影響我們?nèi)粘Ｉ畹木W(wǎng)絡(luò)安全攻擊是提高關(guān)鍵基礎(chǔ)設(shè)施物聯(lián)網(wǎng)安全性的巨大警鐘。雖然最近對殖民地管道的網(wǎng)絡(luò)攻擊造成了重大破壞，但我們道路上的數(shù)百萬輛汽車也代表了關(guān)鍵基礎(chǔ)設(shè)施，如果受到網(wǎng)絡(luò)攻擊的破壞，可能會產(chǎn)生災(zāi)難性的影響。

想象一下，超過一百萬輛汽車，立即同時禁用制動器。如果道德黑客查理·米勒和克里斯·瓦拉塞克沒有第一個發(fā)現(xiàn)關(guān)鍵漏洞并向汽車行業(yè)敲響警鐘，這種情況可能會發(fā)生。他們的工作參考了五年前汽車網(wǎng)絡(luò)安全的糟糕狀況。

梅賽德斯奔馳委托并于去年披露的安全研究是一個更新的參考，我們將將其與米勒/瓦拉塞克的研究進行比較。梅賽德斯聘請的滲透測試公司是360集團的Skygo汽車網(wǎng)絡(luò)安全團隊。兩個團隊都利用了可以在任何物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的漏洞，而不僅僅是汽車。

對于這兩個團隊來說，導致遠程控制這些車輛功能的漏洞并不是一個漏洞。利用一系列漏洞來破壞物聯(lián)網(wǎng)設(shè)備是很常見的，這就是為什么網(wǎng)絡(luò)安全縱深防御方法很重要的原因。這意味著包括冗余的網(wǎng)絡(luò)安全功能。

1. 按順序顯示了米勒/瓦拉塞克工作利用的主要漏洞。

2015年克萊斯勒車輛披露

米勒/瓦拉塞克的工作所揭示的一些主要漏洞是顯而易見的，因為當時汽車還處于聯(lián)網(wǎng)的早期階段（圖1）。最明顯的漏洞是能夠在沒有身份驗證的情況下通過蜂窩網(wǎng)絡(luò)連接到車輛。接下來的一系列漏洞包括一個開放的TCP端口，該端口可以訪問在TI OMAP處理器上運行的D-bus軟件服務(wù)（進程間通信，遠程過程調(diào)用機制），以及缺乏允許在root運行命令的用戶身份驗證。

利用鏈中的下一個是將固件更新刷新到具有CAN總線訪問權(quán)限的瑞薩電子V850 MCU，而無需進行身份驗證。這允許將后門添加到 V850 的固件中，從而能夠通過蜂窩網(wǎng)絡(luò)從遠程位置閃爍。該后門允許CAN命令從TI處理器發(fā)送，他們已經(jīng)控制了該處理器，通過SPI發(fā)送到微控制器，并使CAN總線能夠訪問具有物理控制的其他電子控制單元（ECU）。

先發(fā)制人措施

三個安全功能很可能會阻止米勒/瓦拉塞克的攻擊。包含身份驗證的安全固件更新方案將阻止覆蓋 V850 中的有效固件。安全啟動的實現(xiàn)將通過阻止代碼執(zhí)行來補充安全更新功能，代碼直接編程到閃存中。這些安全功能現(xiàn)在可以在現(xiàn)成的硬件中找到，例如WINSYSTEMS的硬件，并且開箱即用。但是，在SPI接口代碼中發(fā)現(xiàn)了需要修復(fù)的內(nèi)存損壞錯誤。

這三項網(wǎng)絡(luò)安全改進，經(jīng)過身份驗證的固件下載，安全啟動以及內(nèi)存損壞錯誤的修復(fù)將使利用變得更加困難。從音響主機到達車輛的物理控制裝置取決于與CAN總線的接口。如果阻止進入該公共汽車，則轉(zhuǎn)向，制動和發(fā)動機的控制也將停止。

2. 利用天空之聲的鏈條

2020 梅賽德斯奔馳披露

Skygo攻擊鏈的第一步是使用“二手”ECU建立一個測試臺（圖2）。攻擊者在破解物聯(lián)網(wǎng)設(shè)備時具有優(yōu)勢，因為他們經(jīng)?？梢韵馭kygo那樣對設(shè)備進行逆向工程。一旦測試臺建立起來，他們就通過配置錯誤高通處理器來獲得調(diào)試訪問權(quán)限，然后從NAND閃存轉(zhuǎn)儲固件。轉(zhuǎn)儲閃存以訪問純文本代碼以進行逆向工程是黑客的廣泛步驟（注意：在我的下一篇博客中，我將寫一些數(shù)量驚人的可用黑客工具來做到這一點。在Skygo的案例中，他們花了大量時間訪問純文本代碼，因為它對于發(fā)現(xiàn)其他漏洞至關(guān)重要。

通過代碼的明文列表，他們發(fā)現(xiàn)遠程信息處理控制單元（TCU）運行Linux操作系統(tǒng)，一個能夠向其他ECU發(fā)送CAN消息的工程調(diào)試程序，用于訪問梅賽德斯奔馳后端服務(wù)器的區(qū)域證書，以及用于解密證書的硬編碼密鑰。換句話說，他們中了大獎。通過調(diào)試程序發(fā)送CAN消息的能力使Skygo能夠?qū)ζ囘M行物理控制。后端服務(wù)連接導致估計有200萬輛梅賽德斯汽車被訪問。

本該是什么

假設(shè)調(diào)試接口是安全的，并且閃存中的代碼已加密。在這種情況下，獲得發(fā)送CAN報文和查找證書的能力的后續(xù)步驟將更加困難。使用BG Networks等安全自動化工具實現(xiàn)這些安全功能變得更加容易。

通過比較這些團隊相隔五年所做的工作得出的結(jié)論是，汽車網(wǎng)絡(luò)安全已經(jīng)顯著改善。SkyGo沒有發(fā)現(xiàn)明顯的漏洞，如未經(jīng)身份驗證的接口或開放端口。測試的梅賽德斯車輛的網(wǎng)絡(luò)安全非常好。憑借梅賽德斯的安全無線（OTA）更新功能，他們能夠在披露后的幾個小時內(nèi)修補數(shù)百萬輛汽車的漏洞。

Skygo的滲透能力非常出色，找到初始漏洞所需的努力意義重大。事實上，他們瞄準的第一個ECU，即音響主機，是無法穿透的。SkyGo無法像米勒/瓦拉塞克那樣訪問關(guān)鍵的安全功能，例如制動器和轉(zhuǎn)向。但是，由于Skygo確實發(fā)現(xiàn)的導致遠程控制車隊的漏洞是不可接受的，因此仍有工作要做。

在網(wǎng)絡(luò)安全方面，汽車行業(yè)并沒有停滯不前。他們正在努力進一步提高安全性，因為歐盟的強制性網(wǎng)絡(luò)安全法規(guī)要求這樣做。其他行業(yè)沒有這種強有力的監(jiān)管。其他行業(yè)是否需要網(wǎng)絡(luò)安全法還有待觀察。

審核編輯：郭婷