車網中國 綜合新聞 2016年2月26日��,第六屆中國汽車消費論壇暨互聯網汽車創新峰會將與第22屆中國國際汽車用品展展覽會同期召開�����。中國汽車消費論壇聚焦汽車及后市場全產業鏈變革前瞻,自2011年以來已經連續舉辦五屆。本屆論壇由雅森國際與《AutoR智駕》雜志聯合主辦,網易汽車獨家報道,聚焦汽車相關前沿科技����、汽車信息安全展開�。此外�,論壇討論還將聚焦車企、電商平臺��、汽車媒體等以自身優勢資源為核心構建的汽車消費生態����。
核心提示:在本屆中國汽車消費論壇“汽車智能時代的信息安全”這一演講環節,奇虎360車聯網事業部負責人劉建皓帶來《當智能汽車遇到網絡黑客攻擊》主題演講�����,他表示���,360致力于部署汽車安全監控����,能及時應急響應,降低信息安全給用戶帶來的損失。通過有效的安全監控��,可以組織黑客在攻擊之前拿到權限�,阻止安全風險的發生����。推廣安全意識并非給智能汽車和自動駕駛汽車堵路,而是為了造出更安全可靠的汽車��。
奇虎360車聯網事業部負責人 劉建皓
以下是奇虎360車聯網事業部負責人劉建皓的講話實錄:
各位大家好!我就是剛剛季總所說的一群白帽子中的一個��,我的主要研究成果是在14年破解了特斯拉能夠現在沒有鑰匙的情況下開車門�����、閃光,把這輛車開走,15年的時候實現了遙控駕駛。我今天帶來的議題是車聯安全之路,我就講一下為什么現在的汽車學習智能化��。首先汽車智能化是由于萬物互聯導致了汽車的發展���,汽車發展到一定的程度就會出現網絡安全的問題��,出現了網絡安全的問題我們就要有解決方案�����,所以說我這個標題也是順延的。
介紹一下360公司���,以往在大家的腦子里是免費殺毒的,360提供免費殺毒�,提供手機衛士�����、安全瀏覽器,為大家在上網的時候提供了一種安全感�����,自己電腦里裝了360以后覺得上網以后根本不怕木馬了��,我們擴展到安全領域這就是安全的2.0,我們想保護兒童����、家庭安全����、行車安全�����,萬物互聯的安全����,這是我們泛安全的概念,所以我們在汽車安全方面也做了很重要的一些投入�。我們還認為汽車會成為未來第四大互聯中心���,大家應該是有所體會的��,以前我們上網購物玩兒游戲都在電腦上,到達現在這個時代��,很多人就不用電腦了��,可能已經告別電腦了����,有些人看著電腦頭都疼����,現在用手機平板,手機平板會成為移動中心?����,F在有一些智能監視����,美國有很多人在電視上購物的����,可能客廳的東西會成為中心。未來等到我們汽車自動駕駛或者是無人駕駛汽車的發展����,我們雙手被解放了��,在車上面也有相同的資源、大屏���、網絡,這樣我們可以以汽車為中心形成商業的機會�����。我們認為汽車未來會成為第四大互聯中心����。
根據未來汽車的三種形式,第一種形式最簡單是車聯網�,我們可以通過網絡����、手機控制汽車���,開車門�,啟動空調,這是最基本的車聯網的功能。第二塊是互聯網汽車��,現在的互聯網廠商造汽車實際上是把汽車里面的車載系統做得是非常多元化的�����,把互聯網的引入到車載系統里來。比如說主駕駛的屏幕是液晶的可以看到儀表,副駕駛也有這樣的屏幕,這塊屏幕可以享受到互聯網的內容�,還有一塊是智能網聯汽車�����,這是在中國制造2025的綠皮書的重點規劃的方向,是因為我們可以通過汽車智能化降低交通事故率,滿足國家發展的要求����,所以智能網聯汽車會使汽車成為這樣的一個方向�����。
我講的一個定義是軟件定義汽車功能,我們在研究特斯拉的過程中,特斯拉是一輛最低配置的汽車�,但它在去年的10月份發布了無人駕駛系統����,本以為我們的低配是不支持的,但只要升級了7.1版本的軟件就可以享受無人駕駛系統。實際上特斯拉做到了我賣的汽車是基礎的硬件平臺��,后面的功能是通過軟件升級實現的�,它的自動駕駛是通過軟件定義實現的,低配升到自動駕駛是要付費的,我們花了2.45萬買了服務。特斯拉把賣汽車作為一錘子買賣的事情���,通過軟件更新做了很多持續的增值服務,我覺得它已經改變了汽車行業的消費。
對于自動駕駛汽車的測試,像很多的高校和車廠都開著車身布滿傳感器的車在路上跑�����,特斯拉是把軟件部署在用戶的身上��,讓用戶測試�,從數據上采集數據����,再返回到云端平臺做決策����,等升級到7.2版本的時候,自動駕駛的功能就越來越好了。所以我覺得特斯拉是改變智能汽車的先例和標桿��。
