近期,這類對汽車的駭客攻擊經常登上頭條新聞。這並不特別令人吃驚,因為越來越多的車輛都已經配備了自己的介面,與外部進行資料交換。
車輛已經成為了行動的生活空間;汽車正在發展成為一種行動設備。尤其對於年輕一代的使用者來說,他們對舒適功能的需求正不斷成長,以便隨時保持聯網,或者透過應用來共用油耗或功率輸出之類的車輛資料,然後對這類資料進行評估。
因此,聯網汽車已經成為了現實。這一課題不僅涉及到客戶與製造商,安全研究員和IT專家也參與其中。並且,在最壞的情況下,還會招來駭客。多年以來,安全專家們都已經注意到了這樣一個事實,那就是個人電腦已經不再是數位攻擊的唯一目標了。現在很大一部分的惡意軟體都經過設定,可以攻擊行動設備。如果認為這種發展趨勢不會蔓延到聯網汽車,那就未免太天真了。
到目前為止,入侵車輛及其系統的駭客攻擊是極少數的例外情況。但是,聯網汽車的安全性至關重要,目前這對於OEM來說已經是顯而易見的了。當汽車成為一種車主用來通訊的個人行動設備並且還可能透過應用來實現個性化時,這種組合就會產生極大的可能性,使得攻擊者有機可乘,有機會將其操縱(圖1)。
空中軟體更新保證安全性
但是,汽車產業如何能夠保護自身以及客戶免受數位攻擊呢?汽車產業一部分從業者一直傾向於取消全部空中介面,但是這並不符合客戶的利益。資料交換連接的需求也明顯地表現在創新的V2V或V2I服務當中,這些服務將會進一步的發展,其中還涉及與自動駕駛的關聯。因此,從今以後,並沒有辦法完全地避免在車輛中使用藍牙、無線區域網路或者蜂巢通訊。
另一方面,召回或者在汽車修理廠採取補救工作的傳統方法也將無法即時保護車輛免受數位攻擊。此外,召回不僅會產生高昂的費用,並且損害汽車製造商的聲譽。
以這種方式來贏得與汽車駭客的競賽是不可能的。畢竟,透過這種方式來為全部被波及的車輛打補丁須要花費數月的時間。與此同時,駭客還會繼續作惡。此外,要這樣長的時間才能解決危險問題是令人無法接受的,因為受操縱的車輛會對駕駛員及其所處的環境產生巨大的風險。同時,在很多情況下,這樣一段時間內還可以更進一步的發現車輛的其他弱點。因此,這些補丁在安裝時就已經過時了。
那麼讓我們來瞭解一下行動設備的世界,進而找出替代維修召回的方法:應用和智慧手機作業系統的供應商不斷地為終端設備提供產品的最新版本。有時候,幾個小補丁即可彌補弱點,而在其他情況下包含新功能在內的新版本則會發布到市場上。
這類軟體和韌體上的更新以「空中(OTA)」的形式完成,也就是說,透過空中介面的方式。只要這些更新傳輸到了設備,它們就會馬上提取出來,自動安裝。
FOTA快速為多台設備更新
快速為多台設備採用最新的更新,是不易解決的挑戰,空中韌體升級(FOTA)可以作為一個答案。更新程式有潛力透過相應的補丁來快速、持續的為弱點提供補救,與此同時整合起新的功能並採用現代化的加密演算法,從而確保各個組件的安全,比如說控制單元。
為了確保大量的控制單元可以透過FOTA方式進行更新,我們可以採用閘道的方法。在後端以及要更新的控制單元之間,配有行動無線介面的一台控制單元可以承擔中間人的角色。可以藉由空中介面接收所有的套裝軟體,然後再透過CAN匯流排系統或者乙太網之類的效能更高的通訊通道,將其分發給各台目標設備。此外,閘道ECU還具有控制和協調整個更新過程的主功能。比如說,如果出錯,那麼就必須啟動回滾機制(圖2)。
