| 新闻
精彩语录:
可以预测2016年会有越来越多的破解会产生。还有在整车厂或者是我们的供应商,可能会创建更多的有关信息安全方面的职位,他们对安全的投入和产品的投资、预算可能会有增无减。因为现在安全是在智能汽车或者车联网领域的一个不可不讨论的话题或者是不可避免的,再提供给用户更好的出行体验的时候更多的是考虑到安全。
10月14日-16日,由中国汽车技术研究中心和即墨市汽车行业协会联合主办的“中国汽车智能化峰会”在青岛即墨举行,有来自政府、行业、企业以及媒体的300余位业界嘉宾齐聚一堂,共同论辩“汽车智能化变革”,本次峰会将有50余位演讲嘉宾,来聚焦“产业变革时代,汽车智能化的未来”“汽车走向智能移动终端的路径探索”“汽车E时代的一切可能”“汽车网联化发展的机遇与挑战”“汽车智能化技术纵览”等多个智能汽车相关高关注度话题,为行业、企业布局规划发展路线、优化产品布局等传递政策导向及发展方向。
以下是VisualThreat信息安全公司首席信息官严俨发言实录:
说到安全,我们考虑一下我们功能汽车是不是安全的?其实功能汽车还是比较安全的,因为有安全带、安全气囊等等,如果发生了事故,但是大部分原因与我们司机驾驶的熟练度和专注程度造成的。随着我们汽车联网了,是不是安全?大家去考虑这个问题,我不能说它不安全,但是越来越不安全了。随着我们汽车跟外界的X未知因素相连,还有更多的未知应用的同时,也会越来越不安全,也会成为一个正比和反比的趋势。
下面我们今天给大家分享的内容主要是分成五部分,第一个是车联网安全是什么?我们给大家介绍一下在智能汽车和智能交通当中是以什么方式来体现的?目前有什么样的挑战。第二点是我们带大家回顾一下从2010年到2015年所发生的汽车的破解事件。我们不说是攻击,但是的确存在攻击的隐患。我们对这些攻击的事件做了一些分析,也总结了他一些攻击的方式和方法。这样也为我们后续提供,为汽车的一个整个防御系统的必要的条件。第三我们就是做一个预测,在未来,比如说2015年底到2016年,汽车破解的案例可能会越来越多,形势更加的严峻和复杂。第四汽车现在大家厂商可能一开始觉得我是安全的,通过接触式的案例,他去进行汽车的攻击,他接触式的,他是个例,他会漠视或者不以为然,现在安全与不安全已经被证明了。我们的供应商和汽车制造商重方在到如何让我们的智能汽车更安全。最后会跟大家分享一下VisualThreat公司过去对汽车安全研究的成果,我们做了一个系统,给大家看一下我们安全解决方案是什么样的。
2015年这应该是汽车安全史上写下了浓重的一笔,不管是国内的汽车制造厂商还是国际上的比较大牌的一些厂商,我就不一一点名了,他都或多或少或者或严重、不严重的,被某一些黑客和研究人员进行过破解,造成了一些远程的控制或者攻击。其中最重要的和最引人注目的一点,应该就是在今年七月份,克莱斯勒在汽车史上第一次由于远程的攻击和破解召回了140万辆汽车,随后在七月份和八月份陆续召回了更多的汽车,并且是对20万辆汽车提供有条件的收回,这意味着什么了?我们从网上找到一些数据,可以看到这一次汽车破解和攻击,他的波及面是多么的大。两天之后美国高速公路对他进行了处罚,这是真金白银的出发,数据应该不是特别少。这个是什么概念呢?