腾讯办了场「互联网安全峰会」,但也没忘了关爱汽车网络安全

· Nov 11, 2016 333

这两天的北京国家会议中心,一群人聚在一起在讨论一件大事:互联网安全,这是由腾讯主办的第二届中国互联网安全领袖峰会。 作为一家汽车科技媒体,我们也参加了这次互联网安全领袖峰会。毕竟,随着越来越多的汽车联网,网络安全(Cyber Security)显得越来越重要。 刚进入主会场,你就能看到腾讯科恩实验室前段时间破解的特斯拉,当时 GeekCar 对其进行独家报道。这次破解,是全球首次实现以「远程无物理接触」的方式成功入侵了特斯拉汽车。 随着物联网(IOT)时代的来临,能联网的终端越来越多,而车联网也是其中一个小生态。相对于其他 IOT 设备来说,汽车的网络安全更关乎人身安全。除了针对特斯拉的攻击外,还有更早的 Jeep 自由光被黑事件。 其实腾讯科恩实验室针对智能汽车的这次白帽子行为,也是为了提醒广大汽车厂商,在不断推进新技术的过程中,千万别忘了网络安全这件事。 举例来说,很多车企都说要向「 出行服务商」 转型,就拿最常见的分时租赁项目来说,网络安全如果出现问题,用户个人信息泄露、车辆被盗等都是有可能发生的。这时候车企如何理解、解决汽车网络安全问题,就变得非常重要。其实目前来看,不少车企都是缺乏网络安全基因的。 对于专业的网络安全团队来说,要想和车企达成合作,首先要去说服他们汽车网络确实是有 bug 的,其实他们也正在做这件事,比如对各种车型的白帽子行为。其次,网络安全团队也需要「 懂车」,毕竟互联网安全和车联网安全是两个层面的事。 腾讯科恩实验室总监吕一平说,对于信息安全企业来说,需要明白如何更好的理解汽车行业的需求,如何用汽车行业的语言去沟通交流。 其实汽车网络安全,不仅仅要依靠车企和网络安全公司,政府和电信运营商也是很重要的一环,信息的共享非常重要。要找到真实的攻击者,就得追根溯源,而真实情况是攻击者往往通过第三方 IP 来展开攻击。有演讲嘉宾透露,近些年大量云产品服务上线后,传统物理边界被模糊,比如滴滴就曾遭受过来自外部云服务商发起的攻击。 可以预见的是,随着用车人群越来越年轻化,出行方式越来越互联网化,和汽车相关的网络安全会变得越来越重要。这并不是未雨绸缪,它就像我们买保险一样,需要的时候才会体现出价值所在。不过好在现在互联网圈里的人,也开始讨论汽车网络安全这件事了。 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 欢迎关注 GeekCar 微信公众号:  GeekCar 极客汽车  (微信号:GeekCar)& 极市  (微信号:geeket)。  

汽车越来越智能,bug 也越来越多,专家们都是怎么看的?

