欢迎光临车网世界!

微信 | 微博 车网中国公众号二维码

当前位置:首页 > 车行见 > 见安全 > 返回

季申:三种方式可侵入系统 远程操控互联网汽车

发布日期:2016-02-28 15:08  作者:张宏利   浏览次数:10951

车网中国 综合新闻 2016年2月26日,第六届中国汽车消费论坛暨互联网汽车创新峰会将与第22届中国国际汽车用品展展览会同期召开。中国汽车消费论坛聚焦汽车及后市场全产业链变革前瞻,自2011年以来已经连续举办五届。本届论坛由雅森国际与《AutoR智驾》杂志联合主办,网易汽车独家报道,聚焦汽车相关前沿科技、汽车信息安全展开。此外,论坛讨论还将聚焦车企、电商平台、汽车媒体等以自身优势资源为核心构建的汽车消费生态。
 

核心提示:在本届中国汽车消费论坛“科技创新改变汽车生活”这一演讲环节,智车优行联合创始人、产品总监季申带来《万物互联时代下的“汽车安全”》主题演讲,他表示,互联网汽车汽车容易被攻破的入口主要有三种,一个是通过LTE的方式,通过本地端口进行远程操控,第二是在Internet进行服务器端的攻击。第三是通过APP,获取一些加密的方法和加密的手段。除了在技术上更先进,抵挡黑客攻击外,互联网汽车需要建立监控机制,通过升级系统避免出现安全漏桶,同时还应通过行业规范,甚至法律法规规范互联网汽车的网络安全。未来的互联网智能汽车不仅仅是环保的,不仅仅是智能的,而且它会变得更加的安全。

