360年度汽车安全报告:两种新型攻击模式引关注
汽车 *** 信息安全问题越来越成为备受关注的话题。
近日,360公司正式发布了《2019智能网联汽车信息安全年度报告》,该报告从智能网联汽车 *** 安全发展趋势、新型攻击手段、汽车安全攻击事件、汽车安全风险总结和安全建设建议等方面对2019年智能网联汽车信息安全的发展做了梳理。
值得注意的是,该报告指出,在2019年车联网出现了两种新型攻击方式,一种是基于车载通信模组信息泄露的远程控制劫持,另一种则是基于生成式对抗网联(GSN)的自动驾驶算法攻击。其中,通信模组则是导致批量控车发生的根源。
“新四化”带来的新挑战
自2018年以来,汽车市场销量就一直呈现负增长。数据显示,2019年,我国汽车产销分别是2572.1万辆和2576.9万辆,同比下降7.5%和8.2%,但产业下滑幅度有所收窄。
也正是基于此背景,以“电动化、共享化、智能化、网联化”为核心的“新四化”成为行业发展共识。随着新四化不断推进,汽车原本几千上万数量的机械零部件,逐渐被电机电控、动力电池、整车控制器等在内的“三电”系统所取代。
其中,汽车电子电气架构也随之发生着颠覆性的变革,最突出的表现就在于从分布式架构逐步演进为域集中式架构或中央集中式架构。
具体来说,电子电器架构从分布式向集中式演变,未来软硬件也将会解耦,硬件不再被某一特定功能所独享,这也意味着,一点汽车软件被黑客破解劫持,那么共享的硬件将会面临非法调用、恶意占用等威胁。并且,未来关键ECU的功能整合程度会进一步提高,代码量的增加就会导致漏洞随之增长,一旦ECU自身遭到破解,黑客将劫持更多的控制功能。
另外,集中式架构中的中央控制网关称为车辆与外界沟通的重要通信组件,如果自身存在代码漏洞,被黑客利用就会导致车辆无法提供服务。
此外,集中式架构中的中央控制模版承担了主要功能的实现,如特斯拉Model 3的中央计算模块(CCM)直接整合了驾驶辅助系统(ADAS)和信息娱乐系统(IVI)两大域,以及外部连接和车内通信系统域功能
集中式架构中的中央控制模块承担了主要功能的实现,例如特斯拉 Model 3 的中央计算模块 (CCM) 直接整合了驾驶辅助系统 (ADAS) 和信息娱乐系统 (IVI) 两大域,以及外部连接和车内通信系统域功能。
Model 3内部的通信是由以太网总线串联,其在规避了CAN总线攻击的同时,却也带来了新的安全问题,如容易遭受跨 VLAN攻击,拒绝服务攻击等。而外部的通信包括车辆将直接与TSP服务器进行连接,如果身份认证、数据包防篡改、防重放等防护手段不够牢固,则面临批量远程控制车辆的威胁。
虽然说中央集中式的电子电气架构将算力向中央、云端集中,降低了自动化系统的成本,打破了高级别自动驾驶 方案的算力瓶颈。但与此同时,自动驾驶算法,如特斯拉自研的FSD芯片上运行的神经 *** 图像识别算法等的安全性也成为了业界关注的重点。
新型攻击方式
前文有所言,在此次报告中,360还披露了其发现的两种新型攻击方式。一种是基于车载通信模组信息泄露的远程控制劫持,另一种则是基于生成式对抗网联(GSN)的自动驾驶算法攻击。
基于车载通信模组信息泄露的远程控制劫持这一攻击方式,是通过TCU的调试接口或者存储模块获取到APN的联网信息和TSP日志信息,然后通过连接ESIM模块与车厂的TSP服务器进行通信。
据介绍,APN是运营商给厂商建立的一条专有 *** ,因为私网APN是专网,安全级别很高,直接接入到车厂的核心交换机上,绕过了 *** 侧的防火墙和入侵检测系统的防护。但是, 一旦黑客通过私有APN *** 渗透到车厂的内部 *** ,则可实施进一步的渗透攻击,实现远程批量控制汽车。
在此前一次演讲中,360Sky-Go的安全研究人员发现中国国内大部分自主品牌汽车,均使用私有APN连接车控相关的TSP后端服务器。通过ISP 拉专线可以在一定程度上保护后端服务器的安全,但与此同时也给后端服务器带来了更多的安全风险。
原因在于,由于私有APN的存在,TSP虽然不会暴露于公网,但却导致了TSP的安全人员忽视了私有 *** 和TSP本身的安全问题,同时私有 *** 内没有设置严格的安全访问控制,过度信任T-Box, 使得T-Box可以任意访问私有 *** 内部资产。
同时,很多不必要的基础设施服务也暴露于APN私网内,将引发更多安全风险。因此,一旦黑客获取到智能汽车的T-Box通讯模块,即可通过通讯模块接入车厂私有 *** ,进而攻击车厂内网,导致TSP沦陷。
基于生成式对抗网联(GSN)的自动驾驶算法攻击的发生则是源于在深度学习模型训练过程中,缺失了对抗样本这类特殊的训练数据。在目前深度学习的实际应用中,通过研究人员的实验证明,可以通过特定算法生成相应的对抗样本,直接攻击图像识别系统。因此,当前的神经 *** 算法仍存在一定的安全隐患,值得引起我们的注意。
除了这两种新型攻击方式之外,还有一种攻击方式值得我们注意,就是数字钥匙。
