[汽车总站网 www.chianautoms.com欢迎你]
2021年9月25日,2021世界智能网联汽车大会在北京隆重开幕。大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会共同主办,工业和信息化部装备工业发展中心、北京市经济和信息化局、中国电子信息产业发展研究院、北京市顺义区人民政府、中国国际贸易促进委员会机械行业分会、中国电工技术学会共同承办。本届大会主题为“引新荟智 绿创未来”。
在2021年9月27日上午的主题峰会四-自动驾驶与道路安全上,中国软件评测中心总工程师陈渌萍发布“智能网联汽车整车信息安全威胁分析及渗透实践”报告。
以下为报告全文:
各位专家、各位嘉宾,大家早上好,今天我跟大家汇报交流的题目是智能网联汽车整车信息安全威胁分析及渗透实践。我来自于中国软件评测中心。
首先简短介绍一下中国评测,它是工业和信息化部一类科研事业单位,是国内信息技术领域权威的第三方质量检测认证机构,我们创立于1990年,到现在有31年了,我们拥有30多个国家级服务平台和重点实验室,拥有20个权威的专业的检测资质。我们出具的检测报告和证书在61个国家和地区实现互认。
在中国评测设有智能网联汽车测评工程技术中心,它是北京市工程技术研究中心,同时也是工业和信息化部重点实验室,也是工信部唯一的智能网联汽车软件检测中心。我们工程技术中心致力于为政府部门、整车企业、零部件供应商、科研院所等提供专业安全可靠的第三方测评和咨询服务。
今天跟大家汇报的内容包括三个方面,首先是法规政策标准,第二是整车信息安全威胁分析,第三是渗透测试的情况以及结果分析。
首先是第一部分,法规政策标准。在这部分我们分别从国际和国内两个角度分别来说明,首先大家来看国际政策法规,我们知道最具代表性的就是WP29法规,它于2020年发布了汽车领域的三大法规,155网络安全、156软件升级以及157车道线识别,其中和汽车信息安全有关的就是155,下面我们重点说一下155。它2016年开始制定到2020年发布,对于在1958协定国范围内销售的车企和车辆提出了要求,要求要进行4SM认证和车辆行驶认证。大家看到为了推动155更好的落地实施,今年进一步发布了155的解读文件。
我们国内的政策法规也在逐步完善,我们从法律层面看,网络安全法在2016年发布,今年2021年9月,数据安全法开始生效,在马上到来的11月份,个人信息保护法也会开始生效。我们再来看从国家层面,以及从国家网信办、国家发改委、公安部、交通运输部、工信部等各个部门出台了各自的文件,或多或少都提到了要重视和构建智能网联汽车网络安全体系。
下面我们举一个例子,大家看在右侧,国家网信办发布的汽车数据安全管理若干规定,它就包括了汽车设计生产销售使用运维等过程涉及的个人信息数据和重要数据,处理活动和安全监管的若干要求。配合法律法规政策的落地,我们就需要配套的标准,下面我们先来看一下国际标准的现状。
今年ISO21434正式发布,是目前业内重要的参考文献,定义了车联网络的完整框架和产品网络安全生命周期的相关流程,可以指导OEM构建起网络安全管理体系。国内标准的现状是怎样的?国内汽车信息安全的标准分别是由汽标委和信标委两大归口负责,汽车标准工作组第一批的标准已经发布,第二批在指定中,第三批也已经启动。目前有两项国家强制标准是大家比较关注的,这里大家可以看到红色标识,一个是汽车整车信息安全技术要求及测试方法,另一个是汽车软件升级通用要求。在这两项标准里对测试技术、测试指标都有相关的要求。
