本文目录一览:
全球最牛黑客齐聚北京要干什么?
每年夏天,来自全世界的安全专家和黑客白帽子齐聚在赌城拉斯维加斯的沙漠边缘,奔赴Defcon这个具有26年历史、被称为安全届“奥斯卡”的国际安全顶级盛会。今年,Defcon第一次离开拉斯维加斯,来到了北京,化身首届DCCB(DEF CON CHINA Baidu)。
如果你最近两天出没在望京昆泰酒店附近,就有可能与网络上神秘的“黑客”擦身而过。他可能长这样...
也可能长这样...
年仅13岁的小黑客
汽车现场被大卸八块,厂家百万奖金池“求黑”
可能不会有任何一场活动的场地IT人员比这两天昆泰酒店的人员紧张了。今天早上八点多,会议还未正式开始,就已经排起了长龙。8点50,一位提前到场的观众听到一阵惊呼,走近一问,发现有参会者把现场的一台机器给破解了……原来,活动举办所在酒店自己的设备惨遭“误伤”。还没开场,黑客们就技痒难耐,擦枪走火了。
会场门外,一辆外形炫酷的红色汽车十分显眼。别看这会神气,过不了明天,它就会被黑客们“大卸八块”,接受从硬件到软件的全方位黑客挑战。
2016年9月,中国的网络安全团队、腾讯科恩实验室以“远程无物理接触”的方式,成功入侵了特斯拉汽车,这在全球还是首次。也就是说,技术人员坐在办公室里,就能于千里之外,直接遥控别人的特斯拉汽车。
不过,这些黑客们的入侵行为并无恶意,而是帮助厂商寻找漏洞,帮助其在修补漏洞饿过程中提高安全防御能力,人称“白帽黑客”。这不,在特斯拉被白帽黑客们入侵后,特斯拉首席执行官埃隆马斯克亲自写信向提交该漏洞的科恩实验室表示感谢,并随信颁发了代表特斯拉安全研究最高荣誉徽章——“特斯拉安全挑战徽章”。马斯克在信中表示,“特斯拉极为重视安全领域的研究,当研究人员能够帮助我们提升产品安全性能时,我们尤为感激。”
今天的大会现场,就有不止一家智能设备、车载互联网厂商下了英雄招募令,奖金池百万寻找能破解其设备的白帽黑客。
黑客版“吃鸡”可得30万奖金
“侵入设备,获得空调、仪表等控制权的,可得5万奖金。”“不进行物理接触的情况下打开门锁,奖金10万”……在大会的“黑客屯”(Hack Village)区域,一个个把自家产品拿来“求黑”“求攻破”的高手招募令人瞩目。
在一家为汽车厂商提供车载互联网平台的厂商展台边,三个前来组团挑战的黑客“剑客”小哥花了1个半小时,进入了车辆的第一道防线——云端。“我们现在进入云端,能看到他们系统的一些文件了,不过还不能对它作出控制。”一位黑客小哥说。
“期待大神出现,能为我们找到技术漏洞,拿走奖金。”智能门锁果加的技术人员告诉知事,今天不少黑客前来试水,但暂时没人成功破解他们的门锁。
紧挨着的区域,将在未来两天进行百度国际网络安全技术对抗赛BCTF。简单来说,就是上演黑客版的电竞比赛。这种攻防赛本是欧美一种传统户外游戏,后来“夺旗”概念被引入信息安全攻防比赛,在比赛中,选手需要通过解开题目,或攻破目标夺旗获得胜利。
比赛尚未开始,知事找曾经在国外参与往届同类赛事的黑客们了解了下比赛形式:台下,黑客们用代码作为武器攻击对方。台上,不懂技术的“小白”们也能通过大屏幕看到被“翻译”后的战况结果,例如“A攻击了B”“B对C的攻击有效,C掉分”了等等,激烈程度丝毫不比“吃鸡”、王者荣耀逊色。
据悉,本届DEF CON CHINA首次引入人工智能AI战队,将会和其他国内外顶尖强队共同亮相黑客攻防战总决赛的现场,一同决战紫禁之巅。在奖金池方面,此次BCTF的奖金达到了数百万级别,第一名将直接斩获30万元现金。
“黑客”是什么?
什么是黑客?
