2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。本次會議上匯集了來自美、意、西、葡等9個(gè)地區(qū)的18名頂級安全專家，向與會者分享安全領(lǐng)域最新的科研成果，議題涵蓋Window、ios、Android系統(tǒng)安全，汽車攻擊、云服務(wù)攻擊等諸多領(lǐng)域。

近年來，“智能化”的普及讓人們逐漸習(xí)慣了這樣高科技給生活帶來的便捷，隨著智能家居等一系列的產(chǎn)品普及，智能汽車也漸漸駛?cè)肓宋覀兊纳睢Ｔ诒敬未髸校蔡貏e針對這一話題開展了主題演講——基于控制器區(qū)域網(wǎng)絡(luò)(CAN)的防攻擊汽車設(shè)計(jì)。

參與本次主題演講的是領(lǐng)先的移動安全供應(yīng)商VisualThreat的執(zhí)行總裁嚴(yán)博士和在嵌入式車載網(wǎng)絡(luò)和系統(tǒng)上擁有多年的逆向工程經(jīng)驗(yàn)的PK001。兩位業(yè)內(nèi)資深的專家在本場演講中分享了在ECU、OBD2和CANBUS相關(guān)方面的實(shí)踐經(jīng)驗(yàn)，同時(shí)介紹了如何針對汽車系統(tǒng)進(jìn)行逆向工程，以及如何去針對真實(shí)汽車或汽車系統(tǒng)模擬器建立測試平臺。此外還建立了汽車攻擊方案數(shù)據(jù)庫，并解釋了如何防御每種類型的攻擊，同時(shí)分享了當(dāng)前商用車有關(guān)的移動產(chǎn)品安全漏洞并共享了新的研究成果。

嚴(yán)博士表示：“汽車攻擊離我們很近，而且門檻很低。就目前對現(xiàn)在汽車領(lǐng)域的技術(shù)積累，完全可以通過手機(jī)應(yīng)用的發(fā)布，讓在座的各位幾分鐘之內(nèi)變成潛在的汽車攻擊者。此外現(xiàn)在汽車廠商需要三到四年才可以獲得比較有效的解決方案。

這樣的現(xiàn)狀讓我們頗為擔(dān)憂，因此嚴(yán)博士強(qiáng)調(diào)：移動安全我們應(yīng)該投入更多的時(shí)間。手機(jī)我認(rèn)為是病毒的傳輸通道，而不是目的地，黑客并沒有太大的興趣在你手機(jī)里面爆發(fā)，它更多是獲取你的信息。像剛才齊向東總裁提到的”威脅到我們生命”。這是現(xiàn)實(shí)存在的。我們現(xiàn)在一個(gè)是車聯(lián)網(wǎng)，你手機(jī)進(jìn)入車聯(lián)網(wǎng)，美國的醫(yī)療器材用的醫(yī)療總線是一樣的，汽車能破解，醫(yī)療器械也可以破解，我們現(xiàn)在無路可走，你都在威脅當(dāng)中。

PK001也提到，目前工程師研究汽車無外乎就是三種情況，三種技術(shù)手段。即黑客是怎么樣去通過OBD進(jìn)行攻擊呢?它能利用OBD干一些什么事情呢?

PK001了OBD的來源和發(fā)展，他表示我們可以通過OBD做更多事情，比如把車燈的打開、后備廂的打開、安全氣囊復(fù)位，歷程表修改等等，這些都是黑客比較喜歡的，也是有一定商業(yè)價(jià)值的。

嚴(yán)博士最后提到了幾種防范方式，幫助廣大用戶讓自己的愛車更加安全：

第一種通過ECU因?yàn)檎J(rèn)證，這屬于汽車廠商的問題，它們花很長的時(shí)間才可以跟蹤，我們寄于希望。

第二種小的加密，一些小的ECU不能采取一些復(fù)雜的東西。

第三種CAN Bus的主線，你如何設(shè)置指令讓他們出來。

最后嚴(yán)博士和PK001呼吁，移動互聯(lián)網(wǎng)是隨著互聯(lián)網(wǎng)的發(fā)展而出現(xiàn)，有很多的汽車廠商，我們看能不能跟他們合作，把安全這塊做起來。以后對汽車的應(yīng)用開發(fā)越來越多，很多汽車應(yīng)用開發(fā)者也會投入大多的時(shí)間，在開發(fā)的時(shí)候如何保證他們放在車?yán)锩嫒绾斡媚男徲?jì)防止漏洞。