除了可以利用FOTA來彌補安全上的問題以外,在設備側當然還需要許多其他的技術措施,例如對全部ECU介面採用密碼保護,這在透過行動通訊、藍牙和無線區域網路進行無線連接時尤其重要。
另外,組織和開發流程也須要迎合新的形勢。例如,端對端的風險分析並不是一項通則,但是到了現在,這應是製造商向其供應商提出的強制性要求。在這一工作中,對該鏈條上的任何組成部分可能發起的駭客攻擊的場景都會接受詳細檢查,其中就包含了對安全性的影響以及最終對於功能安全的影響。在這些結果的基礎上,可以採取充分的防護措施。OEM、後端解決方案的供應商以及控制單元的製造商必須從開發階段的早期就展開合作,才能保證在這種方法上取得成功。
該方法要求不再對控制單元採用黑箱的開發方法,而是透過一種整體研究的方式來確保安全性。此外,即使在開始生產後,也不得終止提供安全措施。在任何產品的整個壽命期間,都必須持續的執行由FOTA提供的安全分析、面向安全的測試以及安全性漏洞的補救措施。
比如說,與安全的開發和生產過程有關的組織措施可以包含對秘鑰和證書之類機密資料存取方式的控制,以及與安全相關的元件有關的開發規範。此類資料和文件必須以加密的形式儲存在受保護的伺服器中,存取權限則以認證的方式僅限於極少數的幾個人。
此外還必須特別重視安全測試。滲透測試尤其能夠有效地找出安全性漏洞。透過採用駭客的手段和方法,測試人員可以故意嘗試侵入到系統當中。結果則可以表明目前的安全級別,並且將告知開發人員相關的應對措施,並將關鍵的弱點除去。
只要看一看FOTA的過程鏈以及涉及的功能單元,就可以瞭解到其中的複雜性以及對技術的極高要求。在這方面,安全性的優先順序最高。我們必須得到這樣一個保證,那就是FOTA過程本身是可以安全實現的,而沒有遭受任何潛在的攻擊。如果FOTA被濫用,不當的將受操縱的軟體導入到一台設備當中,那麼在安全性以及甚至最終在功能安全上造成的後果可能會是無法估量的。
對於安全的FOTA機制來說,空中介面的加密保護是一個先決條件。通常的做法是以TLS的方式建立起安全連接。這裡所需的密鑰和證書必須以防止操縱的保密和安全的方式導入到設備當中,然後儲存在設備中一個受保護的儲存位置。對於實現安全儲存並且安全的執行加密程式來說,專用的硬體安全模組(HSM)是必不可少的。
採用安全安裝流程(安全快閃記憶體)以及在啟動設備軟體時採取安全的檢驗(可信引導),可以避免錯誤安裝受操縱的軟體。在任意一種機制下,都可以透過數位簽章來驗證軟體的真實性。
UART、USB或者JTAG之類的開發介面也必須在串列產品上停用,或者透過加密程式來進行保護,以避免對設備的侵入。否則,攻擊者可能會嘗試透過這種管道去讀取或者操縱軟體或機密資料。除了安全執行FOTA過程以外,還應該尋求快速有效的進行作業。一方面,行動通訊的資料量以及成本也應降至最低程度。另一方面,應當盡量不要對車主構成妨礙。
透過增量更新可以實現高效的處理。在這過程中,只會以二進位或者檔案的方式來傳輸和安裝對已安裝軟體的變更。採用的增量演算法以及劃分到靜態和可變更資料區的軟體分區,都會對資料包的大小產生顯著的影響。
FOTA過程必須極其穩健並具有極高的容錯性,從而防止安裝的軟體不相容、崩潰或者不一致,否則會造成功能受損。由於這個原因,透過完整性檢查以及對通訊通道的監管來辨識出錯誤具有極高的重要性。出錯時,須要做出適宜的回應,例如,可以透過回滾作業的方式來回復到無差錯的狀態(圖3)。