车网中国 综合新闻 2016年2月26日,第六届中国汽车消费论坛暨互联网汽车创新峰会将与第22届中国国际汽车用品展展览会同期召开。中国汽车消费论坛聚焦汽车及后市场全产业链变革前瞻,自2011年以来已经连续举办五届。本届论坛由雅森国际与《AutoR智驾》杂志联合主办,网易汽车独家报道,聚焦汽车相关前沿科技、汽车信息安全展开。此外,论坛讨论还将聚焦车企、电商平台、汽车媒体等以自身优势资源为核心构建的汽车消费生态。  核心提示:在本届中国汽车消费论坛“科技创新改变汽车生活”这一演讲环节,智车优行联合创始人、产品总监季申带来《万物互联时代下的“汽车安全”》主题演讲,他表示,互联网汽车汽车容易被攻破的入口主要有三种,一个是通过LTE的方式,通过本地端口进行远程操控,第二是在Internet进行服务器端的攻击。第三是通过APP,获取一些加密的方法和加密的手段。除了在技术上更先进,抵挡黑客攻击外,互联网汽车需要建立监控机制,通过升级系统避免出现安全漏桶,同时还应通过行业规范,甚至法律法规规范互联网汽车的网络安全。未来的互联网智能汽车不仅仅是环保的,不仅仅是智能的,而且它会变得更加的安全。  智车优行联合创始人、产品总监季申  以下是智车优行联合创始人、产品总监季申的讲话实录:  各位好,我是智车优行的季申,非常感谢雅森国际和《AutoR智驾》举办这次论坛,上我们一起探讨一下进入互联网时代的汽车上的网络安全。  我讲的议题是万物互联时代下的“汽车安全”,首先看一下市场上大多数的用户对于汽车安全的概念。我们去搜索引擎上去搜索一下,你会发现更多的信息是来自于过去所显示的那三行字,主要是会从汽车的材料、汽车的结构、汽车所采用的一些力学上的技术,来如何避免撞击时候的驾驶员的安全以及避免撞击时候的损失,它属于是一种被动安全,它还停留在汽车本身的钢度结构上。随着汽车上应用了互联网之后,我们发现更多的安全新闻就出来了。比如说在去年被炒的比较多的JEEP汽车,被美国两个小伙子通过远程攻击了,并且进行远程操控。第二个,比如说比亚迪在去年也有一个被漏洞入侵的新闻。第三个在一些黑客大会上,我们经常能够看到像特斯拉,像司马特经常会被拉出来进行一些攻击的演示。  随着互联网加到汽车之后,我们发现安全不仅仅局限于汽车内部的硬件和软件,而是我们还要去考虑怎么去防护来自外部的攻击。所以,我们要开始重新定义一下汽车安全。汽车安全在进入互联网时代之后它有三个概念,第一个是比较传统的概念,主要依靠车身的材料、结构,这是过去汽车界经常去衡量的安全因素,比如说碰撞撞击的指标。  随着汽车电气的发展,新车的ADAS系统,通过车身上一些辅助的传感器、摄像头这些东西,来提前发现安全隐患,避免撞击,去发现车道偏离,避免横向的汽车碰撞。这在大量的高级轿车上已经广泛应用起来,而且在一些国产的像吉利车型上应用也已经比较广泛了。  再往后进入汽车互联网时代的车联网的安全。车载系统在通过WiFi或者通过移动网络,像3G、LTE这些与互联网连接时候的安全性,保证车载系统免收本地及远程的恶意攻击,这把汽车安全的范围进行了扩大,并且进行了深化。先来讨论一下汽车连上互联网之后所带来的两个方面,我们更多的会考虑到伤害,有一点我们忽略了,其实它给安全也带来了新的机遇,它有利于提升现有汽车的安全性。有四点:  第一点,通过大数据的分析我们可以知道路段的拥堵状况以及交通状况。举个很简单的例子,在过去的两、三年北京经常会发生暴雨,导致一些地段积水很严重,甚至有些人因为车在积水中开不出来而导致人身伤亡的事故。有了大数据之后,我们可以及时的发现整个城区交通环境的变化。如果有地方发生了大水,发生了路段的塌陷,发生了一些非常严重的交通事故,我们可以及时的把这些信息通过推送的方式也好,通过短信的方式也好,手机的方式也好,让所有的驾驶员知道这些信息,避免了交通事故的再次发生。  第二点,通过大数据的分析可以去分析驾驶员的驾驶习惯,他的身体状态,以及对他驾驶模式进行纠正。比如有些驾驶员驾车比较鲁莽,喜欢急刹车或者急加速,当他开到一个比较拥堵的路段或者行人比较多的路段,或者在学校的附近,我就可以自动让油门轻一点,他踩下去不会立马的就加速,延迟加速。  第三,通过一些互联网的技术,比如说V2X、V2V,通过一些交通的信号灯,交通的指示装置。比如说有些人喜欢长红灯,云端有这么大一个全国,甚至是城市的交通路况,我可以知道灯在哪儿,甚至在红绿灯上装上传感装置,以便于车识别。车开到红灯路口的时候你想闯红灯闯不过去,直接把你的动力给降下来。  最后是防患于未然。我们经常发现一些交通事故是爆胎,开到一半抛锚了,这些原因的发生是车的一些隐患可能是早几天或者是早几个月已经有了,但是驾驶员没有感知到,不知道这个事情。通过我们的互联网技术,车本身会不停的把零部件的运行状态传到数据库上,传到云端上,云端针对这些数据进行分析,看它是不是有异常的情况。包括开车的加速减速、刹车,这些平时经常操作的动作,也可以判断出这个车是不是有些地方出状况了。这个时候我就可以给驾驶员发个信息,告诉他这个车哪个部位已经有了安全隐患,最好去哪儿更换检修一下,这就避免部件损坏所导致的交通事故。  这是提升行驶安全的四个方面,当然因为有了互联网之后肯定会带来一定的安全上的隐患。看一下我们现在所能知道的一些互联网所带来的安全上的挑战,目前有四种手段。第一是暴力拆解。有一款非常著名的电动车,比如说特斯拉,美国人在家里把车拆了,接上网线,通过车内的车机系统去欺骗特斯拉的云端。第二,我们经常用手机远程操控汽车,通过手机获得车主的验证信息,从而达到远程操控汽车的目的。第三,车载娱乐系统的网络端口控制车辆,像JEEP,JEEP就是因为车机端开放了一个可以匿名登录的远程操控的端口,使得两位工程师可以远程登录到车机上进行一些操作。最后一个,可以通过汽车跟服务器连接的服务器端,想一些办法,想一些攻击手段,获取大量的数据,获取用户的账号信息,诸如部类。  这张图就表明了汽车容易被攻破的入口,一个是蓝牙,这可能是一些本地的攻破,USB。多的是通过LTE的方式,就是刚才JEEP的那种方式,我的本地的一个端口,不用用户名就可以登录,就可以进行远程操控。另外一个就是在Internet进行服务器端的攻击。还有一个是通过APP,获取一些加密的方法和加密的手段。  前面说的这些破解的方式感觉到汽车连上互联网之后好像挺可怕的,车不小心就被人劫持了,不小心就被人远程操控了。大家会有各种疑问,我是不是要把车连上互联网,是不是不要连就更安全了,其实也没有那么可怕,跟大家分析四点。  第一,通过一个对比来说,以前我们银行卡刷卡,后来有网络银行出来了,一开始大家反对,觉得网络不安全,容易被黑客攻破,用网络银行会不会大笔钱被网络划走了,其实没有。大家还是非常享受网络银行的便利性和高效率,所以汽车也是一样,跟网络银行的故事一样。汽车连上网之后对应的安全的系数会越来越多,被入侵的门槛也会越来越高,它会变得更加牢固、更加稳定、更加安全。  第二,车厂是一个比较封闭的体系,所以它对原代码的管控还是比较严格的,不容易轻易流出去,你不方便得到它的原代码进行研究去攻破它,这一点是可以比较放心的。  第三,随着像阿里、像360等等这些互联网公司的加入,它必然会取弥补车厂原来在网络安全经验上的不足,势必会使得车连上网之后变得更加的安全。  最后就是法规,作为一个黑客去攻击一辆车,也要相应的承担法律上的成本,会被判刑、会被送进监狱。  讲了前面两个点之后,最后来分析一下,在产品开发的过程中我们怎么去考量安全,怎么让我的车更安全,可以分为四个点。  第一,在产品设计阶段搭建一个很好的安全架构,在软件方面和硬件方面双管齐下。服务器需要防火墙,车机本身的升级系统需要签名验证。  第二,在产品开发的过程中,我们要有很严格的保密措施,二是要建立编码的安全规范。不要随心所欲,想怎么写代码就怎么写代码,必须要有安全规范。  第三,产品测试中必须把网络安全作为重点纳入进来进行试验,确保产品的安全性。  第四,车投放市场之后安全工作并没有结束,反而是安全工作的开始,车上市之后就暴露在外面,就容易被攻击,这才是安全工作真正的开始。这个时候我们要建立监控机制,随时发现市面上的安全隐患和安全漏洞,我这个系统要不停的进行升级,发现问题立马就去更新。  除了本身的开发问题,作为汽车制造商要有一个开放的心态。第一,要与网络安全机构多学习、多交流。在互联网行业里面有很多白帽子,他们喜欢给市面上的网络产品纠错,没事就曝个漏洞,这个时候我们要以一个开放的心态接受  他们提出来的建议,提出来的问题,想办法去改进,而不是说拒绝他们,说他们是不对的。  第二,我们要一起建立行业法规和标准,建立一个安全可靠的车联网的生态。这就像美国汽车工程协会最近刚发的一个指导文件,指导汽车厂商怎么去搭建一个可靠的网络安全架构,这个是非常有益的事情。  随着互联网加入汽车之后,我觉得未来的互联网智能汽车不仅仅是环保的,不仅仅是智能的,而且它会变得更加的安全。  我的演讲完了,谢谢各位!

