正如大家所熟知的,在全球汽车产业中,网络安全已经不再是可选项,而是必备要求。
2022年最早开始实施的汽车网络安全法规UN R155目前已进入再认证阶段,韩国的《汽车管理法》已于去年8月正式施行,中国的 GB 44495-2024 也即将在今年全面导入。为了应对这些法规要求,汽车制造商需要通过对单个控制器及整车层面的测试及其结果,来证明所销售车型已正确落实网络安全要求。在本期研讨会上,我们将围绕韩国与中国汽车网络安全法规共同参考的国际法规与标准——UN R155 及 ISO/SAE 21434,结合 VTA 认证成功案例,为大家分享汽车网络安全测试的实务经验与方法。
在正式开始之前,我先简要介绍一下飞斯柯罗在汽车网络安全测试领域所具备的专业能力。
飞斯柯罗以由白帽黑客背景专家组成的专属红队(Red Team)为核心,开展符合国际法规与标准的汽车网络安全测试工作。我们与全球汽车制造商保持紧密合作,在其欧洲市场车辆网络安全及软件更新相关法规应对的全过程中,始终站在第一线提供支持,协助客户成功取得VTA认证。此外,我们不仅在控制器(ECU)层级开展测试,也基于包含车辆静态与行驶工况在内的整车实测环境,累计完成 200 次以上的安全测试;目前已构建 100 余项测试项目以及 200 余个测试用例。
那么接下来,就让我们与飞斯柯罗专家嘉宾团一起,正式开启汽车网络安全测试疑难解答之旅吧!
■ 问题LIST
1. 想了解一下汽车安全测试的种类?
2. 为获得VTA,审查官是否会确认相关的安全测试?
3. TARA与安全测试之间是否存在依赖关系?
4. 想了解当前的攻击面(Attack Surface )发展趋势?
5. 想了解汽车加密被攻击时的典型黑客场景或技术手法案例?
6. 安全测试通常按照什么流程进行?
7. 在进行安全测试过程中,我们需要配合或准备哪些事项?
8. 单体控制器测试与整车实车测试在执行上是否存在差异?
■ 视频 Ver.
■ 文本 Ver.
1. 想了解一下汽车安全测试的种类?
正如刚才所提到的,今天的研讨会将以UN R155为基准进行讲解。由于UN R155是韩国与中国相关法规共同参考的国际法规,因此今天分享的内容,也将对大家应对两国法规具有实际参考价值和帮助。在介绍汽车安全测试的种类之前,我将简单说明一下为什么需要进行安全测试。根据汽车网络安全法规 UN R155,汽车制造商需要获得 CSMS认证以及 VTA。在UN R155法规的第5节关于 VTA 的说明中,明确规定了车辆必须适用的网络安全对策要求,以及如何对这些措施进行评估的方法。
特别是在5.1.2中提到,主管审批的认证机构(Approval Authority)或其授权的技术服务提供方(Technical Service Provider)需要通过测试方式来验证整车制造商在文档中所阐述的用于认证的网络安全对策是否有效。此外,测试可以由AA或TS直接进行,也可以由他们与整车制造商协作完成。值得一提的是,目前通常不是由AA或TS直接进行测试,而是通过观察整车制造商自行进行的测试过程,并据此进行评估。为了帮助对这些术语不太熟悉的人进一步理解,AA是指认证机构( Approval Authority),TS则是指代替认证执行测试的技术服务提供方(Technical Service)。
像 AA、TS 以及 OEM 最终都必须执行安全测试,而关于应该进行哪些测试,在汽车网络安全工程标准 ISO/SAE 21434 中已有明确说明。主要可以分为四大类。分别是functional testing,vulnerability scanning,fuzzing testing,penetration testing。
首先是功能测试(Functional Testing),这个功能测试是大家已经非常熟悉、经常执行的一类测试。大家会根据OEM提出的安全需求进行分析,并将这些需求反映到系统设计中,最终落地到控制器的软件或硬件中。功能测试的核心目的就是验证这些安全需求是否被正确实现和集成。有些OEM会提供设计规范和测试规范,此时功能测试就是根据这些测试规范来执行的。
第二是漏洞扫描(Vulnerability scanning),这是指检测我们控制器的软件或硬件中是否仍然存在已知的漏洞。在开发控制器软件时,通常会大量使用开源软件(open source)。而这些开源软件中可能存在一些已知的漏洞。所谓漏洞扫描,就是指确认这些漏洞是否已经被充分修复的过程。
接下来是模糊测试(Fuzzing test),针对控制器或车辆的外部接口,通过随机注入未定义的数据,来发现软件或硬件中可能存在的错误和漏洞。
最后是渗透测试(Penetration Testing),也就是我们常说的“模拟黑客攻击”,是通过模拟针对整车或控制器的真实攻击行为,来评估当前所部署的安全对策是否充分有效的方法。为了取得 UN R155 的 VTA 认证,必须通过此类测试来证明车辆的网络安全已得到充分验证。
