| 书名: | 车联网渗透测试 |
| 出版社: | 清华大学出版社 |
| 出版日期 | 2021 |
| ISBN号: | 9787302592495 |
| |
| 《车联网渗透测试》提供了重要工具来帮助安全从业人员、研究人员和供应商在不牺牲网联汽车连通性的情况下保持其安全性。本书主要内容 如下: 电子和远程信息处理单元(ECU和TCU) 渗透测试中HU和TCU的杀戮链 中间人攻击 影响机密性、完整性和可用性的攻击 风险评估、威胁建模和风险处理框架 逆向二进制和静态代码分析 密钥交换和其他密码分析攻击 车载诊断评估 影响通用ECU/TCUHU操作系统平台的漏洞 |
| |
| Alissa Knight在网络安全领域工作了20多年。在过去的10年中,她将漏洞研究的重点放在了为美国、中东、欧洲和亚洲的客户破解网联汽车、嵌入式系统和IoT设备方面。她持续地与世界上一些大的汽车制造商和OEM厂商合作,以制造更安全的网联汽车。 Alissa是Brier & Thorn集团的CEO,也是Knight Ink的管理合伙人。她将黑客技术与文字内容创作和视觉内容创作结合起来,贡献给网络安全领域的参与者和市场领导者。作为一名连续创业者,Alissa曾是Applied Watch和Netstream的CEO。她曾在并购交易中将公司出售给国际市场上的上市公司。 她的职业热情在于会见世界各地的佼佼者们并向他们学习,分享她对重塑全球市场的颠覆性力量的看法。Alissa的长期目标是帮助尽可能多的组织制订和执行其战略计划,并专注于其风险较高的领域,弥合孤岛效应,有效地管理跨组织边界的风险,并使他们能明智地承担风险,以实现长期价值创造。 |
| |
| 当下,消费者对持续联网的需求日益增长,利用科技将汽车与周围的智慧城市连通,以减少交通拥堵的呼声日益强烈,在这样的形势下,新技术进入载客汽车领域,在很大程度上推动了网联汽车的发展,曾经孤立的车载网络中的汽车,现在突然可从任何地方 进行连接。这种连接性对网联汽车内的乘客和自动驾驶汽车带来了巨大的风险,所以OEM厂商和汽车制造商都在尝试去了解网络安全这个新领域,要知道,在过去,他们只关心行驶安全。Alissa Knight在loT设备和网联汽车的风险管理、渗透测试方面有20年的从业经验,可为网联载客汽车的渗透测试、风险管理和风险处理提供全面的指导。《 车联网渗透测试》为那些不熟悉车辆机电体化的网络安全专业人士而作,为识别和缓解网联汽车风险提供所需的策略、技术和步骤方面的参考。 本书全面总结了每章涵盖的要点,以说明图和接近外科手术的精度详细介绍了执行网联汽车渗透测试和风险评估的步骤,并且研究了相关问题,提供了前沿的系统防护策略。在攻击者使用自己的方法对信息娱乐系统和远程通信控制单元进行渗透测试之前,你将 学习如何找到系统中的漏洞,以及如何分析影响资产机密性、完整性和可用性的漏洞和威胁的风险级别。 |
| |
| 第Ⅰ部分 策略、技术和步骤 第1章 前期准备 3 1.1 渗透测试执行标准 4 1.2 范围定义 6 1.2.1 架构 7 1.2.2 完整信息披露 7 1.2.3 版本周期 8 1.2.4 IP地址 8 1.2.5 源代码 8 1.2.6 无线网络 9 1.2.7 开始日期和结束日期 9 1.2.8 硬件唯一序列号 9 1.3 测试规则 10 1.3.1 时间表 11 1.3.2 驻场测试 11 1.4 工作分解结构 12 1.5 文档收集和审查 13 1.6 项目管理 14 1.6.1 构思和发起 16 1.6.2 定义和规划 22 1.6.3 启动或执行 24 1.6.4 绩效/监督 25 1.6.5 项目完结 26 1.7 实验室布置 26 1.7.1 所需的硬件和软件 26 1.7.2 笔记本电脑的设置 29 1.7.3 Rogue BTS方案1:OsmocomBB 30 1.7.4 Rogue BTS方案2:BladeRF + YateBTS 34 1.7.5 设置WiFi Pineapple Tetra 38 1.8 本章小结 39 第2章 情报收集 41 2.1 资产登记表 42 2.2 侦察 44 2.2.1 被动侦察 44 2.2.2 主动侦察 61 2.3 本章小结 64 第3章 威胁建模 67 3.1 STRIDE模型 69 3.1.1 使用STRIDE进行威胁建模 71 3.1.2 攻击树模型 75 3.2 VAST 81 3.3 PASTA 83 3.4 本章小结 91 第4章 漏洞分析 93 4.1 被动和主动分析 94 4.1.1 WiFi 97 4.1.2 蓝牙 108 4.2 本章小结 113 第5章 漏洞利用 115 5.1 创建伪基站 117 5.1.1 配置PC内部网络 117 5.1.2 让伪基站联网 