智车优行联合创始人、产品总监季申
 

以下是智车优行联合创始人、产品总监季申的讲话实录:
 

各位好,我是智车优行的季申,非常感谢雅森国际和《AutoR智驾》举办这次论坛,上我们一起探讨一下进入互联网时代的汽车上的网络安全。
 

我讲的议题是万物互联时代下的“汽车安全”,首先看一下市场上大多数的用户对于汽车安全的概念。我们去搜索引擎上去搜索一下,你会发现更多的信息是来自于过去所显示的那三行字,主要是会从汽车的材料、汽车的结构、汽车所采用的一些力学上的技术,来如何避免撞击时候的驾驶员的安全以及避免撞击时候的损失,它属于是一种被动安全,它还停留在汽车本身的钢度结构上。随着汽车上应用了互联网之后,我们发现更多的安全新闻就出来了。比如说在去年被炒的比较多的JEEP汽车,被美国两个小伙子通过远程攻击了,并且进行远程操控。第二个,比如说比亚迪在去年也有一个被漏洞入侵的新闻。第三个在一些黑客大会上,我们经常能够看到像特斯拉,像司马特经常会被拉出来进行一些攻击的演示。
 

随着互联网加到汽车之后,我们发现安全不仅仅局限于汽车内部的硬件和软件,而是我们还要去考虑怎么去防护来自外部的攻击。所以,我们要开始重新定义一下汽车安全。汽车安全在进入互联网时代之后它有三个概念,第一个是比较传统的概念,主要依靠车身的材料、结构,这是过去汽车界经常去衡量的安全因素,比如说碰撞撞击的指标。
 

随着汽车电气的发展,新车的ADAS系统,通过车身上一些辅助的传感器、摄像头这些东西,来提前发现安全隐患,避免撞击,去发现车道偏离,避免横向的汽车碰撞。这在大量的高级轿车上已经广泛应用起来,而且在一些国产的像吉利车型上应用也已经比较广泛了。
 

再往后进入汽车互联网时代的车联网的安全。车载系统在通过WiFi或者通过移动网络,像3G、LTE这些与互联网连接时候的安全性,保证车载系统免收本地及远程的恶意攻击,这把汽车安全的范围进行了扩大,并且进行了深化。先来讨论一下汽车连上互联网之后所带来的两个方面,我们更多的会考虑到伤害,有一点我们忽略了,其实它给安全也带来了新的机遇,它有利于提升现有汽车的安全性。有四点:
 

第一点,通过大数据的分析我们可以知道路段的拥堵状况以及交通状况。举个很简单的例子,在过去的两、三年北京经常会发生暴雨,导致一些地段积水很严重,甚至有些人因为车在积水中开不出来而导致人身伤亡的事故。有了大数据之后,我们可以及时的发现整个城区交通环境的变化。如果有地方发生了大水,发生了路段的塌陷,发生了一些非常严重的交通事故,我们可以及时的把这些信息通过推送的方式也好,通过短信的方式也好,手机的方式也好,让所有的驾驶员知道这些信息,避免了交通事故的再次发生。
 

第二点,通过大数据的分析可以去分析驾驶员的驾驶习惯,他的身体状态,以及对他驾驶模式进行纠正。比如有些驾驶员驾车比较鲁莽,喜欢急刹车或者急加速,当他开到一个比较拥堵的路段或者行人比较多的路段,或者在学校的附近,我就可以自动让油门轻一点,他踩下去不会立马的就加速,延迟加速。
 

第三,通过一些互联网的技术,比如说V2X、V2V,通过一些交通的信号灯,交通的指示装置。比如说有些人喜欢长红灯,云端有这么大一个全国,甚至是城市的交通路况,我可以知道灯在哪儿,甚至在红绿灯上装上传感装置,以便于车识别。车开到红灯路口的时候你想闯红灯闯不过去,直接把你的动力给降下来。
 

最后是防患于未然。我们经常发现一些交通事故是爆胎,开到一半抛锚了,这些原因的发生是车的一些隐患可能是早几天或者是早几个月已经有了,但是驾驶员没有感知到,不知道这个事情。通过我们的互联网技术,车本身会不停的把零部件的运行状态传到数据库上,传到云端上,云端针对这些数据进行分析,看它是不是有异常的情况。包括开车的加速减速、刹车,这些平时经常操作的动作,也可以判断出这个车是不是有些地方出状况了。这个时候我就可以给驾驶员发个信息,告诉他这个车哪个部位已经有了安全隐患,最好去哪儿更换检修一下,这就避免部件损坏所导致的交通事故。
 

这是提升行驶安全的四个方面,当然因为有了互联网之后肯定会带来一定的安全上的隐患。看一下我们现在所能知道的一些互联网所带来的安全上的挑战,目前有四种手段。第一是暴力拆解。有一款非常著名的电动车,比如说特斯拉,美国人在家里把车拆了,接上网线,通过车内的车机系统去欺骗特斯拉的云端。第二,我们经常用手机远程操控汽车,通过手机获得车主的验证信息,从而达到远程操控汽车的目的。第三,车载娱乐系统的网络端口控制车辆,像JEEP,JEEP就是因为车机端开放了一个可以匿名登录的远程操控的端口,使得两位工程师可以远程登录到车机上进行一些操作。最后一个,可以通过汽车跟服务器连接的服务器端,想一些办法,想一些攻击手段,获取大量的数据,获取用户的账号信息,诸如部类。
 

