和電腦、手機(jī)等智能終端設(shè)備一樣,隨著物聯(lián)網(wǎng)時(shí)代的到來(lái),汽車(chē)、電視等也可能會(huì)面臨病毒和黑客攻擊,智能終端設(shè)備的全生命周期防護(hù)亟待建立。
“物聯(lián)網(wǎng)”時(shí)代,“云”里也許“有壞人”
電腦會(huì)得病毒,智能手機(jī)會(huì)中木馬,平板電腦也會(huì)被攻擊,隨著云時(shí)代的到來(lái),日漸向智能設(shè)備終端發(fā)展的汽車(chē)、電視等家用電器,也一樣可能會(huì)面臨安全的風(fēng)險(xiǎn)。
英國(guó)的通訊領(lǐng)域安全專(zhuān)家Adam Laurie曾經(jīng)通過(guò)電視入侵了所住酒店的系統(tǒng),并由此獲得大量房客信息,包括住房率、房客姓名、賬單、撥打電話(huà)和停留時(shí)間等。
過(guò)了一把“黑客”癮的Adam?。蹋幔酰颍椋迦涨霸谏虾Ee行的國(guó)際前瞻信息安全會(huì)議上分享了自己的這段經(jīng)歷,他說(shuō),從一個(gè)小的漏洞入手,竟然能獲得這么多的信息,完全出乎意料?!霸谖锫?lián)網(wǎng)年代,任何智能終端都將可能成為攻擊對(duì)象,和電腦、手機(jī)不同的是,這些設(shè)備終端大多無(wú)人監(jiān)管也從不更新,一旦被部署了漏洞,在其剩余的使用壽命中都會(huì)一直存在威脅?!?/span>
和其他的“準(zhǔn)”智能終端不同的是,汽車(chē)是一個(gè)更為復(fù)雜的系統(tǒng):一個(gè)普通車(chē)型擁有25到200個(gè)不等的ECU(電子控制單元),高級(jí)轎車(chē)有144個(gè)ECU連接,軟件代碼超過(guò)6500萬(wàn)行,無(wú)人駕駛的軟件代碼超過(guò)2億行;5年之后,每一輛智能汽車(chē)每天產(chǎn)生的數(shù)據(jù)量在4000GB左右。
?。常叮败?chē)聯(lián)網(wǎng)安全中心安全專(zhuān)家劉健皓說(shuō),隨著汽車(chē)中ECU和連接的增加,未來(lái)黑客對(duì)汽車(chē)的攻擊面將大大增加,而車(chē)聯(lián)網(wǎng)時(shí)代的到來(lái),黑客對(duì)汽車(chē)的攻擊可以脫離物理距離的限制,實(shí)現(xiàn)對(duì)千里之外特定汽車(chē)的攻擊,這就給車(chē)聯(lián)網(wǎng)時(shí)代汽車(chē)安全帶來(lái)了新的考驗(yàn)?!爱?dāng)汽車(chē)被黑客控制之后,不僅駕駛者個(gè)人信息和隱私會(huì)泄露,還會(huì)直接帶來(lái)人身和財(cái)產(chǎn)傷害和損失,甚至直接影響公共安全?!?/span>
事實(shí)上,近年來(lái)已經(jīng)發(fā)生了多起汽車(chē)信息安全事件:2015年7月,兩名美國(guó)黑客遠(yuǎn)程破解并控制了克萊斯勒的JEEP汽車(chē),克萊斯勒因此召回了140萬(wàn)輛汽車(chē);2016年8月,繼此前發(fā)現(xiàn)特斯拉汽車(chē)安全漏洞后,360汽車(chē)安全實(shí)驗(yàn)室通過(guò)傳感器漏洞破解了特斯拉自動(dòng)駕駛系統(tǒng)。
而在國(guó)際前瞻信息安全會(huì)議期間舉行的冬季HackPWN汽車(chē)破解大賽上,來(lái)自上海科技大學(xué)的King團(tuán)隊(duì)僅用了兩分鐘就攻破了汽車(chē)電腦,成功劫持了汽車(chē)的儀表盤(pán),隨意控制儀表盤(pán)上的引擎故障燈。
物聯(lián)網(wǎng)設(shè)備信息安全引發(fā)多方關(guān)注