据介绍,数字车钥匙可用于远程召唤,自动泊车等新兴应用场景,这种多元化的应用场景也导致数字钥匙易受攻击。原因在于,数字车钥匙的“短板效应”显著,身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵,则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式,将数字车钥匙的信号放大,从而盗窃车辆。
未来智能汽车的安全
在手机行业,从传统功能机升级换代到智能机,一直伴随着的就是 *** 信息安全问题,即使在现如今智能手机如此发达的时期,也不可避免的出现 *** 诈骗现象。
与手机行业相似的是,传统功能车升级换代到智能网联车,其势必也将会面临 *** 信息安全问题。然而,汽车不比手机,手机被 *** 黑客攻击,最多出现的就是财产损失。但汽车一旦被黑客攻击或劫持,很有可能会出现严重的交通事故。
基于此,360在报告中提出了5点建议:
之一、建立供应商关键环节的安全责任体系,可以说汽车 *** 安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品,届时也会有新一级供应商加入主机厂采购体系,原有的供应链格局将被重塑。供应链管理将成为汽车 *** 安全的新痛点,主机厂应从质量体系,技术能力和管理水平等多方面综合评估供应商。
第二、推行安全标准,夯实安全基础。2020 年,将是汽车 *** 安全标准全面铺开的一年。根据ISO21434等 *** 安全标准,在概念、开发、生产、运营、维护、销毁等阶段全面布局 *** 安全工作,将风险评估融入汽车生产制造的全生命周期,建立完善的供应链管理机制,参照电子电器零部件的 *** 安全标准,定期进行渗透测试,持续对 *** 安全数据进行监控,并结合威胁情报进行安全分析,开展态势感知,从而有效地管理安全风险。
第三、构建多维安全防护体系,增强安全监控措施。被动防御方案无法应对新兴 *** 安全攻击手段,因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。
第四、利用威胁情报及安全大数据提升安全运营能力。 *** 安全环境瞬息万变,高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价更大程度地提升安全运营能力,从而应对变化莫测的 *** 安全挑战。
第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车 *** 安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力,才能共同将汽车 *** 安全提升到“主动纵深防御”新高度,为“新四化”的成熟落地保驾护航。
未来汽车安全问题势必是多种多样的,而对此只有产业链上下游共同努力,才能防范于未然。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
如何预防黑客的攻击?
因为防火墙有拦截数据的功能,所以如果我们利用该功能将通往135端口的接收和发送数据全部拦截下来,就可以阻止他人连接我们的135端口了~
我们以天网防火墙为例子,因为用的人多,操作也简单,一看就明白了~立刻行动吧!
a.打开天网防火墙,可以见到如图所示的界面,单击“自定义规则”,我们要自己来增加一个规则,
所以再单击“增加规则”。
b.现在可以看到一个增加IP规则的对话框。
规则的名称和说明没有限制,喜欢就好~不过为了方便查看,我们就叫“拦截135端口”
数据包方向:接收或发送(同时阻止通过135端口接收和发送数据)
对方IP地址:任何地址
数据包协议类型:TCP (因为135端口是一种TCP协议端口)
本地端口:从135到135(定义了要拦截的端口只为135端口)
对方端口:从0到0 (端口为0时为对方的任何端口)
TCP标志:SYN
当满足上面条件时:拦截
好了,一个IP规则 *** 完成~确定!
c:把我们刚刚 *** 好的规则放到同类规则的最顶端
使用向上箭头直到不能再向上,并选上勾,然后保存(这一步忘记就白辛苦了|||)
其它端口的关闭设置 *** 类似,如要开放端口,把‘拦截’改为‘通行’就可以了。
*** 2 自定义安全策略
如果我们手头暂时没有防火墙工具的话,那么可以利用Windows服务器自身的IP安全策略功能,来自定义一个拦截135端口的安全策略。
a.打开控制面板,找到管理工具里面的本地安全设置。
b.看到界面,我们选择左边的IP安全策略,在本地机器。
然后在右边空白处单击右键,选择创建IP安全策略。出现了一个设置向导。点击下一步
名称也是看自己喜欢了,我们还是叫拦截135端口~下一步
去掉激活默认响应规则的勾,下一步
点击完成,我们就创建好了,
接下来设置我们用这个规则来干什么,我们是拦截135端口所以添加一个IP安全规则,单击添加(不需要向导所以去掉添加向导的勾)
在IP筛选器列表中,我们添加一个新的。单击添加...