120 5.2 追踪TCU 122 5.2.1 当知道TCU的MSISDN时 122 5.2.2 当知道TCU的IMSI时 123 5.2.3 当不知道TCU的IMSI和MSISDN时 123 5.3 密钥分析 127 5.3.1 加密密钥 128 5.3.2 证书 128 5.3.3 IV 129 5.3.4 初始密钥 131 5.3.5 密钥有效期 131 5.3.6 密钥存储不安全 131 5.3.7 弱证书密码 133 5.3.8 冒充攻击 133 5.3.9 启动脚本 136 5.3.10 后门shell 141 5.4 本章小结 142 第6章 后渗透 143 6.1 持久访问 144 6.1.1 创建反弹shell 144 6.1.2 Linux系统 147 6.1.3 在系统中部署后门 147 6.2 网络嗅探 147 6.3 基础设施分析 149 6.3.1 检查网络接口 149 6.3.2 检查ARP缓存 150 6.3.3 检查DNS 152 6.3.4 检查路由表 153 6.3.5 识别服务 154 6.3.6 模糊测试 155 6.4 文件系统分析 160 6.4.1 历史命令行 160 6.4.2 核心转储文件 161 6.4.3 日志调试文件 161 6.4.4 证书和凭据 161 6.5 OTA升级 162 6.6 本章小结 163 第Ⅱ部分 风险管理 第7章 战略性风险管理 167 7.1 框架 168 7.2 建立风险管理计划 170 7.2.1 SAE J3061 171 7.2.2 ISO/SAE AWI 21434 175 7.2.3 HEAVENS 176 7.3 威胁建模 179 7.3.1 STRIDE 181 7.3.2 PASTA 184 7.3.3 TRIKE 188 7.4 本章小结 190 第8章 风险评估框架 191 8.1 HEAVENS 192 8.1.1 确定威胁级别 192 8.1.2 确定影响级别 195 8.1.3 确定安全级别 199 8.2 EVITA 200 8.3 本章小结 204 第9章 车辆中的PKI 205 9.1 VANET 207 9.1.1 车载单元(OBU) 208 9.1.2 路侧单元(RSU) 208 9.1.3 VANET中的PKI 208 9.1.4 VANET中的应用程序 209 9.1.5 VANET攻击向量 209 9.2 802.11p的兴起 210 9.3 密码技术 210 9.3.1 公钥基础设施 211 9.3.2 V2X PKI 212 9.3.3 IEEE美国标准 213 9.4 证书安全 214 9.4.1 硬件安全模块 214 9.4.2 可信平台模块 214 9.4.3 证书固定 215 9.5 PKI的糟糕实施 216 9.6 本章小结 216 第10章 报告 217 10.1 渗透测试报告 218 10.1.1 摘要 218 10.1.2 执行摘要 219 10.1.3 范围 221 10.1.4 方法 221 10.1.5 限制 223 10.1.6 叙述 224 10.1.7 使用的工具 225 10.1.8 风险等级 226 10.1.9 测试结果 228 10.1.10 缓解措施 230 10.1.11 报告大纲 230 10.2 风险评估报告 232 10.2.1 简介 232 10.2.2 参考资料 233 10.2.3 功能描述 234 10.2.4 HU 234 10.2.5 系统接口 235 10.2.6 威胁建模 236 10.2.7 威胁分析 237 10.2.8 影响评估 238 10.2.9 风险评估 238 10.2.10 安全控制评估 240 10.3 风险评估表示例 243 10.4 本章小结 244 |
| |
| 战略需要思考,战术需要观察。 ——Max Euwe 2002年5月7日,Bennett Todd在一个漏洞开发邮件列表中提到,他在审查无线网络时偶然发现了一个UDP端口,该端口是用来远程调试VxWorks操作系统的,VxWorks是Wind River Systems公司开发的一款实时操作系统(Real-Time Operating System,RTOS),现已被英特尔收购。他审查的无线网络产品中有一些默认开启了这个端口。Todd还不知道他发现的这个17185 UDP端口会导致一个更广泛的漏洞,将影响到大量运行着VxWorks操作系统的不同网联设备。 2010年8月,在Todd公开他的发现8年后,HD Moore在Defcon第23届大会上,向观众们展示了他在Todd 2002年研究的基础上,针对每一台VxWorks设备进行详尽测试所得到的成果。 