• 关于我们 联系我们
当前位置:安全行业动态 → 正文

网络安全“乌云”迫近

责任编辑:editor006 |来源:企业网D1Net  2015-07-06 16:39:36 本文摘自:中国汽车报

日前,某进口汽车品牌在华合资企业被爆出因官网后台存在漏洞,导致10万名车主的姓名、手机号码、意向购买车型等信息或遭泄露的消息。而最近在北京举行的HackPWN安全极客狂欢节上,参会的安全专家在没有车钥匙的情况下,利用发现的安全漏洞对汽车进行入侵和破解,实现了远程开锁、鸣笛、闪灯、开启天窗等操控,特斯拉、奔驰等高档品牌汽车都未能幸免。一时间,汽车领域网络安全的话题再次处于风口浪尖的位置。

汽车互联程度越高是否越不安全?其网络安全隐患主要来自哪些方面?现阶段,汽车企业应该如何保障信息安全?日前,记者就这一系列问题采访了国内互联网漏洞报告平台——乌云网安全专家、“白帽子”(也被描述为正面的黑客,可以识别计算机或网络系统中的安全漏洞,但并不恶意利用而是将之对外公布。这样系统将可以在被其他人,比如黑客攻击前修补漏洞)王彪。

■最大的网络安全隐患在云端

随着移动互联技术的不断应用,汽车与外部的信息交换越来越频繁,正逐步成为“云”上的超级移动终端。这种变化一方面给人们的出行生活带来了前所未有的便利和美好体验,另一方面也带来许多潜在的安全隐患。“汽车最大的网络安全隐患在云端,一组服务器可以监控成千上万辆汽车的位置、行驶路线,甚至可以被用来操控制动装置和发动机,这类案例并不少见。”王彪告诉记者,“云端的控制权限非常强大,攻击云端的价值比攻击汽车本身大得多,成本也低得多。”形象地说,如果破解没有联网的车,需要的是嵌入式(软件)人才,而这种人才因稀缺而身价极高。但对于互联网汽车来说,云端都有入口、链接,几乎每位IT人士都可以零成本地进行相关测试和研究。“汽车互联的程度越高,对攻击者的价值就越高,其每个环节也会被更多的研究。”王彪称。从现实情况看,根据乌云网方面的观察,目前汽车行业网络安全漏洞主要集中于对网站和云服务的攻击。就网站而言,黑客主要窃取用户和经销商信息。用户在购车时填写的身份证、电话号码等信息如果没有被保管好,往往被售卖;经销商信息则被篡改,以致于客户在拨打4S店电话时发现查无此号。就云服务而言,更多的是物流、快递、城市交通系统等相关厂商在运用,通过车辆调度管理系统监控甚至控制车辆; 一旦系统被入侵,黑客可以发布虚假指令,甚至断油断电和控制车速,后果将非常严重。然而,令人担忧的是,这些厂商的后台安全等级一般都不高。

国外的研究资料也显示,汽车“黑客”的攻击手法可能多种多样。比如,通过在汽车的维护用端口设置特殊仪器,攻破车载系统漏洞,操控部分汽车功能;利用系统漏洞,控制原本用来防止轮胎破裂事故发生的轮胎压力监测系统;使用广域网攻击车载LAN,造成远程打开门锁等重大危害。

■车企普遍忽视网络安全问题

据介绍,2011年至今,“白帽子”们在乌云网平台上提交的汽车企业、经销商网络安全漏洞达58个,其中近一半可能导致数据泄露,涉及数百万名车主的信息安全。其中,许多漏洞都是打上补丁、改个复杂密码就能修复的低级漏洞,却一直没有得到相关方面的重视。汽车企业在保护网络信息安全上为何存在如此大的疏漏?乌云网合伙人邬迪认为,根源在于很多车企不够重视自身的信息安全建设。“从乌云‘白帽子’提交的漏洞来看,很少有车企会在联系之后进行认领,个别企业甚至主动忽略。”邬迪表示。

记者了解到,跨国车企的安全反应中心大多在国外,在国内往往并不涉及信息安全服务业务,所以即使出现问题,也没有专人推动解决。而自主品牌汽车企业目前大多还未建立安全反应中心,也尚未设置相关的职能和人员。“信息安全是传统车企向网络云服务提供者转型过程中必然要面对的问题。”王彪指出,“比亚迪在车企中做得比较好,乌云‘白帽子’提交的漏洞报告,该公司大多予以认真积极对待,这种态度值得肯定。”

