91麻豆五十路|果冻传媒一区|91制片厂收费吗|国产尤物av午夜精品一区二区|科普一下天美传媒|精品亚洲成a人在线|麻豆传媒映画男优一阿伟|国产精品熟女91九色|麻豆传媒映画映百科全书|自拍区偷拍亚洲最新,精东影业精一禾传媒,麻豆映画传媒安卓下载,糖心系列唐伯虎vlog已更新

【科技日報(bào)】小心,,你的聯(lián)網(wǎng)車 副駕駛可能“坐”著黑客


原文標(biāo)題:小心,,你的聯(lián)網(wǎng)車 副駕駛可能“坐”著黑客

原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-08/15/content_401603.htm?div=-1

  百度公司董事長兼CEO李彥宏曾經(jīng)在兩會(huì)上暢想過智能車的未來:只要把車開上高速,你就能吃著火鍋唱著歌,被車輕輕松松地從北京載到上海,。

  360集團(tuán)董事長兼CEO周鴻祎后來在公開場合“皮”了一下:有一天,,你吃著火鍋唱著歌,,可能智能車就被黑客劫持了,。

  周鴻祎素來喜歡“放炮”,但他描述的畫面,,并非聳人聽聞,。

  前不久,以色列一家汽車聯(lián)網(wǎng)安全公司的CEO阿米·多坦說了這么一番話:自動(dòng)駕駛汽車系統(tǒng)可能會(huì)充滿漏洞且易被黑客攻擊,。

  當(dāng)車輛接入網(wǎng)絡(luò),,也就給了黑客遠(yuǎn)程攻擊的機(jī)會(huì)。360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓被稱為“破解特斯拉第一人”,,他曾發(fā)現(xiàn)特斯拉Autopilot(自動(dòng)駕駛系統(tǒng))存在傳感器漏洞并將漏洞提交給了特斯拉公司的安全部門,。劉健皓在接受科技日報(bào)記者采訪時(shí)表示,漏洞不可避免,,也不可能被完全清除,,信息安全攻防是一場動(dòng)態(tài)的持久戰(zhàn)。

  存在漏洞,、錯(cuò)誤是代碼的通病

  阿米·多坦給出了這樣一組數(shù)字:“聯(lián)網(wǎng)汽車每1800行代碼就會(huì)存在一些錯(cuò)誤,,其中80%是安全漏洞?!彼€表示,,一輛聯(lián)網(wǎng)汽車和一輛自動(dòng)駕駛汽車的潛在安全漏洞數(shù)目分別為5000和15000。

  這是怎么算出來的,?

  北京理工大學(xué)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)研究所所長閆懷志告訴科技日報(bào)記者,,國際著名的CMMI(軟件能力成熟度集成模型)將軟件能力成熟度分為5級(jí),其中1級(jí)最低,,5級(jí)最高,,4級(jí)和5級(jí)的千行代碼缺陷率分別為0.92‰和0.32‰。聯(lián)網(wǎng)汽車“每1800行代碼就存在一些錯(cuò)誤”,,表明其軟件能力成熟度大致在CMMI 4級(jí)和5級(jí)之間,。“雖然聯(lián)網(wǎng)汽車代碼成熟度達(dá)到了較高水平,,但顯然還有一定的提升空間?!遍Z懷志說,。

  閆懷志認(rèn)為,,軟件代碼出現(xiàn)漏洞,是由軟件開發(fā)和應(yīng)用過程中的不正確或遺漏行為所造成的,,也就是在軟件設(shè)計(jì),、實(shí)現(xiàn)或應(yīng)用過程中有意或無意導(dǎo)致軟件架構(gòu)或其具體實(shí)現(xiàn)與期望不符?!奥┒吹某霈F(xiàn)是所有軟件代碼的通病,,不僅僅局限于聯(lián)網(wǎng)汽車與自動(dòng)駕駛應(yīng)用領(lǐng)域?!辈贿^,,漏洞出現(xiàn)的頻率又跟軟件研發(fā)和保障水平密切相關(guān)。比如,,在級(jí)別不同的CMMI研發(fā)保障能力下開發(fā)出來的代碼質(zhì)量和漏洞數(shù)量會(huì)有顯著差異,。“自動(dòng)駕駛軟件屬于典型的工業(yè)應(yīng)用軟件之一,,其安全漏洞的潛在危害性,,尤其是對(duì)人和物理環(huán)境的破壞性都極大,和普通軟件的危害不能同日而語,?!遍Z懷志強(qiáng)調(diào)。

  有漏洞不是稀奇事,。中國科學(xué)院微電子研究所副研究員王云表示,,隨著汽車智能化水平的提高,一輛車上的代碼可能有幾千萬甚至上億行,,存在錯(cuò)誤和漏洞是肯定的,。“不光自動(dòng)駕駛行業(yè),,傳統(tǒng)軟件行業(yè)都會(huì)有各種錯(cuò)誤,,不管是Windows還是iOS?!?/p>

  車載娛樂系統(tǒng)易成被侵入對(duì)象

  漏洞是如何被發(fā)現(xiàn)和修復(fù)的,?