在Wind River Systems公司于2010年8月2日发布的漏洞说明中,这个端口被证实为它的WDB目标代理,这是一个在目标中驻留的运行时工具,开发期间主机工具需要通过这个工具与VxWorks系统进行连接。WDB调试代理的访问是不安全的,Moore通过抓取内存漏洞,发现部署VxWorks的系统存在一个巨大的安全漏洞,允许远程攻击者在无需有效凭证的情况下对内存中的数据进行读写。 发现漏洞时,Todd在他的文章中只提到了无线接入点受到的影响,并没有意识到VxWorks是嵌入式系统的实时操作系统,它用途广泛,而不只是被无线接入点使用。Wind River还被用在其他设备中,包括Thales公司的Astute级潜水艇潜望镜、波音AH-64阿帕奇攻击直升机、NASA的Mars Rover,甚至宝马2008年以后生产的车型使用的iDrive系统等,这里仅列举了几个例子。 在病毒学中,一种病毒被引入一个新的宿主物种中,并通过新的宿主种群进行传播的过程,被称为外溢或跨物种传播(Cross-species Transmission,CST)。同样的事情也会发生在信息安全中,目标设备或产品的漏洞被公布,会意外导致病毒外溢到其他产品中。 1996年,德国的Rohde & Schwarz公司开始销售第一款IMSI捕捉器(GA 090),该捕捉器允许用户强迫身份不明的移动用户传输其SIM卡的IMSI。后来,在1997年,该捕捉器还支持监听用户呼出的电话。 在2001年4月举行的Blackhat Brie?ngs Asia大会上,Emmannuel Gadaix公布了第一个已知的GSM漏洞,通过中间人(Man-In- The-Middle,MITM)攻击和取消注册拒绝服务(Denial of Service,DoS)攻击影响移动电话的使用。 2010年,Karsten Nohl发布了一款名为Kraken的破解工具,以破解用于保护GSM流量的A5/1加密技术,该工具利用彩虹表来破解A5/1加密技术,之后被称为“柏林表”。Nohl的工具后来在同一年被Kristen Paget修改,后者在Defcon 18大会上透露了如何使用伪基站(Base Transceiver Station,BTS)或IMSI捕捉器来拦截移动电话和短信,而根本不需要破解。 今天的网联汽车、自动驾驶车辆的OTA(Over-The-Air,空中下载)更新和其他功能非常依赖与后端的通信。虽然那些关于GSM的漏洞最初是针对移动电话及其用户的,但它们后来导致漏洞外溢到汽车领域中。 Paget在演讲中使用了一个价值约1500美元的通用软件无线电外设(Universal Software Radio Peripheral,USRP),该设备比之前的GA 090便宜数十万美元,她还提出一个这样的想法:与其通过嗅探GSM电话和短信进行离线破解,不如选择另一个策略。Paget使用手机创建了一个连接到她笔记本电脑的基站,从而能完全禁用A5/1加密,使得离线破解变成了多余的操作。 Paget后来开始为特斯拉工作——无疑是将她之前对移动网络黑客技术的研究应用到了网联汽车的安全问题上。现在她作为一名黑客为Lyft工作。Paget在会议期间观察到,GSM规范本身要求在网络加密(A5/0)功能被禁用时向用户发出警告通知,而该警告在蜂窝网络上被故意禁用,这一点尤其令人震惊,凸显了汽车制造商在其远程通信基础设施方面依赖的手机运营商的系统性问题。 就在2015年举办的DEFCON 23上,Charlie Miller和Chris Valasek演示了对一辆未经改装的乘用车的远程利用,与他们的第一次演示不同的是,这次并不需要物理访问汽车及其诊断接口。Miller和Valasek演示了汽车主机(HU)的一个漏洞,该漏洞允许他们在未经身份验证的情况下与TCP/6667(dbus)进行通信,因而他们可通过连接HU的WiFi热点向主机系统发送指令。更糟的是,由于移动运营商的蜂窝网中的防火墙太弱,他们可通过远程信息处理控制单元(Telematics Control Unit,TCU)的GSM接口访问dbus端口,执行相同的攻击。通过修改从网上下载的固件并重新刷入瑞萨V850微处理器,他们能重新编写微处理器的代码,将CAN消息直接发送至HU所连接的CAN总线,并实际控制汽车,如踩刹车、转动方向盘、熄火、开启雨刷和控制音响。 这是首次公开发布的针对网联汽车的远程黑客攻击。之前公开的利用技术都要求对汽车的OBD-II(调试)接口进行物理访问或连接。 自2015年以来,越来越多的漏洞被公布,这些被利用的漏洞存在于众多品牌和型号的网联汽车的内部组件中,而不仅是HU上。其中一些被利用的漏洞是由于原始设备生产商(Original Equipment Manufacturers,OEM)使用未签名的固件而造成的,未签名的固件允许研究人员在其中植入后门并重新刷入微处理器,之后,研究人员可将数据发送到CAN总线上,从而实现对车辆的物理控制。 