Jargon File中对“黑客”一词给出了很多个定义,大部分定义都涉及高超的编程技术,强烈的解决问题和克服限制的欲望。如果你想知道如何成为一名黑客,那么好,只有两方面是重要的。(态度和技术)
长久以来,存在一个专家级程序员和网络高手的共享文化社群,其历史可以追溯到几十年前第一台分时共享的小型机和最早的ARPAnet实验时期。 这个文化的参与者们创造了“黑客”这个词。 黑客们建起了Internet。黑客们使Unix操作系统成为今天这个样子。黑客们搭起了Usenet。黑客们让WWW正常运转。如果你是这个文化的一部分,如果你已经为它作了些贡献,而且圈内的其他人也知道你是谁并称你为一个黑客,那么你就是一名黑客。
黑客精神并不仅仅局限于软件黑客文化圈中。有些人同样以黑客态度对待其它事情如电子和音乐---事实上,你可以在任何较高级别的科学和艺术中发现它。软件黑客们识别出这些在其他领域同类并把他们也称作黑客---有人宣称黑客实际上是独立于他们工作领域的。 但在本文中,我们将注意力集中在软件黑客的技术和态度,以及发明了“黑客”一词的哪个共享文化传统之上。
另外还有一群人,他们大声嚷嚷着自己是黑客,实际上他们却不是。他们是一些蓄意破坏计算机和电话系统的人(多数是青春期的少年)。真正的黑客把这些人叫做“骇客”(cracker),并不屑与之为伍。多数真正的黑客认为骇客们是些不负责任的懒家伙,还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客, 正如拿根铁丝能打开汽车并不能使你成为一个汽车工程师。不幸的是,很多记者和作家往往错把“骇客”当成黑客;这种做法激怒真正的黑客。
根本的区别是:黑客们建设,而骇客们破坏。
如果你想成为一名黑客,继续读下去。如果你想做一个骇客,去读 alt.2600 新闻组,并在发现你并不像自己想象的那么聪明的时候去坐5到10次监狱。 关于骇客,我只想说这么多。
---黑客的态度
黑客们解决问题,建设事物,信仰自由和双向的帮助,人人为我, 我为人人。
要想被认为是一名黑客,你的行为必须显示出你已经具备了这种态度。要想做的好象你具备这种态度,你就不得不真的具备这种态度。但是如果你想靠培养黑客态度在黑客文化中得到承认,那就大错特错了。因为成为具备这些特质的这种人对你自己非常重要,有助于你学习,并给你提供源源不断的活力。同所有有创造性的艺术一样,成为大师的最有效方法就是模仿大师的精神---不是仅从理智上,更要从感情上进行模仿。
So,如果你想做一名黑客,请重复以下事情直到你相信它们:
1 这世界充满待解决的迷人问题
做一名黑客有很多乐趣,但却是些要费很多气力方能得到的乐趣。 这些努力需要动力。成功的运动员从健壮体魄,挑战自我极限中汲取动力。同样,做黑客,你必须要有从解决问题,磨练技术,锻炼智力中得到基本的热望。如果你还不是这类人又想做黑客,你就要设法成为这样的人。否则你会发现,你的黑客热情会被其他诱惑无情地吞噬掉---如金钱、性和社会上的虚名。
(同样你必须对你自己的学习能力建立信心---相信尽管你对某问题所知不多,但如果你一点一点地学习、试探,你最终会掌握并解决它。)
2. 一个问题不应该被解决两次
聪明的脑瓜是宝贵的,有限的资源。当这个世界还充满其他有待解决的有趣问题之时,他们不应该被浪费在重新发明轮子这些事情上。 作为一名黑客,你必须相信其他黑客的思考时间是宝贵的---因此共享信息,解决问题并发布结果给其他黑客几乎是一种道义,这样其他人就可以去解决新问题而不是重复地对付旧问题。
(你不必认为你一定要把你的发明创造公布出去,但这样做的黑客是赢得大家尊敬最多的人。卖些钱来给自己养家糊口,买房买车买计算机甚至发大财和黑客价值也是相容的,只要你别忘记你还是个黑客。)
3. 无聊和乏味的工作是罪恶
黑客们应该从来不会被愚蠢的重复性劳动所困扰,因为当这种事情发生时就意味着他们没有在做只有他们才能做的事情---解决新问题。这样的浪费伤害每一个人。因此,无聊和乏味的工作不仅仅是令人不舒服而已,它们是极大的犯罪。 要想做的象个黑客,你必须完全相信这点并尽可能多地将乏味的工作自动化,不仅为你自己,也为了其他人(尤其是其他黑客们)。
(对此有一个明显的例外。黑客们有时也做一些重复性的枯燥工作以进行“脑力休息”,或是为练熟了某个技巧,或是获得一些除此无法获得的经验。但这是他自己的选择---有脑子的人不应该被迫做无聊的活儿。)
4 自由就是好
黑客们是天生的反权威主义者。任何能向你发命令的人会迫使你停止解决令你着迷的问题,同时,按照权威的一般思路,他通常会给出一些极其愚昧的理由。因此,不论何时何地,任何权威,只要他压迫你或其他黑客,就要和他斗到底。
(这并非说任何权力都不必要。儿童需要监护,罪犯也要被看管起来。 如果服从命令得到某种东西比起用其他方式得到它更节约时间,黑客会同意接受某种形式的权威。但这是一个有限的、特意的交易;权力想要的那种个人服从不是你的给予,而是无条件的服从。)
权力喜爱审查和保密。他们不信任自愿的合作和信息共享---他们只喜欢由他们控制的合作。因此,要想做的象个黑客,你得对审查、保密,以及使用武力或欺骗去压迫人们的做法有一种本能的反感和敌意。
5. 态度不能替代能力
要做一名黑客,你必须培养起这些态度。但只具备这些态度并不能使你成为一名黑客,就象这并不能使你成为一个运动健将和摇滚明星一样。成为一名黑客需要花费智力,实践,奉献和辛苦。
因此,你必须学会不相信态度,并尊重各种各样的能力。黑客们不会为那些故意装模做样的人浪费时间,但他们却非常尊重能力---尤其是做黑客的能力,不过任何能力总归是好的。具备很少人才能掌握的技术方面的能力尤其为好,而具备那些涉及脑力、技巧和聚精会神的能力为最好。
如果你尊敬能力,你会享受提高自己能力的乐趣---辛苦的工作和奉献会变成一种高度娱乐而非贱役。 要想成为一名黑客,这一点非常重要。
---基本黑客技术
黑客态度是重要的,但技术更加重要。态度无法替代技术,在你被别的黑客称为黑客之前,有一套基本的技术你必须掌握。 这套基本技术随着新技术的出现和老技术的过时也随时间在缓慢改变。例如,过去包括使用机器码编程,而知道最近才包括了HTML语言。但现在明显包括以下技术:
1 学习如何编程
这当然是最基本的黑客技术。如果你还不会任何计算机语言,我建议你从Python开始。它设计清晰,文档齐全,对初学者很合适。尽管是一门很好的初级语言,它不仅仅只是个玩具。它非常强大,灵活,也适合做大型项目。
但是记住,如果你只会一门语言,你将不会达到黑客所要求的技术水平,甚至也不能达到一个普通程序员的水平---你需要学会如何以一个通用的方法思考编程问题,独立于任何语言。要做一名真正的黑客,你需要学会如何在几天内通过一些手册,结合你现在所知,迅速掌握一门新语言。这意味着你应该学会几种不同的语言。
如果要做一些重要的编程,你将不得不学习C语言,Unix的核心语言。其他对黑客而言比较重要的语言包括Perl和LISP。 Perl很实用,值得一学;它被广泛用于活动网页和系统管理,因此即便你从不用Perl写程序,至少也应该能读懂它。 LISP 值得学习是因为当你最终掌握了它你会得到丰富的经验;这些经验使你在以后的日子里成为一个更好的程序员,即使你实际上可能很少使用LISP本身。
当然,实际上你最好四种都会。 (Python, C, Perl, and LISP). 除了是最重要的四种基本语言,它们还代表了四种非常不同的编程方法,每种都会让你受益非浅。
这里我无法完整地教会你如何编程---这是个复杂的活儿。但我可以告诉你,书本和课程也不能作到。几乎所有最好的黑客都是自学成材的。真正能起作用的就是去亲自读代码和写代码。
学习如何编程就象学习用自然语言写作一样。最好的做法是读一些大师的名著,试着自己写点东西,再读些,再写点,又读些,又写点....如此往复,直到你达到自己在范文中看到的简洁和力量。
过去找到好的代码去读是困难的,因为很少有大型程序的可用源代码能让新手练手。这种状况已经得到了很大的改善;现在有很多可用的开放源码软件,编程工具和操作系统(全都有黑客写成)。这使我们自然地来到第二个话题...