■应减少非必要的信息收集

行业专家曾指出,网络信息安全是汽车行业需要最优先考虑的事情之一,安全感非常重要,能让广大消费者对产品充满信心。据报道,日本信息处理推进机构按照汽车生命周期(策划、开发、使用、废弃),整理出相应各阶段的信息安全对策,并指出生产制造阶段是最重要环节。在这一阶段汽车及零部件厂商开始设计硬件和软件并安装到汽车上,汽车制造商必须按规定做到“按照需求定义进行准确安装”、“安装时杜绝漏洞”、“万一存在漏洞,也要能在出货之前发现”。王彪则认为,在汽车全生命周期中,选车到买车、发生交通事故到维修车辆这几个阶段最容易遭遇信息安全问题,因为会发生大量的信息录入和存留。他指出,要降低信息安全风险,汽车销售方应尽可能减少非必要的信息收集,比如身份证、家庭住址等;同时,组建专业的运营和安全团队,并给予必要权限。“处理好这些事情,基本就能保障80%以上的网络信息安全了。先解决基础问题,再考虑其他的。”王彪说。

■自动驾驶需要更强大的保障

如今,自动驾驶已成为大势所趋,许多车企都在积极投身相关的技术和产品研发中。对此,王彪表示,自动驾驶汽车更可能通过云端互联被操控,因此,“如何建设更安全的云平台并保障信息传输过程的安全”也将成为迫在眉睫的挑战。而这无疑是个庞大的课题,目前已经有许多公司在为之努力,“我们现阶段能做的是做好网络安全开发和运营。”王彪认为,对于企业因网络安全管理不当致使用户信息泄露的行为,政府可以考虑制订法规给予处罚。对于记者提出的界定泄露者存在困难的疑虑,他表示通过技术手段可以实现。“只有认识到网络信息泄露是违法的,企业才有压力和动力改进存在的问题。”

关键字:乌云HackPWN生产制造阶段

本文摘自:中国汽车报

x 网络安全“乌云”迫近 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

网络安全“乌云”迫近

责任编辑:editor006 |来源:企业网D1Net  2015-07-06 16:39:36 本文摘自:中国汽车报

日前,某进口汽车品牌在华合资企业被爆出因官网后台存在漏洞,导致10万名车主的姓名、手机号码、意向购买车型等信息或遭泄露的消息。而最近在北京举行的HackPWN安全极客狂欢节上,参会的安全专家在没有车钥匙的情况下,利用发现的安全漏洞对汽车进行入侵和破解,实现了远程开锁、鸣笛、闪灯、开启天窗等操控,特斯拉、奔驰等高档品牌汽车都未能幸免。一时间,汽车领域网络安全的话题再次处于风口浪尖的位置。

汽车互联程度越高是否越不安全?其网络安全隐患主要来自哪些方面?现阶段,汽车企业应该如何保障信息安全?日前,记者就这一系列问题采访了国内互联网漏洞报告平台——乌云网安全专家、“白帽子”(也被描述为正面的黑客,可以识别计算机或网络系统中的安全漏洞,但并不恶意利用而是将之对外公布。这样系统将可以在被其他人,比如黑客攻击前修补漏洞)王彪。

■最大的网络安全隐患在云端

随着移动互联技术的不断应用,汽车与外部的信息交换越来越频繁,正逐步成为“云”上的超级移动终端。这种变化一方面给人们的出行生活带来了前所未有的便利和美好体验,另一方面也带来许多潜在的安全隐患。“汽车最大的网络安全隐患在云端,一组服务器可以监控成千上万辆汽车的位置、行驶路线,甚至可以被用来操控制动装置和发动机,这类案例并不少见。”王彪告诉记者,“云端的控制权限非常强大,攻击云端的价值比攻击汽车本身大得多,成本也低得多。”形象地说,如果破解没有联网的车,需要的是嵌入式(软件)人才,而这种人才因稀缺而身价极高。但对于互联网汽车来说,云端都有入口、链接,几乎每位IT人士都可以零成本地进行相关测试和研究。“汽车互联的程度越高,对攻击者的价值就越高,其每个环节也会被更多的研究。”王彪称。从现实情况看,根据乌云网方面的观察,目前汽车行业网络安全漏洞主要集中于对网站和云服务的攻击。就网站而言,黑客主要窃取用户和经销商信息。用户在购车时填写的身份证、电话号码等信息如果没有被保管好,往往被售卖;经销商信息则被篡改,以致于客户在拨打4S店电话时发现查无此号。就云服务而言,更多的是物流、快递、城市交通系统等相关厂商在运用,通过车辆调度管理系统监控甚至控制车辆; 一旦系统被入侵,黑客可以发布虚假指令,甚至断油断电和控制车速,后果将非常严重。然而,令人担忧的是,这些厂商的后台安全等级一般都不高。