这种漏洞外溢的情况不仅影响GSM,还会影响蓝牙、WiFi和汽车OEM厂商们使用的其他嵌入式操作系统。 从现代交通工具的角度来看软件代码的数量,F-35联合攻击战斗机大约需要570万行代码来操作它的系统。如今,高级网联汽车拥有近1亿行代码,运行在汽车整个车内网络中的70~100个基于微处理器的电子控制单元(Electronic Control Units,ECU)上。随着网联汽车和自动驾驶汽车复杂性的提高,根据Frost & Sullivan的估计,在不久的将来,汽车将需要2亿~3亿行代码,而当前召回的汽车中,60%~70%的问题都是由电子故障造成的。 一个无可争议的事实就是,网联汽车和自动驾驶汽车已不再是无法实现的未来,而是今天的现实。2020年,路上行驶的网联汽车和自动驾驶汽车的总数已超过1000万辆。 当然,汽车行业的技术进步无疑将有助于提高效率和增加收入。“追求舒适、便利”的这一代人在成长过程中期待着与电子邮件、网络和社交网络随时连接。KPMG UK估计,从2014年到2030年,自动驾驶汽车可减少2500起重大汽车安全事故;这份大胆的声明得到了本田研发部的美国负责人的支持,他为公司制定了到2040年实现零事故的目标。 虽然许多OEM厂商仍采用CAN总线等众多较旧的技术,但它们已经开始将ECU集成到汽车中,并使用基于以太网的TCP/IP进行通信。需要指出的是,在2015年,一辆汽车中的ECU数量最多约为80个,而今天,由于成本降低和整体重量下降,一辆豪车中ECU的数量可超过150个。 如今我们正处在第三次工业革命中,无人驾驶、自动驾驶汽车正迅速成为现实,而道德黑客/渗透测试人员也越来越重视研究如何识别和利用汽车中的漏洞。 正如Garth Brooks所述,无人驾驶汽车的出现,就像“我们曾经推迟到明天的事情现在变成了今天”。但汽车技术发展中的军备竞赛已经形成新的威胁格局,在这种威胁下,攻击的结果不再局限于被破坏的网站或被盗用的信用卡号码,而是潜在的生命损失。事实上,网联汽车不再仅被看作一堆由内燃机驱动的金属,通过转动曲轴来移动车轮,而黑客对其一无所知。现在,汽车不过是带有轮子的计算机,由多个CPU、嵌入式操作系统和可通过蓝牙、WiFi和GSM进行通信的应用程序组成的技术堆栈,由出价最低的竞标者支付并制造。 术语和定义 考虑到最近关于网联汽车网络安全的新闻报道,媒体对术语的淡化、自媒体和平台对术语的误解等,现在我们有必要就一些基本术语定义达成一致。 车间通信(Inter-Vehicle Communications,IVC) 是指车辆之间、车辆与移动网络以及车辆与路侧单元(Road Side Units,RSU)之间建立的外部通信,因此不包含车辆自身网络内ECU之间的任何通信。 车载自组网(Vehicular Ad-Hoc Network,VANET) 与IVC是同义词,常可互换使用,但VANET更多是指道路上两辆车之间动态建立的自组网络,而不是车辆与基础设施RSU之间建立的网络。VANET的一个例子就是两辆车之间建立的无线自组网络,用于共享前方即将发生的道路危险信息,如坑洞等。 智能交通系统(Intelligent Transportation System,ITS) 是今天很常用的一个术语,指的是IVC,并迅速成为它的代名词。有趣的是,那些没有在汽车行业工作过的人在尝试使汽车更智能之前,曾试图使运输系统(如道路)更智能(但失败了),他们不尝试让业内的OEM标准化协议,如IEEE 802.11,这是一个被称为智能车辆-高速公路系统(IVHS)的术语。 车对车(Vehicle to Vehicle,V2V)、车对基础设施(Vehicle to Infrastructure,V2I)、和车对一切(Vehicle to Everything,V2X) 是业界常用的术语,用于描述车辆与另一个节点(如车辆或基础设施本身)之间的通信终端(通俗地说,有些人把car和vehicle互换使用,提出C2C、C2I、C2X,但这种情况很少见)。 IEEE 802.11,正如计算机行业的朋友们所知道的那样,这是无线局域网(WLAN)技术及其修订版的标准,其中包括802.11a、802.11b、802.11g和较新的802.11ac。它已被用于HU和TCU之间的通信以及车间通信。由于某些方面的原因,原有的802.11标准缺失了一些功能,IEEE 802.11p是为了解决IVC的这些不足而开发的,明确界定在5.9GHz范围内,因传输距离短而很少在消费类家庭网络中使用。 脆弱性评估,又称脆弱性分析,是指通过人工或自动化手段对系统、网络或通信基础设施中可能影响系统机密性、完整性或可用性的安全缺陷进行识别、定义和分类。