2023暗网（详批八字四柱）

关于汽车网络安全的灵魂二十问

撰文?/?马晓蕾

编辑?/ 黄大路

设计?/ 杜?凯

来源?/?福布斯 作者：Steve Tengler

一个新的国际标准诞生了。

关于汽车网络安全风险的话题已经持续了20年，随着大量现实世界真实存在的漏洞被挖出，车辆潜在攻击的数量和范围急剧增加。因此，全世界都在开展行动，对汽车网络安全进行监管和标准化。

它们有三个共同的主要趋势：更加关注汽车行业的特殊性；在整个生命周期内维护安全的挑战和要求；法规的强制性越来越强，例如在型号批准流程中增加网络安全这一项。这些趋势在即将出台的UNECE WP.29和ISO/SAE 21434的联合国法规中尤为明显。它们定义并授权明确的网络安全管理系统（CSMS）来保护车辆。

欧盟和日本等主要汽车市场计划从2023年起，在批准新的车辆类型时强制要求认证CSMS。进一步的计划是在2024年将这一联合国条例的适用范围扩大到现有车辆类型的首次注册。算上车型的平均开发时间，制造商和供应商如今需要开始关注新要求。

同时，联合国法规和ISO/SAE 21434仍处于草案状态。管理这种不确定性，确保成功的型式批准，同时避免超支，已成为企业成功的关键因素。到2027年汽车网络安全市场价值预计达76.7亿美元，众多企业都在排队等待入局。

预计到2030年汽车联网率将接近100%，目前许多互联汽车已经发展到15-20个威胁面，并不断增加新的功能和互联。同时，在没有适当的第三方监督或协助的情况下，所有制造商和供应商其实都是在赌。

“了解如何以及何时进行完整的、端到端的威胁分析，并将学习到的知识吸收到产品开发中并不容易。”Kugler Maag Cie的首席网络安全顾问托马斯·利特克（Thomas Liedtke）说。

“新的功能、变更请求和缺陷不仅会在首席信息安全官不注意的时候偷偷潜入，通常情况下，一些华而不实的新功能却更受营销青睐，而传统且基础的安全工作则备受冷落。新的UNECE网络安全认证将改善这种不平衡的状况，但要平衡增长和安全的优先级却没那么容易。”

潜在的风险需要说出来。

如果意识到某一不安全因素，那么这个风险要到什么程度才会被判定需要召回？

有些黑客入侵可能本质上与安全无关(如解锁车门、升降车窗)，但会增加被盗和驾驶员分心的概率。在这里，我们把这两者称为安全影响和延展影响。历史表明，前者可能会在48小时内被判定召回，而后者则有五年的滞后期。

美国扮演的角色是什么？

根据BlackDuck和其他监督组织的说法，美国国家标准与技术研究所（NIST）等漏洞数据库中列出的75%的bug，在黑客攻击发生后一年多的时间里，曾在公网或"暗网"上曝光过。让美国民众不禁怀疑对黑客的态度。

黑客被抓到的概率有多少？

很少有能抓到独立的黑客。可能有人会想到大名鼎鼎的凯文·米特尼克（Kevin Mitnick）曾经受过五年的牢狱之灾。但世界上能有几个凯文。为什么大多数黑客的形象被描绘成裹着黑布、穿着帽衫的幽灵，是因为他们通常隐蔽的很好，很难被发现。

隐私法的制定是不是能够很好的提升汽车网络安全？

安全和隐私是两码事。有些地方如加州在保护隐私方面就做的很好，取得了很大的进步，但网络安全法规仍然落后于欧盟。有些地方如远东地区几乎没有隐私，网络安全黑客猖獗。

该怎么做来执行网络安全设计？

审计和规格化都非常艰难。技术每时每刻都在变，软件有超过6000个在线犯罪市场，每秒钟有75条记录被盗。成千上万审计人员的下游成本对任何监管部门来说都很难实现。所以应该从上游入手：规范工作方式，比如新的UNECE法规的制定。

远程更新绝对安全吗？

首先，远程更新还没有做到完全普及，即使可以远程刷新，但蜂窝连接也不是在每个国家都能实现，那么长期脱网的车辆如何更新？不直接影响安全性的更新是很难实现的。

如果黑客想入侵，成功的概率有多高？

无论制造商如何努力，对于黑客攻击总是防不胜防。2023年，马里兰大学量化了对联网计算机的攻击率，现在描述对象变为互联汽车，为每39秒一次。以这种频率，汽车制造商不一定要比黑客快，他们只需要比竞争对手快。就像这句古话所说的，“你不必跑得比熊快，你只需要跑得过其他的猎人。”