我们也是从网上找的一些数据,包括他的罚金,还有他从召回了140万辆汽车以及有偿收回汽车,这些他所造成的费用可能是占克莱斯勒2014年纯利润的10%到15%,这还不包括这件事情对他品牌造成的严重的影响。接着就是美国一些安全标准的一些行业,还有像美国有一些议员借助这个场景,他们合力推出了有关信息和隐私的安全法案。这个其实针对克莱斯勒事件,其实是三个重拳,起到了什么样的效果呢?其实就像美国KBB是一个比较知名的汽车的调研机构,在美国70%的车主都知道互联网技术不安全,几乎所有的车厂,不管是本土的车厂还是国外的车厂,他们纷纷的在寻找一个汽车解决方案,谁都不会变成下一个克莱斯勒,有很多汽车厂商是没有办法承受的。
另外对于40%的美国的打算去购买下一辆汽车的用户来说,他们40%的会考虑安全,这个安全可能不仅仅是局限于我们的主动安全和被动安全,更多的是信息安全和通讯安全。其实这是一阵风,我们在互联网的行业里面,经常听说了一个风和猪的故事,猪在风口上它会飞起来,但是现在这阵风吹到了我们汽车行业,我们在哪了?所以我们觉得汽车安全、车辆安全在2015年现在,包括在2016年是势不可当的,大家有没有发现一些特点和细小的地方?最近半年到一年的时间,其中每一个厂商会讨论到安全的问题,并没有花很重的或者是很多的精力,很多还是停留在车身的安全。像我们这次大会一样,大家也会发现更多讨论一个车联网智能交通,提高人的用户体验,安全的话题还是比较少,所以今天跟大家分享一下我们公司在安全领域做的一些研究成果。
现在整车厂在研发现在汽车的时候,我相信对安全的顾虑和投资都会加大,在研发新车的过程当中,安全没有作为一个因素被考虑进去,或者很滞后的考虑进去,这样一辆被投放到市场上还是比较令人担心的,尤其是现在的车辆一个联网的机制。在大洋彼岸,在美国,其实美国的很多的整车厂,他们也在东奔西跑,到处参加很多的汽车安全会议,他们也会组成一些汽车安全联盟,集合所有的资源去抵制对汽车安全的攻击。
我们对2016年做了一些预测,到目前为止,在过去的一年破解的案例会越来越多,我们可以预测2016年会有越来越多的破解会产生。还有在整车厂或者是我们的供应商,可能会创建更多的有关信息安全方面的职位,他们对安全的投入和产品的投资、预算可能会有增无减。因为现在安全是在智能汽车或者车联网领域的一个不可不讨论的话题或者是不可避免的,再提供给用户更好的出行体验的时候更多的是考虑到安全。所以我们提供的汽车安全防御的一个思路和定行,那就是防护墙加上云端的管控。
在美国智能汽车成立了四个示范区,比如在硅谷,可能像谷歌、苹果,是以互联网公司为代表,还有以传统汽车为代表的,他们对我们的车联网、智能汽车进行了全方面的测试。
我带大家回顾一下汽车攻击到底是什么?什么时候开始发生的?我们从网上找的一些资料,尽可能的找到最近的一次汽车的攻击,应该是最早的一次,应该是在德克萨斯州,一个员工非常的不服气,这一百多辆车里面的正常功能都失效了,这个可能是我们找到的第一起对企业的恶意的攻击。随后在未来的两年,2010到2011年,美国的华盛顿大学,还有加州的一个研究小组,他们提供了两篇有关车联网的两篇论文,随后大家在汽车破解这个领域,两个比较有名的大拿,他们得到了美国一个资金的援助的项目,在2013年的一个会议上面,这两位黑客就破解了福特和丰田汽车,在当时引起了比较大的轰动。随后在2014年,他们是用物理的设备和接入OBD的汽车,下发一些恶意指令,也可以控制我们传统的汽车。当然2014年7月份,我们VisualThreat公司测试了第一款,我们可以通过手机的应用去控制一些型号的汽车,通过OBD的端口,这样给我们带来什么样的危害呢?因为大家都是有智能手机的,这个病毒式可以通过你的应用是跨平台传播的,如果的手机的应用被感染了,再加上你的车插上了OBD的端口,可能对你的车进行控制,或者注入一些恶意的命令,这也是第一个通过手机端提出进行控制的。