脆弱性能否被利用对于能否将其归类为脆弱性并不重要。 渗透测试是对系统或网络进行的模拟攻击,旨在识别和利用目标中的漏洞。这些测试展示了可成功利用目标的现实世界的攻击场景,以便更好地保护目标,使之免受现实世界的攻击。 杀戮链,或称杀戮链模型(KCM),是军方最初设想的一系列预先设定的步骤,以描述攻击的结构。这个术语(就像其他网络安全术语一样)已被军方运用于网络安全领域,Lockheed Martin公司将其正式定义为“网络杀戮链模型”。步骤描述:①侦察;②武器化;③投送;④使用;⑤安装;⑥命令和控制(Command and Control,C2);⑦针对目标的行动。人们可能认为安装和C2不可能在TCU或HU上实现,但我将在《车联网渗透测试》中证明,根据HU或TCU的架构,这实际上是可以做到的。 风险,特别是IT领域的风险,是指某个特定的威胁利用资产或资产组中的漏洞的可能性,采用发生的可能性和影响来衡量。 对于非汽车专家 汽车机电一体化是关于汽车工程中的机械和电子技术的研究。因为这个工程领域涉及的范围很广,且业界有关于它的专著,所以《车联网渗透测试》只介绍汽车机电一体化中与汽车网络安全最相关的领域,以及你从事这项工作时要多了解的内容。 这里有一个简单的要求,希望你忘掉你对汽车的一切想法,并记住一件重要的事情:汽车在过去15年里已经发展为车轮上的计算机网络。此处说网络,是因为车辆本身就是一个由运行微处理器的电子控制单元(Electronic Control Units,ECU)、Linux或Android等操作系统组成的车内网络。要知道,最新制造出的汽车甚至用车载以太网作车内网络。在车内网络上运行的ECU现在甚至可通过TCP/IP进行通信。以太网总线可能连接到一个连接着CAN总线的网关上。需要注意的是,较新的汽车需要利用以太网提供的较大的MTU(Maximum Transmission Unit,最大传输单位),而不是CAN的带宽限制。这并不是说,随着车载以太网的出现,其他通信技术就不存在了,因为将更小、更便宜的ECU迁移到以太网上是没有意义的。然而,对于那些负责执行时间敏感任务的功能更多、更丰富的ECU而言,车载以太网还是有市场的。 《车联网渗透测试》将尽可能用最通俗的语言来解释汽车的机电一体化,从你可能遇到的不同网络拓扑结构开始,然后是不同的协议,最后是ECU本身。在此需要注意的是,《车联网渗透测试》将从浅显的层面来解释所有这些技术,这样你就可理解你在目标环境中的工作,而不需要理解如何自己构建ECU。如果你想在这些领域中的某一个进行拓展,建议你从众多关于网联汽车的书籍中,或者从博世汽车工程指南中挑选一本,它们对这些主题进行了详细的分解。 汽车网络 你必须开始把汽车看成一个由节点(ECU、执行器等)组成的半独立网络,这些节点都是通过网络相互通信的,无论这个网络是CAN总线、以太网、MOST、FlexRay,还是近几十年来可能出现或消失的其他技术。这里说半独立,是因为有一个进入车内网络的入口,比如TCU的GSM接口或者HU上运行的WiFi接入点等。这一内容在后面的章节里有更详细的介绍,所以此处不再赘述。在一些广告中,当汽车急转弯时,汽车的前大灯会朝道路的方向转动,或者可自动并线停车,如果你看过这些广告,那么你要明白,这些事情发生的唯一途径就是前大灯、方向盘等都在彼此之间发送和接收数据——实际上是相互“对话”。在此处的大灯例子中,驾驶员在转动方向盘时,方向盘实际上是在与ECU进行通信,将数据发送给控制前大灯的ECU,因此,汽车转弯时,前大灯会随之转动。大灯并不是因为准确预测了驾驶员将要做什么而自动转动。很遗憾,人工智能爱好者们,能够读懂司机心思的方向盘恐怕还是虚构的,但这并不是说以后也不可能出现。 车内通信 现在,汽车中几乎每个组件(从锁、门把手到前大灯和刹车灯)都由连接到车载网络的ECU控制,因此,它们可向车中的其他ECU发送和接收信号,这些ECU接收数据并作出适当的响应。事实上,只是打左转向灯就用到了不少于8个嵌入式系统。因此,如今影响汽车的故障中90%以上都与电气问题有关。ECU只是运行微处理器和嵌入式操作系统的嵌入式系统,用来接收来自传感器或触发执行器的数据。ECU(不包括那些较小的设备,如电源锁)从闪存中启动,这要求它们具有预编译的固件。《车联网渗透测试》后面的内容将演示如何利用它。 剧透警告:《车联网渗透测试》甚至会告诉你,一个漏洞研究人员最近演示了一种方法,只需要将汽车的前大灯拆掉,就可直接访问CAN网络并获得对CAN总线的完全读写权限。把CAN总线看成一个常规渗透测试的内部网络,相当于你已经接入了内网。这就像前文中刚描述的那样,一旦有了在CAN总线上发送和接收信号的能力,就可控制汽车的物理属性,从转动方向盘,到踩刹车、油门踏板,甚至是启动或关闭汽车。