(lián)網(wǎng)這塊，包含移動安全、嵌入式安全。

這些安全層面在以前傳統(tǒng) IT 安全里是解決不了的問題。傳統(tǒng)安全，比如我的電腦只需要解決 Windows 問題就可以解決終端安全了。但車聯(lián)網(wǎng)或者自動駕駛技術(shù)是一個混合體的技術(shù)，涉及的安全層面非常多，所以汽車信息安全沒有一種有效的手段可以達到面面俱到。

3、整車廠企業(yè)缺少專業(yè)信息安全人員去做專門的維護或做專門的審核，來保證我們出廠或者發(fā)布的汽車是安全的。

4、整車廠負責(zé)把各個供應(yīng)商的配件組裝起來，這些零配件出了問題，實際上是供應(yīng)商的問題，但最終影響效果是在整車廠上，所以這個錯誤是整車廠來承擔(dān)，單也得是整車廠來買，這是非常窘迫的問題。

汽車信息安全風(fēng)險來自哪些方面？

1、汽車總線

汽車總線與生俱來就有一種安全風(fēng)險，因為它在設(shè)置的時候就沒有考慮安全問題，最初是把它看作一個封閉式的網(wǎng)絡(luò)來設(shè)計的。

在封閉式網(wǎng)絡(luò)里，考慮到安全問題，汽車總線在 ECU 或者網(wǎng)絡(luò)安全傳輸過程中都是云端傳輸，協(xié)議涉及也非常簡單，只要改幾個數(shù)據(jù)位。

2、聯(lián)網(wǎng)化

既然網(wǎng)絡(luò)是封閉的，同時現(xiàn)在又有聯(lián)網(wǎng)化的需求，如果把開發(fā)的總線通過 T-box 直接連接到互聯(lián)網(wǎng)，很多互聯(lián)網(wǎng)黑客就可以通過這一點攻擊到汽車組建架構(gòu)，并且去控制汽車。所以聯(lián)網(wǎng)化也是一種安全風(fēng)險。

3、智能化

現(xiàn)在很多汽車有智能化的功能，比如自動駕駛或者特斯拉 Autopilot。智能化有很多的傳感器，這些傳感器要感知周圍環(huán)境，反應(yīng)到汽車自動駕駛里，最終反向控制汽車。

如果傳感器被干擾，那反向也可以干擾控制汽車。

4、新能源汽車

新能源汽車的 BMS 和充電樁有一些汽車交互，并且也涉及到汽車控制，所以對外開放的接口會引起安全風(fēng)險。

5、科技化

傳統(tǒng)汽車 ECU 數(shù)量非常少，這意味著它的車載軟件代碼比較少。從攻擊者的角度看，他的攻擊面也非常少。

隨著汽車科技化越來越多，一輛車至少有上百個 ECU，每個 ECU 都有可能成為一個攻擊點，上百個 ECU 背后支撐的可能是上千萬個代碼，只要存在著代碼就有可能出現(xiàn)漏洞?？萍蓟瘯o汽車帶來安全風(fēng)險。

如何解決安全風(fēng)險？

我們要設(shè)立汽車信息安全建設(shè)的原則。

很多整車廠做信息安全工作，目標(biāo)就是做邊界防護，這是安全界里非常古老的一種方法。因為傳統(tǒng)的辦公網(wǎng)絡(luò)可以確定一個邊界?，F(xiàn)在的網(wǎng)絡(luò)是移動互聯(lián)網(wǎng)，移動互聯(lián)網(wǎng)就意味著是端到端的互聯(lián)，它的定義非常模糊。特別是汽車，每輛汽車都會跑在互聯(lián)網(wǎng)上，它的邊界到底在哪兒？

在汽車的信息安全方面，我們要設(shè)定一個原則：不是站在對黑客進行邊界防御的立場，因為黑客不一定在邊界，他有可能在你的內(nèi)部，所以要建立清除內(nèi)部危險的免疫系統(tǒng)。

汽車和車聯(lián)網(wǎng)系統(tǒng)要有自己的安全能力和防護能力。建立一個免疫系統(tǒng)，它自身就可以防護攻擊，而不是要靠外部防護設(shè)備或者信息安全產(chǎn)品。

根據(jù)這個思路，我們分為幾個路線：

1、對產(chǎn)品進行安全分析。首先把我們的產(chǎn)品拿出來看，它有沒有安全工作，達到安全要求？如果沒有，那后續(xù)相應(yīng)地設(shè)計肯定不能滿足信息安全需求。

我們在前期需要安全咨詢，給它提安全要求。在安全設(shè)計的時候，要對汽車面臨的一些信息安全風(fēng)險進行分析，并且對于這些危險進行建模，要了解我們面對的風(fēng)險和要加固的范圍。

