北京固源网络科技首席安全官李立东：将Fuzzing技术应用于汽车网络安全

滴答滴11

北京固源网络科技首席安全官李立东：将Fuzzing技术应用于汽车网络安全 [复制链接]

模糊测试（Fuzzing）是一种软件与系统的安全测试技术。它通过发送随机变异的输入给被测试软件或系统，并实时监控被测试对象的异常状态（如崩溃等），从而发现潜藏在软件与系统中安全漏洞。相比其他安全测试技术（如数据流分析、污点分析、符号执行等），Fuzzing具备高效、准确率高等特点，它在学术界与工业界都得到了广泛的应用。但不难发现，现在模糊测试技术逐渐得到了公众的关注和使用，以解决安全漏洞问题。随着技术理念的不断迭代发展，现阶段的模糊测试不仅包括传统的黑盒模糊测试，还衍生了灰/白盒的模糊测试技术。

 

在过去的十年中，模糊测试已经展示了在漏洞检测方面的潜力，并被用于发现开源和闭源软件中的数千个漏洞。此外，研究人员也提出了新的模糊测试技术来模糊不同的协议实现，如FTP或RTSP。然而，与常规以太网上运行的FTP或其他协议不同，汽车以太网上的SOME/IP和其他汽车以太网协议通常是简单直接的。这是因为运行这些协议的设备的计算能力通常是有限的。一方面，协议设计的简单性意味着模糊测试器不需要为协议维护状态机模型，如AFLnet。另一方面，计算能力的限制意味着我们需要寻求在并行运行多个模糊测试器以提高模糊测试效率。

Fuzzing无疑是漏洞挖掘技术中最热门常见的技术之一，代码覆盖引导的思路成为主流，随之发展起来的各种路径探索技术也应运而生，相关话题的论文也常见于学术与工业顶会上，相信未来几年仍将继续活跃在安全领域之上。

 

第37期谈思实验室AutoSec汽车安全直播课于4月20日为大家特别邀请到北京固源网络科技的首席安全官李立东先生，与大家一同探讨“将Fuzzing技术应用于汽车网络安全”。随着汽车智能化的发展，汽车的短距离通信技术发展越来越快，但暴露的安全问题也都随之而来。本期直播将从Fuzzing汽车通信协议的角度来分析汽车协议接口的攻击面，与大家探讨如何使用Fuzzing技术来发现汽车更多的网络安全问题。

 

演讲嘉宾

北京固源网络科技

李立东

首席安全官

李立东，负责Swfit Fuzzer通信协议模糊测试平台核心架构，负责前沿网络安全攻防研究。制定安全研究方向。受邀在HITB,POC,ISC等国内外顶级安全大会发表议题。2018年全国大学生信息安全竞赛无线安全出题人,审题人。2019年全国通信安全大赛无线安全板块出题人，审核人，裁判.2019年护网杯决赛出题人.2021年世界智能驾驶挑战赛信息安全大赛裁判员.2021 年国际智能网联汽车大赛信息安全大赛规则委员会委员、裁判.2022年冬奥会与残奥会网络安全卫士.多次发现MTK,苹果，安卓，高通，博通等系统和芯片驱动漏洞，并多次获得致谢。

演讲主题

将Fuzzing技术应用于汽车网络安全

关键话题

1、从Fuzzing汽车通信协议的角度来分析汽车协议接口的攻击面

2、如何使用Fuzzing技术来发现汽车更多的网络安全问题

直播时间

4月20日19:30-20:30

参与方式

转发海报到朋友圈，截图发送至微信：taaslabs01

即可免费参与直播并加入AutoSec行业交流群