2 得到一个开放源码的Unix并学会使用、运行它
我假设你已经拥有了一台个人计算机或者有一个可用的( 今天的孩子们真幸福 :-) )。新手们最基本的一步就是得到一份Linux或BSD-Unix,安装在个人计算机上,并运行它。
当然,这世界上除了Unix还有其他操作系统。但它们都是以二进制形式发送的---你无法读到它的源码,更不可能修改它。尝试在DOS或Windows的机器上学习黑客技术,就象是在腿上绑了铁块去学跳舞。
除此之外,Unix还是Internet的操作系统。你可以不知道Unix而学会用Internet,但不懂它你就无法成为一名Internet黑客。因为这个原因,今天的黑客文化在很大程度上是以Unix为中心的。(这点并不总是真的,一些很早的黑客对此很不高兴,但Unix和Internet之间的共生关系已是如此之强,甚至连微软也无可奈何)
So,装一个Unix---我个人喜欢Linux,不过也有其他选择。(你也可以在同一台机器上同时运行DOS,Windows和Linux)学会它。运行它。用它跟Internet对话。读它的代码。试着去修改他。你会得到比微软操作系统上好的多的编程工具(包括C,Lisp, Python, and Perl),你会得到乐趣,并将学到比你想象的更多知识。
关于学习Unix的更多信息,请看 The Loginataka.
要得到Linux,请看: 哪里能得到 Linux.
3 学会如何使用WWW和写HTML
大多黑客文化建造的东西都在你看不见的地方发挥着作用,帮助工厂、办公室和大学正常运转,表面上很难看到它对他人的生活的影响。Web是一个大大的例外。即便政客也同意,这个巨大而耀眼的黑客玩具正在改变整个世界。单是这个原因(还有许多其它的), 你就需要学习如何掌握Web。
这并不是仅仅意味着如何使用浏览器(谁都会),而是要学会如何写HTML,Web的标记语言。如果你不会编程,写HTML会教你一些有助于学习的思考习惯。因此,先建起自己的主页。
但仅仅建一个主页也不能使你成为一名黑客。 Web里充满了各种网页。多数是无意义的,零信息量垃圾。
要想有价值,你的网页必须有内容---必须有趣或对其它黑客有用。这样,我们来到下一个话题....
---黑客文化中的地位
象大部分不涉及金钱的文化一样,黑客王国的运转靠声誉维护。你设法解决有趣的问题,但它们到底多有趣,你的解法有多好,是要有那些和你具有同样技术水平的人或比你更牛的人去评判的。
相应地,当你在玩黑客游戏时,你知道,你的分数要靠其他黑客对你的技术的评估给出。(这就是为什么只有在其它黑客称你为黑客是,你才算得上是一名黑客)这个事实常会被黑客是一项孤独的工作这一印象所减弱;它也会被另一个黑客文化的禁忌所减弱(此禁忌的效力正在减弱但仍很强大):拒绝承认自我或外部评估是一个人的动力。
特别地,黑客王国被人类学家们称为一种精英文化。在这里你不是凭借你对别人的统治来建立地位和名望,也不是靠美貌,或拥有其他人想要的东西,而是靠你的奉献。尤其是奉献你的时间,你的才智和你的技术成果。
要获得其他黑客的尊敬,你可以做以下五种事情:
1. 写开放源码的软件
第一个(也是最基本和传统的)是写些被其他黑客认为有趣或有用的程序,并把程序的原代码公布给大家共享。
(过去我们称之为“自由软件-free software”,但这却使很多不知free的精确含义的人感到不解。现在我们很多人使用“开放源码-open source”这个词)
黑客王国里最受尊敬的大牛们是那些写了大型的、具有广泛用途的软件,并把它们公布出去,使每人都在使用他的软件的人。
2. 帮助测试并修改开放源码的软件
黑客们也尊敬也那些使用、测试开放源码软件的人。在这个并非完美的世界上,我们不可避免地要花大量软件开发的时间在测试和抓臭虫阶段。 这就是为什么任何开放源码的作者稍加思考后都会告诉你好的beta测试员象红宝石一样珍贵。 (他知道如何清楚描述出错症状,很好地定位错误,能忍受快速发布的软件中的bug,愿意使用一些简单的诊断工具) 甚至他们中的一个能判断出哪个测试阶段是延长的、令人精疲力尽的噩梦,哪个只是一个有益健康的玩意儿。
如果你是个新手,试着找一个赶兴趣的正在开发的程序,作一个好的beta测试员。从帮着测试,到帮着抓臭虫,到最后帮着改程序,你会不断进步。以后你写程序时,会有别人来帮你,你就得到了你当初善举的回报。
3. 公布有用的信息
另一个好事是收集整理网页上有用有趣的信息或文档如FAQ。许多主要FAQ的维护者和其他开放源码的作者一样受到大家的尊敬。
4. 帮助维护基础设施的运转
黑客文化是靠自愿者运转的。要使Internet能正常工作,就要有大量枯燥的工作不得不去完成----管理mail list,newsgroup,维护大量文档,开发RFC和其它技术标准等等。做这类事情的人会得到很多人的尊敬,因为每人都知道这些事情是耗时耗力的苦役,不象编码那样好玩。做这些事情需要毅力。
5. 为黑客文化本身服务
最后,你可以为这个文化本身服务(例如象我这样,写一个“如何成为黑客”的初级教程 :-) )(hehe,象我这样把它翻成中文 :-) ) 这并非一定要在你已经在这里呆了很久,精通所有以上4点,获得一定声誉后后才能去做。
黑客文化没有领袖。精确地说,它确实有些文化英雄和部落长者和历史学家和发言人。若你在这圈内呆的够长,你或许成为其中之一。