在这个对话框中名称还是自定义,去掉添加向导的勾,然后单击添加...
准备开始设置规则了:)
在寻址标签中,设置:
源地址:任何IP地址
目标地址:我的IP地址
在协议标签中,设置:
选择协议类型:TCP
设置IP协议端口:
从任意端口,到此端口:135
确定后可以看到筛选器中多出了一条。关闭后在IP筛选器列表中选择我们刚刚建立的拦截135端口。
我们建立好了可是电脑还不知道我们要怎么使用这个规则,不要紧,只要在筛选器操作标签中添加一个操作就完成了~
单击添加...只用在安全措施种选择阻止就ok了(可以在描述中设置名称)
同样选上这个操作。确定后我们就完成了99%!
由于windows默认IP安全策略中的项目是没有激活的,所以我们要指派一下,点击指派。完成99.9%
重新启动!100%
其它的端口设置类似,多试试看~
PS:如果没有IP安全策略可以在控制台中新建
在运行中输入:mmc回车
然后在控制台按钮中选择添加删除管理单元
然后单击添加...
在其中选择:IP安全策略,再添加即可,这时的操作就和上面一样了。
*** 3 筛选TCP端口
我们还可以利用Windows系统的筛选TCP端口功能,将来自于135 *** 端口的数据包,全部过滤掉。
先打开“Internet协议(TCP/IP)”属性设置对话框
可以在控制面板中的 *** 连接找到本地连接,打开,点击属性。
选择TCP/IP协议,再单击属性
在右下脚找到高级,单击进入后找到选项标签,选择其中的TCP/IP筛选,进入属性
选中启用TCP/IP筛选选项,同时在TCP端口处,选中只允许,并单击添加按钮,填入常用的21,23,80,110端口,最后单击确定按钮,这样的话其余端口就会被自动排除了。
以后如果要添加或者删除都可以同样操作。
何关闭3389的端口要想玩马,首先是不能让电脑中马或即使有马也让它起不了作用--今天浅谈如何关3389端口防止别人浸入你的电脑
之一步:
开始---运行
输入services.msc
找到Terminal Services关掉
这里我已经关掉了~你们自己关吧~
第二步
开始---运行
输入regedit打开注册表
[HKEY_LOCAL_MACHINE\System\control\Terminalserver\wds\rdpwd\tds\tcp分支,选中名为portnumber的键值,将其3389改为其他(如1234)看 *** 作这里control有2个分别为controlSET001 和controlSET002我一个一个来 先进controlSET001在来controlSET002
下面我们在看currentcontrolset
[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations\RDP-Tcp\PortNumber分支里应该有一个或者很多类似的子键,一样的改他的值3389为其他(如1234)
好了`~这样就把你电脑上的3389端口完全关闭了~~
如何关闭端口防止病毒与黑客入侵
如何关闭端口防止病毒与黑客入侵
注:关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有tcp.
之一步,控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
防范黑客的主要措施有( )。
【答案】A、B、C、D
【答案解析】防范黑客的主要措施包括:通过制定相关法律加以约束,采用防火墙、防黑客软件等防黑产品,采用加密技术、访问控制和建立黑客扫描检测系统。故选A、B、C、D。
黑客常用攻击手段及其预防措施有那些?
黑客常用攻击手段揭秘及其预防措施介绍
目前造成 *** 不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机 *** 操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。 *** 互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、 *** 协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证 *** 安全、可靠,则必须熟知黑客 *** 攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备,从而确保 *** 运行的安全和可靠。
一、黑客攻击 *** 的一般过程
1、信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在 *** 系统中的各个主机系统的相关信息:
(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的 *** 数和路由器数。
(2)SNMP协议 用来查阅 *** 系统路由器的路由表,从而了解目标主机所在 *** 的拓扑结构及其内部细节。
(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后,黑客们会探测目标 *** 上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式如下:
(1)自编程序 对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么黒客就可以自己编写一段程序进入到该系统进行破坏。
(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。
二、协议欺骗攻击及其防范措施
1、源IP地址欺骗攻击
许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。
假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
(2)使用加密 *** 在包发送到 *** 上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的 *** 环境,但它将保证数据的完整性、真实性和保密性。
(3)进行包过滤 可以配置路由器使其能够拒绝 *** 外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部 *** 的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声
0条大神的评论