TCU具充足儲存空間/處理能力
從技術的角度來說,任何配有行動無線電通訊的控制單元都可以發揮FOTA閘道的作用。
然而,遠端資訊控制單元(TCU)比其他單元更能勝任這一任務。比如說,車頭裝置(Head Unit)也可以作為許多車輛的一個整體組成部分,此外,它還具有充足的儲存空間和處理能力。但是,大多數的車頭裝置都含有大量的無線介面。
畢竟,這一單元須要透過藍牙、WiFi或者NFC來接受外來的接入,此外還存在著許許多多的要求。這種對於外部世界基本的開放性妨礙了針對操縱的有效防護能力。
此外,該單元是直接安裝在儀表板上的,這就排除了將車頭裝置定義為FOTA中央閘道的可能性。畢竟駭客們可能也會在這裡採用便利的物理入侵方式。然而,TCU的物理位置位於車輛內部更深處,難以從車廂內觸及。總而言之,它的連接數量更少,此外,在需要時還可以停用。
並且,到現在為止,許多其他對於安全性至關重要的功能都已經在TCU中提供,例如防盜控制系統的遠端啟動功能。正是由於存在這些關鍵的安全功能,為TCU建立的各類安全措施,例如後端的編碼和驗證等等,都是必然具備的。TCU畢竟已經成為了安全拓撲上的一種確立已久的成熟組成部分,被製造商廣泛採用。
當須要確保車輛的安全時,我們要採取整體性的解決方案,因此這已經成為了一項優勢。後端、空中介面、閘道、車輛匯流排以及各個控制單元都是這一鏈條上的各個環節。如果鏈條上最薄弱的部分能夠受到攻擊,那麼所有其他單元的安全也會存在漏洞。
對於TCU在FOTA架構中處於中心位置的專案,從安全的角度來說,這類專案不僅僅因為這一組件已經高度成熟而受惠,即使是在製造方面,供應商和OEM在安全流程的設計上也具有相對豐富的經驗,成為了另一項優勢。
建立FOTA有效降低成本/提升安全
透過TCU來建立起FOTA可以為OEM提供巨大的潛力,這樣的做法不僅僅是因為安全上的考慮。同時,車輛召回工作代價高昂,由於時間、成本和人工的原因,所以並不受到客戶的歡迎,因此在車輛中出現弱點時,不一定會採用這種解決方法,至少在處理軟體相關的問題時,不一定會進行車輛召回的維修動作。
許多問題實際上毋須在客戶端採取任何作業即可良好得到解決。只要補丁可以透過無線的方式送達車輛,對於車輛中許許多多類型的弱點的補救措施,就不會再須要工作人員進行物理上的接觸來解決。
而且,在建立新的業務模式與客戶關係時,FOTA也可以發揮極具建設性的作用。美國汽車製造商特斯拉(Tesla)的例子就證實了這一點。在這家公司向客戶提供的一次收費約2,000美元的更新中,包含了自動駕駛功能。這樣一來,許多的特斯拉汽車都已在繼續演變成為(部分)自動駕駛汽車。
對於OEM來說,這種安排開闢了一個嶄新的視角。當今的認知裡,有一個極普遍的情況就是,只要一離開最初的銷售地點,一輛新車的價值馬上就會下跌一半以上。
並且,隨著時間的推移,價值還在不斷地遞減。到了未來,由於隨著時間的推移會不斷推出新的功能,車輛可能並不一定會喪失價值,而且實際上價值還可能會得到保留甚至增加。
那麼,到現在為止,FOTA已經遠不再是一種煩人的承諾。這種更新的重要性不僅在於可以為互聯汽車提供確保安全性的基本先決條件。
而且,在這一基礎上,OEM可以不斷地在車輛上創造出附加值,確保客戶的忠誠度,並且在銷售完成後的很長時間內都會一直保持良好的客戶關係。