车企在信息安全方面的投入不足已经越来越成为其软肋。2011年至今,“白帽子”在互联网安全漏洞报告平台乌云网上共提交有关于车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全。
对频频的骚扰电话显得无可奈何,不知道自己的手机号码等信息已被卖给了多少人——有类似经历或许不止周画(化名)一个人。近日,有媒体发表文章称,有黑客在网络上兜售车主信息,只有姓名、手机、城市和意向车款的询价信息要价一块钱一条。该媒体称,雪铁龙车主信息泄露规模或超10万条。此前,曾有白帽子(不恶意利用安全漏洞的黑客)向互联网安全漏洞报告平台——乌云网提交名为“东风雪铁龙某后台弱口令可导致全国几百个经销商账号与大量个人数据泄露”的漏洞。该平台上显示的漏洞状态是,漏洞已通知厂商但厂商忽略该漏洞。
记者就用户信息泄露一事向东风雪铁龙求证时,该公司内部相关人士回应称,东风雪铁龙的客户数据存放在专业数据库中,并设多道防火墙,对数据库设有监控及记录,对用户信息做足了保密工作。有业内人士分析指出,雪铁龙车主信息遭泄露不排除是东风雪铁龙经销商的网站或合作的汽车垂直网站遭黑客攻击窃取用户信息。此外,个别4S店或汽车垂直网站的内部员工也可能存在卖数据的情况。
车企在信息安全方面的投入不足已经越来越成为其软肋。2011年至今,“白帽子”在互联网安全漏洞报告平台乌云网上共提交有关于车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全。包括宝马、奥迪、大众、奔驰、凯迪拉克在内的多家汽车厂家网站都被发现涉及用户信息泄露的漏洞,而绝大多数漏洞状态都是未联系到厂商或者厂商忽略。
网络安全投入不足
目前,汽车这个行业缺乏成熟的网络安全管理体系,网络运营人员的安全素质有待提高,很多车企网站是外包给第三方公司开发的,没有交付信息安全公司进行评估,因此更有可能留下信息安全风险。
“在大数据时代,用户隐私遭泄露的问题日益突出。如同许多传统制造行业中的企业一样,车企亟待转化互联网思维以及加强互联网安全管控等。不过,要跟上互联网发展的步伐不太容易。例如,从人才方面看,随着互联网快速发展,系统安全工程师、系统架构工程师以及数据分析工程师等人才紧缺,这类专业人才往往集中在互联网企业,薪酬也较高,而车企相对缺乏这类人才。”从事互联网行业的业内人士阮喜海接受记者采访时谈道。
另一位从事网络安全方面的专业人士接受记者采访时也谈到,网络安全管理体系方面投资非常大,涉及人才、软件、硬件、服务以及管理等方面,互联网企业也是一步步投入不断完善。目前,不同行业在网络安全方面投入比例不一,预计汽车行业在网络安全方面投入往往较少,一些车企为了节约成本,往往将数据库、 服务器 都放在公网上,这样很容易被黑客攻破。
“一旦发现系统有漏洞,将及时采取主动或被动措施,在认证授权系统中对服务器设置权限管理,以及与经销商、汽车垂直网站等签署保密协议等,这些措施在一定程度上将可防止用户数据泄露。不过,许多车企都未能建立起一套行之有效的网络安全管理体系,除了投入大这一因素之外,往往对网络安全意识也不强,毕竟与互联网融合时间不长。”上述网络安全人士称。
车联网安全备考
黑客防不胜防,令车企烦恼的不仅是车主信息被泄露这一困扰。随着越来越多车企踊跃加入车联网浪潮中,信息安全隐患也随之而来。早在2013年,美国国家公路交通安全管理局已经认识到汽车内需要安置不兼容系统,并设立了专门机构,负责车辆网络安全问题。现在汽车与网络的联系越来越紧密,以后将能够与周围环境交流。如果车辆被黑客软件侵袭,车辆可能会发生严重的交通事故。
美国马萨诸塞州参议员EdMarkey办公室今年发布一份报告,指出很多汽车制造商没有准备好解决汽车潜在的信息安全问题。Markey的办公室发函询问19家包括宝马、通用、本田等主要的汽车制造商,比如现在的汽车一般采用了哪些新技术、收集到个人驾驶信息如何管理以及采取哪些措施防止黑客攻击等,其中16家回复发函。遗憾的是,这些在车上部署无线技术的公司对问题中的概念甚至表示无法理解。该报告指出,在接受调查的这些公司中,有两家表示能够诊断或者反馈黑客入侵后的情况,有一家公司表示能够及时检测黑客入侵,剩下的公司表示这些用来保证安全的无线技术“不会被黑客用来入侵”。其实,像车上的信息娱乐系统和导航系统,很可能通过联网技术,被恶意软件或者黑客攻击。
乌云网合伙人邬迪接受记者采访时称,尽管网络安全目前投入成本大,又未直接产生经济效益,但到将来互联网时代,安全可能是个卖点,部分传统的车企或许还没有注意到这点。“乌云上有不少因联网漏洞可导致车辆被控制,这将会导致行车安全问题。”邬迪说。
如何预防网络漏洞产生