记住:黑客们不相信他们的部落长者的自夸的炫耀,因此很明显地去追求这种名誉是危险的。你必须具备基本的谦虚和优雅。
---黑客和怪人(Nerd)的联系
同流行的传说相反,做一名黑客并不一定要你是个怪人。然而,很多黑客都是怪人。做一个出世者有助于你集中精力进行更重要的事情,如思考和编程。
因此,很多黑客都愿意接受“怪人”这个标签,更有甚者愿意使用“傻子(geek)”一词并自以为豪---这是宣布他们与主流社会不合作的声明。
如果你能集中足够的精力来做好黑客同时还能有正常的生活,这很好。今天作到这一点比我在1970年代是个新手是要容易的多。今天主流文化对技术怪人要友善的多。甚至有更多的人意识到黑客通常更富爱心,是块很好的做恋人和配偶的材料。 更多信息见 Girl's Guide to Geek Guys.
如果你因为生活上不如意而为做黑客而吸引,那也没什么---至少你不会分神了。或许以后你会找到自己的另一半。
---风格的意义
重申一下,做一名黑客,你必须进入黑客精神之中。当你不在计算机边上时,你仍然有很多事情可做。它们并不能替代真正的编程(没有什么能替代编程),但很多黑客都那么做,并感到它们与黑客精神存在一种本质的关联。
阅读科幻小说。参加科幻小说讨论会。(一个很好的寻找黑客的场合)
研究禅宗,或练功习武。
练就一双精确的耳朵,学会鉴赏特别的音乐。学会玩某种乐器,或唱歌。
提高对双关语的鉴赏。
学会流畅地用母语写作。(令人惊讶的时,我所知道的所有最棒的黑客,都是很不错的作家)
这些事情,你做的越多,你就越适合做黑客。至于为什么偏偏是这些事情,原因并不很清楚,但它们都涉及到了左-右脑的综合技巧,这似乎是关键所在。(黑客们既需要清晰的逻辑思维,有时也需要强烈的跳出逻辑之外的直觉)
最后,还有一些不要去做的事情。
不要使用愚蠢的,过于哗众取宠的ID
不要自称为网络崩客(punk) ,也不要对那些人浪费时间
不要寄出充满拼写和语法错误的email,或张贴错误百出的文章
做以上的事情,会使大大损害你的声誉。黑客们个个记忆超群---你将需要数年的时间让他们忘记你的愚蠢。
万字干货|新规下,车企如何建设数据安全体系?
随着智能网联化、数字化发展,汽车数据安全和网络风险防范成为行业密切关注的难题。
汽车传统的物理边界被打破,出现了大量的云上服务,比如车联网、自动驾驶技术、OTA等等,相应的,汽车产生的数据也越来越多。相关数据显示,一辆智能网联汽车每天大概会产生 10TB 的数据,这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息,也包含车辆实时收集到的地图数据等。
随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施,对数据的合规分类收集和使用提出了更为严格的要求。同时,也有汽车品牌近来遭受到网络黑客攻击,造成不小的损失和安全风险。如何平衡数据使用的合规与高效,并在全面上云的背景下构筑扎实的安全防线,成为整个行业密切关注的话题和迫切需要解决的难题。
此此背景下,腾讯智慧出行与汽车之心联合策划了「行者有云」系列沙龙第二期——《车企上云,如何构筑云上安全防线?》,聚焦汽车数据的合规使用和安全防范问题,加速车企构建在数据网络安全领域的竞争力。
本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁,腾讯安全策略发展中心总经理吕一平,共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。
以下为沙龙对话实录:
主持人:大家好!欢迎收看“行者有云”系列沙龙,本期我们讨论的话题是“车企数据上云,如何构筑云上安全防线”,我们将围绕数据安全和风险防御问题讨论。车企在系列新规背景下,将采用怎样的新手段、新模式来保证数据的合理开发利用,并有效防范潜在风险。非常有幸我们请到了两位嘉宾和我们一起分享讨论。一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁;另一位是腾讯安全策略发展中心总经理吕一平。
在智能化网联化大变革下,一辆汽车在使用过程中产生的数据越来越多,随着《个人信息保护法》和《汽车数据安全管理若干规定(试行)》颁布实施,企业在使用处理数据的时候,要遵守哪些行为准则?
陈宁:在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则,大概总结:
第一,对于用户个人信息数据的授权,信息处理,告诉用户要收集个人信息,个人隐私数据要进行处理。
第二,处理过程中要注意处理流程,要保护和保密。
第三,数据收集,要符合相关的规定。对于汽车来说,有《汽车数据安全管理若干规定(试行)》,定得比较明确,这和《个网法》有相互呼应的关系,上面有《数据安全法》,以此为由展开。
吕一平:还有一点,去年下半年国家集中出台了比如《个人隐私信息保护》,及《数据安全法》等法律法规。同时面向汽车行业,汽车行业本身属于关键信息基础设施行业,针对“关基”(关键信息基础)行业也有一些相应的针对基础安全和数据安全的要求。所以,这也是需要汽车行业各位同仁需要考虑的问题。
主持人:如果针对整个汽车数据来说,我们有什么样的分类界定?
