調查顯示,多數車廠未將安全性問題納入產品開發優先考量
(來源:Ponemon Institute)
研究機構Ponemon Institute透過電訪、安全的網路線上以及面對面的訪問,取得了500位來自主要來自車廠與一線汽車零組件供應商的汽車軟體開發者、工程師與企業高層的意見,發表了一份題為「汽車網路安全:車廠們實際上是怎麼想的?」的報告;該報告發現,汽車開發者不相信他們所屬的企業有認真看待安全性問題,或是有督促他們開發更安全的軟體。
這份Ponemon調查的兩家贊助商之一,Security Innovation的產品管理與行銷總監Gene Carter在接受EE Times美國版訪問時表示,該調查最令人驚訝的結果是:「不到半數的受訪者未將安全性列為優先考量;但隨著各種有關公共網路安全的研究結果出爐,以及來自政府機關的壓力,我預期人人都會同意安全性考量的優先性。」
根據該報告,只有41%的開發者同意,他們所屬的車廠將安全性軟體列為優先考量,而有28%的受訪者不同意這點。
更糟的是,在那些受訪的開發者中,有69%認為要保障汽車應用程式的安全性是困難或非常困難的;此外他們之中有近一半認為汽車的架構需要有大幅改變,才能確保更高的安全性。該調查並顯示,至少有44%的受訪開發者認為駭客會主動將汽車列為攻擊標的。
Ponemon並詢問受訪者關於汽車廠商們在軟體開發上的實際做法,也就是安全性考量是否已經被納入軟體開發生命週期中,以及要提升安全性所面臨的障礙;調查結果顯示:「車廠與零組件供應商尚渴望打造安全汽車有,也缺乏所需技巧、工具與製程。」
這樣的結果聽起來不是好事,不過該調查也顯示,車廠之間對於安全性相關知識有基礎性的落差──也就是如何主動避開安全性故障。不過該報告也為各家車廠辯護,指出他們缺乏知識並不意味著他們一直停滯不前。
有63%的受訪者是在汽車開發期間執行自動化軟體掃描,有一半會在應用程式發表之後才執行掃描,有36%則執行滲透式測試(penetration test)。而更值得注意的是,該調查發現,只有四分之一的受訪者表示他們支援安全的編碼標準,或正在執行例如威脅模型(threat models)等高層次的評估。
汽車廠商的心態
汽車廠商缺乏經過特殊訓練的人員是顯而易見的,而更明顯的是,汽車廠商的行為表現還無法像是軟體廠商那樣。以下有個案例說明汽車廠商在軟體方面的心態:
Ponemon的調查發現,汽車開發者以及他們所屬的企業並沒有利用、甚至說沒有意願去學習IT世界過去十年來在網路安全方面取得的經驗;例如與所謂的「白帽駭客(white hat hacker)」共同合作,透過「抓漏賞金」之類的程序來發現錯誤。汽車開發者還未有這樣的意識。
該報告指出,令人驚訝地,有43%的受訪者認為白帽駭客應該要受到數位千禧年著作權法案(Digital Millennium Copyright Act,DMCA)的規範,也就是說如果他們以汽車應用程式碼來做實驗,就有被逮捕的可能;而有42%的受訪者認為白帽駭客不該受DMCA的規範,還有52%的受訪者認為那些白帽駭客不應該被鼓勵去測試汽車軟體。
汽車產業的辯護者可能會說,從汽車廠商開始注意到需要考量網路安全其實只有幾年的時間。遠端無線連結可能危及汽車的威脅,是2011年才出現在美國華盛頓大學(University of Washington)與美國加州大學聖地牙哥分校(University of California at San Diego)研究人員發表的論文中。
有一部分汽車產業的工程師將上述的開創性報告放在了心上,他們發現那是對即將來臨之連網汽車時代的一個早期警訊。但其他汽車產業的工程師則主張,若沒有實際進入到一輛車子裡,要「駭」進一輛車幾乎是不可能的;他們還指出,汽車駭客並沒有明確的「業務模式」,因此這也是他們不認為汽車駭客會成為普遍性問題的理由之一。
市場研究機構IHS的汽車產業分析師Egil Juliussen表示,在過去幾年,汽車業者通常自滿於自己的行動;他們自滿的理由是:「不可能發生(汽車駭客)那樣的事情;」以及:「那要花很多力氣但回報很少;」還有:「沒有實際已知的破壞行為。」
汽車產業的行為沒有改變;其中一個案例是今年稍早發表的「Markey報告」。在2014年,美國麻州的參議員Edward Markey寫信詢問20家汽車製造商有關於他們的車輛安全性與隱私權保障措施,而汽車廠商坦承他們的車輛幾乎100%配備某種無線連結功能,卻只有七家公司表示他們有委託第三方業者測試他們的車輛安全性,五家表示沒有,其他則忽略該問題。
而今年夏天,有數起著名的汽車駭客事件發生了,包括克萊斯勒(Chrysler)吉普車被發現的安全漏洞,導致該車廠召回1,400萬輛車;此外還有通用汽車(General Motors)的OnStar RemoteLink系統缺陷,駭客發現有個方法能遠端解鎖車門或啟動引擎。這些事件推翻了汽車廠商認為汽車駭客問題是「不可能發生」以及「危言聳聽」的觀點。
不過IHS分析師Juliussen表示,要成功「駭」進汽車,還是需要不少時間以及專業;但他也警告,好用的汽車駭客工具或是汽車駭客專家預期三到五年內就會出現。他也觀察到,汽車產業已經在投資網路安全解決方案;Ponemon的調查支持了以上觀點,發現汽車廠商已經開始注意到安全性,並沒有退縮或是忽略該問題。
但Juliussen指出,汽車廠商的動作稍嫌落後了些,可能得花費十年才能趕上IT世界的腳步。Ponemon則總結表示,關鍵在於汽車廠商開始使用經驗證以及測試的最佳(軟體開發)方法,提供他們的工程師在軟體開發週期所需的安全性工具與程序。
編譯:Judith Cheng
(參考原文: Survey: Cars Contain Few Barriers to Hackers,by Junko Yoshida)
資料來源:電子工程專輯
留言列表