6 威胁评估

对于汽车信息安全迄今为止, 我们主要在技术层面上考虑威胁。以前, 我们已经表明, 获得了汽车的内部网络就可以提供足够的手段, 损害其所有系统 (包括灯, 刹车, 和发动机) 。在本文中, 我们进一步证明, 攻击者有一个实际的机会, 以实现这种损害 (通过一系列外部通信通道), 而没有对车辆进行物理连接。然而, 真正的威胁最终也有一些动机: 通过利用攻击能力来实现更具体的目标。

这就留下了一个关键问题: 威胁有多严重？显然, 没有明确的方法来预测这些事情, 尤其是在野外没有任何已知的攻击情况下。但是, 我们可以解释我们所识别的功能是如何结合到已知目标的。

虽然人们可以很容易地想象出假想的 "网络战争" 或恐怖场景 (例如, 通过战争拨号（war dialing）或流行的音频文件, 大规模地感染大量的汽车, 然后, 后来, 触发他们同时脱离刹车时, 在高速驾驶), 我们缺乏这种担心的经验应对这种高度推测的威胁。

相反, 为了衡量这些威胁是否会产生实际风险, 我们考虑 (简要地) 我们所发现的原始能力如何可能会影响到我们，经验的两种情况: 经济动机的盗窃和第三方监视。

盗窃.使用我们所实施的任何开发功能 (CD、PassThru、蓝牙和蜂窝通信), 命令一辆汽车按需打开车门是很简单的, 因此可以偷走。然而, 一个更有远见的偷车贼可能意识到, 盲目的, 远程的攻击可以用来改变为大规模大使用, 最终成为一种商业模式。例如, 窃贼不攻击某一特定目标汽车, 反而可能试图尽可能多地控制车辆 (例如, 通过战争拨号)。

作为这种损害的一部分, 他可能命令每辆汽车与中央服务器联系, 并报告其 GPS 坐标和车辆识别号 (VIN)。IRC 网络提供了这种功能。VIN 反过来对每辆车的年份、制造和型号进行编码, 从而实现其价值。把这些能力放在一起, 一个偷车贼可以 "筛" 出一系列的汽车, 找出有价值的, 找到他们的位置 (也许他们已经停了多久), 并发现这此中的利益, 然后发出命令开锁门等。一个有进取心的小偷可能会停止偷车, 转而将自己的能力作为 "服务" 卖给其他窃贼 ("我在寻找第四和百老汇半英里以内的宝马或奥迪。你有什么东西给我吗？细心的读者可能会注意到, 这一进展反映了桌面计算机入侵的演变: 从个人攻击, 到通过蠕虫和病毒进行大规模开发, 再到 第三方市场销售被破坏的主机作为服务。

虽然今天的场景本身是假设的, 我们已经评估了一个完整的攻击, 一个小偷远程禁用汽车的安全措施, 允许一个不熟练的共犯进入汽车, 并开走它。我们的攻击展示汽车的安全的远程信息处理单元, 打开车门, 启动发动机, 脱离锁定螺线管 (这通常会阻止汽车离开公园, 在没有钥匙的情况下), 和对汽车的启动协议使用欺骗的数据包的从而绕过现有的防盗防盗措施)。我们已经对我们的汽车实施了类似的攻击。在我们的实验中, 同谋者只是把 "被盗" 的汽车向前和向后驾驶, 因为我们不想打破转向柱锁, 虽然许多在线视频演示如何使用螺丝刀screwdriver。(其他车辆的转向柱锁是在计算机控制下)。

监视. 我们发现, 攻击者已经破坏了我们的汽车的远程信息处理设备，并可以从驾驶舱内麦克风 (通常保留免提呼叫)记录数据和通过连接的 IRC 通道提取数据。 此外, 如前所述, 这是很容易捕捉的位置, 汽车在任何时候, 从而跟踪司机去哪里。这些能力, 我们进行了实验评估, 可以证明在特定的车辆对私人侦探, 公司间谍, 狗仔队, 和其他试图窃听私人谈话是有用的。此外, 如果目标车辆不为人所知, 盗窃案中所描述的大规模入侵技术也能对这个问题产生影响。例如, 希望窃听谷歌高管的人可能会过滤一组受损的汽车在早上10点钟到那些既昂贵又位于谷歌停车场。这些相同的汽车在下午7点的位置可能是司机的住所, 允许攻击者识别司机 (例如, 通过商业信用记录)。我们怀疑, 人们可以用这种方式快速识别有希望的窃听目标。

我们的研究为我们提供了对现代汽车计算系统风险的新见解。我们从这里开始讨论如何提高安全性的具体方向。然后, 我们转而谈谈我们现在广泛了解的关于为什么今天存在脆弱性和减轻这些弱点的挑战的思考。

7.1 相关修改和完善措施

我们的具体的短期建议分为两类: 限制访问和提高代码健壮性。鉴于汽车电子控制模块的高度功能互联性需要, 解决方案不是简单地删除或硬化个别组件 (例如, 远程信息处理单元) 或创建物理隔离的子网络。

我们感到惊讶的是, 汽车的外部接口面临开放给未经请求的通信, 从而显着扩大了攻击面。实际上, 非常简单的操作, 例如不允许在配对模式下尝试手动处理车辆的蓝牙配对, 攻击者会利用底层蓝牙代码中的漏洞。同样, 我们认为, 通过使用入站呼叫（inbound call）来 "唤醒" 汽车 (即从不进行数据传输), 并让汽车本身在活动时定期拨出请求, 可以显著强化蜂窝移动接口。最后, 在通过设备的专有配置协议中使用应用程序级的身份验证和加密 (例如, 通过 OpenSSL) 可以防止其代码被利用。

然而, 与其假设攻击保护罩不会被攻破, 底层的代码平台也应该被强化。这些包括标准的安全工程最佳, 例如不使用不安全的功能, 如 strcpy, 勤于输入验证, 和检查功能 "合同" 在模块的边界。作为另一种保护措施，对不太主动的攻击者的, 我们建议从部署的电子控制模块代码中删除所有调试符号和错误字符串。

我们还鼓励使用简单的反开发缓冲 (如堆栈 cookies 和 ASLR), 即使对于简单的处理器, 也可以很容易地实现, 并且可以显著增加潜在攻击者的开发负担。同样, 关键的通信通道 (如蓝牙和远程信息处理) 应该有一定数量的行为监控。汽车不应允许任意数量的连接失败, 也不应允许出界互联网连接到任意目的地。

如果电子控制模块在多条总线上进行通信, 则应将降低从具有其在最小外部攻击肯能性的总线上进行更新程序。这并不能阻止所有的攻击, 其中一个受影响的电子控制模块在一个较小的攻击的总线上对另外一个电子控制模块ECU, 但它确实使这种攻击更加困难。

最后, 安全 (认证和可靠) 的软件更新也必须考虑作为汽车零部件设计的一部分。先前的研究表明, 攻击者可以通过蓝牙接口和远程信息处理单元等各种接口, 在汽车的电子控制单元 (ECU) 上远程执行代码。本文的目的是扩展的想法, 这样的攻击者可以做什么, 以影响车辆的行为, 该类型的攻击。特别是, 我们展示了如何在两种不同的车辆, 在某些情况下, 我们能够控制的转向, 刹车, 加速度和显示。我们还提出了一种机制来检测这些类型的攻击。在本文中, 我们发布了复制和理解所涉及的问题的所有技术信息, 包括源代码和必要硬件的描述。