因此,访问CAN总线(网络)实际上就是在Windows域中获得超级用户级(企业管理员)的访问权限。与网络上的服务器不同,设备之间可能没有进一步的认证,这意味着你可向CAN总线发送消息,告诉汽车关闭,该过程不会提示你输入用户名或密码,也不会出示一个公钥,要求你用私钥进行认证。对HU或TCU进行渗透测试时,你会遇到不同的网络。虽然网络拓扑结构本身并不重要,但有必要了解现存的一些技术。 最近汽车的发展推动了以太网的使用,如自动驾驶辅助系统(Automated Driver-Assistance Systems,ADAS)的现代化,ADAS现使用车载网络不同域的数据,这对数据交换速率提出了很高的要求,同时有低延迟和严格同步的要求,以减少或消除缓存的需要。延迟对自适应巡航控制(Adaptive Cruise Control,ACC)之类的系统可能是毁灭性的,因为自适应巡航依赖于多种数据源,如里程表、高分辨率视频、雷达和激光雷达(Light Detection and Ranging,LIDAR)等。未来汽车的发展将包括合作式自适应巡航控制(Cooperative Adaptive Cruise Control,CACC),它将在严格的实时约束下,通过VANET无线接收来自附近其他车辆的数据。随着BYOD和其他售后市场的定制化,消费者要求更高的吞吐量、更高的传输速率,因此,消除不同域和总线系统正迅速成为当下的需求,从而推动ECU通过车载以太网向单一、统一、高速率传输的总线系统迁移。注意,较小、较便宜的ECU不需要迁移到以太网,仍然可通过MOST或FlexRay运行,而以太网作为另一条总线连接到车载网络的中央网关。 最近,为了解决现代汽车线束越来越重的问题,无线网络被引入汽车中。在如今的现代汽车中,线束的重量很容易超过30kg。除了成本外,断线问题也是一直以来都备受关注的一个问题,而车载无线网络的实施解决了这一问题。 无线技术还没有得到广泛的应用,这很可能是小型、廉价的ECU在成本上的限制所致,在这些ECU上,这种技术是没有意义的。无线技术在HU与TCU的连接中得到了应用。车辆中的BYOD也需要无线连接,消费者对车内热点的需求日益增长。此外,消费者更倾向于使用手机的GPS进行导航,而不是使用汽车出厂时HU内置的GPS,以利用更智能的导航系统,通过提供众包数据(如Waze)的应用程序识别实时道路危险或交通状况。通过TCU提供的互联网接入,还可使用车载应用程序进行购物。 CAN (Controller Area Network,控制器局域网络)是于1983年开发的第一个车载网络总线标准。CAN作为一种通信机制,是为了满足一个个独立子系统的ECU的需求而开发的。子系统可能需要控制一个执行器或接收来自传感器的反馈,而创建CAN正是为了满足这些需求。CAN总线上的所有节点都通过两线系统连接。《车联网渗透测试》后面的章节将讨论黑客入侵CAN总线的问题,并且将通过截图来进一步演示。CAN协议中并不具备固有的安全功能,因此需要制造商实施密码、加密和其他安全控制措施,以免节点容易遭到中间人攻击和其他类型的报文注入攻击。 FlexRay最早出现在2006年,旨在解决早期技术的不足,它提供了完全确定、低延迟、高速的传输方式,支持多种灵活的总线系统类型,如无源总线和混合型、有源星状拓扑结构,每一种都用双通道和两级星状/总线级联混合型。 MOST(Media Oriented Systems Transport,媒体导向系统传输)是由MOST公司开发的,专门用作多媒体和信息娱乐总线系统,因此MOST需要提供高数据速率和低抖动,并支持售后市场的各种多媒体和信息娱乐系统。MOST被设计成一个单向环状拓扑结构,支持连接64个ECU和1个主控ECU。 图0-1是车载网络的一个例子,其中的ECU可连接到一个网络,甚至可连接到两个不同的网络之间。不同类型的总线通过网关连接。 图0-1 车载网络 车间通信 车间通信(IVC)定义了一个网络,在该网络中,车辆和路侧单元(RSU)是相互通信的节点,可相互提供安全关键警告和交通信息等。 IVC中存在几种可能的通信范式,包括RSU、全球定位系统(Global Positioning Systems,GPS)、停放的车辆,甚至广泛部署的蜂窝网络。 交通信息系统(Traffic Information Systems,TIS)是依赖IVC的应用程序的最佳例子;具体而言,导航系统在广义上是如何获取关于交通堵塞、道路危险、拥堵、事故等方面的动态更新的。该信息是从导航系统(如TomTom)以及智能手机应用(如Google Maps)使用的中央服务器收集的。这些交通信息由中央交通信息中心(Traffic Information Center,TIC)存储和共享,如图0-2所示。 