2022年5月27日,由北京犬安科技有限公司发起举办的“GoGoHack2022 车联网信息安全研讨会”圆满落幕。本次研讨会受到了来自各界的高度关注,有300余位观众报名参会,分别来自主机厂、Tier X供应商、政府部门、高校、研究机构、安全咨询公司、投资机构等不同领域。今天我们回顾其中的三项议题:
演讲嘉宾是CJ Wong和 Jasmine Zaker,CJ Wong为HelpSystems基础设施安全业务的区域销售经理,在网络安全行业具有超过15年的工作经验,并一直关注自动渗透测试、漏洞管理和黑盒模糊测试等方面的基础设施安全解决方案, Jasmine Zaker是HelpSystems的销售工程师。
CJ Wong & Jasmine Zaker
目前,智能网联汽车日渐兴起,汽车与网络的连接更为紧密。因CAN总线在汽车安全相关系统中的广泛应用,其安全性是每个汽车安全研究人员都绕不开的测试项目。承载于其上的UDS协议数据、实时控制数据、参数状态数据对汽车的安全稳定运行至关重要,在已经公布的汽车网络攻击利用链中,取得CAN总线的访问权限并且绕过CAN总线的防御机制往往是攻击者最重要的目标之一。同时,模糊测试因具备诸多优点被广泛用于汽车CAN总线测试,其能够有效提高CAN总线上连接的各种设备的安全性和稳定性。在众多测试工具中,beStorm历史悠久功能强大,能够支持文件型和协议型的模糊测试,以及包含WiFi、蓝牙、CAN在内的数百种文件和协议类型。本期研讨议题将首先分享模糊测试的原理和优势,再通过实际演示的方式具体讲解beStorm是如何进行CAN协议模糊测试的。
-
通过模糊工具发送数据到目标系统能够发现潜在漏洞。
-
beStorm是一款智能黑盒模糊测试工具,能够自主检测设备中的零日漏洞。
-
虽然部分厂家会禁用MCU接口,但仍可使用MUC上的GPIO输出运行过程中的日志信息。
-
Bestrom的工作流程为,生成攻击payload,发送攻击的过程,以及监控被测试设备。
演讲嘉宾为ASRG(Automotive Security Research Group)的创始人John Heldreth。他曾供职于Delphi、Bosch、保时捷等企业,现任德国大众汽车汽车网络安全运营负责人。
John Heldreth
由于智能网联汽车是充分全球化的行业,其复杂的软硬件供应链决定了网络安全问题的解决需要协作。同时,又因为网络安全工作覆盖了车辆从设计到报废的全生命周期,很难一蹴而就,因此在安全设计、安全开发、安全运维响应等工作过程中更需要深入且敏捷的配合。而这些都需要一系列的工具和标准来支持。ASRG社区目前正在建设的项目能够为行业协作提供一套标准的沟通语言。犬安科技也已参与其中,并协同开展中国区的社区工作,望与全球网联汽车从业者携手,共同打造对汽车行业真正有价值的社区项目。本期研讨议题将围绕ASRG社区的历史进程和后续发展进行详细介绍。
-
ASRG现已遍布全球50多个不同的地区,是为汽车工程师、IT安全专家、安全研究人员、初学者和爱好者们搭建的社区平台,包含知识、网络化和协作三个不同的核心发展领域,致力于弥合出现在汽车安全行业中的边界。
-
ASRG是一个非盈利性的组织,成员均以个人名义加入,公司只能通过赞助等方式与ASRG进行合作。
-
虽然部分厂家会禁用MCU接口,但仍可使用MUC上的GPIO输出运行过程中的日志信息。
-
目前,ASRG正在进行OpenXSAM、Threat Catalog、漏洞情报平台开发三个项目, 这些项目能够为行业的协同提供一套标准的沟通语言。
演讲嘉宾为上海纽创信达科技开发有限公司总经理马博。马博从事安全芯片及汽车电子产品开发多年,曾参与金融安全芯片、电子护照芯片、车身控制ECU、数字钥匙、T-Box以及汽车高性能计算平台等产品的开发工作,对汽车和信息安全领域了解颇深。
马博
近年来,各行各业已逐步进入网联化和智能化的时代,这对于汽车行业来说可谓是机遇和风险并存。一方面智能技术将汽车行业引向新的发展道路,另一方面也在智能网联汽车的头上悬起一把利刃。本期研讨议题从车联网信息安全需求切入,重点介绍汽车信息安全法规及标准、汽车安全芯片规范和纽创产品及应用的介绍,围绕制度和标准详谈车联网信息安全。
-
2022年7月正式生效的UN-ECE(WP.29)汽车网络安全及软件更新法规对国内汽车出口影响深远。
-
国内外现已出台的汽车信息安全标准均尚未到达元器件级别。
-
HIS组织率先提出的SHE概念后成为最早的汽车芯片安全组件,具有保护密钥免受针对软件的攻击、提供真实可信的软件环境、安全仅仅依赖底层的密码算法和密钥的保密性、支持密钥分配、保证高灵活性和低成本的特点和设计目标。
-
HSM以独立的CPU形式与MCU在同一芯片上,安全性高、成本低、灵活性好。
-
EVITA组织的HSM规范扩展了SHE,并采用了Full、Medium、Light三种规格,从而满足更多场景和成本的要求。
GoGoHack是犬安科技(GoGoByte)发起的技术交流平台,平台会持续组织发起如本次GoGoHack2022这样的安全交流活动,欢迎大家前往GoGoHack官方网站(gogohack.org)注册账号以便在第一时间收到后续活动通知。
原文始发于微信公众号(GoGoHack):GoGoHack2022 干货大放送!
