自动驾驶汽车(AV)成为主流还需要一段时间。不要指望很快,召唤一辆无人驾驶汽车的应用,跳进去几分钟后定居和一本书,一部电影或打个盹,而需要你你想去的任何地方——下一个镇附近的一个城市或几个州。
查理·米勒和克里斯Valasek他们著名的吉普切诺基的远程攻击,让住客准备上全职工作的黄金时间,甚至他们去年夏天在一份白皮书中写道,这可能需要至少十年的AVs主宰美国的道路。
这既是因为让电脑像清醒的人一样开车是多么复杂,也是因为需要让所有的计算能力都能抵御网络攻击。
这两人在通用汽车(GeneralMotors)的AV部门Cruise工作了18个月,上周在一篇博客文章中解释了他们如何为AVs的安全设置优先级。
所有这些都是必要的——如果AVs想要成为主流,消费者就必须信任它们,那么有谁比几个超级黑客更能搞清楚如何让它们更安全呢?
但这并不意味着对汽车网络安全的需求完全在未来。今天的“前自治”舰队是紧密相连的。正如你每天在电视广告中看到的,电脑控制和连接功能的列表包括自适应巡航控制、GPS、备用摄像头、侧镜摄像头和“车道辅助”,去年秋天我租房子时,这些功能让我抓狂。
关键是,今天路上的汽车同样需要安全——实际上更迫切需要安全,因为它们不是在受控环境下驾驶的。
事实上,今天汽车的计算机控制数量是惊人的。正如多位专家所指出的,一架梦幻客机大约有万行代码,而一辆福特皮卡的代码几乎是这一数字的20倍——1.3亿。这辆卡车还有大约种不同的芯片,超过两英里长的电缆和10个操作系统。
尽管这些连接的功能提供了几乎不可思议的便利,并在按预期工作时提高了物理安全性,但众所周知,太多代码容易受到篡改——比如远程黑客攻击。就像四年前米勒和瓦拉瑟克所做的那样,当时汽车上的代码可能只有区区八千万行左右。
随着能力和连接的增长,攻击面也在增长。这一点在早些年由Synopsys赞助、波耐蒙研究所(PonemonInstitute)进行的一项调查中得到了业内人士的证实,他们应该知道这一点。在近名受访者中,84%的人表示,他们“担心网络安全措施跟不上不断变化的安全形势”。
换句话说,虽然汽车技术的未来很重要,但今天使用的汽车的安全性可以说是更重要的优先事项。
那么,当今舰队的安全重点应该是什么?
黑客研究员AndreaPalanca和一个团队的成员,两年前的可行性通过漏洞攻击车辆控制系统控制器区域网络(可以)总线标准,说的最大障碍,很难修补已知的漏洞代码中的计算机和传感器,控制从娱乐到安全系统转向,加速和刹车。
这些设备不仅是由全球供应链生产的,其多样化程度足以让任何人头晕目眩,他还指出,这些设备的使用年限为7-10年,“无疑比其他电子消费设备的使用年限更长。”
考虑到现有机群的大多数可能已经使用了四年以上,其中许多机群并不是为远程或空中(OTA)补丁而设计的。
他说:“对于现有车队来说,汽车制造商的首要任务应该是设计一种可持续的方法,来维护汽车内部的嵌入式计算机列表,然后一旦出现安全漏洞,就能及时与客户取得联系,以便他们可以对零部件进行修补。”
Synopsys的高级解决方案架构师DennisKengoOka怀疑OTA问题将在当前的机群中得到解决。“从设计上讲,它必须是安全的,”他说,“我们将需要几年时间,才能看到用这种材料制造的下一代汽车。”
Synopsys管理顾问阿特达内特(ArtDahnert)也认为,汽车机队的“许多不同型号和配置”使有效的安全措施变得复杂。
因此,他向非汽车客户推荐了同样的方法。“对你的‘投资组合’进行评估,包括识别和排列潜在的风险领域,”他说。
鉴于美国每年约有4万人死于交通事故,他说,当前汽车的首要任务“肯定会从安全开始”。无论进入汽车的途径是远程的还是实体的,汽车制造商都应该“确保汽车的安全部件不会受到损害”。这将涉及一种分层的方法,其中包含许多分离和不可信的连接假设。”
他说,另一个重点应该是降低远程连接攻击的风险,这种攻击可能会危及整个机群,方法是“对各种网络上的入站和出站连接进行长期而认真的思考,重点放在LTE(蜂窝网络)、Wi-Fi和BT(蓝牙)上。”
事实上,Miller和Valasek所说的对AVs安全至关重要的要素之一就是只允许车辆发出通信。“不应该允许通过Internet进行入站连接。只有出站连接将被允许,”他们写道。
但同样,这种安全今天并不存在。奥卡河,与Synopsys对此同事RikkeKuipers将呈现一个谈论改善模糊测试的信息娱乐系统和远程信息处理单元使用代理仪器在蛇形丘(汽车)的嵌入式安全美国会议6月,表示确保车辆包括复杂性超过标准的小型企业网络。
其中,车内的ecu(电子控制单元)“通常是小型微控制器,内存和CPU处理能力有限,车内网络总线的带宽有限,”他说。这通常使得“在消息上使用重密码计算或包含大签名”成为不可能。
速度也是一个因素——不是汽车的速度,而是计算机计算的速度。“电脑或手机可以花30秒到一分钟启动,人们就会接受,但没有司机愿意接受车辆,需要30秒启动引擎,因为所有的ecu必须通过安全的启动和运行验证数字签名,等等,”他说。
“此外,如果司机或自动驾驶汽车发现障碍物并踩刹车,制动ECU甚至一秒钟都无法验证刹车信息的真实性。”
底线:虽然人类制造的任何东西都不是完全防弹的,但在将软件嵌入汽车之前,通过确保软件的安全性,汽车安全可以走得更近。这意味着在整个SDLC(软件开发生命周期)期间,做一些已经成为安全会议上的口头禅的事情——“构建安全性”。
Oka和其他许多人将其称为“左移”,即从SDLC开始测试漏洞,而不仅仅是在最后的渗透测试阶段。
他说,它还需要多种类型的测试,列出“代码评审、静态代码分析、使用安全编码准则的检查器、早期的软件组合分析和模糊测试,最好是在CI(持续集成)环境中,以便也可以进行回归测试”。
达内特指出,测试需要超越汽车内部的东西——显然,一辆联网的汽车正在超越它的“皮肤”进行交流。
他说:“所有不在车辆上但与车辆通讯的软件都应该被审查。”“后端和移动支持基础设施对今天的联网汽车和未来的自动驾驶汽车至关重要。”
在这一切之中,有一些好消息:不仅人们对联网汽车的安全需求有了更多的认识,而且人们也在主动采取行动。
“有一项新的网络安全工程标准ISO计划于年8月发布,”Oka说,“还有一项由欧洲推动的关于无人驾驶和联网汽车的法规UNECEWP.29,该法规可能也将于年发布。”
“原始设备制造商和供应商将不得不改变他们的流程,以纳入网络安全,这肯定会导致软件安全方面的改善。”