陈宁:现在最关键的第一步是,汽车数据不可避免要收集。汽车联网以后,很多服务云化后,为了对汽车的一些服务以及汽车这状态甚至说自动驾驶,这天然需要搜集很多数据,所以说数据搜集是不可避免的。现在我们觉得对于汽车数据搜集,首先真正的明确怎样服务搜集数据,如果说要做自动驾驶相关的,那么最少应该搜集什么样的数据,尽可能的还是少搜。不要说不做分类,不做区分一概搜集上来后面处理,这是不合法不合情的,这是第一个按照服务的细分来分。第二,数据的共享和流动,这也是很重要的因素,现在很多服务在云上之后,不仅是主机厂要收集数据,很多合作伙伴,比如车上应用需要第三方的数据,我们要把数据给他,数据在流通的过程中以什么样的合法合规方式流通,以及我如何对它授权,如何对它约束,这要处理好。
最后,敏感数据的收集,现在汽车厂有大量的传感器、摄像头,对于用户的面部轮廓,关键设施和关键单位的识别、存储,是否要做相关的模糊化处理或透明处理,这也比较关键。
吕一平:我主要做补充,从汽车行业数据来讲,不仅要保护数据,要脱敏,尽量按照服务手续收集数据。基于很大的前提是,收集数据时要进行分类分型,针对不同的类型利用手段去保护数据。汽车行业有几大数据比较重要:
1、汽车研发过程中的车辆状态,这些数据传统一直做收集,这方面更多是车企自用,甚至从数据保护角度来讲是比较容易实现的,因为汽车公司内部流转数据。
2、和用户相关的隐私数据,国家有明确的法律法规要做到保护和保密。针对不同的使用场景我们应该如何给到数据,需要通过分类分级的方法做明确的界定,并有对应的使用要求和规则。
3、从技术进入到其他行业带来新的需求,比如传感器受地理位置数据,高清地图数据,这是相当敏感的数据领域,这会涉及到国家安全部分,车企需要非常关注这类问题。去年国家重点关注了一家海外车企这方面的问题,所以这也值得汽车行业重点关注的信息。
主持人:随着一系列的新规的出台,从车企角度来讲,在主动防范上有哪些变化?
陈宁:有很多,结合各方数据安全规定,首先,按照上位法《网安法》来讲车企相关车辆应用服务,肯定要通过等保测评。第二,通过等保,配套相关的网络安全或者数据安全,配套的防范措施和防范的管理体系建立起来。第三,提出明确要求,用户上车默认情况不收集数据。如果要收集数据要告诉用户,清晰地告诉用户要收集一些数据,且收集哪些数据。第四,在收集数据状态中让用户知道我们正在收集你的数据,用户有地方说不希望收集数据,屏蔽它。第五,尽量在车里将敏感的数据轮廓化和清晰化去掉,模糊化。尽量不要通过数据清楚地定义出一个人,这样方便处理。
再往后,数据共享方面,该企业一开始只做商业合作,后面可能有一些约束,同时很重要的是按照《数据安全法》和汽车相关规定,每年12月25日左右要上报数据安全报告。中国汽车品牌开始向海外发展,根据规定要求要对相关的监管部门进行报备,并且在企业数据安全方面写清楚,今年发生过几次数据向境外输出,以及经过相关评审,这些情况要说清楚。企业不仅仅是义务合规,还要满足国家战略需要。
主持人:在上述规定的使用数据和国家安全的前提下,数据如何反哺研发,开发相应的车联网服务?
陈宁:这挑战很大。
主持人:要实现两者的平衡?
陈宁:对,基于我服务的内容收集相关数据,这是做到平衡的关键。如果只是判断车的自动驾驶,只收一些和路况相关的信息,就不要收多余的信息,尽量精简收集内容,比如只是采集一些路边的图象,车内的信息就不要收。现在有汽车保险,主要是根据用户的驾驶习惯收集车辆数据,收集一般驾驶者的驾驶习惯就不要收集个人信息,这样才能合法合情,又能反哺到业务。
第二,做分析时,流通方面尽量做到应用和数据分开,举个典型的例子,现在自动驾驶数据的安全屋,可能确实采集了很多数据,经过合理处理之后放在数据模型箱里,我们做的事情是将计算模型放进去,用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法,而不是数据本身,这不合理。在模型足够成熟之后,这些数据可能销毁掉或者撤掉,这可以比较好达成平衡。这需要付出很多努力。
吕一平:我们在去年国家出台一系列数据安全相关规定时我们非常关注,因为互联网有大量数据,很多互联网业务都在线上。我们自己在推进数据安全保护方面做了很完整的展开,从产品的设计上,比如数据收集的最小化,包括用户知情角度,数据使用需要用户充分知悉并且充分授权,然后才能进行相应使用。
另外,应用和数据相应分离,腾讯在《数据安全法》出台前两三年已经做这方面的工作。特别是在不应该使用不合理数据提供下如何规避掉,我们在内部进行了工作。腾讯可以给汽车行业做一些交流和传递的工作,帮助行业更好地理解如何做数据安全建立。
主持人:对于外资或者合资车企来说,《个人信息保护法》和《汽车数据安全管理若干规定(试行)》相关规定对他们的影响是否更大?