預(yù)防基于信息系統(tǒng)或者網(wǎng)絡(luò)連接引發(fā)的新型安全隱患,汽車(chē)行業(yè)走在了前面。通用、特斯拉、大眾等多家汽車(chē)廠(chǎng)商通過(guò)公開(kāi)招募安全人員、成立安全公司或者與安全機(jī)構(gòu)合作的方式,來(lái)應(yīng)對(duì)汽車(chē)的信息安全問(wèn)題。
前不久,美國(guó)國(guó)家公路交通安全管理局發(fā)布了《聯(lián)網(wǎng)汽車(chē)最佳網(wǎng)絡(luò)安全指南》,以幫助汽車(chē)制造商應(yīng)對(duì)網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車(chē)帶來(lái)的安全威脅。該指南建議,汽車(chē)制造商在研發(fā)階段就應(yīng)考慮網(wǎng)絡(luò)安全漏洞問(wèn)題。該指南通過(guò)細(xì)則指出如何防止汽車(chē)接入未授權(quán)網(wǎng)絡(luò),保護(hù)關(guān)鍵安全系統(tǒng)和個(gè)人數(shù)據(jù),以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等,并進(jìn)行了廣泛的網(wǎng)絡(luò)安全測(cè)試。
今年10月,中國(guó)汽車(chē)工程學(xué)會(huì)發(fā)布的《節(jié)能與新能源汽車(chē)技術(shù)路線(xiàn)圖》中,信息安全成為智能網(wǎng)聯(lián)汽車(chē)發(fā)展路線(xiàn)圖的重要組成部分,對(duì)汽車(chē)相關(guān)信息安全及汽車(chē)全生命周期信息安全保護(hù)技術(shù)進(jìn)行了明確規(guī)劃。
一項(xiàng)針對(duì)國(guó)內(nèi)汽車(chē)行業(yè)的調(diào)查顯示,信息安全已經(jīng)引起各大汽車(chē)廠(chǎng)商的高度關(guān)注,大多數(shù)汽車(chē)廠(chǎng)商已經(jīng)開(kāi)始著手建立相應(yīng)的體系、采取相應(yīng)措施來(lái)保護(hù)信息安全,但受制于投入、人員、技術(shù)能力和經(jīng)驗(yàn)的不足,仍無(wú)法通過(guò)完善的體系來(lái)保證汽車(chē)整個(gè)生命周期的信息安全。
物聯(lián)網(wǎng)智能終端亟待建立“全生命周期防護(hù)”
Adam?。蹋幔酰颍椋逭f(shuō),廠(chǎng)家需要明白,對(duì)智能終端的安全防護(hù)不僅僅是在生產(chǎn)過(guò)程中的預(yù)防措施,還包括售后使用環(huán)節(jié)的安全防護(hù),智能終端全生命周期的防護(hù)已經(jīng)迫在眉睫。
在國(guó)際前瞻信息安全會(huì)議期間,由互聯(lián)網(wǎng)安全企業(yè)360公司聯(lián)合多家高校、汽車(chē)及零部件企業(yè)組建的跨行業(yè)合作機(jī)構(gòu)360車(chē)聯(lián)網(wǎng)安全中心宣布成立。
?。常叮肮靖笨偛?、首席安全官譚曉生介紹,安全中心旗下?lián)碛校矀€(gè)汽車(chē)信息安全攻防研究團(tuán)隊(duì)、3個(gè)實(shí)驗(yàn)室、1個(gè)聯(lián)合研究院和一個(gè)汽車(chē)信息安全專(zhuān)業(yè)安服團(tuán)隊(duì),除了推出一系列汽車(chē)安全防護(hù)和檢測(cè)產(chǎn)品外,基于安全大數(shù)據(jù)的360車(chē)聯(lián)網(wǎng)安全運(yùn)營(yíng)平臺(tái)目前也已經(jīng)投入運(yùn)行,這一平臺(tái)可以向汽車(chē)行業(yè)和網(wǎng)絡(luò)安全行業(yè)實(shí)時(shí)輸出車(chē)聯(lián)網(wǎng)安全威脅情報(bào),實(shí)現(xiàn)“時(shí)效防護(hù)”。