一道智能门锁一道梆梆传统门锁遇到小偷(组图)

“是时候了!(僵尸时间到了)”

无论是电影中被黑客操纵脱离驾驶员控制而发起“自杀式”攻击的丧尸车,还是现实中屡遭黑客攻击的特斯拉、奔驰等豪车,无不向一些人反映了这一点。在某种程度上,与已经发展多年的计算机系统相比,车载系统的安全系数是难以超越的。

因此,随着智能网联时代的到来,车内网、车间网、车内移动互联网三网的安全问题成为摆在各大车企面前的又一难题。

近年来,基于安全情报可以发现,黑客对物联网智能终端和物联网控制程序(包括各种物联网产品控制应用)发起的攻击越来越多,攻击的重点都在这些智能终端上。,控制程序内部的代码,保护程序安全,代码安全是当今最重要的安全任务。

作为早期的移动应用安全服务商,邦邦安全开始考虑将原本面向移动应用的安全防护能力扩展到物联网。基于此,邦邦安全研究院于2016年1月成立,研究物联网和车联网的安全。

然而,任何开始都不会一帆风顺。

与汽车制造商的沟通方式

前段时间有一个关于如何保证门安全的笑话。最理想的方式是使用两把锁,一个是智能门锁,另一个是传统门锁。这样,小偷虽然可以打开传统门锁却无法破解智能门锁,黑客即使破解了智能门锁也无法打开传统门锁。

殊不知,依然存在的传统门锁已经关闭了智能化之路;而如果只使用智能门锁,虽然可以享受到便捷、多功能的服务,却如同打开了潘多拉魔盒,带来了灾难。

车联网需要保护的车门更多。如何实现安全?一方面,安全研究人员对网络的安全隐患了如指掌,经常拿出一套完整的防护方案告诉车厂:嗨,你的车到处漏水。但不能结合汽车内部网络结构进行分解和解释。

另一方面,车厂相当于传统的开锁大师,熟悉汽车内部结构,提供功能安全。但是当这辆车接入互联网时,一切都变得不可控。但汽车厂认为汽车是安全的:为什么?为什么要做这些无用的保护措施。

保险公司加密 黑客_u盘文件加密黑客_黑客攻击公司电脑

为了让他们知道真正的安全问题,我们必须从渗透和破解开始,在此之前,更重要的是系统地学习车载控制系统及其模块功能。

汽车被黑客破解的案例很多,包括特斯拉、奔驰等豪车。对于旁观者来说,各种破解之谜都是强大的。

对于安防公司来说,研究和破解汽车的必要条件是什么??

必备条件之一,车!买一辆车?

Model S是100万,宝马是50万,太贵了。

听说搞物联网安全的公司不赚钱,梆梆安全研究院这么说

那该怎么办呢?做一个“对象”,通俗的说就是合作。因为一个共同的目标,大家走到了一起。你有车,我有技术,共同寻找问题,制造安全门。

双方一拍即合,北汽福田、比亚迪、宇通客车等小伙伴的汽车在邦邦的安全“管理”下进行了实车测试。

第二个要求是获取固件程序。破解智能设备时,必须从其固件入手,从固件中提取程序。安全公司的破解原理和方法可能大同小异。有很多方法和方法。车辆可能具有不同程度的保护。例如,在固件中添加保护机制以防止外部读取,或者固件内部被加密以防止读取。数据。但是,确实有很多现象是直接暴露某个界面而没有密码保护,从而可以轻松提取固件程序。

u盘文件加密黑客_黑客攻击公司电脑_保险公司加密 黑客

第三个要求是恢复得到的程序,进行各种分析,发现BUG。但是破解确实需要一定的思考和灵感,这就是破解者烧脑的地方。现在是各行各业的研究人员做大事的时候了。

记录在小本子里的报告最后一定要交给车厂。破解只是前期工作。真正的重点是发现漏洞后的防御。

端管云防护VS车载网关

羊圈坏了不可怕,还能补吗?如果车子有漏洞,关键是怎么修。

在“填坑”之前,我们先来了解一下车联网的架构。

物联网的典型基础设施是三层“端管云”。智能网联汽车要实现安全运行,还必须实现“端管云”架构的安全保障。也就是说,安全保护应该从多个层面来考虑。除了汽车自身的安全,通信和云安全也尤为重要。

“端”就是做端点安全,包括鉴权等,主要针对汽车端和App端。

陆作华举了一个例子。有一次他们对整辆车进行了安全扫描,发现IVI系统中存在一个缺少安全验证的升级界面。工作人员设计了一个远程木马,通过这个接口植入终端。通过App实现远程控制终端的效果,甚至可以通过该App进一步控制另一辆车。

事实上,很多应用都有漏洞,缺乏验证。在设计之初,很少有人注意到。只有通过各个方面的测试,然后根据测试结果推荐不同的解决方案,比如App加固、App验证增强、App密钥保护措施,另外车侧也是如此,需要做相应的控制程序强化和控制代码混乱。