国外的研究资料也显示,汽车“黑客”的攻击手法可能多种多样。比如,通过在汽车的维护用端口设置特殊仪器,攻破车载系统漏洞,操控部分汽车功能;利用系统漏洞,控制原本用来防止轮胎破裂事故发生的轮胎压力监测系统;使用广域网攻击车载LAN,造成远程打开门锁等重大危害。

■车企普遍忽视网络安全问题

据介绍,2011年至今,“白帽子”们在乌云网平台上提交的汽车企业、经销商网络安全漏洞达58个,其中近一半可能导致数据泄露,涉及数百万名车主的信息安全。其中,许多漏洞都是打上补丁、改个复杂密码就能修复的低级漏洞,却一直没有得到相关方面的重视。汽车企业在保护网络信息安全上为何存在如此大的疏漏?乌云网合伙人邬迪认为,根源在于很多车企不够重视自身的信息安全建设。“从乌云‘白帽子’提交的漏洞来看,很少有车企会在联系之后进行认领,个别企业甚至主动忽略。”邬迪表示。

记者了解到,跨国车企的安全反应中心大多在国外,在国内往往并不涉及信息安全服务业务,所以即使出现问题,也没有专人推动解决。而自主品牌汽车企业目前大多还未建立安全反应中心,也尚未设置相关的职能和人员。“信息安全是传统车企向网络云服务提供者转型过程中必然要面对的问题。”王彪指出,“比亚迪在车企中做得比较好,乌云‘白帽子’提交的漏洞报告,该公司大多予以认真积极对待,这种态度值得肯定。”

■应减少非必要的信息收集

行业专家曾指出,网络信息安全是汽车行业需要最优先考虑的事情之一,安全感非常重要,能让广大消费者对产品充满信心。据报道,日本信息处理推进机构按照汽车生命周期(策划、开发、使用、废弃),整理出相应各阶段的信息安全对策,并指出生产制造阶段是最重要环节。在这一阶段汽车及零部件厂商开始设计硬件和软件并安装到汽车上,汽车制造商必须按规定做到“按照需求定义进行准确安装”、“安装时杜绝漏洞”、“万一存在漏洞,也要能在出货之前发现”。王彪则认为,在汽车全生命周期中,选车到买车、发生交通事故到维修车辆这几个阶段最容易遭遇信息安全问题,因为会发生大量的信息录入和存留。他指出,要降低信息安全风险,汽车销售方应尽可能减少非必要的信息收集,比如身份证、家庭住址等;同时,组建专业的运营和安全团队,并给予必要权限。“处理好这些事情,基本就能保障80%以上的网络信息安全了。先解决基础问题,再考虑其他的。”王彪说。

■自动驾驶需要更强大的保障

如今,自动驾驶已成为大势所趋,许多车企都在积极投身相关的技术和产品研发中。对此,王彪表示,自动驾驶汽车更可能通过云端互联被操控,因此,“如何建设更安全的云平台并保障信息传输过程的安全”也将成为迫在眉睫的挑战。而这无疑是个庞大的课题,目前已经有许多公司在为之努力,“我们现阶段能做的是做好网络安全开发和运营。”王彪认为,对于企业因网络安全管理不当致使用户信息泄露的行为,政府可以考虑制订法规给予处罚。对于记者提出的界定泄露者存在困难的疑虑,他表示通过技术手段可以实现。“只有认识到网络信息泄露是违法的,企业才有压力和动力改进存在的问题。”

关键字:乌云HackPWN生产制造阶段

本文摘自:中国汽车报

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^