其中有一个特点大家可以关注到,在2013年之前,我们有关汽车攻击的验证,大概都是按半年、一年的顺序来报告的,但是到了2014年,几乎每个月或者一个月之内有多起的事故,到了2015年,大家可以看到后面几乎是每一两个星期会发生这样安全类的事故,而且这些涉及到的车辆不光光是我们的智能汽车,还有我们传统的功能汽车,而且他从价格上的分类也不仅仅是低端的或者是中端的一些或者高端的一些汽车,同样不能幸免。
汽车的攻击演变史,连天上飞的飞机都跑不掉,别说地上跑的了。飞机和汽车同样都是用的chrysler这个框架,美联航一个波音747的系统发现了一个事,说明是非常危险的,并且可以改变飞机的GPS。
这里面大家就分享一下,我们针对汽车破解的或者是攻击的一些案例总结出来的汽车的三个攻击入口,第一个就是进厂攻击,你靠近汽车,通常跟汽车交互应用软件存在漏洞,我们通过蓝牙或者wifi这是重放的攻击,这种危害稍微小一点,但是是普遍存在的。第二个是物理接触,通过我们插入OBD端口,通过这些设备和端口注入恶意的指令,同时还可以刷写他们的固件。第三点现在是比较严重的,并且会是今后的趋势,他的特点是能够从云端产生的,他是远程的,不管你在哪都一样,是云端的,是大规模的,而且是可复制。克莱斯勒发生的事故恰恰是攻击的一个很典型的一个例子。这种也是我们汽车的厂商最担心的一种,因为一旦发生,代驾是相当高的。
我们看一下OBD端口的攻击,这个很简单,插入OBD的盒子,这个盒子应该是2014年10月份,我们公司也会对市场上的OBD的产品进行了分析,不光是中国的,还由美国的,其中发现50%以上,他的OBD都存在严重的漏洞,可以被注入恶意指令。同样2014年11月份,zuble盒子也是这样的,或者用在汽车共享行业的也会有这样的盒子,这些盒子或多或少的也会存在一些安全隐患。
第二种攻击方式就是车载系统与云服务的攻击方式,这是在2015年上半年,其实我们看到了很多从OBD,从蓝牙、wifi、云端传过来的,所以我们当时也设想了,大家可以留意到红色的标志,可能黑客会利用这个攻击产生恶意的指令。其实恰恰我们2015年今年7月份JEEP事件,也大概通过了这样的一个流程。
我这边简单过一下克莱斯勒JEEP汽车黑客事件。为什么会选JEEP呢?因为不是偶然,选择从娱乐系统入手,直接连到CAN总线。另外Uconnect wifi密码保护很弱。第三开放6667端口是开放的,他们就用这个端口就可以控制这些音量,甚至替换娱乐系统上的照片还有其他的功能。到此为止,克莱斯勒不会有太大的问题,没有大的范围可复制性。随后他没有发现在6667可以跟踪任何一辆运行Uconnect的汽车(GPS),这对进行大规模、任意性攻击提供了必要条件。移动运营商允许在一辆车上尝试成功的攻击手段,可以通过运营商网络传播到所有的Uconnect车上。CAN控制器固件被恶意更新。