汽車發展到這種程度網絡安全問題會有哪些?首先看一下案例�����,從13年到15年汽車被破解的按越來越多�,大家最關注的一點是像寶馬汽車connectedDriue功能存在漏洞找回了220萬輛汽車��,大家可以計算一下整車廠損失了多少����,就是因為軟件的漏洞可能會給整車廠帶來了很多的損失�����?��?巳R思科的Uconnect系統還被評為史上最優秀的���,可是這也存在著漏洞�,所以網絡安全問題是勢不可當的���。為什么近幾年汽車網絡安全備受關注���,我們在之前的一些汽車比如說像我們傳統的機械汽車或者是市面上的一些存量車是沒有車聯網的功能的�����,它的汽車的總線是不對外開放的,沒有途徑統一到車內����?�?梢钥纯雌嚨淖兓@是在10年左右的汽車����,它的汽車里面只有10幾個ECU單元�����,ECU里面會有一些軟件系統,發展到2014年吉普自由光這輛汽車��,里面有40多各ECU����,相互之間要通訊協作、協同�,要有人機交互�、車機交互��,交互的功能越多越復雜越容易受到攻擊�。我們再看一下汽車后來會變成什么樣?我們總結了汽車攻擊的三類,第一是從車里聯網的TSP云端�,日產的電動新能源汽車的TSP存在漏洞��,可以通過云端直接控制汽車,可以啟動汽車�,更改空調的問題����,而且可以控制世界上任意一輛連接到這個TSP上的汽車��。還有我們可以通過OBD的設備,通過智能手機和車載APP的入口下手����,控制一輛汽車�。通過無線網絡攻擊�,現在的TPMS也可以成為一個攻擊的途徑,包括智能鑰匙���,去年曝了一個漏洞,可以通過破解智能鑰匙的算法�,無限制地可以不需要鑰匙開啟車門����,所以汽車安全主要是從這幾個方面做到的�。
我們未來的汽車是什么樣的?現在我們主推的智能網聯汽車可能會有很多的傳感器,如果要實現自動駕駛我們需要三樣東西,第一是遠距離的毫米波雷達��,車身上有12個超聲波傳感器��,還有一個前置的高清攝像頭�����,我們可以通過一定的手段讓這三個都失靈,可以逼停在馬路上開的智能汽車����。我們的理念是無安全不智能���,如果說這輛汽車不是安全的怎么算是智能汽車呢?我們還可以通過V2V協議的標簽跟蹤一個人�,因為V2V本身是車跟車之間的通信�,你需要發一些帶有你標識的信息,我們需要判斷你走過哪些路���。
網絡安全與汽車的解決方案����,我們在互聯網風口下如何做好汽車安全?我這兩天一直在想,以后大家買帶有自動駕駛和無人駕駛汽車的功能,現在推廣自動駕駛說上了自動駕駛的汽車定了導航就可以睡覺了,如果我開著開著好好的,這輛車開到溝里了����,感覺世界都不一樣���,說這場車禍的出現是汽車的問題還是人的問題?因為汽車智能化以后越來越多的控制是交給操作系統的���,而不是人去主動控制的����,系統的話就有可能存在漏洞��,怎么可能解決這個問題?用戶怎么去放心買我們的智能汽車或者是無人駕駛汽車?這是一個非常嚴峻的挑戰�。所以說我們要在互聯網的模式下做好汽車安全����。這是我們對汽車信息安全的模型,我本身是做產生信息安全,這很抽象���,運維體系、管理體系、技術體系�,我們真的放在汽車安全模型里的話���,實際上對智能汽車新增的無非是這三塊����,一個是傳感單元還有是智能控制系統��,這是由以太網總線來組成�����,還有定制的模塊,智能管理控制系統是新能源汽車的核心的部件���,我們之前研究過如何黑掉電池管理系統,這個實驗太危險了�,我們只是實現在理論的層面上����,我們的汽車安全模型保護的就是這些單元����。還有一個原則是攻防平衡的原則,汽車安全的面很多����,很多面我們都要做到�����,實際上對一個整車廠或者是主機廠來講不可能面面俱到的,我們有一個是攻防平衡��,實際上查理米勒通過遠程攻擊克萊斯勒不是由一個環節構成的����,而是多個環節出了問題,這樣的話會形成一條路徑����,我們把這條路徑通過安全加固的措施斷掉���,不要讓它形成一條攻擊鏈�,斷掉之后把風險控制在一定的程度上�����,我們就用了一種非常低價的解決方案解決了高風險的問題,這個是劃得來的�。
我們具體的解決方案主要是首先通過全面地評估檢查��,先看這輛汽車有沒有具體高危的問題,再通過深入挖掘通過平臺進行防控�,部署監控措施�,判斷情報����,還有及時的應急響應,如何降低信息安全給用戶帶來的損失����,實際上是通過快速的應急響應����,還有一些安全的培訓和溝通反饋����,全面加強整體的安全性。這是360整個車聯網的安全框架��,跟汽車安全評估和加固��、汽車安全整體防御����、應急響應��,后面建設的有全生命周期安全建設����,因為我們在汽車安全測試的時候發現很多的漏洞�,它在現在的情況下是不能去做修復和加固的��,因為它設計出來就是一個問題�,我們會把這個安全問題接入到設計階段���,從整車的生命周期開發進行安全的需求。實際上安全監控也是非常必要的行為,現在的攻擊不是一蹴而就的,黑客不會一下子干掉你��,因為以前有很多繁雜的測試��,測試的過程中需要有大量的安全監控可以感知到��,比如說黑客要測試開門的指令,肯定會用腳本提高�,這時候肯定他的頻度為手模擬點擊的頻度是不一樣的���,我們這時候可以通過有效的安全監控��,可以組織黑客在攻擊我之前拿到這個權限,通過安全監控阻止安全風險的發生�����。
最后���,我在這里說了這么多安全的東西���,可能也把大家未來做智能汽車�、做自動駕駛汽車的路都堵上了,實際上不是這樣的�����,安全是為了大家的行業����,是為了保駕護航��,因為我們要提升自己自主品牌的安全能力�����,我們自主品牌是安全的,在國際上才有推廣的能力,所以說我給大家推廣這些安全意識實際上是為了讓我們造出來的車更安全,我今天的演講到此結束!謝謝大家!