黑客攻击公司电脑_u盘文件加密黑客_保险公司加密 黑客

“云”意味着安全存储和安全过滤。

卢作华告诉雷锋网家客频道(微信公众号:),在对车厂数据库进行某次检查时,发现云端访问授权验证较弱,攻击者可以进入数据库完全下载所有用户信息对于某款车型,包括姓名、电话、地址等。要知道,大多数购车者都有一定的经济能力,这些信息数据,对于黑色生产来说,富含黄金,经常会被买卖非法高价。

“管道”是指连接云端的通信通道的安全性,使信息能够顺利传输。

有一种黑技术——白盒密钥,常与认证技术相结合,保证通信双方的身份认证。

白盒钥匙最早应用于移动支付领域。2015年下半年左右,移动支付发展迅猛。VISA 推广 HCE 支付系统。标准中写入了白盒密钥以保护密钥和关键数据。白盒密钥系统适用于在没有硬件安全芯片的情况下对密钥提供保护,防止对密钥提取的攻击。

现阶段物联网和车联网系统往往缺乏安全芯片的集成,密钥缺乏强有力的保护。一个小钥匙被破解的后果,往往会导致整个安全防御系统的失效。既然这个黑科技这么好用,能不能移植到智能设备上呢?

当然,不能简单地挪用。要知道,为了满足银行安全的需要,这个钥匙的大小应该在2M以内,但是在车联网防护系统中,如果要实现“一车一密”,钥匙白盒需要优化升级。

难点在于,车载系统的总空间往往很小,有的只有512K,而且必须在上面运行业务系统,留给安全机制和白盒密钥的空间很小。

“我们的目标是将白盒密钥压缩到100k以下!经过科研人员的长期研究,现在这个目标已经实现了!”

保险公司加密 黑客_u盘文件加密黑客_黑客攻击公司电脑

100K有多大?下面动画的大小是600K...

听说搞物联网安全的公司不赚钱,梆梆安全研究院这么说

压缩密钥会降低安全性吗?这是一个稍微尖锐的问题。

事实上,安全与便捷始终是一场博弈,在安全措施和响应速度之间找到平衡变得至关重要。

汽车系统中的总线与各个ECU相连,其通信既不认证也不加密,容易受到黑客攻击。但是,如果在通信中加入某些认证和加密技术,就会降低汽车的灵敏度,产生不可控的延迟,增加汽车的危险性。

是否可以在网关级别采取措施?陆作华开始思考。

请记住保险公司加密 黑客,在美国拉斯维加斯举行的 2016 年黑帽会议上,黑客和克里斯攻击了 2014 款 Jeep Jeep 的电子控制单元,将其中一个单元设置为维护模式,并使用另一个单元发送假货。命令禁用电子控制单元。同时可以设置巡航控制速度,但驾驶员可以通过踩刹车来控制车辆。

一个接口连接两条CAN总线,对它们的攻击可以在车内交叉传播。但如果有车载网关,至少可以做到初始隔离,难以针对总线之间的攻击和传播。

另一个例子是,黑客曾经针对特斯拉攻击其内部网关中的固件漏洞来控制汽车。这说明网关本身的安全性是得不到保证的,所以在制作车载网关时需要考虑两个方面。

u盘文件加密黑客_保险公司加密 黑客_黑客攻击公司电脑

首先,从整体车辆攻击的角度来看,车辆网关需要集成很多安全过滤功能,包括用户信息认证管理、ECU升级、协议转换等。

其次,作为汽车部件,车载网关也会受到直接攻击,如对象提取、侧信道攻击、密钥提取等。它应该如何保护自己?陆作华提出了微边界多重防御系统。

“智能汽车也是一个完整的网络系统保险公司加密 黑客,从网关、网络到系统,再到它的应用、密码、数据,每一层都会有一个微小的边界。我们需要建立一个微边界保护系统,即,进行更细致的密集防护。这类似于互联网的防护模式,从防火墙、服务器防护、PC端防护。同样,在车联网中,边界防护、系统防护、程序防护、数据和密钥防护。”

赚钱不赚钱?不

这是一场拔河比赛。无论是安全公司,还是黑客,结果都可能有所不同。

“对于安防企业来说,研究技术一定要先进,甚至要学会换位思考,开脑洞。但结果一定是前期投入了大量的精力和费用,却很难盈利,但我们必须这样做。”

陆作华还告诉雷锋网,“目前,我们正在与北航交通与管理学院合作研究入侵检测系统,该系统可以检测车辆运行过程中的入侵,实时检测攻击。”

入侵检测系统的实用性如何?甚至专业的信息安全专业人士对此也有自己的看法。这方面的棒棒安全研究起步较早。

陆作华也提出了一个问题,车保的等级是多少?谁也说不清。今年勒索软件的反复爆发,让安全人员开始思考,如果勒索软件被用在车联网上会怎样?车辆是个人财产,但如果被有兴趣的人使用,可能会成为破坏工具。

一家安保公司虽然前期投入大量的人力物力去盈利确实困难重重,但也是一种使命感。力无常,水无常。先占制高点的安全公司和黑客会更多的出现在游戏中。它赢了。

雷锋网原创文章,未经授权禁止转载。有关详细信息,请参阅重印说明。