2014年7月16日,由SyScan主办,360公司承办的SyScan360国际前瞻信息安全会议隆重召开。本次会议上汇集了来自美、意、西、葡等9个地区的18名顶级安全专家,向与会者分享安全领域最新的科研成果,议题涵盖Window、ios、Android系统安全,汽车攻击、云服务攻击等诸多领域。
近年来,“智能化”的普及让人们逐渐习惯了这样高科技给生活带来的便捷,随着智能家居等一系列的产品普及,智能汽车也渐渐驶入了我们的生活。在本次大会中,也特别针对这一话题开展了主题演讲——基于控制器区域网络(CAN)的防攻击汽车设计。
参与本次主题演讲的是领先的移动安全供应商VisualThreat的执行总裁严博士和在嵌入式车载网络和系统上拥有多年的逆向工程经验的PK001。两位业内资深的专家在本场演讲中分享了在ECU、OBD2和CANBUS相关方面的实践经验,同时介绍了如何针对汽车系统进行逆向工程,以及如何去针对真实汽车或汽车系统模拟器建立测试平台。此外还建立了汽车攻击方案数据库,并解释了如何防御每种类型的攻击,同时分享了当前商用车有关的移动产品安全漏洞并共享了新的研究成果。
严博士表示:“汽车攻击离我们很近,而且门槛很低。就目前对现在汽车领域的技术积累,完全可以通过手机应用的发布,让在座的各位几分钟之内变成潜在的汽车攻击者。此外现在汽车厂商需要三到四年才可以获得比较有效的解决方案。
这样的现状让我们颇为担忧,因此严博士强调:移动安全我们应该投入更多的时间。手机我认为是病毒的传输通道,而不是目的地,黑客并没有太大的兴趣在你手机里面爆发,它更多是获取你的信息。像刚才齐向东总裁提到的”威胁到我们生命”。这是现实存在的。我们现在一个是车联网,你手机进入车联网,美国的医疗器材用的医疗总线是一样的,汽车能破解,医疗器械也可以破解,我们现在无路可走,你都在威胁当中。
PK001也提到,目前工程师研究汽车无外乎就是三种情况,三种技术手段。即黑客是怎么样去通过OBD进行攻击呢?它能利用OBD干一些什么事情呢?
PK001了OBD的来源和发展,他表示我们可以通过OBD做更多事情,比如把车灯的打开、后备厢的打开、安全气囊复位,历程表修改等等,这些都是黑客比较喜欢的,也是有一定商业价值的。
严博士最后提到了几种防范方式,帮助广大用户让自己的爱车更加安全:
第一种通过ECU因为认证,这属于汽车厂商的问题,它们花很长的时间才可以跟踪,我们寄于希望。
第二种小的加密,一些小的ECU不能采取一些复杂的东西。
第三种CAN Bus的主线,你如何设置指令让他们出来。
最后严博士和PK001呼吁,移动互联网是随着互联网的发展而出现,有很多的汽车厂商,我们看能不能跟他们合作,把安全这块做起来。以后对汽车的应用开发越来越多,很多汽车应用开发者也会投入大多的时间,在开发的时候如何保证他们放在车里面如何用哪些审计防止漏洞。
