云安全联盟CSA最新《联网汽车安全观察与建议》
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月28日讯 随着联网汽车电脑化以及通信生态系统不断采用智慧道路基础设施、智慧家居和智慧城市,保护联网、智能及日益自主化的汽车免遭黑客和犯罪分子攻击只会愈发艰难。
“云安全联盟”(CSA,研究安全问题并发布最佳实践的技术工业组织)发布最新研究报告《联网汽车安全观察与建议》。
CSA在报告中指出,现代的汽车制造商偏向于用户体验,增加了越来越多的导航、引擎控制和车载娱乐系统,再加上外部新增的智能设备和联网基础设施,联网汽车的攻击面只会越来越宽。
报告提到,系统套系统(例如联网汽车生态系统)存在许多互联的点。其中任何一个点被攻击,攻击者便可以在整个生态系统中横向活动攻击其它点。
联网汽车主要存在哪些安全风险
交互性:被攻击面增加
联网汽车已经与智能手机应用程序和智能家居系统(例如Amazon Echo )交互。新增其它连接就意味着安全风险会加大。
简单用例安全的重要性
例如,黑客也许能通过不安全的蓝牙连接访问车载立体声系统,而车载立体声系统又与安全关键系统相连接,例如加速器和制动器,以此根据车速提高和降低音量。因此报告明确指出,保护简单的用例安全至关重要。
关于接收的信息安全
另一个问题是,随着智能导航或自动驾驶系统普及度不断提升,汽车将迅速依赖从其它汽车、基础设施和移动应用程序接收的信息。因此,确保信息按预期传送、未被篡改或由未经授权的实体发送,这一点相当重要。
发送欺骗信息会误导自动驾驶车辆,甚至能够误导安装有防撞安全软件的人为驾驶车辆。
信息数据源必须可信,包括通过云应用程序处理或从中获取的数据流。报告作者推荐使用利用公共密钥基础设施(PKI)的非对称加密。
这些研究人员支持使用大型汽车制造商支持、联邦资助的密歇根大学科学家开发的安全证书管理系统(SCMS)。
然而,由于隐私问题排除了传统的PKI证书结构(其中数字安全证书与身份关联),因此,SCMS被批评太难管理。这样的汽车系统允许被追踪,因此SCMS使用随机证书识别符,会随机循坏,以便车辆或司机无法因证书被监视而被跟踪。
但最重要的是,报告作者强调有必要在联网汽车生态系统的所有技术开发阶段融入安全与安全设计,尤其当联网汽车生态系统经过发展,囊括了众包流量数据和智慧道路基础设施。
研究人员总结称,为了打造安全的交通系统,联网汽车技术开发团队必须以全新的角度审视全局,制定设计过程中纳入安全所需的政策、设计和操作。
E安全要闻简讯
官网:
2017年5月