陈宁:相对会大一点,但大体上差不多。首先是对于敏感信息的定义,对外资企业来说风险一样。另外,用户的存储、流动也是一样。对于外企挑战最大的是数据不能出境,最大变化是跨境的问题。由于《个人信息保护法》和数据安全定义上,外资也要跟随国家相关规定,可能要对自己做出规范。但大方向比较好,主要是促进问题。
主持人:腾讯和外资车企在这些领域是否有一些合作?
吕一平:其实外资车企面临,在中国市场如何满足国家合规性要求和规定,现在有一些海外业务在推进。不管欧洲还是美国地区,相应的个人信息隐私保护和合规,及数据使用的要求可能都有相应的要求。所以在欧洲和美国,中国企业属于外资,其实大家遇到的挑战一样。对于车企来讲,不管是合资还是外资品牌,都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求,这其实是基本需要做到的工作。
从腾讯角度来讲,腾讯在汽车行业定位一直是数字化助手的角色。我们不仅和合资和外资的车企,和上汽也在数据安全方面有很多交流,我们一起研究如何将数据安全保护的工作做好。相对来讲,这个领域比较新,比如网络安全、基础的安全建设方面,中国已经经历了几十年的发展和建设,但数据安全对大家来说是一个新课题。随着车企联网和相应技术不断落地的情况下,数据量会非常大,而且数据的集中度也不一定这么高。如何将数据安全保护工作做好是很有挑战的课题。先要从汽车数据的分类分级开始,以此作为基础再去延伸,根据不同级别和类别的数据进行相应保护措施,对应有技术的部分。
陈宁:关键是立法,以前没有明确上位法,2016年有上位法出来之后,车企必须要符合法律。
主持人:除了数据合规收集和处理,也不能忽略的是汽车智能度越高,面临潜在被攻击的风险也越来越高,我们也出现过车子被攻击的案例。这样的场景在汽车中,是真的能实现的吗?在车联网中真的会有这样的风险吗?
陈宁:汽车传统的物理边界被打破了,大量的云上服务,大家可以用手机跟车进行互动。汽车拥抱了数字化,但拥抱了数字化的福利和变革也拥抱了数字化的风险,最典型的是云上服务,比如远程车控、OTA等等,被不法分子利用之后,远程的车辆造成一些群体性的影响。另外,手机APP,手机上有蓝牙,APP设计或者接口不严谨,可能出现批量控制用户APP,可以随意开走任何一辆车。另外车联网在车上暴露大屏、智能驾驶舱等等,这些是数字化东西,数字化的东西多少有软件的问题会被人利用。1月份德国的小孩才19岁,利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。数字化是大量的软件大量的应用,人设计的东西总有一些问题。
主持人:吕总,之前设计的科恩实验室破解了特斯拉和宝马,反响很大,为什么做这样的实验?
吕一平:我们不是定义成“黑客”,我们定义为“白帽”,我们希望能改善各类产品和网络的安全性,为之努力的一群专业技术研究团队。当时为什么关注特斯拉和宝马?我们在2016年看到了比较大的趋势,汽车行业“四化”,对我们来讲比较关心是网联化和智能化,汽车联网了,汽车的自动驾驶的能力,这和数字化结合程度非常高,当享受数字化福利的时候,肯定会面临新技术引入带来的风险。
汽车行业本身对安全非常关注的行业,那个安全叫“safety”,当时汽车行业更多关注safety的部分,对security部分理解不那么强。Security能对safety造成的影响理解不是很充分,当时我们选了两个比较有代表性的车企,一是原生数字化,即网联、智能化、新能源化的特斯拉。另外是传统的从互联网非智能化到智能化的标杆,宝马在全球保有量非常高,我们做了相应的研究。的确发现了网络安全问题,不仅对虚拟世界造成影响,对实际的行驶安全、人身安全,放大一点是公共安全。作为一个负责任的团队,我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通,并且在没有第三方参与情况下,全部将数据暴露给他们,他们修复之后一起联合对外做发声的工作,做发声的工作目的是帮助行业更好地理解,在未来数字化的时代安全有重要的影响,也是让它回归到汽车行业对security的关注。
主持人:现阶段网络安全技术处于什么样的水平?
吕一平:中国网络安全技术能力非常出色,我们可以代表国际领先水平。对汽车行业来讲,汽车进入到数字化时代才开始逐步关注网络安全部分,所以起步相对晚一些。但我们看到很明显的趋势,即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设,比如陈宁博士带领的上汽实验室,4年前成立起来有专职的安全的人员,也有专项的安全能力的建设,逐步形成了上汽进入比较相对安全网络体系,这是比较好的例子。国内其他OEM厂商也在实践同样的工作,专业团队和专业能力建设在不断地前进。
主持人:在已经有潜在风险存在的前提下,车企可以做哪些方案防御外部的攻击,尤其是来自恶意的攻击。
陈宁:我现在在上汽帆一尚行,现在的防御从云管边端一层层防下来,传统云驱动安全内容全部适用,不管从边界的应用防火墙、APS到里面的防护,再到探视感知,我们对车辆相关的服务做保护。通道方面,主要是从云端到车端的通讯链路用加密方法进行加密,确保我们链路不会被截断或者被中间人截取掉。同时对车之间相关传输的信息做加密,保证安全性和唯一性。
车上现在dirty端和clean端,前者是指暴露在外面,可以触手可及的大屏,这些最明显。在它投产之前不管做技术还是流程,设计方面从风险评估、安全设置、投产运营,对于产品的零件或者整车做一系列的测试研发,然后交付。交付之后有相关的防御措施,比如网关或者IDPS等等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行使过程中,关键通信和关键指令不会被人恶意篡改。
主持人:具体什么情况会用到安全网关,对车企研发来讲是否刚需?
陈宁:随着智能网联化和电动化之后,网关已经是标准选配,相当于是一道防火墙,阻挡了相关请求。现在很难说硬件和软件哪一项技术更重要,随着零件集成度高了之后,对硬件芯片依赖层次更高,芯片越好,表示应用软件的复杂度或者功能会越好。当然,从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件,保证零件模块之间也有防火墙,这是所谓预控的思路。
主持人:随着我们对数据合规、安全要求越来越高,对车企来说是否意味着要更多投入?