· Nov 10, 2016 333

在这个万物互联的年代,越来越多的设备开始联网,包括汽车。汽车一旦接入网络,用户确实是爽了,但同时也打开了一个潘多拉魔盒。 现在的「 汽车安全」 这个话题,不仅包括汽车本身的结构安全,更重要的还有网络安全(Cyber Security)。在今天的腾讯互联网安全领袖峰会上,主办方专门开设了一个「 智能汽车安全分会场」,GeekCar 也是这个分会场的协办方。 参加这个分会场的嘉宾和观众,主要来自车企、互联网公司、高校和咨询公司,基本涵盖了未来汽车网络安全领域的所有参与者。 越智能,也意味着越多的 bug 如今的汽车行业有点像当年的手机行业,正在由「 功能机」 向「 智能机」 转变,功能越来越多,bug 也越来越多。不过汽车和手机还不一样,手机有 bug 顶多炸了,但汽车一旦被黑,就有可能出人命。 一套完整的汽车系统非常复杂,代码有一亿行。在这一亿行代码中,可能会有上万个 bug。目前已经被白帽子远程入侵成功的车型,包括 Jeep 自由光、特斯拉。 腾讯科恩实验室薛伟透露,最近也有黑客在研究荣威 RX5,通过挟持手机 App 来让车打开车门车窗。 关于针对汽车的攻击,就连 TPMS 胎压监测也可能成为入口,比如黑客可以侵入 TPMS 系统,让胎压显示值过低。在一些高档车上,胎压过低就会自动刹车,从而对用户造成危险。 同样,黑客也可以入侵自动紧急刹车系统,通过向汽车发送错误的雷达信号,来让车辆做出错误的判断。 至于我们常提到的 V2X 技术,其实也有被黑的风险。举例来说,V2V 技术普及后,黑客可以伪装成普通交通参与者,向路面其他车辆发送错误的车型、位置和速度信息,造成交通混乱。 面对种种漏洞,其实车企已经有所行动。在自动驾驶方面最为激进的特斯拉,建立了一套完善的反馈机制,并设立了专门的基金来奖励发现 bug 的团队,从一千到一万美元不等,这也是很多互联网公司鼓励白帽子发现 bug 的做法。 除了特斯拉,北汽集团在智能驾驶方面也非常积极,而且非常注重汽车的网络安全。北汽集团新技术研究院荣辉说,北汽要打造的是「 闭环的安全性」,研发团队一半人员都不是传统车企从业者。 举例来说,北汽的无人驾驶系统使用了龙芯,虽然性能和可靠性还未达到车规级要求,但「 用得放心」,未来双方也会有深度合作。所谓「 用得放心」,指的是信息安全,因为也曾有美国芯片厂商向它推销芯片产品,但无法 100%保证没有后门程序。 在未来,北汽的无人驾驶系统的顶层是开放的,中间有「 中间件」,把顶层和底层系统隔离开来。 在我们看来,选择和龙芯合作,也意味着选择了一条比较艰难的路,毕竟现在车载芯片领域壁垒还是较高的。很多国际一线厂商包括英特尔、英伟达、高通等公司,在消费级芯片上取得了成功的基础上,也在向汽车芯片领域进发。 另外,「 顶层」 开放就意味着更多的攻击机会,所谓的「 中间件」 足够安全吗?这对北汽的汽车网络安全系统提出了很高的要求,并且已经给出了成熟的解决方案。 汽车网络安全,别只依靠车企 虽然提起中国车企大家都是一声叹息,但智能汽车时代的来临,也给中国带了机会,也就是所谓的「 弯道超车」。 罗兰贝格汽车行业中心专家时帅为我们列举了智能汽车时代,车企应该辩证思考的 5 个问题: 1. 是否应该或可以从哪个领域切入智能网联汽车安全的市场,是汽车网络安全的硬件、软件解决方案还是服务? 2. 如何切入该市场,是自主开发系统性解决方案,还是寻求借力于日益开放的生态圈中的合作伙伴的能力?或是以收购的方式获得能力? 3. 应当与谁合作共赢实现安全问题的解决并创造价值?是整车生产企业,TSP 供应商,还是互联网公司? 4. 何时是最佳的市场机遇?能够快速地覆盖多数消费者并建立竞争优势? 5. 应该以何种方式对相关的安全产品、解决方案与服务进行定价?相关收费产品应当找谁买单? 目前来看,大多数车企依然在忙着解决智能汽车的技术问题。面对网络安全,精通机械制造的车企,是缺乏网络安全基因的。面对这样的状况,车企如何认识和理解汽车的信息网络安全,愿意不愿意成立专门的安全部门或联合第三方安全团队来搞定这件事,是个问题。 其实在智能汽车来临之前,无论是汽车网络安全还是新技术的推动,政府扮演着很重要的角色。在这一点上中国很有优势, 因为中国有强有力的政府领导力。具体包括两方面,一是智能汽车安全标准、通讯协议的统一;二是智能汽车所需的 V2I 技术所需的基建设施,需要由政府来推动,其实中国已经拥有了很强的基建设施建设能力。 总之,如何让智能汽车的网络变得更安全,不仅是车企的事,还涉及到政府相关部门、汽车零部件供应商、车联网服务运营商等等。 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 欢迎关注 GeekCar 微信公众号:  GeekCar 极客汽车  (微信号:GeekCar)& 极市  (微信号:geeket)。