那么在这方面，何时汽车制造商之间会停止竞争？

一位汽车业高管曾表示，一旦遭受车队网络攻击，可能会直接导致品牌破产，没有人愿意成为第一个中招的。所以，战斗必须持续下去。

汽车制造商最起码应该做什么？

多个国家都要求在功能安全方面采用“最先进”的工程设计。对于网络安全来说，“哪种安全可以在立法层面体现”，这个问题的答案总是在变，尤其是对于十年前制造的车辆来说。良好的工程实践应该是进行可预测的、最小成本的、无处不在且定期的审计，并成为新的常态。

作为个人，我很容易受到攻击吗？

对于互联车辆，最可能受到的攻击是“拒绝服务”(Dos)攻击，即车辆或相关服务无法运行，直到缴纳“赎金”。这些攻击经常指向较大的供应商，在汽车领域可能是车队运营商、远程信息处理供应商或汽车制造商。但现实中，无论哪种方式，最终客户本身还是要付出代价。

汽车制造商更有钱，为何在与黑客的斗争中无法占据上风?

网络犯罪比毒品交易利润更大，前者为6000亿美元，而后者为4000亿美元。汽车制造商有固定的发布日期，不会轻易与竞争对手或分享技术，而黑客没有时间限制，他们彼此之间还会分享最佳实践。

如果汽车品牌或网络安全公司倒闭了会怎样？

如果是汽车的一级供应商破产，汽车制造商会接管注塑或冲压工具，但接管网络安全软件和运营是一个更棘手的问题，因为汽车制造商一般缺乏熟悉情况的专业人员等。

为什么要生产一个难以保证安全数字化产品，还可能会连累整个公司？

欧盟的汽车网络安全法规可能导致的连锁反应有，一些汽车制造商在2023年为北美市场生产的汽车，由于网络安全工程不足，无法在欧盟销售。而如果他们不承担这个风险，选择放弃互联汽车，他们就会把这一部分销量输给竞争对手。反之，汽车网络安全风险也会连累整个公司。所以在这一方面，汽车制造商根本没得选。

迄今为止，发生了多少起黑客事件？

这个几乎很难统计。目前所知的是几起奔驰、特斯拉和Jeep被盗事件，视频显示整个过程只用了30秒，这只是冰山一角，看不见的部分可能是巨大的。

有多大比例的产品进行过完整的威胁分析，并经过第三方的审核？

这个比例几乎低到惊人，一些品牌要求供应商在交付前进行网络安全评估，但这种零敲碎打的要求经常执行不力。

我的车辆在生命周期内能否等来网络安全？

每天都有新的黑客产生，每周都有老旧电脑被淘汰，很少有汽车品牌会吹嘘或宣传持续的防火墙解决方案，因为这一准会招致黑客的挑战。汽车可能在购买时不安全，也可能在几十年后完全安全，而公众却没有办法预测。

汽车如何快速修复？

如上所述，没有任何一个修复的过程是100%可靠的。此外，很少有制造商能够拥有可靠的、不断更新的、24小时不间断的监控系统，为整个车队提供每一个可构建的组合来管理运营、风险和更新。

车辆能保护自己吗？

目前，汽车网络安全方面没有类似于五星碰撞评级的明确评级体系，因为，这将再次给品牌施加了一个目标。而且很可能汽车网络安全永远不会提供升级服务，因为客户期望网络安全也能够免费自动更新。

如果我干脆避开自动驾驶汽车呢？

黑客也可以控制非自动驾驶汽车，因此，将自动驾驶级别与易感性挂钩是完全错误的。自动驾驶级别的增加的确意味着更多的攻击面（从而增加了DoS攻击的可扩展性），但我们需要面对的一个简单明了且残酷的事实是：威胁已经存在。

如果我不是最薄弱的环节呢？

如果邻居的车在车道上被偷了，那么周围所有人的车险额肯定会提升。如果邻居的车在高速路上被黑了，那么它的失控会让周围的车都很难幸免于难。无论你是不是最弱的一环，在黑客入侵时，都是在劫难逃。

本文来源于汽车之家车家号作者，不代表汽车之家的观点立场。

怎么删除12306订票记录?