图0-2 交通信息系统 这是集中式TIS的一个例子,还有另一种通信机制,在这种机制中,车辆在道路上经过彼此时直接交换交通信息,形成一个分布式特设网络,车辆之间建立临时连接。这是一种众包式的交通信息交换,也被称为浮动车数据(Floating Car Data,FCD),如图0-3所示。 图0-3 浮动车数据 目前的通信协议都是利用3G或4G的数据网络——很快就会迁移到5G,为车内信息上传到TIC提供足够的容量。 在V2V通信中,WiFi(具体来说是车载网络的衍生品,IEEE 802.11p)被用于支持车辆之间的数据传输,同时正应用于集中式TIS架构。这个概念也被称为车载自组网(Vehicle ad-hoc联网或VANET)。 目标读者 《车联网渗透测试》主要面向熟悉网络安全但不是很了解车载机电一体化,并且希望掌握网联汽车网络安全所需的工具和知识的读者。《车联网渗透测试》也可为需要进行渗透测试或车辆ECU风险评估的车载机电一体化专家提供参考。 《车联网渗透测试》虽然不适合没有传统网络渗透测试经验的读者阅读,但它简要讲解了渗透测试背后的方法论。因此,那些不具备网联汽车渗透测试经验的人应该从《车联网渗透测试》之外补充一些关于车辆机电一体化和车联网方面的知识。 为了照顾专业知识如此广泛的读者群体,我总结了每一章的要点(因为我本人在阅读书籍时从中受益颇深),同时提供了一个单独的章节进行定义,以解决汽车机电一体化中比较混乱的术语,供那些从未进行过网联汽车渗透测试的资深渗透测试人员参考。 鉴于此,《车联网渗透测试》不对车间和车内联网以及车辆机电一体化、应用和协议的基础知识进行深入研究。我把这些内容留给博世公司的专家和其他在这些领域出版过优秀图书的人士。 《车联网渗透测试》是一本实践手册,将我自己对黑客入侵网联汽车以及对亚洲、欧洲和美国一些最大的OEM的网联汽车移动应用程序、HU和TCU进行风险评估的10年研究进行了整理,可用于了解如何为TCU和HU的微型平台建立可操作的渗透测试实验室。 《车联网渗透测试》的组织结构 《车联网渗透测试》根据工作范围细分为两部分。第Ⅰ部分包括渗透测试的策略、技术和步骤。第Ⅱ部分涵盖如何进行风险管理。第Ⅰ部分中的每一章都是根据渗透测试执行标准(PTES)按渗透测试的阶段来组织的。虽然存在多种风险评估框架,但第Ⅱ部分将风险评估和威胁建模的各个章节分解为各自的阶段。《车联网渗透测试》分为以下章节。 第Ⅰ部分:策略、技术和步骤 第1章“前期准备”涵盖了前期准备阶段的行动,通常包括定义利益干系人和其他项目管理步骤,以便为项目做准备,并确保在项目开始前明确界定测试规则和工作范围。 第2章“情报收集”涵盖了本阶段需要完成的事项,包括收集工程文档,与利益干系人会面,并确保获得了测试范围内的所有材料和系统的访问权限。 第3章“威胁建模”涵盖了不同的威胁建模框架,以及如何在渗透测试过程中执行威胁建模。 第4章“漏洞分析”包括主动和被动漏洞分析,甚至包括CVE文档审查和供应商的建议,这些建议和审查适用于被测目标的单个部件、软件。 第5章“漏洞利用”涵盖了前一阶段可利用漏洞的利用步骤。 第6章“后渗透”包括在目标上获得立足点,以及可利用漏洞的后期利用步骤,例如从HU目标中反弹shell。 第Ⅱ部分:风险管理 第7章“战略性风险管理”介绍了风险管理过程、风险评估时要涵盖的不同框架、风险处理中要包括的不同阶段,以及在风险评估时对威胁模型进行的简要回顾。 第8章“风险评估框架”介绍了现有的各种风险评估方法,以便确定特定项目的最佳框架以及最适合使用的方法。 第9章“车辆中的PKI”讨论了不同的密码分析攻击选项以及在以前的渗透测试中发现的其他漏洞。 第10章“报告”涵盖了测试的最后一个重要阶段——报告,其中详细介绍了报告的不同部分,以及如何最合理地展示测试数据。 网站内容 读者可扫描封底二维码下载《车联网渗透测试》中的参考文件。表0-1可作为免费下载的模板,供你在项目中进行网联汽车渗透测试时使用。 表0-1 模板 标 题 描 述 渗透测试范围文件 用于定义渗透测试范围的模板,其中还包括测试规则 测试规则 定义渗透测试规则的模板。这份文档的最终版本应该由客户签署/执行 RACI图表 定义团队成员在项目中的角色、职责和责任的模板样本 WBS 工作分解结构样本(WBS),用作项目管理文档包的一部分,定义了分配给项目团队中每个人的工作 项目章程 用作项目管理文档集的一部分。可下载示例项目章程模板,用于管理渗透测试项目 项目进度表 用于管理渗透测试中的重要里程碑和交付日期的示例项目进度表 风险评估表 用于风险评估的风险评估表样本 风险处理计划 进行风险评估时要使用的风险处理计划样本 需要注意的是,这些模板都是我在自己的项目中给客户的真实交付品的衍生品,为了保护客户的匿名性,很多内容都被删除或编辑了。