记一次汽车白帽黑客的「线下面基」

· Aug 19, 2016 333

对于很多人来说,「 白帽子」 黑客们往往只是存在于网络中的「 谜一样的人」。我们大多只能从曝光的各种安全新闻中了解到他们的光辉事迹。 因此,很多安全性质的会议就成了他们不多的露面机会。在刚刚结束的 Hackpwn 安全极客狂欢节上,我就见到了不少汽车安全领域的大神。比如浙江大学的徐文渊和 360 汽车信息安全实验室负责人刘健皓,他们不久前在美国 Defcon 黑客大会上演示了 针对特斯拉自动驾驶功能的破解 。 有哪些「 黑客」 技术? 「 黑客们」 的线下面基,技术交流肯定是不变的主旋律。在现场,徐文渊和刘健皓再次向我们展示了对特斯拉自动驾驶系统的破解。这种通过「 欺骗」 传感器实现的破解,在现场所有展示中显得有些「 高大上」,毕竟不是谁都有一辆能够半自动驾驶的特斯拉。 不过,现场的另一些破解手段离我们日常生活更近一些。 比如,现场的汽车破解比赛,就邀请了四组团队同时通过 CAN 总线、OBD 接口,读取车辆的动作数据(例如开关车门、亮灯等等),之后反向模拟出同样的信号,控制对应功能。这个比赛考验的其实是团队能否尽可能快且多的完成对车辆各种功能的反向控制。 当然,这种破解方式在实际生活中的可操作性不高。毕竟首先这需要和汽车总线有物理接触、并且车辆本身的网关也会有一定的防护能力。主办方也表示,这次比赛的更大意义在于游戏性质,想让更多人参与进来。 不过现场展示的另一种车辆漏洞,危害性可能更大一些。由于我不是专业技术出身,所以不能详细说明其中的技术细节。简单说,这利用了遥控钥匙本身传输信号时的漏洞,破解滚动码之后进行复制。对于很多车辆来说,这类漏洞都是存在的,甚至在某宝上也有不少类似的破解工具。 有意思的是,在 Hackpwn 现场展示的几种破解方式,分别代表了不同的技术路线。 这三种方式的突破点,分别是传感器、钥匙、汽车总线。显然,无论是从实施难度、危害范围、影响力等方面考虑,这三种方式的危害程度都不在同一水平线上。当然,我们也不用过分担心,毕竟这些技术只是掌握在少数人手中,展示出来只是为了技术交流。从车厂的角度看,他们也在不断增强对汽车安全的防护。 更「 温和」 的气氛 还记得去年,GeekCar 也参加了 Hackpwn 的活动。在那次活动上,360 的技术团队「明目张胆」的挑战了一把某车厂的云服务漏洞。最终,这家车厂选择直接关闭云服务,「化解」了这次攻击。虽然单个品牌的反应不能代表所有车厂,但也说明车厂对安全问题还是相对谨慎的。 虽然从出发点看,这些安全团队「 破解」 汽车是为了增强车厂的安全意识,顺便赚取一些咨询和顾问费用,但是从车厂一直以来略显保守的处事方式看,显然不能一时半会儿就轻易接受外人建议并且改进。 不过一年之后,这种情况出现了明显的变化。和去年相比,今年 Hackpwn 的最大变化体现在一个细节——现场展示的被破解车型,都被遮挡了所有的品牌露出和车标。一直以来弥漫在攻防双方之间的「 火药味」,也随着这样的行为显得不明显了。 虽然这么做对于品牌遮挡没有实际作用,但背后的意义绝对巨大。这表明,攻防双方的关系进入了一个相对缓和的阶段。安全团队不再激进打脸车厂,反而主动示好。事实上,这是因为他们意识到,汽车安全这件事,背后的主要推动者还是车厂和供应商。因此,把关系搞得太僵显然对双方都没好处。 双方的合作比去年也有了明显的进展。不久前,360 汽车信息安全实验室就和某个品牌达成了关于汽车安全方面的合作。随着汽车联网、智能化、自动化程度的加深,这类合作也会越来越多,越来越深入。并且,车厂在未来很有可能会建设自己的安全团队。从这个角度看,Hackpwn 上的汽车破解比赛,也能让很多技术团队、个人有更多机会把自己的技术展示出来,增加双方合作的可能。 总之,在汽车安全这件事上,安全团队和车厂正在逐渐靠拢,这对双方以及消费者来说,其实是个三赢的局面。 原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作! 欢迎关注 GeekCar 微信公众号:  GeekCar 极客汽车  (微信号:GeekCar)& 极市  (微信号:geeket)。