第二部分内容整车信息安全威胁分析,基于法规标准开展的威胁分析,它是为整车的渗透测试提供了理论的支持,也做好了相关的准备工作。下面我们先来理解一下威胁分析的重要性,大家看左侧,在2155中,车辆行驶认证VTA明确要求在概念阶段开展威胁分析和风险评估,我们再来看21434,第15章是威胁分析和风险评估方法,那么它包括的内容在右侧流程图里有展示,主要包括资产识别、威胁场景分析、攻击可行性分析、影响场景分析、影响评级以及网络值计算等等,进而得出了网络安全的目标及声明。
大家说测试基于威胁分析干什么?主要是进行资产识别,明确测试对象和测试范围,通过威胁场景分析和攻击可行性分析,我们可以提出分析的攻击路径,用于设计有效的测试用力。这是一张资产识别的示意图,大家可以看到从云管端,展示了在车联网场景下主要的资产清单,这个是我们中心研究组研究的一个成果,在这里我们也提出来跟大家来分享。大家可以看到在车联网环境下,整车网络安全各个环节是比较复杂的,拿测试举例子来讲,比如说我们做黑盒测试,可能的攻击入口就包括了图上红色展示的部分,包括有WIFI,蓝牙,OBD口,蜂窝网络以及V2X设备等等。
下面我们来看一下汽车软件在线升级安全的重要性,我们知道未来是软件定义汽车的时代,OTA升级极大的降低了召回的时间和成本,成为汽车行业必须经历的一场变革。大家首先看左侧,在国家政策法规方面,有明确的要求,已经将软件在线升级,就是我们说的OTA,纳入到了准入管理意见中。在准入意见中,对企业级提出要求,要求强化汽车管理能力,对产品级提出要求,要保证产品的一致性。再看右侧技术发展的需要,软件升级的信息安全是至关重要的,任何一个环节出现风险,都有可能造成生命财产安全,甚至是国家秩序安全。
下面我们来看一下软件升级威胁场景,基于威胁分析的方法,我们对OTA进行了场景的分析,与软件升级相关的资产主要包括了网关软件升级包,车内总线通信,车外数据通信等等六类关键资产,对这些关键资产我们分别从机密性、完整性、可用性三个角度识别了它的安全属性,提出了对应的威胁场景。下面以一个威胁场景来举例,我们来看一下它的攻击路径是怎样的。这个威胁场景是通过篡改待升级软件包的内容,破坏其完整性,构造出恶意软件写入车载ECU,引起车端功能逻辑错误。我们中国评测已经识别出了4条路径,其中第一条也是最完整的攻击路径就是从OTA平台漏洞获取升级包,我们已经在后续实践中应用。
基于威胁场景我们就梳理了软件升级的测试指标,它包括七大项,20个子项,这些指标还会继续完善,这些指标也已经纳入我们牵头制定的国家强制标准,汽车软件升级通用技术要求中。这里要跟大家报告一下大概在今年的10月-11月份,我们将会参与标准检测方法的验证实验,我们要开展这项活动。
接下来跟大家汇报第三部分,整车的渗透测试。这是我们今年开展的整车测试渗透的活动以及相关的结果分析,去年开展了一场渗透测试活动,发布了测评的白皮书。今年准入意见在8月份发布了以后,我们基于此开展公益形式的测评实践活动,这项活动是不收费的,测评目的可以概括为三点,第一是行业情况摸底,网络安全真实的防护情况。第二是政策标准的实践,帮助企业开展汽车数据安全、网络安全的自查。第三是服务能力提升,帮助企业发现安全威胁,防患于未然。
在这项活动中中国评测是牵头方,联合方包括国家信息技术安全研究中心、北京航空航天大学。在这里特别感谢这次活动的支撑企业,包括一汽集团有限公司、长安汽车集团、理想汽车等。
下面跟大家报告一下这次活动的测试指标体系V2.0,本次的指标体系是在去年指标体系的基础上,依据发布的准入意见进行完善,主要包括了信息传输安全,外部连接安全,数据安全,物理非法控制,一共是四大类,40多项指标。有哪些新增内容?重点来说它就是依据了我们前面提到的数安法、个人信息保护法以及准入意见,补充了个人信息和数据安全方面的测评指标,检查是否存在非法访问车辆数据、个人信息等情况。我们再来概括一下今年的2.0指标和去年的1.0指标,它到底有哪些主要的更新,包括三个方面,第一依据官方权威政策法规标准规范,我们完善了规范的指标体系。第二加强了数据安全个人信息保护的检测指标。第三新增安全威胁的场景分析。