其中的所有内容都可能是缺乏深度的,但读者应该能自己决定如何在项目中“整理和复用”每个模板。 总结 我最初决定踏上撰写《车联网渗透测试》的旅程时,希望将过去10年来对网联汽车进行渗透测试和风险评估的研究内容进行编纂,从而对信息安全和汽车机电一体化的融合产生持久的影响。我相信《车联网渗透测试》将帮助世界各地的OEM制造出更安全、更有保障的客运车辆。我过去10年来有幸在欧洲和亚洲与汽车安全领域知名研究人员合作,他们和我的知识共同奠定了《车联网渗透测试》的基础。 《车联网渗透测试》的初稿经受住了安全从业者和汽车工程师的同行评审,我对《车联网渗透测试》在开创汽车网络安全漏洞研究的新领域中所发挥的作用(无论其作用大小)感到满意。《车联网渗透测试》已被翻译成北美、欧洲和亚洲主要汽车市场的多种语言,并将成为全球主要的OEM厂商关于建立更安全的网联汽车的推荐读物,他们应将其中的隐含知识内化并应用于其中。 最终,《车联网渗透测试》为解决网联汽车网络安全问题而开辟的道路将变成一个学术领域。这套学术研究将以某种方式冲击这个万物互联世界中的专业知识、人员、项目、社区、挑战、探索和研究的极限。 《车联网渗透测试》旨在促进全球网络安全界的讨论,并在世界各地的研究人员的讨论中形成丰富的观点,他们会把这本书和自己从工作中获得的知识结合起来,在此基础上进行讨论。此外,我非常乐观地认为,有一天,我将看到网联汽车网络安全成为漏洞研究人员研究的一个突出领域,并成为希望了解并进入网络安全这一深厚领域的全球安全工程师的一个研究领域。 《车联网渗透测试》所产生的知识体系在某种程度上(无论是赞成还是反对)是非常令人欣慰的,特别是当我看到在这个新的漏洞研究领域里有许多杰出的研究人员(我有幸与他们中的一些人一起工作)实现了我的心愿,即切实影响汽车漏洞研究这个深奥的领域,并为全球的讨论作出贡献。 《车联网渗透测试》试图提供一个丰富的框架,以理解和实施对HU和TCU进行渗透测试、威胁建模和风险评估的步骤,同时理解那些随着时间的推移创建的不同框架的丰富性和异构性。 信息安全从未像现在这样成为汽车制造商的核心议题。《车联网渗透测试》的时效性从未像现在这样强,因为汽车制造商正在努力了解车载网络,该网络以前从未与外界连接,现在却很容易受到威胁,影响到资产的机密性、完整性、可用性和安全性,以及车辆的运行。 事实上,到2020年,道路上的汽车已有1000多万辆是自主驾驶的,因此,网联汽车的网络安全已成为这个时代的永恒主题。 也许《车联网渗透测试》将在网联汽车网络安全领域中,在那些观点截然相反的人之间激起持续讨论和对话,为新制定的标准作出贡献,并使人们认识到在开发阶段将安全纳入系统开发生命周期(System Development Life Cycle,SDLC)的重要性,而不是事后再考虑。 原始设备制造商面临的战略和战术网络安全问题日益普遍并且日趋严重,而且人们重新认识到,有必要确保网络安全不再局限于公司内部IT安全策略的孤岛,而应使其延伸到其连接的产品线。 我怀着谦虚的态度和极大的雄心,将《车联网渗透测试》作为行业的基石,开始在第三次工业革命,即万物互联的物联网中构建更安全的联网设备。 而且,我怀着极大的热情和远见,希望《车联网渗透测试》能在汽车制造商更广泛的生产线中占据一席之地,以推动识别和处理网联汽车中影响人们生命财产安全的IT风险。 |
非常抱歉,您前期未参加预订活动,
无法支付尾款哦!
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/88bELHvqhigB6-_gWRdrHQ.jpg_400w_400h_4e)
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/88bELHvqhigB6-_gWRdrHQ.jpg_60w_60h_4e)
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/8KjK93u0xscA_BZJQvCm_A.jpg_60w_60h_4e)
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/p4-D4PudhaTOLTBIGw3QjA.jpg_60w_60h_4e)
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/Xk1el-9w2IQE3w9I8ELGJg.jpg_60w_60h_4e)
![[正版]车联网渗透测试 艾丽萨·奈特 清华大学出版社 计算机网络车联网技术渗透测试](http://imgservice.suning.cn/uimg1/b2c/image/wf1GdLznNQr9pAIczfTSnQ.jpg_60w_60h_4e)
