《在软件项目开发中兼顾安全和敏捷》OneAPM 刘再耀 061118 身份验证

蔚来汽车介绍 蔚来安全团队 安全工程方法 安全保护技术 安全守护系统 安全响应流程

随着汽车技术的发展，有越来越多的汽车都进使用了总线结构及电子化、智能化技术，近年来汽车破解事件日益突出。为了更好的研究汽车信息安全技术，我们独立开发了一套汽车信息安全检测平台和框架。可以被安全研究人员和汽车行业/OEM的安全测试人员使用进行黑盒测试。本软件可以发现电子控制单元ECU、中间人测试攻击、模糊测试攻击、暴力破解、扫描监听CAN总线报文、被动的分析验证CAN总线报文中的校验和和时间戳。同时可以对于分析出来的报文可以通过可视化的方式分析出报文的变化量，从而确定控制报文的区间值。通时还可以在平台内共享可编程的汽车测试用例。本次演讲通过演示对BYD汽车的总线数据的破解，来展示CAN-PICK工具的强大能力并且系统的介绍汽车总线协议的逆向分析方法，演示对于汽车总线的注入攻击，突破汽车总线安全设计。未来可以通过该工具做为中间人，在不增加汽车执行器的情况下实现对汽车的自动控制功能。 大纲 360汽车安全实验室-天行者团队介绍  汽车网络安全风险分析  汽车信息安全关键点是什么?  汽车总线安全测试平台介绍 – CAN-Pick  如何设计一个安全的汽车总线网络?