陈宁:肯定要增加投入,因为国家立法,现在不是讲人情,而是讲法,肯定要增加投入。
吕一平:对,从我的角度来看,汽车行业是对安全关注度非常高的行业。在过去二三十年里,车企在功能安全方面和研发的投入和体系建设非常完备,功能安全成为了汽车质量管理体系很重要的关注点。随着这两年数字化带来网络安全风险和挑战,这方面还是需要加强和加大投入。我个人希望网络安全逐步进入到汽车质量管理体系,成为它的一部分。在网络安全方面的投入更加成为研发投入的必要。
陈宁:这种投入可能并不是额外的投入。
吕一平:没错。
陈宁:就像security和safety,security引发了safety的问题,所以这些投入不是凭空多出来的投入,而是为了保证车辆质量投入必要的研发资金,从行业发展来说,这方面的投入必不可少。
主持人:刚刚两位嘉宾的分享我们也意识到数据安全的重要性,从意识到重要性,到车企打造完善的网络安全体系我们大概要经历一个什么样过程?
陈宁:这个过程很漫长,需要时间积累。对大部分汽车企业来说数字化是相对新的东西,就我前面提到,数字化有很多新的东西,也有很多风险,需要消化。具体到车上,汽车厂特别关注数据安全,但是我觉得数据安全只是大的安全里的一个内容,想做好数据安全要打好很多所谓的低阶工作,比如云上安全、技术架构安全,很多相关的网络安全建设先跟上去,比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力,这些都需要时间打磨。技术完全落地,这其实和汽车的有些概念不太完全一样,因为对汽车来说,比如汽车某一个功能可能做不好的情况下换一个零件,或者买一个方案测试下可以用。但网络安全本身和汽车所谓的功能安全有一点点不一样,它的边界相对模糊,没有绝对的安全,也没有绝对的攻不破的堡垒,这注定了需要很多时间去打磨和完善。现在汽车行业慢慢向网络安全转,很多功能要求是为了safety服务,但security也要慢慢理解safety的东西,对于主机厂来说,到底造成了什么样的影响,对safety来说是比较抽象的东西,那么需要具体化,比如影响到车辆驾驶有很多safety,如果影响了数据安全,可能和safety没有关系,而完全和security挂钩,所以融合需要时间。同时在技术方面也需要时间去匹配,比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术,车辆技术天生需要注重安全,有些内容可以重合,比如个人隐私方面可以高度重合。
除了技术因素之外很重要的是人的因素,中国现在网络安全的每年高校输送毕业生大概是十来万,但去年缺口是非常大,人才缺口越来越大,涉及到汽车网络安全的人才缺口更大。所以我们需要时间找到这样的人,或者培养这样的团队,让他们适应到环境中,贡献自己,将更好的技术能力赋能上去。
同时,以前汽车卖出去之后,使命基本上结束了,除非维修或者维保,不再关注车辆本身。但是,电动化和网络化之后,车辆出去进入到一个新阶段,称之为车辆运营阶段。因为要关注车辆的自动驾驶的状态,关注用户驾驶习惯或者用户车辆的状态,这些数据和状态都需要专业的人,实时地提供所谓的监控或者服务或者异地响应,并不是买了一套工具,如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。但并不是如此,优秀的工具需要优秀的人才或者优秀的团队使用,成熟的团队人力因素很重要。
吕一平:刚才陈宁博士提到今天主要议题是如何做好数据安全底座,造坚固的城墙底座没有做好的话,数据安全基本上是做不好的事情,的确需要周期。国家在出台安全合规性要求越来越快,能给车企应对的时间非常紧张。所以在这个情况下,怎么样能快速地将能力建立起来很重要,但目前看到一个挑战是,对汽车行业来讲,在数字化投入部分,在网络安全投入只有2%到3%左右,而对于金融行业经历了二十年的IT能力建设,目前网络安全投入大概8%到10%。所以,投入加大可以加速能力建设。所以,我们非常建议汽车行业投入,要考虑到时间窗口并不太长,这是一个很大的挑战和风险。
第二,关于人才能力建设和人才梯队建设来看,我们看到这点,每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距,而且当出现严重失衡的情况下;人才有更大溢价能力,看到信息安全专业水平不断地上来,这是供求关系失衡造成的问题。所以人才引入和培养是很大的过程,这是长周期的过程,但在市场上我们从外围观察,汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。这是很大的挑战,也是车企需要思考的问题,如何快速成为数字化公司,在数字化体系下对人才引入的政策更加灵活,人才薪酬待遇更加灵活,汽车行业在数字化时代所需要的新型人才和新型能力,这和投入相关,这个过程不会那么快。所以这需要汽车行业思考的重点。
陈宁:逐步发展的速度不能满足现在国家政策或者国家监管的要求了,因为从2016年“网安法”(《网络安全法》)发布之后,中间两
一个漏洞就能让数百万辆车被黑客操控,智能汽车的安全谁来保障?
