上方大圖:美國橡樹嶺國家實驗室(ORNL)旗下的國家交通研究中心(NTRC)內部的車用傳動系統動力計,能測試不同載重與路況下的貨櫃聯結車引擎系統。

汽車網路安全不能適用「人多勢眾」這種說法,而且剛好相反,其主要理由有二:首先,當連網車輛的數量飆升,對於駭客的吸引力也越大,因為這代表者潛在受害者族群更大;其次,每輛車的資通訊系統軟硬體內容不段增加,意味著對駭客來說有更多能攻擊的潛在弱點。

今日的汽車內部動輒有上億行軟體程式碼、60個控制單元,這大部份是因為車廠持續為產品增添安全、娛樂、導航、自動駕駛等功能,其他理由包括有越來越多車隊資通訊工具選項出現、其使用率也越來越高,許多貨運業者、計程車行等利用以管理監測旗下車輛的績效、駕駛行為以及貨物狀況。

隨著車廠與售後市場供應商開發更多應用,每輛車子的軟體程式碼數量也將會持續呈倍數成長;每一行程式碼都是一個可能被駭客利用的潛在機會,就算程式開發者也一直在努力除錯、想盡辦法在駭客之前找出那些弱點。最近有一個案例是,車廠Fiat Chrysler因為軟體漏洞而召回130萬輛小畫卡,該漏洞會導致事故發生時側邊安全氣囊不作用、安全帶也不會收緊,而且已經造成至少1人死亡、2人受傷的慘劇。

想像一下,如果是駭客先發現了該軟體程式碼漏洞而且開始利用,例如在貨卡行駛於高速時觸發安全氣囊,甚至是讓某特定物流公司的一整隊相同型號小貨卡車隊都遭遇相同情況…或是駭客利用其他程式碼對車輛傳動系統實施勒索軟體攻擊,要求該種貨卡的車主或車隊經營者支付贖金,才能讓車子再度發動…

這類場景並不是假設;舉例來說,在一個針對Ford Escape休旅車以及Toyota Prius混合動力車輛的概念驗證中,駭客成功在遠端讓剎車失效,並掌控方向盤,而且這已經是四年前的事了。從那時候到現在,市面上的車輛又添加了更多資通訊軟硬體,也創造了更多潛在的漏洞。

汽車網路安全面臨的挑戰與攻擊向量並非新鮮事,而是PC、伺服器以及其他傳統IT系統曾經歷過的遭遇之翻版。以前面提到的勒索軟體為例,這種攻擊方式在十幾年前就出現過,所以現在許多企業組織應該已經很擅長因應;但實際上,工作場所的勒索軟體攻擊仍然猖獗而且不斷增加,主要是因為IT部門呈現扁平化發展。

以PC為例,這些裝置通常沒有時間去下載修補程式或更新Windows等基礎平台,更別說是其他應用程式如瀏覽器、PDF閱讀器等;修補程式與軟體更新一旦未執行,就會為勒索軟體以及其他各種駭客攻擊製造機會。無怪乎根據HPE (Hewlett Packard Enterprise)的調查,前十大軟體攻擊漏洞都有超過一年以上的歷史,而且68%超過三年。

如果這還不夠,現在的IT部門也需要支援越來越多額外的新科技,例如數位看板等影音裝置,以及智慧大樓管理應用的物聯網設備;影音與物聯網裝置跟PC、伺服器一樣,也需要軟體更新、下載修補程式以因應駭客攻擊,而問題在於IT部門對PC/伺服器的經驗更廣泛,還在學習如何維護影音與務聯網系統、了解它們的弱點所在。

車隊基本上就是這種情況的現在進行式。在車隊總部,會有某個部門──大概就是IT部門──需要負責開發並強化車輛網路安全政策;為妥善達成任務,他們首先得了解攻擊向量並開始無止盡地下載修補程式與軟體更新,以因應那些駭客攻擊。這需要大量時間、人力以及金錢,就像是維護影音與物聯網裝置那樣。

這將使得某些方面失去控制,特別是在供應商的支援上;舉例來說,許多貨運業者傳統上每3~5年會出售或交易一批車輛,因為保修期與維修方式的成本上升,但因為景氣週期性因素(包括現在),市面上有越來越多二手卡車,迫使車隊老闆不得不把車輛保留更多年。