下面我们来看一下这次活动的测评对象,一共包括11款车型,这些车的类型包括电动车5款,燃油车5款,以及混动1款,这些车型都是最新款的车型,也是进行了安全防护的车型。
接下来我们看一下这次测评的问题,问题分析、结果分析,首先我们先来看一下问题汇总,我们看看top3的缺陷都有哪些,大家可以看到无线网安全问题占到了73%,车机和移动终端的APP逆向问题占到64%,新增指标的测试结果怎么样?其中和数据有关的是包括非授权访问敏感数据占到45%,这个包括一些去访问车辆位置信息等等,个人信息未授权访问占到了18%,包括访问通讯录等等。
接下来对结果分析里有一些重点问题提出来重点分析,首先我们先看第一个访问个人信息及获取敏感数据。我们看到在被测车型中IVI系统大多数是基于安卓开发的,也有一些鸿蒙还有自研的操作系统,基于安卓开发,我们可以看到安卓原生的信息安全问题就自然被延伸到了车载信息交互系统,占到了82%。基于安卓开发的IVI中有56%的系统可以非授权访问用户的个人信息,并可以获取敏感信息,哪些敏感信息?包括车辆信息、位置数据、绘画密钥等等。
我们在来具体的看一看个人信息和敏感数据的问题,大家首先看中间这一部分,我们可以看到有一些数据展示给大家。非法获取完整的IVI升级包占到了40%,获取明文存储的密钥和证书文件,这类缺陷占到了60%,日志文件非授权读取拷贝占到了60%,非授权访问用户数据也占到了40%,获取完整的IVI固件包占到20%。我们举一个例子,在右上角大家可以看到,在个人信息保护法里有提出传输和存储个人敏感信息时,应该采用加密等安全措施,展示数据的时候应该采取去标识化措施。我们在左下角和右下角分别展示了可以非法读取日志文件中的位置记录,可以通过木马获取通讯录记录等等,这些都跟法规的要求还是有相当大的差距的,安全问题还是非常急迫的有待解决。
我们再来举一个重点问题的分析,就是今年新增的GNSS攻击,我们在右侧展示了它的攻击原理,概括来讲GNSS就是全球导航卫星系统,它的信号欺骗攻击就是将虚假的欺骗信号进行广播,目的使接收端误解为真实信号,从而诱发危险行为。大家可以看到前面展示的结果,有64%的被测车辆在这个缺陷上中招,这个比例还是非常令人触目惊心的。如果说GNSS攻击是特种车辆遭到攻击,它会造成怎样的危害,比如救护车送危重病人的过程中,GNSS出现错误,车辆就可能行驶到错误的路线上,造成生命的安全。
左下角这一类攻击技术门槛其实并不高,左下角是一张测试截图,它仅仅是使用了一款开源的测试攻击工具,就实现了攻击,所以它很容易被攻击。对这一类攻击有哪些防御措施,主要是基于信号处理的欺骗检测和基于漂移的欺骗检测,这是两项有效的措施。最后也跟大家讲一下,我们在检测过程中,提到的微欺骗,什么是微欺骗?就是一点点慢慢的来欺骗我们的客户,比如说你在二环上开车,突然把车定位到其他的城市,比如定位到上海,你很容易识别。但是如果把你从二环的主路骗到二环的辅路上,驾驶员很难识别,欺骗很容易成功,这个在我们身边是经常发生的。
最后提一点工作建议,对于政府部门我们希望加快政策法规体系,加强网络安全检测评估体系。对于行业组织我们希望继续完善标准体系,构建健康生态。对于整车供应商加强安全防护能力,对于第三方机构构建专业测评体系,加强行业网络安全的服务水平。
今天的汇报就是这些,敬请大家关注我们在今年年末将发布的渗透白皮书,大家如果有什么问题需要进一步沟通交流,请联系我们项目经理,谢谢大家。
[汽车总站网 www.chianautoms.com欢迎你]