  王云介紹,成熟的軟件開發(fā)都會(huì)有標(biāo)準(zhǔn)流程,,會(huì)對(duì)需求,、架構(gòu)設(shè)計(jì)方案、代碼模塊設(shè)計(jì)接口,、代碼機(jī)制等環(huán)節(jié)進(jìn)行代碼測試與評(píng)審,。通過規(guī)范的流程,大部分代碼漏洞可以被發(fā)現(xiàn),,但是依然有少部分漏洞不會(huì)被測試用例覆蓋,。

  “聯(lián)網(wǎng)汽車涉及各種協(xié)議或操作系統(tǒng),、應(yīng)用軟件,存在漏洞的地方更多,。目前被發(fā)現(xiàn)的漏洞涉及TSP(內(nèi)容服務(wù)提供商)平臺(tái),、APP應(yīng)用、Telematics Box(T-BOX)上網(wǎng)系統(tǒng),、車機(jī)IVI系統(tǒng)CAN-BUS車內(nèi)總線等各個(gè)領(lǐng)域和環(huán)節(jié),。”王云表示,,協(xié)議,、操作系統(tǒng)存在的漏洞都可能被利用,造成的危害也不一樣:有的能讓黑客竊取用戶信息,,更嚴(yán)重的能讓黑客控制汽車,。

  劉健皓把漏洞比喻為銀行的后門。大門處有重兵把手,,但后門可能就是防護(hù)真空,。有心人士能通過后門大搖大擺進(jìn)來“搞事情”。而且,,很可能銀行自己都不知道有這個(gè)后門,。

  車聯(lián)網(wǎng)及自動(dòng)駕駛軟件,實(shí)現(xiàn)了車—車之間,、車—人之間,、車—路之間的高效互聯(lián)互通與信息共享,并為車聯(lián)網(wǎng)智能決策和優(yōu)化提供了基礎(chǔ)支撐,,但它也讓聯(lián)網(wǎng)車在信息安全,、功能安全及隱私保護(hù)等方面,面臨著前所未有的嚴(yán)峻挑戰(zhàn),。閆懷志說,,黑客可以利用車載終端系統(tǒng)、車聯(lián)網(wǎng)云平臺(tái),、移動(dòng)APP,、OBD(車載診斷系統(tǒng))等系統(tǒng)的漏洞對(duì)車輛實(shí)施攻擊,實(shí)現(xiàn)對(duì)智能車輛的操作控制,。不安全的代碼也可能在無攻擊的情況下“自行”失效,,導(dǎo)致車輛行為失控。

  “有通信,、接口的地方就容易遭到攻擊,。”劉健晧說,黑客攻擊車輛可以分為物理接觸,、近場控制,、遠(yuǎn)程控制3種。在智能網(wǎng)聯(lián)時(shí)代,,黑客能“順著網(wǎng)線”悄無聲息地進(jìn)入你的車。

  在測試聯(lián)網(wǎng)汽車時(shí),,劉健皓團(tuán)隊(duì)也發(fā)現(xiàn),,車載娛樂系統(tǒng)易成為被侵入的對(duì)象。如今,,汽車的中控系統(tǒng)做得越發(fā)酷炫,,為了給用戶更為高科技的人機(jī)交互體驗(yàn),一些實(shí)體控制按鈕被集成到了車載娛樂系統(tǒng)當(dāng)中,,該系統(tǒng)通常也要為用戶提供互聯(lián)網(wǎng)內(nèi)容,。于是,黑客就能通過車載娛樂系統(tǒng)的漏洞一舉控制車輛的儀表盤甚至制動(dòng)系統(tǒng),。

  從已有的案例來看,,最夸張的情況是,黑客能控制車輛動(dòng)力和轉(zhuǎn)向系統(tǒng),。比如遠(yuǎn)程啟動(dòng)一下發(fā)動(dòng)機(jī),,比如讓你的方向盤有“自己的想法”。而且,,如果黑客破解了某車廠的后臺(tái),,他就能用同樣的方法橫向批量影響到所有該品牌的汽車。