那么是否所有的控制器都需要进行这些测试呢?并不是所有的控制器都需要执行上述提到的四种测试。在 ISO/SAE 21434 的附录 E 中提到了“网络安全保障等级(CAL,Cybersecurity Assurance Level)”的相关内容。正如上画中所示,附录 E 中根据 CAL 等级介绍了对应的测试方法。
对于CAL 1级别的控制器,只需要执行功能测试(Functional testing)和漏洞扫描(Vulnerability scanning)即可。而 CAL 2 级别的控制器还需要额外进行模糊测试(Fuzzing test)。至于 CAL 3 和 CAL 4 的控制器,则必须进一步执行渗透测试(Penetration testing)。另外,表格中的 T1 和 T2 表示测试强度的级别,T2 相较 T1 更高一些,而 CAL 等级是在对每个控制器进行 TARA(Threat Analysis and Risk Assessment)之后确定的。
总结来说,为了满足 UNR 155 法规的要求,整车制造商必须进行VTA。在此过程中,需要通过安全测试来验证其网络安全对策是否得到充分落实。至于需要进行哪些安全测试,虽然 ISO/SAE 21434 标准中提到了四种测试方法,但并不是每种测试都必须执行,而是根据 CAL 将控制器进行分类,从而确定相应的测试项目。
2. 为获得VTA,审查官是否会确认相关的安全测试?
在 VTA过程中,审核员首先关注的是OEM所建立的 CSMS中的网络安全验证流程,是否确实被应用于实际车辆测试中。其次,审核员还会重点检查:在整个验证流程中所执行的所有活动,是否具备完整的可追溯性。审核员会提前审阅这些验证活动的佐证资料,以确认其有效性;并在现场审核阶段,对比“事前提交的测试结果”与“现场实际执行的测试结果”,检查二者是否一致。
能否更具体地说明一下 UNR 155 中为了取得 VTA所要求的相关测试内容,以及审核员在认证过程中会重点关注哪些方面呢?根据 UN R155 法规的规定,OEM需要通过“适当且充分的测试”来验证其网络安全对策的有效性。在 VTA过程中,审核员会通过以下几个关键问题,来确认 OEM 是否切实执行了这些测试要求。
1. 安全测试是否具有可追溯性,并足以验证网络安全要求是否得以满足?
2. 所有测试用例是否都已执行,并出具了测试报告?
3. 与测试相关的所有信息,例如使用的工具、测试对象说明、测试结果等,是否都已完整记录并报告?
4. 所有测试是否都可在审核现场进行演示?若不可演示,是否能提供合理的说明或依据?
5. 在现场审核前,是否已经提供了需要陪同测试的相关信息?
6. 是否已提交陪同测试的结果资料?
7. 是否可以将CS目标、网络安全要求和测试活动进行清晰的映射关系?
为了获得VTA,建议提前准备好对上述问题的充分应对。
在法规中并没有详细列出这些问题。这些内容主要是我们在实际参与VTA认证过程中,审核官所提出的问题为基础,总结整理出的参考指南。飞斯柯罗在协助全球OEM企业顺利取得欧洲VTA认证的过程中,提供了全方位支持。特别是在安全测试的说明、论证及现场演示等环节,飞斯柯罗协助客户充分展示其车辆已具备完善的网络安全防护措施,从而成功通过VTA认证。如果您在安全测试方面有任何疑问或需求,欢迎随时与我们联系,飞斯柯罗将以丰富的测试经验与成功案例,为您提供专业、可靠的解决方案,助力您实现满意的认证成果。
3. TARA与安全测试之间是否存在依赖关系?
TARA与安全测试之间存在密切的关联。在 ISO/SAE 21434 标准中,TARA 是按照如下流程进行的,如上图所示。橙色框中的内容主要评估的是攻击资产的情境、攻击路径以及攻击的可能性。通过这些流程,可以对所分析对象的威胁进行评估,并在“风险值判定(Risk Value Determination)”阶段确定其 CAL 等级。
为了顺利开展上述过程,网络安全测试的经验与专业知识至关重要。识别威胁、构建攻击情境、制定攻击路径并评估其可行性,这一系列过程并非抽象地进行,而是需要基于丰富的实战经验来完成的。换句话说,只有将多样化的实战经验融入到 TARA 中,才能对控制器或整车的网络安全威胁进行多角度的验证与分析。
此外,在进行网络安全测试时,TARA 也是一个非常重要的参考指标。它用于识别控制器中存在的各种资产,以及可能对这些资产造成的安全威胁。通过 TARA 识别出的各种威胁,制定出安全目标(Security Goal),并通过制定缓解对策进行风险缓解。随后通过网络安全测试,验证系统是否在面对网络安全威胁时具备足够的防护能力。在此过程中,我们会基于红队的丰富经验,应用多种预先制定的Testcase,尝试进行多种攻击手法,以确认是否还存在其他潜在的威胁或漏洞,从而验证系统在面对网络安全威胁时的安全性。
也就是说,通过 TARA 可以制定出安全测试的基准项,因此如果由同一家企业同时执行 TARA 和安全测试,将更容易发挥协同效应。以飞斯柯罗为例,TARA 团队与安全测试团队是分开的,能够以更客观的方式进行评估。飞斯柯罗同时具备 TARA 和安全测试的专业能力,请大家多多关注。
4. 想了解当前的攻击面(Attack Surface )发展趋势?
如上图所见,车辆支持多种通信方式。换句话说,它们具有多样化的攻击面。
首先,车辆智能钥匙所使用的RF/LF通信虽然采用了Rolling Code方式作为防止重放攻击的安全对策,但如果该滚动码设计或开发存在漏洞,攻击者便可通过监听正常的开锁/关锁信号,复制信号并绕过滚动码的安全机制,从而解锁车辆。
此外,如果攻击者成功进入了车内,可能会通过 USB 接口访问导航系统,并植入用于执行恶意行为的恶意代码。通过这种方式,攻击者可能窃取车辆中存储的联系人、通话记录、最近目的地等敏感的个人信息数据。
这些攻击虽然是通过外部接口发起的,但根据我们的研究案例,也存在为渗透车辆内部网络而拆除保险杠、访问前大灯控制器并成功侵入内部网络的情况。攻击者连接到该前大灯控制器,插入恶意消息,使车身控制单元误以为智能钥匙在车内,从而在没有钥匙的情况下即可解锁车门、启动车辆并实现驾驶。这类攻击之所以可行,是因为前大灯控制器与车身控制单元共用同一条 CAN 总线。
最后,在 ADAS 系统中,LIDAR / RADAR / CAMERA 等控制器也是非常重要的攻击面。一旦发生威胁,可能在行驶过程中引发异常行为,从而对乘员造成伤害,因此属于高风险关键攻击点,目前我们也正对此类领域持续关注并开展相关研究。
5. 想了解汽车加密被攻击时的典型黑客场景或技术手法案例?
根据我们 RED Team 实际执行的案例,我们在真实车辆中渗透进入 CAN 网络,并通过自主开发的 CAN 工具向远程钥匙控制器注入了任意消息。注入过程中,由于某条特定消息,在安全气囊控制的控制器上确认了发生 Crash out 的现象, 并发现当座舱系统识别为事故发生的同时,应急灯出现持续闪烁的漏洞。
另一个案例是,通过外部接点的 WiFi 成功实现了入侵,通过导航系统中的后门,可以实现导航系统的重启、画面和声音的篡改。通过此次攻击,发现了一个漏洞,攻击者可以任意更改导航系统中执行的所有功能,如驾驶模式、空调等。
对于一般的控制器,如果调试端口没有安全保护,就可以通过调试端口提取内部的固件。在分析提取的固件时,如果掌握了其运行逻辑并进行篡改后再更新,就可能会导致异常行为,或使其无法正常运行。
最后,还可以通过篡改正在行驶的车辆的 GPS 位置信息,将其伪装为正在其他任意地点行驶。如果将正在按规定速度进行自动驾驶的车辆的 GPS 位置信息篡改为儿童保护区域,那么该车辆将会突然减速至限速 30 公里/小时,这可能导致事故的发生,是一个非常严重的漏洞。
就像这样,我们会综合考虑车辆的所有攻击面,制定攻击场景,并加以执行。
6. 安全测试通常按照什么流程进行?
安全测试的流程大致可以分为五个阶段。首先是信息收集阶段,在这个阶段,我们需要收集的信息包括:MCU 和 AP 芯片的规格、Pin-out信息、控制器的输入输出功能,以及 CAN 报文信息等。这些信息可以通过查看功能说明书、设计规格书、芯片的技术资料(Datasheet)以及与相关负责人的访谈等方式来获取。
接下来是识别攻击面和攻击向量的阶段。攻击面是指目标控制器中可能被攻击的接口或入口点,攻击向量则是攻击者实施攻击的方法或途径。攻击面的示例包括:
⦁ 对于使用 MCU 的控制器,JTAG、UART、USB 等调试接口都可能成为攻击面;
⦁ 与通信相关的攻击面包括 CAN、以太网、Wi-Fi、NFC、蓝牙、RF 等;
⦁ 此外,存储介质(如存储器、Flash 内存等)也属于攻击面的一部分。
攻击方法包括用于分析通信数据的嗅探(Sniffing)以及在嗅探后拦截消息或信号进行拦截的 MITM(中间人攻击)还有拦截信息进行伪造的 Spoofing(欺骗攻击),以及以提取固件为目的的拆焊(Desoldering) 等方式。在获取固件之后,还可以通过对二进制文件进行逆向工程来寻找缺陷的攻击方式。
在第三个阶段中,我们会编写测试用例,主要内容包括:
⦁ 描述控制器信息和测试目的,以及攻击方法、过程和漏洞信息。
⦁ 此外,还会确认 TARA 的网络安全目标,并将其与测试用例进行映射,以确认网络安全目标是否得到了有效实现。
第四和第五阶段是实际执行攻击的阶段,在这一阶段中,我们尝试获取对控制器的控制权限,一旦获得权限,就会为了扩展攻击范围,进行如下操作包括修改固件、植入恶意脚本和后门程序,以及实施拒绝服务攻击最终目标是渗透至车辆内部的网络系统。
7. 在进行安全测试过程中,我们需要配合或准备哪些事项?
只需要进行以下两项工作即可。首先,为了确保测试顺利进行,您需要提供测试环境。请准备包含备用在内的2到3台测试用控制器,如果控制器已经应用了网络安全解决方案,将有助于验证活动的开展。此外,还请提供控制器线束连接器,以及可用于识别控制器相关硬件信息的规格书和控制器功能说明书,如果能够同时提供控制器的固件二进制文件(Firmware binary)和 CAN 数据库信息,将有助于测试工作的高效顺利开展。
第二项是关于测试过程中发现的漏洞事件的响应与记录管理部分。该内容依据 ISO/SAE 21434 第8章的要求,企业需要对已发现的漏洞信息及其历史进行管理,并对漏洞进行分析,制定如补丁等应对措施,进行分发并做好版本管理。
8. 单体控制器测试与整车实车测试在执行上是否存在差异?
即使使用相同的测试用例,单独对单个控制器进行测试与在实际车辆中进行测试也可能产生不同的结果。 许多控制器在开发时被设计为只有在连接到 CAN 网络并接收到来自相关控制器的周期性信号等配置信息时,其功能才会被激活或正常运行。在这种情况下,如果只对单个控制器进行测试,就无法确认输入/输出信号和消息等内容,因此无法进行正常的测试,所以在实车环境中进行测试更为有效。
特别想强调的是,基于实车的行驶测试同样非常重要。例如,在当前展示的图表中,绿色实线表示在无攻击状态下测量的发动机转速(RPM),而橙色虚线表示在攻击状态下测量的数值。
在实际行驶环境中,针对 PCAN 注入异常消息进行测试时,由于异常的换挡时机会导致与基准发动机转速产生偏差,从而可能影响实际用户的安全。相反,如果仅在 IGN“ON”状态下注入异常消息,虽然可以确认由于攻击导致的 CAN 通信延迟,但无法像行驶测试那样确认其对实际行车行为的真实影响程度。
实际上,在针对某全球汽车制造公司正在准备量产的电动车进行 VTA 评估演示之前,我们在多种条件下进行了模拟评估的过程,在行驶测试中,针对 E-PT(电动车动力总成驱动系统)注入异常消息时,出现了驱动停止且加速踏板无法工作的情况。而在静止状态下进行相同攻击测试时,除了一些轻微的通信延迟之外,并未观察到明显的影响。我们立刻将相关情况与 OEM 以及控制器开发厂商进行了共享,并在经过技术讨论并应用软件补丁后,确认该问题已得到解决。最终,VTA 认证演示也得以顺利完成。
虽然单个控制器或整车的测试环境本身已经具有充分的意义,但在集成环境下进行测试时,能够产生更大的协同效应。由于测试环境的不同,可能会得出多样化的结果,因此建议从多个角度进行综合评估。
飞斯柯罗是韩国领先的汽车网络安全专业企业。我们通过为客户量身定制解决方案,根据客户的实际情况和环境,提供务实的技术突破口,解决复杂的技术问题。
从专用的网络安全控制器SGW,到无需更换芯片即可满足法规要求的HSM安全解决方案,再到支持网络安全持续优化的“一站式运营管理平台”——CSMS门户,飞斯柯罗致力于以务实的方式解决行业面临的困境,立志成为基于SDV(软件定义车辆)的未来移动出行产业中的重要参与者。我们的团队由汽车电子控制系统开发专家和白帽黑客组成,具备卓越的专业实力。
-
PREV [网络研讨会回放] 2027 年欧洲CRA(网络弹性法案)实施农机与工程机械制造商的网络安全应对战略
-
NEXT 没有以下帖子。