2、在建設(shè)過程當(dāng)中，我們要遵循代碼審計，做防護測試，在不同的節(jié)點要安全驗收。

比如，供應(yīng)商提供的產(chǎn)品，要有一個安全驗收的流程。在這方面，還需要一些外圍安全產(chǎn)品，做具有針對的防護，防護做完之后要再確診風(fēng)險。

3、根據(jù)現(xiàn)有威脅情報，我們不能防護一些從來沒有發(fā)生過的事情，我們防護的是現(xiàn)實存在的東西。

對汽車和 IT 系統(tǒng)當(dāng)中的數(shù)據(jù)，每天產(chǎn)生的數(shù)據(jù)量非常大，我們要用機器學(xué)習(xí)的技術(shù)來處理。安全應(yīng)用人員只是幫我們做決策而已。我們的安全是重監(jiān)控的，會提取很多數(shù)據(jù)，目的是：安全不是防護，是及時地把損失終止。

建設(shè)思路：云、管、端

把汽車、車聯(lián)網(wǎng)或自動駕駛整個劃分完之后，可以用三個字來概括：云、管、端。

在云端和管端，與傳統(tǒng) IT 系統(tǒng)一樣，它最后也會用到服務(wù)器。在管道這端，照樣走的是運營商的套路，即 API、GPRS 和 4G。在云端和管端我們可以沿用傳統(tǒng) IT 思路。

汽車是一個非常特殊的終端，可以分為：決策、感知、控制。決策主要就是由自動駕駛這樣的系統(tǒng)進行的路徑規(guī)劃，感知是指傳感器，控制是指執(zhí)行器。

從決策到控制會有一個網(wǎng)絡(luò)傳輸，我們會發(fā)現(xiàn)很多的攻擊最終是落到「攻擊汽車總線」，從而達到控制汽車的目的。

保障 CAN 總線安全

我們有一個容忍度，就是我可以讓你在車載系統(tǒng)、IT 系統(tǒng)來回折騰，只要不要影響汽車控制就可以了。但是，有很多的攻擊都最終能深入到汽車控制，所以我們要保障 CAN 總線的安全。

在 CAN 總線以外，實際上是屬于 IT 層面的，傳統(tǒng) IT 防不住。在 CAN 總線以下是 OT 層面的，就是控制信息。

在控制領(lǐng)域做安全，現(xiàn)在還在一個初步摸索的階段，包括現(xiàn)在的工業(yè) 4.0、工業(yè)互聯(lián)網(wǎng)都是在 IT 層面上做。在 IT 層面上有很多東西可以互用，但是沒有辦法解決根本問題。

自動駕駛工作原理是先通過傳感器去感知周圍數(shù)據(jù)，再把數(shù)據(jù)源匯總到自動駕駛系統(tǒng)。這個系統(tǒng)負責(zé)兩個事：

• 路徑規(guī)劃。這輛車應(yīng)該開到哪兒，走到哪兒，怎么行駛規(guī)劃出來；

• HMI 人機交互。這輛車應(yīng)該怎么走，前面有幾輛車，限速是多少，在第幾條道上，把這些信息顯示給用戶。

如果一輛自動駕駛汽車的傳感器不可靠，會影響到自動駕駛的算法。如果自動駕駛的算法出問題，汽車在操作上肯定會出問題，在 HMI 上的顯示也會出問題。自動駕駛安全實際上依靠的是傳感器的可靠性和自動駕駛的冗余性。

車載終端安全，是指汽車總線和傳感器的安全。車載終端分為系統(tǒng)、應(yīng)用、硬件安全，把這些安全做到了就可以保證車載終端相對安全狀態(tài)。

• 安全測試，從硬件、到系統(tǒng)、到應(yīng)用等多方面多唯獨的安全測試，保障車載系統(tǒng)運行安全；

• 安全防護，通過清理、殺毒、加速、終端防護、聯(lián)網(wǎng)防火墻、車載控制防護；

• 安全監(jiān)控，對于車載信息系統(tǒng)數(shù)據(jù)進行實時監(jiān)控、動態(tài)防護。

移動終端安全，現(xiàn)在很多攻擊汽車，攻擊車聯(lián)網(wǎng)就必須要有一輛車才能夠去做測試，實際上有很多攻擊，測試者只需要一個車載 APP 軟件就可以對車聯(lián)網(wǎng)發(fā)起一些攻擊和測試。

對于車載終端的安全要求是防逆向、防調(diào)試、防纂改、防打包，在這個領(lǐng)域里有很多公司都可以做這件事，就是一個簡單的 App 加固問題。

從經(jīng)驗上總結(jié)，雖然特斯拉屢次被破解，但它沒有因為車聯(lián)網(wǎng)安全事件召回某一輛車，為什么？原因在于：通過遠程 OTA 的手段來降低信息安全問題給車廠帶來的損失、加密芯片可以通信提供端到端的加密和身份認(rèn)證、可信的通道可以保護傳輸?shù)募用懿槐缓诳徒俪帧?/p>

*文中圖片由劉健皓提供

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。