研究車聯網安全，懂資安也要懂機電控制知識

車聯網安全議題受重視，這幾年來不只有實際車輛漏洞挖掘的競賽，也有增進資安人員研究汽車資安知識的競賽，在電動車資安公司VicOne揭露參賽Car Hacking Village CTF（CHV CTF）經驗之餘，我們在與VicOne這些資安專家討論中，特別關注車聯網資安目前正面臨兩大挑戰，一是汽車資安人才，另一是汽車領域的臺灣供應鏈。

例如，從CHV CTF競賽來看，此領域的人才培育是一大挑戰。VicOne汽車網路威脅研究實驗室副總裁的張裕敏指出，基本上，雖然這裡的CTF題目經過設計，難度會降低，但對臺灣或業餘資安研究人員來說，這些題目還是會偏難。

主要原因在於，以車聯網的知識領域而言，瞭解相關協定亦是重要一環，不論硬體設備上的Debug探針、韌體分析，還有CAN Bus、Automotive Ethernet等各式協定，以及無線電、藍牙、RF-433等相關通訊介面，又或是LiDAR探測測距技術，這些其實比較偏向機電控制。

但以普遍臺灣學校教育或產業環境來看，做機電控制的不會碰資安，做資安的不會碰機電控制，還有相關設備取得困難也是需要跨越的門檻，因此，車連網安全方面目前有點像是一個盲區，有點類似前幾年OT安全的情形。

再者，從Pwn2Own在汽車類別競賽來看，不只是電動車本身的系統，還有兩大面向同樣需要資安，分別是：車用資訊娛樂系統（In-Vehicle Infotainment，IVI），以及電動汽車充電器（Electric Vehicle Chargers）。

這也是臺灣產業需要關注的面向，畢竟，除了國內少數公司涉及汽車領域之外，我國更是有不少公司是打造車用資訊娛樂系統，這方面要注意的是，這些公司可能認為自己只是在做Android裝置，因為很多這些系統都是基於Android打造，但其實這也就是一套汽車子系統，等於是供應鏈的一環，因此也會是汽車領域供應鏈安全所關注的焦點。

此外，國內亦有許多公司是做電動車充電樁的電力基礎設施，若從整體的充電樁面向來看，我們還可以關注的資安層面還很多，包括相關自助結帳系統及充電樁平臺營運商。

發展車聯網安全，多項幫助入門的活動持續推動

除了瞭解Car Hacking Village CTF，近期我們注意到另一消息，是鴻海研究院資通安全所聯合美國麻省理工學院（MIT）多媒體實驗室與國立臺北科技大學，共同打造EVπ的開放EV資安驗證平臺，並相容MIH電動車開放平臺架構，當中除了強調資安為各種創新服務的核心，似乎也是提供了一個較低的門檻，讓更多人能夠更快接觸到無人車，我們可以如何看待這樣的發展？

對此問題，VicOne汽車網路威脅研究實驗室副總裁張裕敏表示，該平臺去年發布，可以說是一個教育訓練平臺，本身也不限於車用，主要能提供一個簡單的環境，讓用戶寫Script去測試研究。

就其發展意涵，該平臺是有一些類似CTF的意味，像是關掉了一些功能，或是精簡了部分項目，讓學生在上面可以發揮並取得成就，不過，從實際面向來看，這個平臺與真實車輛連結更低一點。他認為，這一平臺的目標就是為了幫助「過渡」。

張裕敏解釋，從傳統IT產業要過渡到車輛這樣的機電產業，這中間可能需要一個過渡的環節，而這個平臺比較偏IT面，但可幫助建立車聯網概念。像是將汽車所使用的組合語言，以及使用很早期的控制流，包裝成可以用Python這樣的高階語言去控制，讓學生能夠理解汽車內部相關行為與互動，從中產生多一點興趣。

換言之，還沒有完全跨過去車聯網領域，但其好處在於，可以讓學生變得比較不排斥。而不是讓資訊科系學生，一開始從8位元組合語言學起。

綜觀上述不同類型活動，我們大致畫分出3個層次。（一）EVπ平臺可促進更多人對車聯網安全有興趣；（二）Car Hacking Village CTF競賽的題目已降低難度幫助入門，促進熟悉相關技術，仍需對機電控制有一些基礎；（三）Pwn2Own車輛漏洞挖掘大賽是真實安全議題，發現的漏洞將有助於業者補強其產品安全性，但這也需要累積實際車輛安全研究經驗。