当前位置: 首页 > 会员服务 > 技术资料

汽车信息安全问题不容忽视(中)

本期看点:

一、汽车信息安全问题不容忽视(中)

——近年来,汽车中不断嵌入各种软件,提高了信息化水平,但随之而来的信息安全问题也日益突出。未来,车载软件系统受到攻击的可能性越来越大。因为,车辆的外部接口类型不断增多,攻击路径也不断增多。具体而言,除了车载诊断系统(OBD-II)、充电控制接口之外,如今的汽车还具有与智能手机、平板电脑之间的互联功能等。更为重要的是,汽车技术的发展趋势也要求必须重视汽车的信息安全。

二、德国亚马逊封锁经常退货账号引争议

——最近,有许多关于亚马逊封锁客户账号的报道,这些客户的共同点就是为了维护自己的权益经常退货。亚马逊这么做是否合理?Christian Solmecke律师就此问题发表了自己的看法。Solmecke律师认为,亚马逊的这种做法是在引导消费者降低退货的频率,而消费者不应因害怕被封锁账号就不维护自己的权益。

三、IDC:2013年俄罗斯的IT市场有所增长

——IDC预测,今年俄罗斯IT市场上占比例最大的是硬件,但服务增长速度最快。


汽车信息安全问题不容忽视(中)

译自:2013年8月【日本】IPA网站

编译:工业和信息化部国际经济技术合作中心  王喜文

二、攻击车载软件的案例层出不穷

信息安全研究人员已经开始探讨“汽车攻击者”可能采取的攻击方式和方法。在信息安全领域,既要思考如何防御,也要研究可能遭遇怎样的攻击。从部分公开的研究来看,有下面四个具有代表性的案例可供我们参考。

(一)美国的一篇研究论文提到的案例

2010年,美国华盛顿大学Kohno发表过一篇题为《汽车的安全性分析与验证(Experimental Security Analysis of a Modern Automobile)》的论文。论文指出,通过在汽车的维护保养端口设置特殊仪器,从并排行驶的车辆一侧,能够攻击车载系统的漏洞,能够控制刹车、雨刷器等。

这篇论文提到,由于没有对盗听对象车辆通信以及进行解析过程的验证,甚至没有限制网络通信地址,所以很容易进行攻击。

当然,利用这些漏洞成功实施恶意攻击的难度很大。攻击者需要具备信息安全的专业知识、开发攻击软件的能力及搭建用来连接车载网络、植入汽车自动控制命令的电子平台的经验。而且,完成攻击所需要的设备和软件的功能单靠市面上的产品也无法实现,大多需要重新开发修改。

但随着时间的推移,未来当汽车拥有的信息资产价值进一步提升,成为攻击者的攻击对象之后,汽车就像现在消费类电子产品的信息安全状况一样,网络上到处都有使攻击变得简单的工具。到那时,攻击的难度将大为降低。

(二)攻击轮胎压力监测系统

轮胎压力监测系统(TPMS)是利用无线通信方式,来不间断地监测轮胎压力的系统(图2)。美国要求汽车必须配备该系统,目的是防止低压轮胎高速行驶导致轮胎破裂的事故发生。为了该系统正常运行,首先需要通过无线通信把轮胎压力信息收。

图2 TPMS结构

2010年在美国高级系统协会(USENIX)发表的论文《车载无线网络的信息安全漏洞:基于轮胎压力监测系统的研究(Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study)》中,指出了TPMS的漏洞。论文通过对TPMS无线通信方式的分析,指出了如下3点:

1、TPMS的通信信息没有加密,容易被盗听,被解析。

2、轮胎阀门上安装的压力测量装置有32bit的ID号码,而且能与距离汽车40m远的场所进行无线通信。如果在路边和高架桥等地点进行检测,可以记录到某个特定车辆的通行时间。

3、可以伪装TPMS的压力报告信息,随时点亮报警灯。

由具备专业知识的学生进行TPMS通信信息解析,耗时1周多。虽说需要很高的专业性,但解析使用的设备成本仅为1000美元左右。

该系统原本是为提高汽车的安全性而设置,但却暴露出了车载软件的漏洞,有可能成为造成交通事故的重大隐患,需更高度重视对此的安全措施。

 

 
   

(三)使用广域网攻击汽车局域网

图3 远程攻击汽车

除了上两个案例介绍的接触或近距离攻击汽车的方法之外,2011年还有论文谈到了通过移动互联网远程攻击汽车的方法。

论文探讨了攻击的多种可能性影响,其中,有可能造成重大危害的是远程打开门锁、监控汽车等行为(图3)。这一研究揭示了无论身处何方都有可能攻击汽车的可能性,因此可以说非常值得关注。

这篇论文提到,攻击者为实施远程攻击,利用逆向工程技术,通过解析通信及信息终端,开发出了针对特定车型的入侵代码和可执行代码。实施攻击的难度很大。但倘若有人开发出了攻击大企业提供的通信及信息服务的代码,并且将其散布,就有可能造成大范围危害,造成严重损失。

论文列举出的防范措施包括“切断不必要的外部通信”、“取消多余的通信服务”、“监测通信状况”、“从车载系统的开发阶段开始,编写程序代码时就要有安全意识”、“安装软件升级功能”以及“需要考虑多种功能相互融合后产生的信息安全问题”等。

