目录
1.漏洞获取途径汇总
2.CAVD的漏洞管理规则简析
2.1 通用术语简介
2.2 漏洞评分指标
2.3.1 场景参数
2.3.2 威胁参数
2.3.3 影响参数
2.3 漏洞等级判定
3.小结
在汽车网络安全的时代背景下,作为一直从事车控类ECU基础软件开发的软件dog,一直在找切入点去了解车联网产品的各种网络安全知识。
1.漏洞获取途径汇总
AUTO-ISAC:成立于2015年,是国外OEM共同维护的一个汽车网络安全全球信息共享pingtai 。国内对应的就是C-AUTO-ISAC,旨在团结整车企业、零部件企业和安全公司等行业力量,推进汽车行业信息安全能力建设,促进汽车行业安全舆情共享,建立汽车信息安全研究生态体系。它运营的汽车行业专用漏洞数据库(CAVD),漏洞数量达2000以上,网址如下:车联网产品安全漏洞专业库
I Am The Cavalry:致力于提高汽车和医疗设备等物联网设备安全性的非营利组织,提供关于汽车网络安全的威胁情报和建议,下图为国际OEM\Tier 1的PRIST链接:
IACR(International Association for Cryptologic Research):属于自己没事翻翻的网站,可以看到很多以前的漏洞报告、论文等,比如著名的Model X :My other car is your car CVE(Common Vulnerabilities and Exposures):公开的漏洞和安全问题数据库,其中包含了许多与汽车网络安全相关的漏洞信息。
2.CAVD的漏洞管理规则简析
2.1 通用术语简介
汽车漏洞(Vehicle vulnerability):是在智能网联汽车相关的硬件、软件、协议的具体实现或系统安全策略上存在的缺陷, 可使攻击者能够在未授权的情况下以远程、短距离或接触的方式进行访问或破坏系统,造成人身、 财产的危害或有价值信息的泄漏等危害。
2.2 漏洞评分指标
2.3.1 场景参数
技术掌握TM:指攻击者对于漏洞的掌握程度和技术能力水平,分为低中高三个等级,对应废纸1、3、10; 车辆状态VC:指车辆行驶状态,分为停止(0)\低速(0-20)\中速(21-40)\相对高速(40-80)\高速(80以上),对应分值1、2、4、7、10; 攻击区域AA:指单车、单一车型、超过一种车型,对应分值1、7、10
2.3.2 威胁参数
窗口WD:指攻击途径,分为远程、近程、本地、物理接触,对应分值10、8、6、5;其中比较容易混淆的是本地和物理接触,本地指使用App本地登录,需要用户去下载授权恶意内容,物理接触指的是例如通过OBD口对总线进行攻击; 知识技能KS:发动攻击需要的知识技能程度,分为 业余、熟练、汽车安全专家、多领域专家,对应评分:10、5、2、1;举个例子,当一个漏洞需要攻击者不同专业领域的知识才能被利用,显而易见这个难度就很大了,评分相应比较低; 设备EM:发动攻击时所需要的设备,分为:公开软硬件、公开专用软硬件、定制软硬件、多种定制软硬件,对应评分:10、7、3、1 攻击范围AS:指利用漏洞攻击汽车电控组件的个数,分为单一、多个、几乎全部,对应评分1、7、10
2.3.3 影响参数
人身安全PS:分为无伤害、轻度、严重、生命威胁四类,对应0、3、7、10; 财产PP:汽车受到攻击后,对OEM、供应商、个人的财产损失综合,分为无、单车财损、多车财损、OEM\供应商\国家汽车行业巨大财损,对应0、2、6、10; 操作OA:指引发汽车功能方面意想不到的问题,分为无、对娱乐操作影响、对车身操作影响、对动力控制操作影响,对应0、2、4、10; 隐私PA:指漏洞对于个人隐私数据的影响,包括无隐私数据损失、侵犯个人账户隐私、侵犯多人账户隐私、侵犯车型、OEM甚至全部OEM相关账户隐私 公共安全及法规:指对周围公共安全造成危害,破坏法律法规引起的损失综合,分为不产生损失、不造成社会危害但破坏法律法规、造成轻微社会危害、造成严重社会危害且破坏法律法规,对应分值0、2、6、10