这张图就表明了汽车容易被攻破的入口,一个是蓝牙,这可能是一些本地的攻破,USB。多的是通过LTE的方式,就是刚才JEEP的那种方式,我的本地的一个端口,不用用户名就可以登录,就可以进行远程操控。另外一个就是在Internet进行服务器端的攻击。还有一个是通过APP,获取一些加密的方法和加密的手段。
 

前面说的这些破解的方式感觉到汽车连上互联网之后好像挺可怕的,车不小心就被人劫持了,不小心就被人远程操控了。大家会有各种疑问,我是不是要把车连上互联网,是不是不要连就更安全了,其实也没有那么可怕,跟大家分析四点。
 

第一,通过一个对比来说,以前我们银行卡刷卡,后来有网络银行出来了,一开始大家反对,觉得网络不安全,容易被黑客攻破,用网络银行会不会大笔钱被网络划走了,其实没有。大家还是非常享受网络银行的便利性和高效率,所以汽车也是一样,跟网络银行的故事一样。汽车连上网之后对应的安全的系数会越来越多,被入侵的门槛也会越来越高,它会变得更加牢固、更加稳定、更加安全。
 

第二,车厂是一个比较封闭的体系,所以它对原代码的管控还是比较严格的,不容易轻易流出去,你不方便得到它的原代码进行研究去攻破它,这一点是可以比较放心的。
 

第三,随着像阿里、像360等等这些互联网公司的加入,它必然会取弥补车厂原来在网络安全经验上的不足,势必会使得车连上网之后变得更加的安全。
 

最后就是法规,作为一个黑客去攻击一辆车,也要相应的承担法律上的成本,会被判刑、会被送进监狱。
 

讲了前面两个点之后,最后来分析一下,在产品开发的过程中我们怎么去考量安全,怎么让我的车更安全,可以分为四个点。
 

第一,在产品设计阶段搭建一个很好的安全架构,在软件方面和硬件方面双管齐下。服务器需要防火墙,车机本身的升级系统需要签名验证。
 

第二,在产品开发的过程中,我们要有很严格的保密措施,二是要建立编码的安全规范。不要随心所欲,想怎么写代码就怎么写代码,必须要有安全规范。
 

第三,产品测试中必须把网络安全作为重点纳入进来进行试验,确保产品的安全性。
 

第四,车投放市场之后安全工作并没有结束,反而是安全工作的开始,车上市之后就暴露在外面,就容易被攻击,这才是安全工作真正的开始。这个时候我们要建立监控机制,随时发现市面上的安全隐患和安全漏洞,我这个系统要不停的进行升级,发现问题立马就去更新。
 

除了本身的开发问题,作为汽车制造商要有一个开放的心态。第一,要与网络安全机构多学习、多交流。在互联网行业里面有很多白帽子,他们喜欢给市面上的网络产品纠错,没事就曝个漏洞,这个时候我们要以一个开放的心态接受他们提出来的建议,提出来的问题,想办法去改进,而不是说拒绝他们,说他们是不对的。
 

第二,我们要一起建立行业法规和标准,建立一个安全可靠的车联网的生态。这就像美国汽车工程协会最近刚发的一个指导文件,指导汽车厂商怎么去搭建一个可靠的网络安全架构,这个是非常有益的事情。
 

随着互联网加入汽车之后,我觉得未来的互联网智能汽车不仅仅是环保的,不仅仅是智能的,而且它会变得更加的安全。
 

我的演讲完了,谢谢各位!

上一篇:电动车软肋:电池寿命/安全依旧不靠谱?

下一篇:谷歌汽车出误判 与公交车相撞 无人驾驶技术是否安全

热门文章

关于我们 联系方式 招贤纳士 隐私政策 车网历程

Copyright©2004-2030 车网世界版权所有 京ICP证040347号-1 技术支持:想象力