不仅仅是通用 奔驰和宝马也被黑客成功入侵

· Aug 19, 2015 333

几周之前,安全研究员、硬件黑客 Samy Kamkar 公布了一款自己组装名为 OwnStar 的小设备,这款设备它可以劫持移动 APPOnStar RemoteLink 的流量,对通用旗下汽车进行远程定位、解锁和启动。而现在,根据最新的情况来看,能够被 OwnStar 劫持的汽车品牌,已经不仅仅局限于通用了。 当时 Samy Kamkar 就表示通用并不是唯一一家面临安全问题的汽车厂商,而现在,Samy Kamkar 就成功的再一次利用 OwnStar 拿下了宝马、梅赛德斯·奔驰、克莱斯勒等其他汽车厂商的车型,甚至还包括了一家名为 Viper 的汽车安全与控制公司产品。这就意味着,OwnStar 已经可以轻易的破解这些品牌的汽车,这对对于宝马、奔驰和克莱斯勒的车主来说可不是什么好消息。   Kamkar 表示,四家公司的 App 包括宝马的 Remote、奔驰的 mbrace、克莱斯勒的 Uconnect,都同样在 SSL 证书验证上存在漏洞,只要手握证书就可以模仿 APP 与远程服务器进行通讯,并实现原 APP 提供的相应的功能,而且这些证书并非只是一次有效,其有效期与车主相同,也就是说拿到了这个证书,就相当于获得了车主的管理员权限。 当车主联网并尝试通过 iOS 移动 App 使用车辆控制服务时,OwnStar 工具包通过简单的中间人攻击拦截通信内容。被拦截数据的副本被发送至攻击者。攻击者随后解密该数据并使用用户登录凭证通过与司机相同的移动汽车管理 App 连接至被入侵汽车。 而车主被入侵后,包括家庭住址、电子邮件地址、信用卡信息等都会被黑客获取,同时部分车型还可以被远程控制启动。目前通用已经针对漏洞更新了 App 进行修复,而其它几家公司暂时还未采取措施。 欢迎关注 GeekCar 微信公众号:        GeekCar 极客汽车       (微信号:GeekCar)& 极市       (微信号:geeket)。

在硅谷举办的「智能驾驶峰会」都聊了什么?

· May 04, 2015 333

本文作者是美国 VisualThreat 公司创始人兼 CEO 严威。 2015 年硅谷的房价随着美国纳斯达克指数新高依然任性地上涨,丝毫没有休息的迹象。各大高科技公司申请的新办公楼面积早已超出了当地城市的规划上限,路上的汽车也越来越多。去 Palo Alto 参加美国硅谷「 智能驾驶 2020 年展望峰会」,每每想到这个城市,首先跃入脑海的不是密集的风投公司,而是拥挤不堪的交通。 在对智能驾驶美好前景的憧憬和堵车一个小时车的现实生活的冲突中,我来到了会议地点。 参加这次会议的人数有将近 200 人,来自超过 50 家公司,包括通用,福特,日产,宝马,现代,丰田,博世,哈曼,微软,英特尔,奥迪等。从与会者的名单上看啊,华裔的名字不超过 10%,还是觉得单薄了些。感觉汽车的圈子比安全的圈子还要小。这次意外地遇见了通用汽车华裔高层 Mary Chan,她是通用全球车联网部门副总裁,OnStar 就是她负责的。她是 2014 年 CTIA(美国无线通信和互联网协会)大会特邀嘉宾, 参见我去年发表的那场会议的文章 。 首先是主办方诺基亚成长基金 NGP 的欢迎词,目前全球有 8 以五千万辆汽车跑在路上,汽车数据爆炸性地增长。传统的汽车工业要充分地和硅谷本地固有的 Speed, Software 和 Service 结合起来。未来车联网发展的 3 个领域包括智能驾驶,汽车数据处理和交通生态系统的转变。 下面是 Gartner 咨询公司副总裁 Thilo Koslowski 主题演讲 The future automobile – a 2020 view。 Gartner 作为咨询公司行业的首席品牌,整个演讲的干货也很多。在他们看来在 2015 年会有 1.5 亿辆联网汽车,其中 1 亿辆车是双向通信的。更重要的是 39%受访者表示可以接受下一辆车是无人驾驶车,这将给智能驾驶带来巨大的市场。为此美国电信运营商 Sprint 宣布将提供终身免费的汽车上网计划 : free with lifetime data contract。同时 Thilo Koslowski 提出了类似的观点:硅谷和底特律应该选择合作而不是互相竞争。 同时他也提到目前 TSP 服务商面临的挑战:我们已经经历了 telematics 阶段,在这一领域中已经没有太多在技术上的差别了。下一个阶段是 device to vehicle integration , 即汽车上将出现大量的第三方设备,从而达到真正的车联网终极目标。无人驾驶的发展同样要经历 automated ,autonomous 和 driverless 三个阶段。在车联网创新领域的环节,Thilo Koslowski 同时也再次提到了 OTA 更新技术,这与我之前在底特律参加汽车安全峰会的观点不谋而合。 下面是 GM 通用的演讲 Autonomous driving, intelligently driven – by Greg Ross。 作为最大的 4G 汽车服务商,通用计划在超过 30 种车型上提供 4G 服务,到 2020 年之前将会有 75%的通用汽车将实现联网功能。同时在 2015 年开始在中国市场进行 4G LTE 的推广。Greg Ross 还介绍了 Onstar 的几个应用场景:在车主安全驾驶方面,OnStar 会帮助车主计算安全驾驶分数。对于由于不知道会得多少分而不想签约的客户,通用则改变了策略,让用户授权通用公司使用他们的驾驶数据。如果安全分数高则推荐他们加入 smart driver 计划,可以得到保费 IDE 优惠;如果分数差则给他们提供安全驾驶的建议,且不把他们的安全分数通知保险公司。 在 2017 … 继续阅读

「车联网安全大会」飞驰镁物蔡东:从底层系统谈车联网安全

· Apr 30, 2015 333

「 在防空洞里谈车联网安全,你觉得够 Geek 吗?不管你信不信,反正我是觉得,除非还有人肯带你去雷达基地办活动,否则,我们就是最酷的,没有之一了。」 在这次活动中,我们请来了不少极客小伙伴。今天要讲到的这位,是车联网创业公司飞驰镁物的联合创始人兼首席运营官——蔡东,他将对车联网的底层系统进行剖析,解读车联网安全的痛点。 「 论如何做一个 360 度无死角的黑客」 蔡东以控制车门为例,分析黑客想要对汽车发起攻击,一般会从以下几个方面入手:手机端、TSP(Telematices Service Provider,汽车远程服务提供商)、T-BOX/OBD 盒子以及车机系统(在这里为了描述方便将车机与 T-BOX 分开讲解)。 由于手机端及 TSP 会与 T-BOX/OBD 设备之间形成交互,因此,想要对车辆形成控制,无论是通过攻击 BCM(Body Control Module,车身控制模块)、T-BOX 或是车机系统,其实全部都必须经由 CAN 总线来完成。 「 论如何做一个 720 度的黑客杀手」 首先,从 T-BOX/OBD 的角度来说,可以分为以下几点进行防护: 1. 设备身份识别:要想不被黑,最重要的就是无论黑客把自己伪装成什么样儿,我们都必须准确的判断出它到底是不是我们真正的小伙伴。首要的一点是,T-BOX 需要与后台系统进行端到端的身份识别,只确认对方发来的信息,避免伪造身份指令;其次,准确识别车辆身份也尤为重要,VIN(Vehicle Identificatien Number,车辆识别代码编号)与车辆本身的序列身份相关联。 2. 信息交互:在 T-BOX 与后端进行信息相交互时,首先应确保信息必须加密;其次,信息发送前进行签名认证,接收后进行验签,确保对方是可信收发方;同时,接收信息时应与自己身份做比对,确保所任务执行的正确;最后,信息请求时要增加措施,例如加时间戳或进行高强度加密。 3.CAN-BUS 访问限制:CAN-BUS 具有很多的安全漏洞,需增加限制,保证安全。首先,T-BOX 接受信息与 CAN-BUS 做交互时,必须提前预递,不接受网络传输;其次,信息交互时,尤其是控制信息交互时,要增加条件,例如,执行控制指令时须在车辆停止时进行。 4. 功能隔离、异常情况处理等:举例来说,T-BOX 提供的 Wi-Fi 功能必须与车机控制的核心功能做隔离;车辆在一段时间内持续收到一定强度的非法请求时,设备应开启自动保护,暂停某些关键功能,等车辆在下一次发动时,重新开启相关功能。 其次,从车机安全方面来看,车机系统很重要。 车机系统承载了各种应用的运行,App 的多样导致无法充分保证自身应用的安全。因而对车机底层的操作系统安全性,必须提高到极高级别,以提供足够的安全支撑,隔离一般应用对汽车核心应用得干扰。同时,最好具备远程升级的功能。 蔡东表示:车载系统虚拟化技术,是车机安全的新技术。 为了保证安全,飞驰镁物也在做一些新的探索与实践。通过远程控制及关键交易环节,结合生物因子验证,增强系统安全,例如增加人脸特征识别,声纹识别及心率手环等。 与黑客的博弈正在进行,画出布局是第一步,将其实现,才是关键。车联网安全大会虽然结束了,但战斗,才刚刚打响。

「车联网安全大会」VisualThreat 严威:车联网安全的现状、发展和机遇

· Apr 29, 2015 333

GeekCar 在上海举办的车联网安全活动,让不少人都直呼:这听完之后也太烧脑了!的确,跟黑客作斗争,从来也不是一般人就能干得了的事儿。 不过,就烧脑这事儿,GeekCar 表示,平日里多烧一烧,以后就会更加好用了哦! 在防空洞里,来自美国 VisualThreat 公司的创始人兼 CEO 严威,为大家解析了车联网安全的现状、发展及机遇。 从 2010 年开始的一系列汽车遭受恶意攻击事件来看,汽车被黑的频率以及攻击的门槛之低,都让车联网安全一再成为热门话题。 「 车联网安全测试框架」 VisualThreat 为车联网安全测试勾画了一个大的框架,当汽车遭遇安全危机时,只要通过以下几个检测点进行逐一分析,就能够清晰的找到问题所在。 1.TCU(Telematics Control Unit,电子信息系统控制单元),例如:查找软件漏洞,进行硬件测试,通信协议测试等; 2. 远程云服务,例如:用户及设备认证,远程更新安全等; 3.OBD 设备,例如:OBD 移动端 App 安全测试,通信协议,CAN(Controller Area Network,控制器局域网络)信息测试等等。 「 安全软肋」 通过对一些做汽车共享的公司进行安全测试后,他们发现,遭受 DoS(Denial of Service,拒绝服务)攻击,通行口令未加密,用户认证环节薄弱以及完整的数据泄漏都是车联网安全的软肋所在。 同时,基于远程云信息服务平台的测试,检测出的主要漏洞是在用户认证环节上相对薄弱。未认证的数据通道、发送 CAN 总线信息将系统堵塞导致瘫痪、不安全的通信协议都是导致遭到攻击的主要环节。 而在 OBD 设备方面,协议的漏洞,密钥暴露以及保密性薄弱或未加密是存在极大隐患的。 最后要说到的是与汽车相关联的手机 App 端带来的威胁,实际上,77%的汽车与手机 App 之间的通讯是不安全的,多达 75%的 App 存在着严重的隐私泄露问题,而每种汽车类 App 都有 5-7 种的安全漏洞。 根据 Harman 公司的数据来看,汽车本身的云端数据服务和可接入设备种类正在不断的扩充,同时,传统的车载互联形式也有了新的发展。最近几年,硬件方面有非常明显的提升,但到 2020 年,硬件安全的技术将达到一个顶峰,而软件安全技术还需要大的跨进,并且将持续增长。 「 为你的未来备好铠甲」 车联网安全问题如此严峻,当然会有人想要来解决。 严威给出了几家大公司所做出的解决方案。德尔福把关注点主要放在了入侵网关方面,Denso 则主要是制定白名单,控制远程攻击,将可疑信息提前过滤,并且在 OBD 前端也做一个防火墙,用来认证和过滤。密歇根大学车联网实验室通过增加过滤器和 IDS(Intrusion Detection Systems,入侵检测系统),以及组合网关来进行信息的过滤。Harman 的方案是通过设立网络防火墙抵御来自手机 App 方的病毒。严威表示,IDS 是美国现有的解决方案中最为通传的法则,其实说简单点儿,就是做好监控,不管谁来都一清二楚,遇到威胁还能发出警报。 严威预测,在未来五年,车联网安全的提升将从以下几个方面推进:首先,硬件方面主要是通过设立防火墙来抵御威胁,而在软件方面则是基于 IDS 进行强化;其次,是在 SOTA( Security Over The Air,远程固件升级的安全解决方案)方面,会进行漏洞修复,增加新的安全特征;同时,FOTA(Firmware Over The Air,远程固件更新)的升级也会成为重点,让远程固件升级变得更快更简单,车主无需去 4S 店就能够为自己的汽车进行更新;最后,通过增加算法让 CAN 总线系统变得更加强大也是未来提升的方向之一。 越来越多的安全厂商将应对手机安全问题的方法应用在了汽车上,而每一个沦陷在互联网里得人都能感受到,互联之后的汽车除了它本身的属性之外,更多了一层像是架在四个轮子之上的手机的意味,所以安全法则或许确实通用。但不管怎么样,希望这层铠甲装备的更快一点,毕竟,即使是躲在「 防空洞」 里,有些事儿我们还是应对不了。  