車輛的年份越老,車上的資通訊系統供應商就越不太可能願意為那些較舊的產品提供修補程式與軟體更新,有一些供應商甚至已經結束營業或被收購,除非有其他廠商接手提供支援,車隊老闆就得搞清楚該如何自己確保這些「孤兒」的安全性。這種情況對於很多CIO或IT部門經理應該都很熟悉,他們也會遇到那種已經5年甚至10年的設備,供應商早就不見了、被收購了,或是停止支援舊產品。

以上只是車隊遇到的情況,私家車面臨的安全漏洞問題更嚴重;看看消費者家裡的PC就知道,因為很多人不知道定期下載修補程式與軟體更新的重要性,受到惡意軟體威脅可說是家常便飯。有鑑於此,試想該如何教育消費者們為連網汽車程式修補與更新軟體?在一輛車子上會有60個控制單元具備韌體與軟體。

不斷擴大的風險

為了觸及最廣大的潛在市場,車用資通訊系統硬體需要平價,車廠與企業客戶會在考量為車輛添加這類裝置時,對每一分錢斤斤計較。這種情況也會帶來網路安全風險;舉例來說,「低成本」往往意味著執行核心任務剛好足夠的處理性能以及記憶體容量,而對於處理安全性問題已經沒有太多、甚至沒有空間。

那些車用資通訊裝置對於使用它們的車輛本身或是所連結的企業網路,都可能有「後門」;駭客通常會尋找阻力最小的攻擊途徑,因此如果企業的防火牆或是其他網路安全設備看起來很「硬」,駭客就會把焦點轉移到受到較少保護的系統上──而在這個案例中就是企業的車隊。解決方案之一是確保來自那些車用資通訊裝置的饋入資料是透過安全設備路由。

還有一個問題是駭客的終極目標,也許跟車用資通訊系統完全無關,例如是儲存產品開發資訊或員工個資的公司伺服器;在這種案例中,車用資通訊系統只是一個達到目標的手段。不過也有以車用資通訊系統資料為目標的案例,駭客可能會想知道貨運路線,以劫持貨車運送的高價值貨品。

20170824_connectedcar_NT02P1

美國橡樹嶺國家實驗室(ORNL)旗下的國家交通研究中心(NTRC)的底盤動力計設備,能在受控制的環境中測試載客車輛。

另一個情況牽涉新興的車對車通訊(V2V),這種技術讓鄰近的車輛能彼此溝通以避免碰撞;根據市場研究機構Juniper Research預測,到2022年全球市場將會有一半以上的新車都配備V2V功能,這大概是3,500萬輛、佔據整個汽車市場的2.7%,對於某些駭客來說會是很有吸引力的攻擊目標。

潛在的攻擊向量之一,是讓少數幾輛配備V2V的車子感染惡意軟體,然後利用這些感染車輛來散播惡意軟體到每一輛與它們通訊的車輛;還記得我們前面提到的,消費者往往對於自家車子上的資通訊娛樂系統漠不關心?這些車子就會是駭客首先攻擊的明顯目標。

根據Juniper的研究:「為了讓V2V成功,廠商的裝置必須要包括蜂巢式連結以提供空中下載(OTA)韌體更新;」這種策略具備潛在優點與缺點──如果車廠或第三方供應商自動推送軟體更新,將之列為維修服務合約的一部份、而不是讓車隊老闆們或消費者自己下載,就可能提升安全性;但是,如果駭客在空中攔截修補程式與軟體更新,就能用以發現漏洞所在。

大約在十年前(2008年),美國卡內基美隆大學(Carnegie Mellon University)教授的團隊證實了從軟體修補程式來自動產生攻擊點的方法,在一篇已發表的研究中,那些攻擊漏洞的平均生成時間為114.6秒,而最短的時間只要1.2秒。

以上是幾個汽車網路攻擊會如何、為何以及在何處發生的案例,除了經過設計的車輛系統安全性是車廠必須提供的,還有其他能減少「攻擊表面」(也就是車輛受攻擊之途徑)的工作要做;例如定期保養能確保車子內的軟體是最新狀態,並在修補程式或是召回事件發佈時即時通知。美國國家高速公路交通安全管理局(NHTSA)負責維護一個網站,可供車主註冊資料,在車廠宣佈召回車輛時收到通知訊息。

編譯:Judith Cheng

(參考原文: Vehicle Cybersecurity: Where Rubber Meets Code,by Stacy Prowell;本文作者為EEE Transportation Electrification Community講師、美國橡樹嶺國家實驗室的運算科學與工程部門網路安全研究首席科學家,也是該實驗室的能源傳輸系統網路安全專案經理、車輛安全中心主任)