南京市民徐先生由于工作原因经常出差，他基本上是通过铁路12306的网站进行网上购票，昨天下午他收到了朋友的友情提示，说12306网上的购票信息被人泄露了，里面有账号，密码，身份证号等个人详细信息。

徐先生告诉记者，他是在昨天下午接到朋友的提醒，说12306网站泄漏了乘客的订票信息，并发给他一批陌生人的信息，出于好奇徐先生试着登录了其中一个账号和密码，竟然很顺利进入了12306的网站，并不需要手机短信验证码。然后第一时间微信通知了经常出差的同事赶快更改密码。

徐先生经过查询发现，售卖12306信息的网站是一家叫做暗网的平台。网页上显示：12306中国铁路泄露门约60万条。随后，徐先生向记者提供了他获得的一份详细信息表，里面有49个人的包括姓名，电话号码，用户名，密码，身份证等详细信息，徐先生说这只是网上售卖12306铁路信息中的一部分。网上的交易是使用，20美元的可以购买60万条12306个人信息。

徐先生反映的情况是否属实？这份信息表上的49人是否通过12306定过火车票，个人信息是否真被泄露了呢？随后，记者对表格上的信息进行了核实。我们先拨打了一位黄女士的电话。黄女士表示她确实使用12306来订票，泄露表格上的身份证号码和自己的号码完全属实。自己在暑假还订过火车票。

黄女士告诉记者，她是湖北荆州的，平时出远门都是通过12306网站订票，从来不用第三方平台。自己的信息被泄露她表示很吃惊。在记者随后的核实中发现，有不少号码是空号，还有人表示是找错了人。其中，一位用户名为tianyong1972的田先生接通了记者的电话，他表示从昨天到今天中午，他已经接到30多个陌生来电，都是为核实12306网站信息泄露的问题。有记者，有热心网友，对于自己12306账号和密码被泄露她表示非常气愤。

随后，记者对这份表格上的49个电话进行了一一核实，其中有18个人的电话是空号，13人表示号码是错误的，9人直接挂了电话，还有5个号码无人接听人，有4人表示表格上的账号信息，密码，身份证号码和名字等信息完全属实。哈尔滨的孙女士表示，自己的身份证位数和泄露表格上的011是一致的，自己多年前注册了12306网站信息，老公本月还订了从牡丹江到哈尔滨的火车票。她在昨天就接到了几个陌生号码打来的电话，问到了铁路12306网上订票信息被人泄露的事，她吓得第一时间更改了自己的账号密码。铁路12306网站信息是否真得出现了泄露情况呢？记者电话联系了12306客服电话。

12306客服表示，不存在12306网站上的信息被泄露的情况，主要是一些第三方的网站，有些旅客把信息登录在携程、微信、支付宝，在这些网站上才会被泄露，不可能12306的官网泄露个人身份信息，因为12306的官网没有授权其他的任何第三方网站去发售火车票的。

随后，记者在中国铁路总公司的官方微博了解到，12月28日下午六点零一分，对乘客信息泄露一事，他们进行了辟谣：表示网传信息不实，铁路12306网站未发生用户信息泄漏。铁路部门提醒广大旅客，请通过铁路12306官方网站（www.12306.cn）和“铁路12306”客户端购票，避免非正常渠道购票带来的风险。那么，网传表格上的信息，为何能与部分乘客的真实身份对应上呢？对于此事，我们将继续关注。

来源：荔枝网/吴传勇

编辑：玉洁 小秋

大专文凭2023拿到毕业证,而本科2023年拿到毕毕业证,就业时按往届生还是...

大专文凭，2023年拿到毕业证儿，本科2023年拿到毕业证就越是暗网剧想还是应届生是应届生

正常人登录暗网违法吗

不违法，但是会被潜伏在里面的各国警察追踪调查，建议没事不要进去。

家人总生病怎么转风水

请风水先生看一下阳宅。

很可能是阳宅有了问题。

一代看阳宅，几代看阴宅。

自己家人老生病和风水有关系吗

生病与风水不确定有必然联系，但是有这种可能。具体情况还是要具体分析，测量后大体可以断出结论，但是没具体测量无法下结论。红白事间隔太短在民间确实有不好的说法，但无法考证。