在这里再给大家总结一下汽车攻击的途径,有四点,一个是我刚才所说的进厂的通过wifi和CAN总线。就是刚才所说的OWNSTAR攻击。第二个是OBD看总线,第三个是OBD盒子漏洞,固件更新,更新之后的固件,可以进行控制。第三点就是通过我们车载娱乐系统,车载娱乐系统也是可以通过刷新路径跟CAN连接进行操作。过去我们经常会听到这些攻击,其实手段和方法大家越来越了解,但是有没有一个比较行之有效的解决方案呢?其实大家都在讨论,包括我们之前参加了一些会,怎么样验证我的车载系统或者我的汽车是安全的?有没有一个公认的第三方的完全的测试机构呢?目前可能没有,这也是为什么我们公司致力于在这里,愿意推出解决方案。
再给大家提供一个测试案例,这个是汽车共享的一个公司,其实大家回顾一下在前面两三个嘉宾给大家分享汽车共享的可能会形成大家出行的一个便利,汽车的共享的公司我们在2014年、2015年做了两次测试,两次系统被全部攻破,所有的数据库里面,所有的信息都会被暴露。大家想象一下如果像黑客登录到这里,可以控制到这些。
汽车攻击态势还是很严峻的,为什么呢?汽车攻击将大规模的爆发,谷歌、硅谷也在挖高端的安全人物,这个还是比较好的捷径。而且现在很多的脚本小子,对汽车黑客崇拜的目光,他们会进行很多的尝试,年轻不知道后果,但是我们知道后果,我们要把它防御起来。而且汽车在一个共享的行业里面,他不再是一个简单的承受者,大家想一下,你平时买的车自己用,但是现在我的车租出去了或者拼车了,有很多陌生人用,这些陌生人不知道我的车上面有什么,这样如果发生了事件,他受到伤害不光光是车主,甚至有可能是拼车、租车的用户。另外如果你的一辆汽车在OBD感染了一些病毒,你到4S店去检测,他们拿着监测仪接上OBD接口,然后所有的都被感染了,这个是你不可控的,也是你不知道的。
这个是我们在2014年做了一个OBD的安全研究报告,不太乐观。车载应用平均有六到七个安全的漏洞,这是比较严重的。有一个最右边的车厂定制,在汽车生产厂商官网上下载的,其实他的漏洞是很高的,还有待提升。现在我们既然发现问题,我们要防御。我们防火墙的防御状态产品是什么呢?我们VisualThreat公司是一个防御框架是三+一,就像国外著名的HARMAN,通过云端给用户提供保驾护航的典范。
这是大家经常听到的美国高速公路委员会,好像很大,什么都听他的,我们刚才也听到了。有一个针对吉普的安全法规提出来的,我们现在安全产品是很好的,可以借鉴他们产出的方向,这个法规他对我们后续的投入市场的汽车油什么要求呢?在美国要求所有的汽车的通讯路口都要有部署安全的产品,这些安全的产品要保护数据的隐私,是防止非法读取。在两年之内,希望这样的安全产品能够成熟,之后所有投入市场之前的车都要经过他的安全的评估,他评估包括安全漏洞的评估,可能相关的应用,还有他的系统,还有他的硬件,还有攻防的措施,定义他的高中低,以及危害的严重性。
防御的要求,我们知道为什么要防御呢?首先要检测到,我们知道这个指令是恶意的、非法的还是合法的?你攻击了我,我不能等着你超我,那就只能挨打了。这样可以形成一套第一时间可以检测,这样车厂跟供应商、用户做出第一时间的反映。阻断一些比较严重的行为不能进入到汽车里面,同样还需要一个系统,把这些所有的数据整合起来,给我们的厂商一个易懂的、标准的、图形化的、可量化的,到底是安全不安全?你告诉我怎么防御?
后面会给大家简单介绍一下,这是我们三加一的安全防御解决方案,保险丝,就跟大家对电子保险是一样的,我不会让你死的,中间是一个防火墙,还有安全的策略,可以很灵魂的配置我们的安全属性和策略。当你在部署远程部件的时候,你要考虑到远程的更新的安全性,因为其他的一些厂商也发生了被攻击的案例。另外智能识别,我们通过采集一些用户的行为习惯,能够知道哪一些是正常和哪一些是不正常的。我们网络测试的框架,对整车,甚至还有一些OBD的端口的测试,大概有八十多个。后面是一分钟让大家简单看一下我的视频。
打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。
2015-10-17 出处:V讯网 [原创] 责编:田大鹏
精彩语录:
可以预测2016年会有越来越多的破解会产生。还有在整车厂或者是我们的供应商,可能会创建更多的有关信息安全方面的职位,他们对安全的投入和产品的投资、预算可能会有增无减。因为现在安全是在智能汽车或者车联网领域的一个不可不讨论的话题或者是不可避免的,再提供给用户更好的出行体验的时候更多的是考虑到安全。
10月14日-16日,由中国汽车技术研究中心和即墨市汽车行业协会联合主办的“中国汽车智能化峰会”在青岛即墨举行,有来自政府、行业、企业以及媒体的300余位业界嘉宾齐聚一堂,共同论辩“汽车智能化变革”,本次峰会将有50余位演讲嘉宾,来聚焦“产业变革时代,汽车智能化的未来”“汽车走向智能移动终端的路径探索”“汽车E时代的一切可能”“汽车网联化发展的机遇与挑战”“汽车智能化技术纵览”等多个智能汽车相关高关注度话题,为行业、企业布局规划发展路线、优化产品布局等传递政策导向及发展方向。
以下是VisualThreat信息安全公司首席信息官严俨发言实录:
说到安全,我们考虑一下我们功能汽车是不是安全的?其实功能汽车还是比较安全的,因为有安全带、安全气囊等等,如果发生了事故,但是大部分原因与我们司机驾驶的熟练度和专注程度造成的。随着我们汽车联网了,是不是安全?大家去考虑这个问题,我不能说它不安全,但是越来越不安全了。随着我们汽车跟外界的X未知因素相连,还有更多的未知应用的同时,也会越来越不安全,也会成为一个正比和反比的趋势。
下面我们今天给大家分享的内容主要是分成五部分,第一个是车联网安全是什么?我们给大家介绍一下在智能汽车和智能交通当中是以什么方式来体现的?目前有什么样的挑战。第二点是我们带大家回顾一下从2010年到2015年所发生的汽车的破解事件。我们不说是攻击,但是的确存在攻击的隐患。我们对这些攻击的事件做了一些分析,也总结了他一些攻击的方式和方法。这样也为我们后续提供,为汽车的一个整个防御系统的必要的条件。第三我们就是做一个预测,在未来,比如说2015年底到2016年,汽车破解的案例可能会越来越多,形势更加的严峻和复杂。第四汽车现在大家厂商可能一开始觉得我是安全的,通过接触式的案例,他去进行汽车的攻击,他接触式的,他是个例,他会漠视或者不以为然,现在安全与不安全已经被证明了。我们的供应商和汽车制造商重方在到如何让我们的智能汽车更安全。最后会跟大家分享一下VisualThreat公司过去对汽车安全研究的成果,我们做了一个系统,给大家看一下我们安全解决方案是什么样的。
2015年这应该是汽车安全史上写下了浓重的一笔,不管是国内的汽车制造厂商还是国际上的比较大牌的一些厂商,我就不一一点名了,他都或多或少或者或严重、不严重的,被某一些黑客和研究人员进行过破解,造成了一些远程的控制或者攻击。其中最重要的和最引人注目的一点,应该就是在今年七月份,克莱斯勒在汽车史上第一次由于远程的攻击和破解召回了140万辆汽车,随后在七月份和八月份陆续召回了更多的汽车,并且是对20万辆汽车提供有条件的收回,这意味着什么了?我们从网上找到一些数据,可以看到这一次汽车破解和攻击,他的波及面是多么的大。两天之后美国高速公路对他进行了处罚,这是真金白银的出发,数据应该不是特别少。这个是什么概念呢?我们也是从网上找的一些数据,包括他的罚金,还有他从召回了140万辆汽车以及有偿收回汽车,这些他所造成的费用可能是占克莱斯勒2014年纯利润的10%到15%,这还不包括这件事情对他品牌造成的严重的影响。接着就是美国一些安全标准的一些行业,还有像美国有一些议员借助这个场景,他们合力推出了有关信息和隐私的安全法案。这个其实针对克莱斯勒事件,其实是三个重拳,起到了什么样的效果呢?其实就像美国KBB是一个比较知名的汽车的调研机构,在美国70%的车主都知道互联网技术不安全,几乎所有的车厂,不管是本土的车厂还是国外的车厂,他们纷纷的在寻找一个汽车解决方案,谁都不会变成下一个克莱斯勒,有很多汽车厂商是没有办法承受的。
另外对于40%的美国的打算去购买下一辆汽车的用户来说,他们40%的会考虑安全,这个安全可能不仅仅是局限于我们的主动安全和被动安全,更多的是信息安全和通讯安全。其实这是一阵风,我们在互联网的行业里面,经常听说了一个风和猪的故事,猪在风口上它会飞起来,但是现在这阵风吹到了我们汽车行业,我们在哪了?所以我们觉得汽车安全、车辆安全在2015年现在,包括在2016年是势不可当的,大家有没有发现一些特点和细小的地方?最近半年到一年的时间,其中每一个厂商会讨论到安全的问题,并没有花很重的或者是很多的精力,很多还是停留在车身的安全。像我们这次大会一样,大家也会发现更多讨论一个车联网智能交通,提高人的用户体验,安全的话题还是比较少,所以今天跟大家分享一下我们公司在安全领域做的一些研究成果。
现在整车厂在研发现在汽车的时候,我相信对安全的顾虑和投资都会加大,在研发新车的过程当中,安全没有作为一个因素被考虑进去,或者很滞后的考虑进去,这样一辆被投放到市场上还是比较令人担心的,尤其是现在的车辆一个联网的机制。在大洋彼岸,在美国,其实美国的很多的整车厂,他们也在东奔西跑,到处参加很多的汽车安全会议,他们也会组成一些汽车安全联盟,集合所有的资源去抵制对汽车安全的攻击。
我们对2016年做了一些预测,到目前为止,在过去的一年破解的案例会越来越多,我们可以预测2016年会有越来越多的破解会产生。还有在整车厂或者是我们的供应商,可能会创建更多的有关信息安全方面的职位,他们对安全的投入和产品的投资、预算可能会有增无减。因为现在安全是在智能汽车或者车联网领域的一个不可不讨论的话题或者是不可避免的,再提供给用户更好的出行体验的时候更多的是考虑到安全。所以我们提供的汽车安全防御的一个思路和定行,那就是防护墙加上云端的管控。
在美国智能汽车成立了四个示范区,比如在硅谷,可能像谷歌、苹果,是以互联网公司为代表,还有以传统汽车为代表的,他们对我们的车联网、智能汽车进行了全方面的测试。
我带大家回顾一下汽车攻击到底是什么?什么时候开始发生的?我们从网上找的一些资料,尽可能的找到最近的一次汽车的攻击,应该是最早的一次,应该是在德克萨斯州,一个员工非常的不服气,这一百多辆车里面的正常功能都失效了,这个可能是我们找到的第一起对企业的恶意的攻击。随后在未来的两年,2010到2011年,美国的华盛顿大学,还有加州的一个研究小组,他们提供了两篇有关车联网的两篇论文,随后大家在汽车破解这个领域,两个比较有名的大拿,他们得到了美国一个资金的援助的项目,在2013年的一个会议上面,这两位黑客就破解了福特和丰田汽车,在当时引起了比较大的轰动。随后在2014年,他们是用物理的设备和接入OBD的汽车,下发一些恶意指令,也可以控制我们传统的汽车。当然2014年7月份,我们VisualThreat公司测试了第一款,我们可以通过手机的应用去控制一些型号的汽车,通过OBD的端口,这样给我们带来什么样的危害呢?因为大家都是有智能手机的,这个病毒式可以通过你的应用是跨平台传播的,如果的手机的应用被感染了,再加上你的车插上了OBD的端口,可能对你的车进行控制,或者注入一些恶意的命令,这也是第一个通过手机端提出进行控制的。
其中有一个特点大家可以关注到,在2013年之前,我们有关汽车攻击的验证,大概都是按半年、一年的顺序来报告的,但是到了2014年,几乎每个月或者一个月之内有多起的事故,到了2015年,大家可以看到后面几乎是每一两个星期会发生这样安全类的事故,而且这些涉及到的车辆不光光是我们的智能汽车,还有我们传统的功能汽车,而且他从价格上的分类也不仅仅是低端的或者是中端的一些或者高端的一些汽车,同样不能幸免。
汽车的攻击演变史,连天上飞的飞机都跑不掉,别说地上跑的了。飞机和汽车同样都是用的chrysler这个框架,美联航一个波音747的系统发现了一个事,说明是非常危险的,并且可以改变飞机的GPS。
这里面大家就分享一下,我们针对汽车破解的或者是攻击的一些案例总结出来的汽车的三个攻击入口,第一个就是进厂攻击,你靠近汽车,通常跟汽车交互应用软件存在漏洞,我们通过蓝牙或者wifi这是重放的攻击,这种危害稍微小一点,但是是普遍存在的。第二个是物理接触,通过我们插入OBD端口,通过这些设备和端口注入恶意的指令,同时还可以刷写他们的固件。第三点现在是比较严重的,并且会是今后的趋势,他的特点是能够从云端产生的,他是远程的,不管你在哪都一样,是云端的,是大规模的,而且是可复制。克莱斯勒发生的事故恰恰是攻击的一个很典型的一个例子。这种也是我们汽车的厂商最担心的一种,因为一旦发生,代驾是相当高的。
我们看一下OBD端口的攻击,这个很简单,插入OBD的盒子,这个盒子应该是2014年10月份,我们公司也会对市场上的OBD的产品进行了分析,不光是中国的,还由美国的,其中发现50%以上,他的OBD都存在严重的漏洞,可以被注入恶意指令。同样2014年11月份,zuble盒子也是这样的,或者用在汽车共享行业的也会有这样的盒子,这些盒子或多或少的也会存在一些安全隐患。
第二种攻击方式就是车载系统与云服务的攻击方式,这是在2015年上半年,其实我们看到了很多从OBD,从蓝牙、wifi、云端传过来的,所以我们当时也设想了,大家可以留意到红色的标志,可能黑客会利用这个攻击产生恶意的指令。其实恰恰我们2015年今年7月份JEEP事件,也大概通过了这样的一个流程。
我这边简单过一下克莱斯勒JEEP汽车黑客事件。为什么会选JEEP呢?因为不是偶然,选择从娱乐系统入手,直接连到CAN总线。另外Uconnect wifi密码保护很弱。第三开放6667端口是开放的,他们就用这个端口就可以控制这些音量,甚至替换娱乐系统上的照片还有其他的功能。到此为止,克莱斯勒不会有太大的问题,没有大的范围可复制性。随后他没有发现在6667可以跟踪任何一辆运行Uconnect的汽车(GPS),这对进行大规模、任意性攻击提供了必要条件。移动运营商允许在一辆车上尝试成功的攻击手段,可以通过运营商网络传播到所有的Uconnect车上。CAN控制器固件被恶意更新。
在这里再给大家总结一下汽车攻击的途径,有四点,一个是我刚才所说的进厂的通过wifi和CAN总线。就是刚才所说的OWNSTAR攻击。第二个是OBD看总线,第三个是OBD盒子漏洞,固件更新,更新之后的固件,可以进行控制。第三点就是通过我们车载娱乐系统,车载娱乐系统也是可以通过刷新路径跟CAN连接进行操作。过去我们经常会听到这些攻击,其实手段和方法大家越来越了解,但是有没有一个比较行之有效的解决方案呢?其实大家都在讨论,包括我们之前参加了一些会,怎么样验证我的车载系统或者我的汽车是安全的?有没有一个公认的第三方的完全的测试机构呢?目前可能没有,这也是为什么我们公司致力于在这里,愿意推出解决方案。
再给大家提供一个测试案例,这个是汽车共享的一个公司,其实大家回顾一下在前面两三个嘉宾给大家分享汽车共享的可能会形成大家出行的一个便利,汽车的共享的公司我们在2014年、2015年做了两次测试,两次系统被全部攻破,所有的数据库里面,所有的信息都会被暴露。大家想象一下如果像黑客登录到这里,可以控制到这些。
汽车攻击态势还是很严峻的,为什么呢?汽车攻击将大规模的爆发,谷歌、硅谷也在挖高端的安全人物,这个还是比较好的捷径。而且现在很多的脚本小子,对汽车黑客崇拜的目光,他们会进行很多的尝试,年轻不知道后果,但是我们知道后果,我们要把它防御起来。而且汽车在一个共享的行业里面,他不再是一个简单的承受者,大家想一下,你平时买的车自己用,但是现在我的车租出去了或者拼车了,有很多陌生人用,这些陌生人不知道我的车上面有什么,这样如果发生了事件,他受到伤害不光光是车主,甚至有可能是拼车、租车的用户。另外如果你的一辆汽车在OBD感染了一些病毒,你到4S店去检测,他们拿着监测仪接上OBD接口,然后所有的都被感染了,这个是你不可控的,也是你不知道的。
这个是我们在2014年做了一个OBD的安全研究报告,不太乐观。车载应用平均有六到七个安全的漏洞,这是比较严重的。有一个最右边的车厂定制,在汽车生产厂商官网上下载的,其实他的漏洞是很高的,还有待提升。现在我们既然发现问题,我们要防御。我们防火墙的防御状态产品是什么呢?我们VisualThreat公司是一个防御框架是三+一,就像国外著名的HARMAN,通过云端给用户提供保驾护航的典范。
这是大家经常听到的美国高速公路委员会,好像很大,什么都听他的,我们刚才也听到了。有一个针对吉普的安全法规提出来的,我们现在安全产品是很好的,可以借鉴他们产出的方向,这个法规他对我们后续的投入市场的汽车油什么要求呢?在美国要求所有的汽车的通讯路口都要有部署安全的产品,这些安全的产品要保护数据的隐私,是防止非法读取。在两年之内,希望这样的安全产品能够成熟,之后所有投入市场之前的车都要经过他的安全的评估,他评估包括安全漏洞的评估,可能相关的应用,还有他的系统,还有他的硬件,还有攻防的措施,定义他的高中低,以及危害的严重性。
防御的要求,我们知道为什么要防御呢?首先要检测到,我们知道这个指令是恶意的、非法的还是合法的?你攻击了我,我不能等着你超我,那就只能挨打了。这样可以形成一套第一时间可以检测,这样车厂跟供应商、用户做出第一时间的反映。阻断一些比较严重的行为不能进入到汽车里面,同样还需要一个系统,把这些所有的数据整合起来,给我们的厂商一个易懂的、标准的、图形化的、可量化的,到底是安全不安全?你告诉我怎么防御?
后面会给大家简单介绍一下,这是我们三加一的安全防御解决方案,保险丝,就跟大家对电子保险是一样的,我不会让你死的,中间是一个防火墙,还有安全的策略,可以很灵魂的配置我们的安全属性和策略。当你在部署远程部件的时候,你要考虑到远程的更新的安全性,因为其他的一些厂商也发生了被攻击的案例。另外智能识别,我们通过采集一些用户的行为习惯,能够知道哪一些是正常和哪一些是不正常的。我们网络测试的框架,对整车,甚至还有一些OBD的端口的测试,大概有八十多个。后面是一分钟让大家简单看一下我的视频。
京公网安备 11010502024884号
