密切关注车联网安全 中国将成立安全联盟
10月21日,被称为国际信息安全领域发展的风向标的2015SyScan360国际前瞻信息安全会议在北京举行。来自全球的优秀互联网安全专家和顶级黑客,现场展示了亚洲最为顶尖的安全技术。其中,车联网安全成为本次信息安全大会关注的重点。
360公司创始人、总裁齐向东表示,将大数据与网络安全技术结合,从更高的视角、更广的维度上去发现异常、捕获威胁,实现威胁与入侵的快速监测、发现和响应。“在万物互联的时代,安全已经突破了软件、内容、服务等界限,可能会危机到我们的生命。”
齐向东透露,360联合多家机构和车企,筹备成立中国车联网安全联盟,集合全社会的网络安全能力,共同面对和解决汽车的信息系统安全。
在本次大会上中,来自美国的刚刚加入Uber的天才著名黑客查理·米勒和克里斯·瓦拉塞克带来了最新的研究成果,他们将通过演示远程攻击一辆未经改装的工厂汽车。他们首先展示利用汽车的不同硬件将CAN总线的信息发送至关键电子控制单元,分享一些会影响汽车物理系统的信息,最后介绍进行远程汽车攻击的现实问题和限制性。
360公司创始人、总裁齐向东致辞
今年7月,米勒和瓦拉塞克利用车载信息服务系统“UConnect”成功从十英里以外入侵了一辆在高速公路上行驶的吉普切诺基,导致汽车行驶途中失灵,翻到了沟里。自此,黑客带来的威胁正式进入生命威胁层面。随后,克莱斯勒公司宣布召回约140万辆存在软件漏洞的汽车,这也是首例汽车制造商因为黑客风险而召回汽车的事件。
中国黑客在车联网安全领域的研究同样值得一提。来自360的安全专家刘健皓在会上演示了对特斯拉和比亚迪的攻击研究成果,并介绍方法和工具。例如,通过逆向通讯协议来挖掘漏洞,利用汽车app的缺陷来远程控制汽车,还将展示最新的研究发现。
汽车已经成为名副其实的“轮子上的电脑”,2014年的汽车上的电脑,至少车载100台电脑,运行6000万行代码,每小时交换25MB数据。智能化和联网化带来了诸如智能导航、自动驾驶、自动泊车、车与车连接、远程控制、无人驾驶等轻松、经济、便捷、愉悦和智能体验。
然而由于汽车中使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷,汽车行业也因此面临着PC和互联网领域一样日趋恶劣的信息安全形势,黑客攻击、安全漏洞、汽车破解和劫持开始频繁跟汽车关联。
2015年2月美国通用汽车公司OnStar系统被曝安全漏洞,黑客可以利用来远程操控汽车;360宣布发现了特斯拉应用程序的缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。
美国著名黑客米勒和瓦拉塞克在大会上成果演示
2015的HackPWN安全极客狂欢节组委会的安全专家现场曾演示了利用该安全漏洞开启汽车车门、发动汽车、开启后备箱等。比亚迪确认漏洞存在。
频发的安全漏洞和黑客攻击事件表明,汽车的信息系统安全正在直接影响汽车安全,危及公共安全、人身和财产安全。
“传统的安全防护已经无法解决万物互联时代的安全问题!”齐向东强调,360提出用数据驱动安全来解决未来的安全问题。将大数据的方法与现代网络安全技术相结合,通过对各类网络行为数据的记录、存储和分析,可以从更高的视角、更广的维度上去发现异常、捕获威胁,实现威胁与入侵的快速监测、发现和响应。
据悉,中国车联网安全联盟将推动汽车厂商及相关产业链在设计、开发和测试中充分考虑信息系统安全,并推动建立相应规范、标准和体系;推动汽车行业与网络安全行业合作,共同应对和解决不断变化的信息系统安全问题;吸收和帮助第三方的安全研究人员一起参与汽车信息系统安全问题研究和解决。