現代汽車工業出現了一種新貨幣。汽車曾經是用美元買賣的,現在和未來的公式正朝著更微妙的概念傾斜。如今,你越來越多地使用你從一個地方到另一個地方生成的數據來支付你的汽車費用。
現代汽車監視和監控您的每一次旅行、每一個目的地以及車內和車周圍發生的一切。這些數據將有助於使未來的汽車更智慧,更好地預測您的需求並保護您的家人。但所有這些監控都提出了一個重要問題:汽車制造商究竟是如何保護您的數據安全的?
監控的內容
正在收集關於您的哪些型別的數據?「一切。」Moshe Shlisel說。他是GuardKnox的執行長,GuardKnox是一家開發技術以提高聯網汽車效能和安全性的供應商,為保時捷、戴姆勒和其他公司提供了技術。
Shlisel繼續說道:「如果你使用頭部裝置,導航系統會一直收集你的位置。我們來談談電動汽車。好嗎?當我給汽車充電時,有兩筆交易。我在給電池充電,但我同時付款。所以,貨幣交易也可以跟蹤。」
常見路線、平均速度、喜愛的串流媒體來源、所有這些資訊以及更多資訊都在被跟蹤。隨著我們離自動駕駛汽車時代越來越近,對這些數據的需求和價值只會越來越大。
自動駕駛汽車的虛擬駕駛員通常基於復雜的人工智慧神經網路,這些網路基本上是透過觀察他人駕駛來「學習」的。還有什麽比從真實道路上真實的人駕駛的真實汽車中收集傳感器數據更好的方法來訓練他們呢?
如果你想知道你的車在跟蹤你的什麽,可以看看Privacy4Cars,它會建立一種車窗貼紙,準確地顯示每輛車在跟蹤什麽。這輛車越新,它的觀賞性就越強。
這些數據是如何被捕獲的?
我們透過感官來看待世界,如果你是傳統型別的人,我們會有五種,如果你的信仰體系延伸到精神層面,我們會看到更多。
現代汽車透過一組相似但不同的感官來看待世界——更技術地說是傳感器——包括用於視覺的網路攝影機,以及用於檢測接近度的雷達、聲納和雷射雷達的組合。所有這些都定義了它周圍的道路。你可以在今年的消費電子展上閱讀我們的報告中關於所有這些的更多細節。
車內的數據采集也在繼續,包括座椅上的壓力傳感器,用於統計乘客人數,方向盤上的觸摸傳感器,用於確保手在應該的位置,甚至還有紅外網路攝影機,用於驗證駕駛員是在看路,而不是看手機。
還有更多,包括來自輪胎和懸架傳感器的路況細節,以及來自牽重力和穩定性控制的可用抓地力。
其結果是巨大的資訊量,每小時超過25千兆字節。這比藍光光碟上的4K電影所需的位元率更高!
如何在車內保護數據?
在車內來回傳輸所有數據是一項挑戰,這將推動對汽車網路中越來越多頻寬的巨大且日益增長的需求。您可以在我們關於車內乙太網路的深入報告中閱讀更多資訊。
但是,就像沒有控制就沒有電力一樣,沒有安全就沒有頻寬一樣,謝天謝地,這是這個車內網路新時代越來越重要的一個方面。
高級車載網路使用數據安全協定,如IEEE 802.1AE,通常稱為MACsec(媒體存取控制安全的縮寫)。Michael Kanellos說:「MACsec功能可以防止諸如中間人或入侵等外部威脅。」他是Marvell的分析師關系主管,Marvell是一家主要的汽車網路硬體供應商。他說:「如果黑客試圖將偽造的數據插入汽車系統以控制或命令其發送外部數據,MACsec會阻止它。」
基本目的是確保這些傳感器和汽車處理單元之間傳輸的數據是安全的。重要的是要確保沒有第三方系統在秘密監控這些數據——這就是所謂的窺探——但也重要的是確保數據不會被修改。
例如,你可以想象,如果一個惡意軟體修改了你汽車的GPS天線或雷達傳感器的輸出,會發生什麽。這可以用來引導汽車偏離路線或不對迎面而來的威脅做出反應。
有了數據的數位簽名和專用硬體來保持一切加密,就可以確保車內的所有訊號只到達它們應該去的地方,只到達它們本來應該去的位置。
如何透過空中傳送保護數據?