当汽车遇到「黑客」——车联网信息安全研讨会

· Apr 10, 2015 333

五十六年前,尼尔斯·波林成功研制了三点式安全带并在四年后应用于沃尔沃轿车上, 在此之前,交通事故的死亡率比安全带广泛应用后高出 50%;   二十九年前,德国博世公司开发出面向汽车的 CAN 总线协议, 在此之前,汽车还并未拥有数据通信传输的中枢神经;   四年前,特斯拉开始使用以太网进行数据通信, 在此之前,汽车和黑客,这两个词好像从来都不曾被同时提及。   随着汽车越来越高的智能化以及互联网化,它的潜在危险系数也随之增高。汽车安全并不再仅仅处于碰撞测试、硬件上的主、被动安全防护措施阶段,而汽车网络信息安全才是汽车安全的「 新战场」。 宝马公司 ConnectedDrive 安全漏洞能使超过 200 万辆汽车置于黑客风险之中;美国通用汽车公司 OnStar 的安全漏洞可以让黑客远程操控汽车;美国一名 14 岁的小孩仅仅在电子店购买了 15 美元的设备就可以遥控汽车;美国加州汽车用户一纸诉状将福特,通用,和丰田三家汽车公司告上法庭… 我们意识到,这些拥有钢铁躯壳的驾驶机器在这一百多年来还从未「 如此脆弱」;我们同样认为,有必要在这个车联网概念泛滥的时代、在真正的智能汽车到来之前,对汽车网络信息安全有足够多的重视。 所以,我们召集了那些关注并推动车联网安全发展的人:有上海博泰 CEO 沈子瑜、有硅谷第一家车联网安全公司 VisualThreat 的创始人严威、有曾经破解过特斯拉的世界第一名白帽子团队 Keen Team、有飞驰镁物联合创始人兼首席运营官蔡东、有深圳 OBD 以及车联网的元老元征公司的副总裁王志伟… 听他们一一揭开汽车网络信息安全的神秘面纱。 活动主题: 当汽车遇到「 黑客」——车联网信息安全研讨会 活动流程: 一. 活动签到: 12:30——13:00 二. 「 当汽车遇到黑客」 主题演讲  13:00——16:00 Keynote Speaker: 有关 TSP 服务的安全技术展望——沈子瑜(上海博泰电子与博泰网络 CEO)从底层系统谈车联网安全——蔡东(飞驰镁物 联合 创始人兼首席运营官)美国车联网安全发展前沿和国内车企弯道超车——严威(美国 Visual Threat 车联网安全公司创始人&CEO)从 OBD 硬件入口谈车联网安全——王志伟(元征科技 股份有限公司副总裁)信息安全视角看汽车智能化带来的安全风险——吕一平(Keen  碁震公司 COO)(以上演讲主题为拟定,可能会根据实际情况进行适当修改,每位嘉宾演讲时间为 25-30 分钟左右)  三. 圆桌讨论 16:00——16:30 主持人:刘晓贝(博世 软件技术战略合作经理)参与嘉宾:蔡东(飞驰镁物联合创始人&COO)、严威(Visual Threat 创始人&CEO)、蔡亮(Autobot 联合创始人)、吕一平(Keen 碁震 公司 COO)除以上演讲和圆桌讨论的参与嘉宾外,确认参加此次活动的还有来自 阿里巴巴、上海通用、观致、沃尔沃、上汽 等汽车厂商的负责人,以及来自 华为、乐视、思科、博泰、九五智驾、TomTom、梆梆安全 等网络信息安全领域的专家和业内人士。   四. 车联网安全测试联盟闭门会议 16:30——17:30 目前业界没有 能把车联网产品开发和安全攻击测试联系起来的 实际安全测试标准,造成了车联网产品在设计阶段就和汽车安全测试脱节,为以后的安全漏洞埋下了隐患。对于车联网公司而言,他们清楚地知道汽车存在被攻击的危险,但是却找不到安全产品服务商能帮助他们在产品开发过程中发现和解决安全漏洞。换句话说,他们需要的不只是「 告诉我汽车不安全」,而是「 告诉我如何去解决」。 美国车厂和机构已经开始着手推动汽车安全标准和安全联盟的活动,然而他们的安全标准框架比较笼统,缺少细节信息。国内汽车制造商纷纷和互联网公司合作开发下一代的联网汽车,我们需要有自己的标准和联盟。 邀请车联网领域 OBD、TSP、汽车厂商、网络信息安全等有合作意向的企业,共同商讨有关车联网安全的协议框架,有助于及时发现并弥补车联网信息安全漏洞,并达成成立相关联盟的合作意向。 活动地点:ARKHAM SHANGHAI(乌鲁木齐南路 1 号,近衡山路,上海)活动时间:2015 年 4 月 18 日  12:30——18:00  在未来,智能汽车能够给人们带去高效以及便利, 但我们希望,那一行行代码不需要用人们的生命去换取。   报名方式: 1. 直接给 GeekCar 微信号留言:姓名+公司+联系方式,搜索微信号「GeekCar」 关注,或扫描下方二维码。 2. 给 GeekCar 邮箱发邮件:contact@geekcar.net  姓名+公司+联系方式 3. 在「 活动行」 页面报名我们的活动,点击报名 。   GeekCar 微信二维码: