亞信安全劉政平:為什麼安全廠商要搞車聯網安全|C3安全峰會
在30歲這年,王博(化名)終於用自己的積蓄買了人生中的第一輛車,帶著女朋友開始籌劃已久的自駕川藏線之旅。
但他怎麼也沒有想到,早在出發之前,車中裝有藍牙電話、車載導航的信息娛樂系統就已經被黑客黑入,他在車上的一舉一動早已在對方的監視之中。
黑客要等的,只不過是一個恰當的時機---在車快沒油的時候,用導航把他導到一個荒無人煙的地方,在他們用手機打出第一個求助電話的時候,啟動「呼死你」程序,阻斷他們跟外界的一切聯繫,開始勒索。
在即將沒油時,王博在車中的 LED 的屏幕上,看到車輛被勒索的提示:請在10分鐘內,掃碼進行支付,否則別指望道路救援送來汽油。
更讓王博沒想到的是,黑客在啟動呼死你的程序後,利用所掌握的車載通訊錄上的信息,給他的家人輪番打電話進行詐騙……
5月9日,在亞信安全承辦的C3安全峰會上,亞信安全通用企業事業部副總經理劉政平用一個10分鐘的小故事,結合亞信安全攻防團隊對車載信息娛樂系統的現場破解,引出了車聯網安全的重要性。
其實,隨著汽車智能化和聯網化程度的普及,汽車已經漸漸不再只是簡單的代步工具,而是「進化」成為一台大型的物聯網終端,甚至被形象的比喻為「4個輪子的電腦」。雷鋒網發現,無論是騰訊等巨頭,還是各路安全廠商,都盯上了車聯網安全這塊大蛋糕。
那麼,從市場前景來看,為何大家都要來搞車聯網安全?與PC和移動安全相比,新興的車聯網安全會有哪些難點亟待突破?走在前面的歐美政府和車企,又是如何應對這個問題的?
車聯網安全將會是未來物聯網安全中,投入最高的車聯網汽車在為人們帶來諸如智能導航、自動泊車、輔助駕駛、數字多媒體等駕駛體驗的同時,由於其中所使用的計算和聯網系統沿襲了既有的計算和聯網架構,也繼承了這些系統天然的安全缺陷。
這就意味著,以往在PC、手機上所出現過的安全問題,未來在車聯網中也同樣會出現。
在亞信安全通用企業事業部副總經理劉政平看來,市場前景、車廠剛需、政策趨勢是大家搞車聯網安全的重要因素。
從市場前景來看,5G上來後,物聯網肯定會高速發展,而在物聯網中,對於車聯網的投入要高於對智能家居、工業製造等其他門類,所以車聯網安全在市場的空間和容納度上,是很最高的,這就是大家盯著它的原因。
其次,對於安全廠商來說,在不遠的將來,車聯網安全也將在業務上為他們帶來新的增長。
而回歸安全本身,無論是特斯拉的事故,還是最近大眾、奧迪的近期引發輿論關注的自動駕駛汽車事故和車載信息娛樂系統漏洞,都反映了車聯網安全的迫切性。設想幾十萬台車召回重新維修或者刷系統,所帶來的不光是成本問題,還有品牌形象等一系列影響,車聯網安全以後會是車廠的剛需,
對於安全問題,車廠壓力很大,如果幾十萬台車要召回重新維修或者刷系統,無論是對品牌的影響還是具體的成本,都很大。
雷鋒網看到,在這次的C3安全峰會中,還設置了一個閉門的智能網聯汽車網路安全閉門座談會論壇,劉政平透露,這個會議是聚集各家車企在一起來討論如何打造安全的車內裝置,並監控和保護車內關鍵組件的信息安全。這也是因為近年來詢問亞信安全車聯網解決方案的車企越來越多而應用而生的探討會。
在以前,車主對於車輛的控制更多是通過物理機械的手段,比如踩油門、掛檔等,而未來越來越多的是通過大屏幕來控制車子本身,比如自動巡航、導航系統等,這其中涉及到的所有功能,都可以為黑客提供可趁之機,在未來,車企投入安全的動力會很足。
最後,有關車聯網安全的政策也會是將來的趨勢,劉政平說,關乎百姓的生命安全,未來一定會有相應的標準出台,而有了硬性的規定後,車聯網的安全市場將可能迎來爆發。
從車輛的研發設計階段,就必須同車廠開展深度合作趨勢科技研發中心產品專家楊豐愷介紹,就像我們之前買手機後都要去配一張 SIM 卡,作為一台「配備4個輪子的手機」,現在每出廠一台智能車,也會相應的配一張4G卡,目前手機的 SIM 卡市場已經趨近飽和,而車企在這塊還有很大空間,只是剛剛開始。
但與手機聯網後下載一個安全軟體不同,車連接網路後,所面臨的安全挑戰更加複雜。
車本身是高度集成的電子系統,是涉及底層晶元、中層操作系統、各類上層應用和硬體的綜合體,絕大多數企業所能接觸到的安全問題,車聯網都會遇到。
以 ABS 系統為例(防抱死系統),它是為了提高車輛緊急剎車時的安全係數,如果沒有它,緊急剎車會出現輪胎抱死,也就是方向盤不能轉動的情況。這時候就需要用自動控制系統來實現高頻度的點剎,每秒會點幾百下,能保證緊急剎車時方向依然可以控制。像這樣的電控系統,在一輛車中有幾百個。
黑產之前對於 PC 或者手機的入侵大多是為了謀財,那以後利用車聯網的直接結果可能就是「害命」。
設想車聯網的程度提高後,黑客就會盯上各種感測器的漏洞。安全人員要做的不僅是搞二進位代碼,還需要理解車廠的工作流程,擁有深入行業的專精知識。
這就要求安全廠商從汽車最先開始的研發、設計階段,就制定安全方案,與車廠展開深度的合作,將安全解決方案固化在車輛生產的每一個環節。
這個流程究竟有多長?劉政平對雷鋒網給出的時間是,至少3年。周期長是擺在車聯網安全面前的一道坎,與此同時,車完全的智能化和網路化應該還有一段時間的路要走, 目前只是在少量的高端車中實現,加上相應的車聯網安全的政策也還未出台,所以目前車聯網安全更多處於研發階段,離真正的盈利還有一段路要走。
對於車聯網安全,目前歐美怎麼做的?相比於中國,歐美在汽車智能化方面走的更快一些,他們如何解決車聯網的安全問題?未來如果車聯網要有突破性的發展,關鍵點在哪裡?
劉政平從車企、政策、生態三個方面分別給出了自己的看法。
在車企方面,他以特斯拉為例,目前特斯拉有安全響應部門,它接受世界上所有的黑客通過正規的渠道來黑它的系統,並且已經有相應的響應渠道來解決安全問題。
比如國內騰訊的科恩實驗室就曾成功破解過特斯拉的系統,破解後,他們會給車企相應的時間來升級系統後,再公布漏洞。
在政策方面,歐美已經出台了一些白皮書,來進行車輛信息安全的指導,比如在開始研發設計時,安全團隊必須要參與其中;出現問題後,應該如何響應和恢復;對於產業鏈上的各個部分,都出台認證的標準等。
但就全世界來看,目前還沒有一個正規的法案出台,大家也都還處於試水階段。
劉政平認為,未來5G廣泛應用後,隨著基礎設施的保障和運營商平台的搭建,車聯網將迎來爆髮式發展,那個時候,車聯網安全也將深入生態鏈上的每一個環節。
比如給車廠提供服務的運營商也將是安全服務的重要對象之一,它將會提供一個車聯網的平台,來管控車輛的狀態,它將掌握車輛的很多數據,比如這輛車是否需要維保,潤滑油、機油要不要換,磨損情況如何等,那時平台上大數據的安全、設備的安全,通信的安全等都將成為車聯網安全中的重要環節。
※Ether Universe項目評測:第四代跨鏈技術實現「異鏈」Tokens直接交換
※Uber事故冷思考:如何看待這起「全球首例自動駕駛汽車致死案例」
TAG:雷鋒網 |