重磅 保障汽車軟體安全更新 美國研發新開源框架

2021-09-13 00:11:25 字數 3487 閱讀 1234

****正在走向車聯網時代,迅速發展之際,安全形勢也日益嚴峻。最近,美國科研人員開發了乙個免費、通用、開源的軟體框架,用於保護汽車中的軟體更新。在開源框架投入****使用之前,研究團隊呼籲世界各地的安全專家幫助他們尋找該框架的漏洞。

簡介這款開源安全軟體框架名為「uptane」,它在目前廣泛使用的「tuf」(軟體更新框架)基礎上發展而來。

背景ecu

如今,汽車內部都會具有一些列的微機控制模組,簡稱「電子控制單元」(ecu),又稱為「行車電腦」、「車載電腦」。它是一種汽車專用微機控制器,和普通電腦一樣,由微處理器、儲存器、輸入輸出裝置、模數轉換器等大規模積體電路組成。這些ecu控制了汽車主要的安全裝置例如安全氣囊、剎車系統、發動機和傳動裝置等環節。

ecu公升級

然而,ecu和普通的計算機系統一樣,隨著根據使用者需要的變化,軟體缺陷和功能的相關更新,也會遭遇軟體(韌體)公升級的情況。例如, f1等汽車拉力賽的賽車,需要根據不同的賽道情況,來改善發動機動力輸出,以提高賽車成績,這時就會需要更新ecu。更新ecu韌體,就類似更新計算機主機板bios,對發動機來說,可以達到調控發動機動力輸出數值的效果。

傳統的公升級方式,一般都需要專業人員將ecu拆出,連線專業裝置進行公升級。然而,這種方法需要使用者去汽車維修站或者返回原廠進行公升級,操作難度大、過程複雜、風險高。

ota公升級

然而,對於新能源和車聯網汽車來說,例如豐電和特斯拉的一些型號,都可以通過空中無線通訊的「空中公升級服務」(ota)方式,對於ecu進行軟體公升級。公升級可以修復車輛控制單元的安全漏洞,或者追加新的功能。這種方式通過無線網路更新,無需使用者去維修站,更加方便、安全、快捷,同時也減少了廠家的召回。

安全風險

ota 公升級方式也並不是萬無一失的,黑客仍然會瞄準這些汽車軟體更新機制,安裝惡意軟體,病毒,甚至是勒索軟體。一旦發生類似事件,結果往往是災難性的。

uptane

uptane,正是為汽車製造商提供一種安全的軟體更新框架,以抵禦各種安全攻擊和威脅。它的設計正是針對汽車行業的特點,考慮到其特殊的風險和限制。其中眾多設計細節,是和美國大多數汽車行業廠商和專家一起合作完成的。所以,它具有更加好的靈活性,適應各個汽車廠家需求,抵禦各種安全風險。

研究人員稱開發uptane的首要目標,就是建立汽車軟體安全更新機制,保持最強的安全級別。不管更新的**是**,該機制都可以盡可能地確保軟體更新的真實性和可靠性,同時也能夠靈活地支援各個特殊的使用者模型和部署機制。

下面,首先介紹一下汽車安全威脅的**,即黑客針對ecu的攻擊要達成的目標和攻擊採取的行動。

攻擊型別

針對ecu的主要攻擊型別,根據其目的,可以分為:

第一,讀取更新

攻擊者會竊取軟體更新內容,研究ecu韌體內容,盜取汽車的智財權財富。

第二,拒絕更新

攻擊者想要阻止汽車修復軟體問題。有以下型別:

阻止更新攻擊:阻止汽車內部或者外部的網路流量,讓ecu無法接收任何更新。緩慢檢索攻擊:讓ecu緩慢地接收應用更新,這樣攻擊者可以同時展開安全攻擊。凍結攻擊:在ecu已經有更新的情況下,不定期的傳送給ecu已有的更新。軟體版本部分安裝攻擊:讓一些ecu無法完全安裝最新的更新。攻擊者可以通過阻止ecu的網路通訊來完成這個目的。有時,這種攻擊也會偶然地發生在電力**終端的情況下。

第三,阻礙工作

攻擊者會嘗試讓ecu工作失效,使汽車或者其元件短時間或者永久性的行為反常,有以下攻擊方式:

回滾攻擊:讓ecu安裝具有問題的過期軟體。無休止資料攻擊:這是攻擊者最簡單的攻擊方式之一,通過執行無休止的資料攻擊,傳送大量的資料讓ecu儲存空間耗盡,從而發生崩潰。混合軟體版本攻擊:它會引起ecu在互操作方面的失敗,阻止汽車正常工作。攻擊者通過給不同的ecu安裝不相容的軟體更新版本(不能同時安裝),從而達到攻擊目的。攻擊者雖然無法設計出新的軟體包,但是他們能夠給不同的ecu同時安裝不同版本軟體更新。混搭的攻擊:這種攻擊也會引起ecu互操作性方面的失敗,如果攻擊者盜用了伺服器金鑰,他們可以使用這些金鑰發布乙個獨特的新軟體映象。例如ecu-1和ecu-2都可以從軟體分支3上安裝更新。但是,攻擊者已經濫用簽署軟體版本的金鑰。這種混搭的攻擊,比前面提到軟體版本部分安裝攻擊和混合軟體版本攻擊更加惡劣,因為攻擊者可以任意組合更新。

第四,控制

這是第四點,也是最嚴重的一點。攻擊者能夠修改汽車的效能。攻擊者讓ecu安裝攻擊者選擇的軟體,這樣導致攻擊者可以隨意修改汽車的效能。他們可以通過任意的軟體攻擊,以惡意軟體覆蓋ecu現有的軟體。

攻擊行動

那麼,攻擊者又會採取那些具體行動呢?

攔截和改變網路通訊(例如進行中間人攻擊),這些行動的實現途徑包括:(1)汽車外部:攻擊者可以控制用於發布軟體更新的蜂窩網路;(2)汽車內部:攻擊者可以控制ecu閘道器、普通ecu、obd-ii 介面、 usb。危害汽車ecu。危害軟體更新的金鑰或者儲存金鑰的伺服器。

防禦機制

uptane 框架所具有的主要抵禦機制有以下四條:

第一,使用額外的儲存空間從無休止的資料攻擊中恢復。

第二,廣播元資料防止混合軟體版本攻擊。

所以,在can網路或者以太網路中,主ecu向某個從ecu傳送的任何元資料,也需要同時發向其他的ecu。

第三,使用版本清單檢測軟體部分安裝攻擊

即使有時ecu沒有受到任何其他攻擊,但是也偶爾會出現一種軟體版本部分安裝攻擊的情況,導致ecu只成功安裝了部分的軟體更新。

無論,這些攻擊是如何發生的,oem 都可以通過軟體版本清單和ecu關於它最近安裝的簽署資訊,檢測這種攻擊。在驗證和安裝更新後,ecu會使用oem在汽車製造期間提供的對稱金鑰,來驗證其安裝的軟體,然後傳送給主裝置。

ecu,每個點火週期只會進行一次簽署和發回它的版本清單。主裝置將蒐集這些簽名,構建汽車版本資訊,然後傳送給汽車製造商。如果汽車製造商發現最近的汽車更新,和它們實際安裝的不匹配,製造商將會收到警報,並且採取進一步行動。

第四,使用時間伺服器限制凍結攻擊

關於攻擊者對於ecu採取的凍結攻擊,是由於ecu桌面和伺服器程式不同,e無法具有可靠的時鐘。這樣主裝置不能判斷元資料是否超時。

為了解決這個問題,每個ecu應該使用外部時鐘,周期性地更新目前的時間。

集思廣益

因為uptane是開源的,所以與任何乙個開源專案的標準流程一樣,團隊正在呼籲全是世界的安全專家和學術機構,幫助他們發現該軟體框架的漏洞,以及模仿黑客對於該框架展開攻擊,以進一步完善該框架,最終形成穩定的版本。

參考資料

如何保障業務安全

保障業務安全是企業發展的基礎。而面對如此複雜的安全危機,靠人力是永遠無法保障的。唯一的途徑就是完善網路自身的安全效能。通過技術保障的網路安全的同時,配合網路安全解決方案提供商的商務安全策略和技術支援服務,加強管理和安全策略的制定。乙個業務安全永續的商務藍圖完全可以實現。當然,網路業務安全,加強管理也...

ElasticSearch集群安全保障

elasticsearch集群監控指標 集群健康分為三個狀態 green yellow red。get cluster health 檢視放回結果,如 status值就是集群狀態,說明如下 顏色意義 green 所有主要分片和複製分片都可用 yellow 所有主要分片可用,但不是所有複製分片都可用 ...

如何保障資料安全

企業無需對資料中心機櫃或機架進行全面改造,即可進行更好的機架級控制和審計。選擇附件的良好試驗計畫可以為組織提供所需的實際操作,以確保在準備執行更完整的部署時取得成功。資料中心管理人員每天都會時刻關注資料中心的安全運營情況。因此無論如何,安全性是其最重要的關注事項 保持網路安全,保障資產不受網路攻擊的...