聯網汽車就是這樣,聯網,通常直接透過內建在汽車中的數據機完成。超過91%的新車包含整合數據機、4G LTE和越來越多的5G,這意味著它們可以高速直接上傳和下載到互聯網。
這種連線通常透過一個稱為遠端資訊處理控制單元(TCU)的元件來處理。Marvell的Kanellos說:「假設這款車有一個5G模組。數據來自外部。TCU將解密和解密。」
這些加密協定類似於用於任何其他安全線上交易的協定,包括使用私鑰加密或授權代幣。我們可以寫一整卷關於這一切是如何運作的,但可以說,任何人在互聯網上窺探這些數據時,都只會看到毫無意義的數位。
假設車內的系統和接收數據的伺服器保持不變,即使不是不可能,也很難解密這些數位。我們已經看到了汽車是如何受到保護的。那些放在貨架上的伺服器是如何得到保護的?嗯,這很復雜。
OEM伺服器上的數據是如何保護的?
一旦數據從雲中返回到汽車制造商伺服器上(它們本身可能實際上在雲中),你就進入了企業網路安全領域,這是一個價值250億美元的行業,它涉及到每一家擁有任何線上業務的全球公司。
有許多方法因網路基礎設施的不同而千差萬別,但有三個共同的概念適用於幾乎每一個安全應用程式:
保密性:這是一個普遍的想法,即數據必須保持安全,防止未經授權使用。這是由最少特權原則等原則擴充套件的,即任何使用者(包括其他系統)只能存取他們絕對需要的數據。因此,例如,一個監控租賃付款的系統不應該能夠存取給定汽車的GPS座標——至少,直到有人遠遠落後於他們的付款,回購人需要知道該去哪裏。
完整性:這是確保給定數據集不被修改的概念。這可能意味著防止未經授權的使用者將這些租賃付款修改為零。
可用性:網路安全的最終核心概念是,那些需要存取數據的系統和使用者必須擁有可用的數據。畢竟,如果一個網路安全系統阻止了網路的使用,那它就是不好的。
這三個通常被稱為「中情局黑社會」,但還有另一個與網路安全相關的術語經常被試圖贏得你信任的公司傳播,那就是匿名化。
你會聽到匿名化被用作解決數據私密問題的靈丹妙藥。這個想法是,當汽車公司或供應商正在跟蹤大量關於你的數據時,「你」是一個抽象的術語,與一些獨特的識別元聯系在一起,理論上無法追溯到實際的你。
事實上,匿名技術往往容易出錯,從而可以辨識真實使用者。
現在,CIA黑社會只是一個非常開放的最佳實踐框架,但在強制要求公司如何處理您的數據時,有一些嚴格的指導方針。好吧,反正在歐洲也有。
2018年,歐盟實施了【通用數據保護條例】(GDPR)。GDPR代表了一套廣泛的規則,規定公司必須如何保護數據,如何允許他們使用數據,以及何時必須處理數據。
多虧了GDPR,你才能看到那些煩人的彈出視窗要求你現在接受cookie。任何想在歐洲做生意的網站都需要明確的授權才能在你點選其頁面時跟蹤你。
世界上許多其他國家也采用了GDPR,包括汽車強國日本和南韓。名單上沒有?不幸的是,美利堅合眾國。但是,即使是在歐洲開展業務的美國公司也必須采取同樣極端的措施來保護您的數據。
然而,如果美國沒有這樣的正式限制,我們在美國伺服器上捕獲的數據永遠不需要清除。根據GuardKnox的Shlisel的說法,這將我們置於危險之中:「沒有完全安全的東西,」他說,並補充說,「任何保護最終都會受到損害。」
當談到保護汽車本身的數位系統時,還沒有什麽正式的措施。但是,這種情況很快就會改變。
網路安全崩潰測試
誰在驗證這些安全系統是否真的有效?目前,這在很大程度上留給了許多安全研究人員和黑客,他們都在仔細研究這些系統,尋找缺陷和弱點。汽車黑客是美國黑帽等主要網路安全會議中越來越受歡迎的一個方面。
不過,很快,制造商的安全措施將按照聯合國第155號條例或聯合國R155提出的更正式的標準執行。除其他外,聯合國R155授權建立一個所謂的網路安全管理系統,即CSMS,該系統將由一個國家的整體交通管理局等機構進行審計。
換言之:適用於所有新車的全球網路安全標準即將出台,而且很快就會出台。
「他們已經確定了一個日期:2024年7月。」Shlisel說。「所以,突然之間,你會看到更大的原始裝置制造商,他們需要介紹他們的車輛,他們需要證明它們是安全的。但你不能只是修補網路安全或在車輛頂部撒一點灰塵。你需要將車輛開發成安全的車輛。」
這與你不能在一輛車上扔幾個安全氣囊,並期望它在碰撞測試中獲得五星級評級大致相同。事實上,Shlisel相信聯合國R155最終將滿足類似的網路安全需求。就像我們有各種國際認證的碰撞測試一樣,Shlisel說,我們很快就會有同樣的網路安全測試。