(四)解析防盗器密钥

在2012年8月举办的“第21届USENIX Security大会”上,一篇论文宣称,只需大约5分钟即可破解“HITAG2”密码锁验证密钥。

HITAG2是上世纪90年代开发的防盗方案,其原理是使用RFID标签控制发动机的起动,采用专用加密方式,认证和加密均使用48位密钥。

在这篇论文中,研究人员把目光放在了HITAG2的漏洞上,表示只需利用1分钟的时间收集认证步骤的数据,然后,经过5分钟的测试,便可破解密钥,并且在现场进行了演示。

在验证漏洞时,测试RFID系统使用的是“Proxmark III”板卡。通过窃听智能钥匙与车载防盗器之间的电波并解析,伪造出了正确的密钥。Proxmark III配备了处理HF/LF频带电波编解码的FPGA(现场可编程门阵列)、实施帧处理的MCU等,破解条件完备。但从一般用户的角度来看,攻击难度可以说略高。

关于HITAG2的漏洞,在信息安全相关会议“BlackHat 2012”上,也有与会者发布报告称,使用FPGA只需50秒即可破解验证密钥。攻击的方法在一般用户看来同样难度较大,应对方式与之前谈到的方法相同。但该报告还指出,使用FPGA可以高速破解密码。

使用FPGA破解密码非常简单。销售密码恢复(密码破解)软件的俄罗斯企业ElcomSoft表示,与使用高性能处理器并行计算相比,使用FPGA破解密码的速度要快好几倍,而且耗电量不到十分之一。这是因为,FPGA能够针对破解密码,使硬件处理最优化。

应对这些事例的可行措施,包括“使用AES等非专用加密方式”、“改进随机数生成器”等。除了企业实施的对策之外,用户估计也需要采取防范他人接触汽车钥匙、锁车门、锁方向盘等措施。

如上所述,汽车信息安全领域开展的研究正在逐渐增多,今后必将还会发现其他各式各样的潜在威胁。

(未完待续)

德国亚马逊封锁经常退货账号引争议

译自:2013年8月1日【德国】www.it-business.de

编译:工业和信息化部国际经济技术合作中心  李丹宇

图:在电子商务中封锁经常退货的账号是否合理?

 

 

 

来源:Amazon

“这个问题要看具体情况……”是法律人士最喜欢使用的措辞,在回答亚马逊封锁经常退货的账户账号是否合理时也不例外。Christian Solmecke律师则对这个问题明确表达了自己的看法。

最近,有许多关于亚马逊封锁客户账号的报道,这些客户的共同点就是为了维护自己的权益经常退货。亚马逊这么做是否合理?

单纯从经济角度出发,亚马逊这么做是有原因的,因为这些客户退货过于频繁的做法,让亚马逊根本赚不到钱。可是,封锁账号这件事并不单纯是个经济问题,还涉及是否侵犯客户权利的问题。

Christian Solmecke律师就这个问题发表了自己的看法。

两种截然相反的观点

关于亚马逊封锁经常退货账号是否合理的问题,目前有两种截然相反的观点。一种认为,亚马逊这么做是为了保护自己的经济利益,是合理的;另一种认为,亚马逊这么做侵犯了消费者的权益。

Solmecke律师的观点是:“网络销售的一个基本原则就是私法自治原则,即亚马逊可以自己决定与哪些客户合作,不与哪些客户合作,如果不愿意合作,亚马逊可以单方面取消订单。”

然而,这个原则与《消费者权益保护法》(以下简称《保护法》)的精神相违背。该法律规定,消费者网购的商品只要没有消耗或者破损,都可在14天内无理由退换。

所以,Solmecke律师认为:“亚马逊单方面封锁经常退货的账号侵犯了消费者的权益。消费者退货是有法律依据的,即便退货的频率高于平均水平,这种权利理应得到保障。亚马逊的这种做法是在引导消费者降低退货的频率,而消费者不应因害怕被封锁账号就不维护自己的权益。”

各退一步

但是,其实亚马逊的退货标准比《保护法》规定的还要宽:只要商品符合退货的标准,消费者可以在购买之后的30天内进行退货。这项退货规定甚至还适用于《保护法》中未涉及的商品,例如电子书。

Solmecke律师说:“对于这种自行规定退货标准的情况,法律的评估也会不一样。不过在这里,法律高于私人自治原则。退一步说,为了保证盈利,亚马逊可以决定与哪些客户合作,将退货过于频繁的账号封锁,但是也应该在封锁之前给用户必要的提醒,否则用户根本不知道自己退货的频率已经超过了亚马逊的盈利界限。直接封锁的做法是不合理的。”

封锁不应涉及亚马逊的其他服务

亚马逊将用户的账号封锁之后,用户不仅无法购物,而且也不能访问Kindle商店和亚马逊的云端服务。

对此,Solmecke律师的观点是:“这种全方位的封锁极大地限制了用户的合法权利,账号被封锁之后,用户甚至连储存在亚马逊云端的数据都无法正常访问。我认为,亚马逊封锁账号不应涉及其他服务。对于目前已经被封锁账号和服务的用户,我建议他们向亚马逊客服求助,重新激活被封锁的账户。”

IDC:2013年俄罗斯的IT市场有所增长

译自:2013年9月13日【德国】www.it-business.de

 

 
   

编译:工业和信息化部国际经济技术合作中心  李丹宇

 

 

 

图:2013年俄罗斯IT市场的情况

来源:IDC

据IDC预测,虽然今年俄罗斯IT市场上占比例最大的是硬件,但是增长速度最快的却是服务。具体情况见上图。

 

                                                                                                                                                              —转至 IT国际快讯 第972期

分享到:
点击次数:  更新时间:2014-02-15 18:09:57  【打印此页】  【关闭
  • 蜀ICP备14010983号 版权所有©2016 成都市电子信息行业协会
  • 地址:成都市高新区府城大道西段399号天府新谷
  • 服务热线:028-85327287


Powered by MetInfo  5.2.1 ©2008-2021