車聯網安全議題受重視,這幾年來不只有實際車輛漏洞挖掘的競賽,也有增進資安人員研究汽車資安知識的競賽,在電動車資安公司VicOne揭露參賽Car Hacking Village CTF(CHV CTF)經驗之餘,我們在與VicOne這些資安專家討論中,特別關注車聯網資安目前正面臨兩大挑戰,一是汽車資安人才,另一是汽車領域的臺灣供應鏈。
例如,從CHV CTF競賽來看,此領域的人才培育是一大挑戰。VicOne汽車網路威脅研究實驗室副總裁的張裕敏指出,基本上,雖然這裡的CTF題目經過設計,難度會降低,但對臺灣或業餘資安研究人員來說,這些題目還是會偏難。
主要原因在於,以車聯網的知識領域而言,瞭解相關協定亦是重要一環,不論硬體設備上的Debug探針、韌體分析,還有CAN Bus、Automotive Ethernet等各式協定,以及無線電、藍牙、RF-433等相關通訊介面,又或是LiDAR探測測距技術,這些其實比較偏向機電控制。
但以普遍臺灣學校教育或產業環境來看,做機電控制的不會碰資安,做資安的不會碰機電控制,還有相關設備取得困難也是需要跨越的門檻,因此,車連網安全方面目前有點像是一個盲區,有點類似前幾年OT安全的情形。
再者,從Pwn2Own在汽車類別競賽來看,不只是電動車本身的系統,還有兩大面向同樣需要資安,分別是:車用資訊娛樂系統(In-Vehicle Infotainment,IVI),以及電動汽車充電器(Electric Vehicle Chargers)。
這也是臺灣產業需要關注的面向,畢竟,除了國內少數公司涉及汽車領域之外,我國更是有不少公司是打造車用資訊娛樂系統,這方面要注意的是,這些公司可能認為自己只是在做Android裝置,因為很多這些系統都是基於Android打造,但其實這也就是一套汽車子系統,等於是供應鏈的一環,因此也會是汽車領域供應鏈安全所關注的焦點。
此外,國內亦有許多公司是做電動車充電樁的電力基礎設施,若從整體的充電樁面向來看,我們還可以關注的資安層面還很多,包括相關自助結帳系統及充電樁平臺營運商。
發展車聯網安全,多項幫助入門的活動持續推動
除了瞭解Car Hacking Village CTF,近期我們注意到另一消息,是鴻海研究院資通安全所聯合美國麻省理工學院(MIT)多媒體實驗室與國立臺北科技大學,共同打造EVπ的開放EV資安驗證平臺,並相容MIH電動車開放平臺架構,當中除了強調資安為各種創新服務的核心,似乎也是提供了一個較低的門檻,讓更多人能夠更快接觸到無人車,我們可以如何看待這樣的發展?
對此問題,VicOne汽車網路威脅研究實驗室副總裁張裕敏表示,該平臺去年發布,可以說是一個教育訓練平臺,本身也不限於車用,主要能提供一個簡單的環境,讓用戶寫Script去測試研究。
就其發展意涵,該平臺是有一些類似CTF的意味,像是關掉了一些功能,或是精簡了部分項目,讓學生在上面可以發揮並取得成就,不過,從實際面向來看,這個平臺與真實車輛連結更低一點。他認為,這一平臺的目標就是為了幫助「過渡」。
張裕敏解釋,從傳統IT產業要過渡到車輛這樣的機電產業,這中間可能需要一個過渡的環節,而這個平臺比較偏IT面,但可幫助建立車聯網概念。像是將汽車所使用的組合語言,以及使用很早期的控制流,包裝成可以用Python這樣的高階語言去控制,讓學生能夠理解汽車內部相關行為與互動,從中產生多一點興趣。
換言之,還沒有完全跨過去車聯網領域,但其好處在於,可以讓學生變得比較不排斥。而不是讓資訊科系學生,一開始從8位元組合語言學起。
綜觀上述不同類型活動,我們大致畫分出3個層次。(一)EVπ平臺可促進更多人對車聯網安全有興趣;(二)Car Hacking Village CTF競賽的題目已降低難度幫助入門,促進熟悉相關技術,仍需對機電控制有一些基礎;(三)Pwn2Own車輛漏洞挖掘大賽是真實安全議題,發現的漏洞將有助於業者補強其產品安全性,但這也需要累積實際車輛安全研究經驗。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03