软件和系统无法避免会出现漏洞。 一说起漏洞,有人就会感到气愤,认为被坑了。 其实不然,漏洞的产生是不可避免的。 有了漏洞,我们就应该去补救。 本文就以漏洞的形成与防治为题,简单的为大家介绍。 漏洞的形成大型软件、系统的编写,并不是一两个人就能完成的,而是需要许许多多程序员共同完成。 那么,他们是怎么工作的呢?他们是将一个软件或系统分成若干板块,分工编写,然后再汇总,测试。 最后,修补,发布。 有人或许会问,为什么最后要修补呢?其实,这就是一个重要的环节。 前面讲到要讲软件、系统分成若干板块,分工编写。 问题就出在分工编写这个环节:世界上总找不到思维一样的人,所以有时不免会出现种种问题,且不说“几不管”的中间地带,就是在软件汇总时,为了测试方便,程序员总会留有后门;在测试以后再进行修补……这些后门,如果一旦疏忽(或是为某种目的故意留下),或是没有发现,软件发布后自然而然就成了漏洞。 还值得一提的就是若干板块之间的空隙,这里很容易出现连程序员的都没想到的漏洞!还有,“几不管”地带,也正是漏洞的温床!如果,在软件发布前没能及时发现,就为不法之徒提供了便利。 漏洞的另一形成温床就是网络协议!网络协议有tcp、UDP、ICMP、IGMP等。 其实,他们本来的用途是好的,但却被别人用于不乏的活动:例如,ICMP本来是用于寻找网络相关信息,后来却被用于网络嗅探和攻击;TCP本来是用于网络传输,后来却被用于泄漏用户信息……漏洞的温床实在太多了,有时并不能完全怪程序员,因为有些东西连他们也无能为力啊!漏洞的防治有了漏洞就要补!否则,日后的受害者可能就是自己。 例如,微软就是著名的漏洞王!他同时也是著名的补丁王!有这样一句话:微软的补丁,谁人能及!Windows实在太大,太复杂了,所以漏洞多也是可以原谅的。 更何况,全世界最精锐的黑客部队的也喜欢将矛头直指Windows,可悲啊!补漏洞方法主要有两类:一、本身补救。 这种补漏洞方法主要是靠厂商的补丁或者是禁用某项服务来补救。 也就是说,靠软件或系统本身来补救。 二、借助补救。 这种补漏洞方法主要是靠第三者完成,就是靠别的软件来进行补救。 我们用得最广泛的就是反病毒软件和网络防火墙。 软件的补救必须要有目的的补救,不能盲目的补。 在补救前,我们可以借助别的软件来测试。 例如,查找网络漏洞,可以用嗅探器;查找反病毒软件的查毒漏洞,可以通过网络上提供的病毒压缩包等。 漏洞是客观存在的,它是随软件和系统的产生的,是不可避免的。 关键就在于补救,补救得好,软件或系统的性能将大大提高!努力吧,同志们。
物联网信息安全有保障吗?会不会被黑客攻击从而被监控?
随着互联网和物联网的迅速普及与发展,如今的网络上已充斥着各种没有安全保障的网络摄像头,包括婴儿监视器中的视频、银行客户办公室的情景甚至摄像头制造商等的信息都赤裸裸的暴露于网络之上。
物联网无处不在 如何确保信息安全?
面对这一令人万分担忧的现状,仅仅将问题的根源归结于摄像头制造厂商却并非关键要害所在。 比起制造方对安全因素的忽略,当人们将摄像头安置在自己的家庭、企业中时,几乎完全没有考虑到安全和隐私的影响才是更加令人担忧的。
随着技术的不断进步,智能终端和高速的网络已无处不在,人们或早或晚终将会通过网络将家庭、办公室、以及自己的智能设备一起链接起来。 而如果没有了安全的保障,那么网络犯罪分子将会很容易找到一个突破点来入侵到你的生活、工作之中,而这一切将造成的后果将是无法想象的。
对于网络摄像头的泄露信息事件而言,缺乏有效的安全体系建设将会严重影响这一产业日后的发展。 而另一方面,无论是网络摄像头设备供应商、还是消费者自身,他们对于安全因素的忽略确实当前需要引起警醒的最大问题。
据早在2014年5月的一份研究报告便显示:将近有高达100万数量之大的摄像头终端设备被暴露在网络上。 当然他们并非直接地暴露,想要入侵这些设备还需一些指纹认证等步骤。 然而对于任何黑客而言,这都是一个极其简单的动作而已。 而这100万 的端点所泄露的信息,对于网络地下黑产而言将是一笔“大有可为”的资料。
不仅仅只是摄像头,随着智能终端设备保有量的迅速增长,长期缺乏安全机制将成为更加巨大的问题。
据业务战略公司Frost&Sullivan的预计,到2019年,接入网络的设备数量将达到约220亿,并且这一数字将以每年超过18%的速度增长。 而在此其中,随着车联网的兴起,车载智能系统将占据不小的比例。
值得庆幸的是,目前不少安全公司已经意识到此类设备在安全方面的脆弱性,并且,物联网时代的智能终端安全这一有着巨大潜力的市场正在被他们所关注。 例如,去年11月,便有安全公司发布了智能手机安全网关,这一安全网关将对可能的恶意代码进行扫描。 与此同时,已有地区开始启动针对以上设备的检测机制,目的是是为了创造更好的产品和服务,让更加安全的设备进入人们的生活、工作场所。
网络层的安全隐患有哪些哦?
网络中的重要的安全设备如路由器、三层交换机等有可能存在着以下的安全威胁:(以最常用的路由器为例)路由器缺省情况下只使用简单的口令验证用户的身份,并且远程Telnet登录时以明文传输口令。 一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统没有跟踪审计能力。 路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备。 针对路由器的拒绝服务攻击或分布式拒绝服务攻击,发布假路由,路由欺骗,导致整个网络的路由混乱。
发表评论