文/Hanmeimei
在全民抗“疫”的这段特殊时期,相信许多人和我一样,每天都在关注着和疫情有关的一切信息。值得注意的是,奋战在抗“疫”前线的除了那些“逆行者”,还有一支由无人驾驶技术所赋能的重要力量,就是那些承担配送、消毒等任务的无人送餐车、无人配送车、无人消毒车。
无人车在抗“疫情”前线大显身手,预示着智能网联汽车产业的发展前景无限。而就在2月24日,发改委、工信部等11部委联合印发的《智能汽车创新发展战略》正式发布,明确指出“智能汽车已成为汽车强国战略选择”。作为汽车产业的新风口,智能汽车再次引发了关注热潮。
权威分析机构IHS Research预测,全球无人驾驶量产汽车将在2025年上市,销量将达到23万辆。而根据麦肯锡的预测,到2025年无人驾驶汽车将产生2000亿到1.9万亿美元的产值。面对一个万亿级规模的市场,大家都在摩拳擦掌,希望能抢占先机,但是要想在这片充满潜力的蓝海中徜徉,我们还必须跨过汽车信息安全这道门槛。
黑客入侵汽车,后果堪比911
技术的发展永远是把双刃剑,网络让汽车变得更加智慧、高效,也同时让我们的生活暴露在更多风险之下。美国前国家安全局局长、首任网络司令部司令基思·亚历山大曾说过,“世界上只有两种网络,一种是已经被攻破的网络,一种是还不知道自己被攻破的网络。”
美国非营利组织Consumer Watchdog在2019年发布了一份名为《杀戮开关KILL SWITCH》的研究报告,报告显示2020年几乎所有车辆都具备了联网功能,意味着它们更容易受到黑客攻击,当数百万辆汽车用着同一个应用,黑客攻击一个漏洞就能同时影响数百万辆汽车。
报告还给出了一个让人毛骨悚然的推论,未来在高峰时间一旦黑客发起大规模攻击将导致911级别的灾难,造成三千人死亡,换句话说《速度与激情8》中遥控汽车跳楼的场面离我们并不遥远。
在现实生活中,黑客入侵汽车的事件也频频发生。2014年黑客利用宝马ConnectedDrive数字服务系统漏洞可远程打开车门,约220万辆车型受到影响;2015年黑客远程入侵一辆正在行驶的切诺基并做出减速、制动等操控,最终造成全球140万辆车被召回;2016年黑客通过日产聆风APP的漏洞轻易获取到了司机驾驶记录并将汽车电量耗尽,日产随即禁用该APP。
Upstream Security发布的《2020年汽车网络安全报告》显示,自2016年以来汽车网络安全事件数量增加了605%,仅在2019年就增加了一倍以上。在正义与邪恶的较量之间,我们不能寄希望于黑客的良知,而是必须主动出击。
汽车安全漏洞不仅关乎汽车企业的品牌形象,也关系到用户的人身和财产安全,更会给整个社会公共安全管理带来挑战。这也是为什么在《战略》中明确指出了要“构建全面高效的智能汽车网络安全体系。”网络安全是所有0前面的1,有了它智能汽车产业才能蓬勃发展。
车企携手安全专家共筑“防火墙”
令人欣慰的是,近年来面对日益加剧的汽车网络安全风险,汽车制造商的安全意识明显提升,同时他们也意识到要构筑坚实的安全“防火墙”,仅靠自己的力量还不够,必须与安全领域的专业人士合作。
奔驰研究团队与360Sky-Go团队达成合作
特斯拉早在2013年就设立了“安全研究员名人堂”,鼓励白帽黑客们一起来“查漏补缺”;2016年通用汽车与著名的白帽黑客平台HackerOne合作推出了“漏洞悬赏计划”;2019年12月,奔驰宣布与国内网络安全领军企业360达成合作,双方携手修复了19个奔驰智能网联汽车有关的潜在漏洞,并向漏洞发现团队360Sky-Go颁发卓越奖。
在刚刚落幕的全球顶级网络安全盛会RSAC 2020上,通用与奔驰两家传统车企的代表也参加了会议,这也是RSAC历史上首次有两家顶级车企现身,足以看出车企对网络安全的重视程度。
在通用汽车公司董事长兼CEO玛丽·巴拉发表的题为《运输的未来取决于强大的网络安全》的演讲中,着重强调了网络安全的重要性,“企业必须确保每辆车都能安全可靠的运行,否则任何一家企业的一次事故,都将严重打击消费者对智能汽车的信心,甚至让整个行业发展滞后。”所以合作至关重要,玛丽也呼吁在整个行业范围内进行网络安全协作与解决方案共享。
而奔驰则与合作伙伴360共同进行了一场主题演讲,发布了此前针对奔驰车辆安全的研究成果,同时就智能汽车所带来的安全风险与隐患进行探讨。奔驰研发中心产品安全负责人盖·哈帕克指出,通过他们的研究剖析发现,如今黑客对攻击技术手段的钻研程度越发深入,智能网联汽车越来越多的引入新的软硬件模块做支撑,而这些模块的集成应用暴露出潜在的攻击面,引入了新的安全风险。
所谓“道高一尺、魔高一丈”,要应对这些新风险,就需要更全面的信息安全专业知识和解决方案,360 Sky-Go安全研究员陈元恺在会上提出的解决方案,就是360汽车安全大脑。
汽车安全大脑由车载端和云端构成端到端防御体系,通过部署在车端的软硬件安全产品,将安全相关的数据收集到云端平台,感知汽车网络安全风险。云端通过安全大脑提供的分析引擎、知识库和专业的分析人员,对车端的数据进行自动化分析、溯源,发现并处理攻击事件,从而消除攻击带来的影响,免疫同类攻击再次发生。
对360来说,合作的车企越多,获得的案例和数据就越丰富,汽车安全大脑也就能够被训练得更加智能高效。截至目前,360已与国内70%的主流汽车厂商合作,有超过30万辆路面上行驶的汽车接入了360汽车安全大脑,获得实时防护。
迈过安全这道门槛,智能汽车才能真正起飞
5G的商用推进给全球智能化产业发展按下了加速键,尤其是对于智能汽车行业来说更是如此,汽车企业、零部件巨头和科技公司们都在摩拳擦掌积极布局,希望搭上这趟快车道,抢占万亿级市场的先机。
而在智能汽车行业真正腾飞之前,必须系上这根“安全带”,因为安全永远应该跑在速度前面。从RSAC 2020上释放的信息来看,如今车企与互联网安全企业的合作已经成为主流趋势,有360这样专业的安全企业保驾护航,风口上的智能汽车行业才能飞得更高、更远也更稳。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。