  所以,,如果有汽車在道路上集體“抽風(fēng)”,,也不是不可能。

  打一場動(dòng)態(tài)信息安全攻防戰(zhàn)

  當(dāng)然,,如果真“集體抽風(fēng)”就成了公共安全事件,,一切都要防患于未然。聯(lián)網(wǎng)車并不只是黑客的獵物,,實(shí)際上,,車廠也會(huì)采取種種措施升級(jí)自己的防護(hù)機(jī)制。與入侵者斗智斗勇,,本身就是一個(gè)你來我往,、你攻我擋的動(dòng)態(tài)平衡過程。

  “安全防護(hù)不只是防護(hù)某個(gè)‘點(diǎn)’,,一定要做到全面,。”劉健皓說,。所謂的全面,,指的是在云(云服務(wù)),、管(通信)、端(車載終端),、控(控制系統(tǒng))上全面保駕護(hù)航,。

  閆懷志表示,代碼錯(cuò)誤的避免和糾正,,需要標(biāo)本兼治,,且應(yīng)以治本為主,治標(biāo)為輔,?!皹?biāo)”是采用各種漏洞挖掘、分析,、測試及修復(fù)手段來避免或減緩其安全威脅,;“本”上還是應(yīng)該嚴(yán)格遵循軟件安全工程規(guī)范,從源頭上解決問題,。尤其是對(duì)于車聯(lián)網(wǎng)和自動(dòng)駕駛這種工業(yè)軟件來說,,要特別重視功能安全與信息安全二者的結(jié)合,從其全生命周期統(tǒng)一考慮各種安全因素,?!熬唧w來說,是識(shí)別工業(yè)應(yīng)用軟件的危險(xiǎn),,定義其安全需求,,然后進(jìn)行安全設(shè)計(jì)、安全編碼及安全測試,,進(jìn)行有效的缺陷管理,,即實(shí)施基于功能安全與信息安全融合的工業(yè)應(yīng)用軟件安全工程方法?!?/p>

  閆懷志介紹,,在進(jìn)行具體安全設(shè)計(jì)和代碼編寫時(shí),可參考多種安全編碼標(biāo)準(zhǔn)和指南,。比如,,汽車行業(yè)可以參考汽車電子功能安全標(biāo)準(zhǔn)(ISO 26262),還可以參考國際著名的MISRA(汽車工業(yè)軟件可靠性聯(lián)合會(huì))的工業(yè)C編程規(guī)范,?!霸撘?guī)范為汽車嵌入式系統(tǒng)編碼提供了有關(guān)安全可靠性的最佳實(shí)踐?!遍Z懷志說,。

  王云透露,國際組織(ISO/SAE)正進(jìn)行21434(道路車輛—信息安全工程)標(biāo)準(zhǔn)的制定。該標(biāo)準(zhǔn)主要從風(fēng)險(xiǎn)評(píng)估管理,、產(chǎn)品開發(fā),、運(yùn)行/維護(hù)、流程審核等4個(gè)方面來保障汽車信息安全工程工作的開展,。

  在具體實(shí)踐上,,360智能網(wǎng)聯(lián)車安全實(shí)驗(yàn)室給車企的建議是——“逆向思維”。在車輛正式推出之前,,他們會(huì)對(duì)合作車企車輛進(jìn)行測試,,模擬黑客對(duì)車輛進(jìn)行攻擊;發(fā)現(xiàn)漏洞后,,讓車企對(duì)薄弱環(huán)節(jié)進(jìn)行修正。車輛上市后,,團(tuán)隊(duì)會(huì)為車輛做全生命周期的安全管理,,監(jiān)控和防護(hù)其可能遭到的攻擊。

  “沒有一個(gè)安全公司能夠保證車輛百分之百安全,,跟黑客對(duì)抗的過程是動(dòng)態(tài)防護(hù)的過程:發(fā)現(xiàn)攻擊,、阻斷攻擊、下發(fā)更新策略……”劉健皓強(qiáng)調(diào),,“我們希望為每個(gè)車廠建立一套安全的運(yùn)營體系,,實(shí)現(xiàn)自主品牌車輛的安全運(yùn)營?!?/p>

 

相關(guān)鏈接:

【暢游IT時(shí)空】小心,,你的聯(lián)網(wǎng)車 副駕駛可能“坐”著黑客|焦點(diǎn)解毒

分享到: