freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

智能车联安全同行,CIS 2019车联网安全技术论坛集锦
2019-11-28 20:44:03

智能网联汽车是汽车与信息、通信等产业跨界融合的典型应用,被认为是全球创新热点和未来产业发展制高点。

11月28日,CIS 2019网络安全创新大会正如火如荼进行中。在上午的车联网安全技术论坛,国汽智联信息安全部总监王建、上海汽车集团网络信息安全总监陈宁两位出品人出席现场,多位汽车行业相关负责人、专家进行了精彩的议题分享,探讨车联网时代下的安全防护技术。

智能汽车终极发展阶段是无人驾驶,车联网则是无人驾驶实现的基础,然而车联网技术应用过程中却会带来信息安全问题。用户隐私、网络通信、黑客攻击等,各类安全问题,防不胜防。

议题一:汽车信息安全中心的后门入口

王建——国汽智联信息安全部总监

如今,已逐渐进入汽车的高科技时代。议题分享一开始,王建先带大家回顾了一下汽车的发展历程,他认为,汽车在朝着电动化、共享化、智能化、网联化的方向发展,这个过程中引入了很多新技术,虽然增加了安全性,但也造成了更多的信息安全威胁。

王建从汽车威胁的一个小点入手,详细分析了智能网联汽车的后门威胁。后门是绕过安全控制而获得对程序或者系统访问权的方法,分成攻击性后门和开发者预留的后门,而后者是人们更为关注的。

王建.jpg

王建

王建还具体探讨了汽车后门的特点,比如形式多样、分步广泛、隐蔽性强等。而汽车后门带给人们的影响也是不容忽视的,比如通过界面的后门,连接USB接口,触发后门,将电脑与汽车连接,这就可能植入木马或者病毒。车辆安全威胁后门是一个非常重要的威胁,应当引起安全人员和厂商的重视。

议题二:整车安全“保恙守策”

陈宁——上海汽车集团网络信息安全总监

2020年底全球智能网联汽车汽车总量250百万辆,自动驾驶汽车运行90分钟产生的数据是4GB,10%的私家车车主会使用共享汽车,50%的纯电动车的比例。陈宁在会上向大家展示的数据表明,随着万物不断对互联网的开发,汽车也更不安全,开放得越多,风险越高。这种新形势也让车厂老板们越来越手足无措。

陈宁在现场分享了他自己的秘籍,一个是“保恙”,一个则是“守策”。何谓保恙,即要正确评估整车安全漏洞。人们常常会遇到的一个很现实的问题是车联网安全到底是网络安全问题还是汽车功能安全问题。陈宁认为,面对这个问题,要确认的是安全原则,保护客户安全应该成为重中之重,人生安全是第一要务。

2222.jpg陈宁

接下来,陈宁谈到“守策”,即整车网络安全的应对策略。他的思路在于应对一个漏洞时,人们该如何解决,该怎么做。他详细分享了四点,第一,要把安全集成到开发里去;第二,防御端要一层层地做;第三,汽车的影响力控制;第四,保证整车开发或者整车运营是安全的。

最后,陈宁说到“只要是人做的东西他是会犯错的,你要有一个应急响应流程或者模型,当涉及安全问题,是否召回车以及怎么确认漏洞对车的影响,是否对车进行不断的复现,如果不会复现的也不能贸然召回所有的。”这些确实都是厂商要面对的很现实的问题。

议题三:车联网信息安全攻防实践

张康——车联网安全技术专家,腾讯科恩实验室

时代巨变,但不变的主题是安全。每个新鲜事物产生的时候,安全都是一个不可忽略的问题。不管是互联网还是车联网的诞生,都伴随着他们的安全属性。数据统计,从2019年开始,全世界在信息安全方面的投入是超过1100亿万美金,由此可见,全世界对信息安全越来越重视。

黑客通过攻击汽车,窃取人们的信息,这新型的潜在风险直接影响的就是人们的人生安全。张康介绍了几种攻击方式,物理接触、OBD方式或者远程USB,以及wifi、蓝牙等,外围设备比如充电桩等,通过不同的攻击手段造成的影响范围不同。

张康举了特斯拉的例子,攻击者可以通过远程无物理接触的方式让特斯拉开启后备箱、开门、喷雨刷等等。具体攻击流程是先通过wifi或者4G的方式连到车内网络,用安全性较低的Linux浏览器,通过线程漏洞拿到了浏览器的代码执行权限,以此执行指令。

张康.jpg 张康

张康还分析了宝马T-box的案例。汽车开发人员更为看重的是汽车的功能测试,确保功能照预期执行,而渗透测试则是站在攻击者的角度,挖掘未知的功能。除了智能网联的案例,张康还分享了自动驾驶汽车中的一些安全问题,比如雨刷的视觉识别缺陷和车道视觉识别缺陷等问题及其产生的后果。

议题四:CNCERT智能网联汽车众测平台与CNVD车联网漏洞库介绍

范乐君——CNCERT实验室软件与车联网安全方向负责人

如今的智能联网汽车产生后,各种问题层出不穷,包括从移动智能终端引入相关问题。

范乐君分析了国内车联网安全的现状。国内的车联网汽车在信息化、智能化的角度某种程度上超越了国外的品牌,相对比较激进,把很多控制功能都加到了汽车的功能里面,如果出现漏洞就会爆发很大的风险,但相应的安全防护水平和对于安全的考虑远远落后于国外的品牌。

关于国内车联网安全的政策法规还不够成熟。国外陆陆续续颁布了行业测试的标准以及调查报告等,在2015年之后比较成熟的标准陆续出台。但是国内网络安全相关的部门从最近两年才开始逐渐的重视车联网的安全问题。企业对于车联网行业甚至都没有安全的概念,更不用说安全团队了。

范乐君.jpg 范乐君

随后,范乐君从技术保障层面分享了他们对于车联网安全的应急响应思路。当前智能联网汽车面临很多问题和挑战,在网络信息安全方面的发展和应急响应方面必须要重视,以实现对车联网网络安全事件的全生命周期管理。

议题五:IDPS在汽车领域的应用

田怡然——ESCRYPT信息安全专家

人们对于IDS(入侵检测系统)作为当前网络安全防护的重要组成部分并不陌生。田怡然在现场和大家分享了IDS如何应用在汽车领域。他认为,信息安全是智能网联汽车最关键的一环,可以从生产制造、车内分布、企业后端服务三个场景开展信息安全工作。

针对这三个场景所开展的工作各有不同。第一个是针对系统和系统的基础设施安全,第二个是要保证车辆的全生命周期,第三个是在公司企业层面的信息安全的体系要有所部署。

田怡然.jpg 田怡然

结语

我们在享受汽车智能化带给我们便捷和舒适的同时,也面临智能汽车所带来的安全问题。黑客利用车联网威胁我们的信息安全,甚至是人身安全。保障智能车辆安全,实现便捷性与安全性之间的平衡。五位演讲嘉宾为大家带来了精彩的议题演讲,具体分析了车联网背后的安全技术布局,以及当前车联网的安全现状,相信这场论坛带给大家不仅仅只是议题的沉醉,更是提高了大家对未来车联网安全的关注,进一步思考安全发展趋势。

CIS 2019大会PPT合辑

链接: https://pan.baidu.com/s/1DDvHRwkGTyM2MnllucqCzw

提取码: n6aq

# 车联网 # CIS # 王建
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者