译者 | 布加迪
审校 | 千山
如果你留意到附近出现了汽车充电站,恭喜你!你是日益庞大的系统网络中的一员,但这些系统的安全性很差,有一天它们可能被用来破坏整个电网的稳定性,安全问题足以成为当下值得关注的话题。
这是新墨西哥州阿尔伯克基市桑迪亚国家实验室的科学家们得出的结论,他们历时四年研究电动汽车供电设备(EVSE)中已演示的漏洞和公开披露的漏洞,并与爱达荷国家实验室的同仁们对10种电动汽车充电器进行了自己的测试。
参与该项目的网络安全专家Brian Wright说:“电动汽车充电设备会影响电网吗?当然。这是不法分子在未来10到15年可能会干的事情。这就是为什么我们需要先行解决这些问题。”
与此同时,犯罪分子现在可以使用大量的攻击手段。不过,这些是多年来我们在其他科技领域看到的老大难问题。
研究人员在论文中说:“之前研究人员多次演示过可以通过电动汽车到EVSE连接来窃取凭据或影响充电过程。”有一回,“针对调查了7辆汽车和18辆电动汽车”,研究人员成功地从47米开外用一个功率不足1瓦的软件定义无线电探测并中断了充电信号。
RFID克隆目前在早期的EVSE基础设施中有可能实现,这可能导致小偷使用别人的借记卡或信用卡来充电。研究人员表示,一些用于管理充电过程的iOS和安卓应用程序“也很容易逆向工程处理,从而暴露EVSE管理和供应商云接口存在的弱点”。
EVSE互联网接口的问题很容易猜到:它们常常使用不安全的Web服务,这些服务可以从本地智能手机或电脑来访问,而多家制造商的充电器可以在互联网上找到。报告发现,充电器使用的Web服务存在漏洞,攻击者可以通过这些漏洞篡改配置数据或推送恶意固件更新。
充电器和云服务之间的通信也存在许多问题,比如缺乏适当的验证方法,没有净化处理输入字段,甚至因厂商保持远程后门访问而暴露在供应链攻击面前。
硬件漏洞包括一大批过时的Linux内核在运行多余服务,这些服务可以通过暴露的USB端口来访问,从而让攻击者可以上传恶意固件。一些充电器甚至被发现在没有安全引导加载程序的情况下就在树莓派上运行。
另外,还存在无数硬编码的凭据、未加入随机字符串(salt)就哈希处理的密码及其他加密禁忌。
我们学到了什么?电动汽车充电行业对待网络安全的态度似乎与物联网背后的公司如出一辙:事后诸葛亮。
主持这个研究项目的桑迪亚国家实验室电气工程师Jay Johnson表示,他希望其团队的发现可以帮助了解这个行业的当前状态,这对解决问题至关重要。
他解释道:“通过对电动汽车充电器的漏洞开展这项调查,我们可以优先向政策制定者提出建议,告知他们行业需要哪些安全改进。”
政府可能会说“生产安全的电动汽车充电器”,但以预算为导向的公司并不总是选择最安全的网络实现方法。相反,政府可以通过提供办法、建议、标准和最佳实践,直接支持行业。
这并不奇怪,但桑迪亚国家实验室建议做好基本的网络安全工作,比如删除不需要的服务、保持软件更新、锁定物理端口和使用适当的加密技术。
该团队还建议实施更好的电动汽车车主验证方法,比如即插即充公钥基础设施、网络入侵检测系统、代码签名固件更新以及充电行业最佳实践建议中提到的其他习惯。
该团队已收到了后续资金,以弥补它们与爱达荷国家实验室和太平洋西北国家实验室共同发现的一些不足。三家实验室正共同致力于开发一种电动汽车充电器系统,该系统采用新方法来保护公共基础设施免受不法分子的影响。但除非政府采取一些监管措施,否则情况不会改善。
许多EVSE制造商在拼命跟上市场需求。尽管相关法规已有讨论,但这些法规至少一年内不太可能出现。注意这种情形适用于美国,英国已经提议了电动汽车充电器方面的法规,将于明年生效。
虽然一些供应商已经改进了安全性,但这些公司发现自己在市场上处于不利地位,无法与那些喜欢将产品迅速推向市场的公司相竞争。在法规出台确保公平竞争环境之前,市场趋势对不安全的系统有利。
原文链接:https://www.theregister.com/2022/11/15/ev_charging_infrastructure_sandia/
1.postman介绍Postman一款非常流行的API调试工具。其实,开发人员用的更多。因为测试人员做接口测试会有更多选择,例如Jmeter、soapUI等。不过,对于开发过程中去调试接口,Postman确实足够的简单方便,而且功能强大。2.下载安装官网地址:https://www.postman.com/下载完成后双击安装吧,安装过程极其简单,无需任何操作3.使用教程这里以百度为例,工具使用简单,填写URL地址即可发送请求,在下方查看响应结果和响应状态码常用方法都有支持请求方法:getpostputdeleteGet、Post、Put与Delete的作用get:请求方法一般是用于数据查询,
Ⅰ软件测试基础一、软件测试基础理论1、软件测试的必要性所有的产品或者服务上线都需要测试2、测试的发展过程3、什么是软件测试找bug,发现缺陷4、测试的定义使用人工或自动的手段来运行或者测试某个系统的过程。目的在于检测它是否满足规定的需求。弄清预期结果和实际结果的差别。5、测试的目的以最小的人力、物力和时间找出软件中潜在的错误和缺陷6、测试的原则28原则:20%的主要功能要重点测(eg:支付宝的支付功能,其他功能都是次要的)80%的错误存在于20%的代码中7、测试标准8、测试的基本要求功能测试性能测试安全性测试兼容性测试易用性测试外观界面测试可靠性测试二、质量模型衡量一个优秀软件的维度①功能性功
ES一、简介1、ElasticStackES技术栈:ElasticSearch:存数据+搜索;QL;Kibana:Web可视化平台,分析。LogStash:日志收集,Log4j:产生日志;log.info(xxx)。。。。使用场景:metrics:指标监控…2、基本概念Index(索引)动词:保存(插入)名词:类似MySQL数据库,给数据Type(类型)已废弃,以前类似MySQL的表现在用索引对数据分类Document(文档)真正要保存的一个JSON数据{name:"tcx"}二、入门实战{"name":"DESKTOP-1TSVGKG","cluster_name":"elasticsear
(本文是网络的宏观的概念铺垫)目录计算机网络背景网络发展认识"协议"网络协议初识协议分层OSI七层模型TCP/IP五层(或四层)模型报头以太网碰撞路由器IP地址和MAC地址IP地址与MAC地址总结IP地址MAC地址计算机网络背景网络发展 是最开始先有的计算机,计算机后来因为多项技术的水平升高,逐渐的计算机变的小型化、高效化。后来因为计算机其本身的计算能力比较的快速:独立模式:计算机之间相互独立。 如:有三个人,每个人做的不同的事物,但是是需要协作的完成。 而这三个人所做的事是需要进行协作的,然而刚开始因为每一台计算机之间都是互相独立的。所以前面的人处理完了就需要将数据
文章目录概念索引相关操作创建索引更新副本查看索引删除索引索引的打开与关闭收缩索引索引别名查询索引别名文档相关操作新建文档查询文档更新文档删除文档映射相关操作查询文档映射创建静态映射创建索引并添加映射概念es中有三个概念要清楚,分别为索引、映射和文档(不用死记硬背,大概有个印象就可以)索引可理解为MySQL数据库;映射可理解为MySQL的表结构;文档可理解为MySQL表中的每行数据静态映射和动态映射上面已经介绍了,映射可理解为MySQL的表结构,在MySQL中,向表中插入数据是需要先创建表结构的;但在es中不必这样,可以直接插入文档,es可以根据插入的文档(数据),动态的创建映射(表结构),这就
目录1关系运算符2运算符优先级3关系表达式的书写代码实例:下面是面试中可能遇到的问题:1关系运算符C++中有6个关系运算符,用于比较两个值的大小关系,它们分别是:运算符描述==等于!=不等于小于>大于小于等于>=大于等于这些运算符返回一个布尔值,即true或false。例如,当x等于y时,x==y的结果为true,否则结果为false。2运算符优先级在C++中,关系运算符的优先级高于赋值运算符,但低于算术运算符。以下是关系运算符的优先级,从高到低排列:运算符描述>,,>=,关系运算符==,!=相等性运算符&&逻辑与`如果在表达式中有多个运算符,则按照优先级顺序依次进行运算。3关系表达式的书写在
一.计算机组成原理 这本书利用组合逻辑、同步时序逻辑电路设计的相关知识,从逻辑门开始逐步构建运算器、存储器、数据通路和控制器,最终集成为完整的CU原型系统,使读者从设计者的角度理解计算机部件构成及运行的基本原理,掌握软硬件协同的概念。 全书共9章,主要内容包括计算机系统概述、数据信息的表示、运算方法与运算器、存储系统、指令系统、中央处理器、指令流水线、总线系统、输入输出系统。1.计算机系统概述1.1计算机发展历程 计算机是一种能够按照事先存储的程序,自动、高速、准确地对相关信息进行处理的电子设备。1946年2月,世界上第一台电子数字计算机ENIAC(ElectronicNum
在我的Rails应用程序中,我收到来自brakeman的以下安全警告。使用模型属性调用的不安全反射方法常量化。这是我的代码正在执行的操作。chart_type=Chart.where(id:chart_id,).pluck(:type).firstbeginChartPresenter.new(chart_type.camelize.constantize.find(chart_id))rescueraise"Unabletofindthechartpresenter"end根据我的研究,我还没有找到任何具体的解决方案。我听说你可以创建一个白名单,但我不确定brakeman在寻找什么。
其实现在基础的资料和视频到处都是,就是看你有没有认真的去找学习资源了,去哪里学习都是要看你个人靠谱不靠谱,再好的教程和老师,你自己学习不进去也是白搭在正式选择之前,大可以在各种学习网站里面找找学习资源先自己学习一下为什么选择学软件测试?同学们理由众多!大概分这几类:①不受开发语言、行业产品变化限制;②入门更简单,对零基础、女生都友好;③软件项目都需要测试人员,职业生涯稳;④学习周期短,但薪资并不低。要想“肩扛”一条线?需掌握三大技能:技能1:掌握测试流程,熟悉系统框架能提前与开发人员一起制定测试计划,通过测试左移,推动代码评审,代码审计,单元测试,自动化冒烟测试,来保证研发阶段的质量。技能2:
Asitcurrentlystands,thisquestionisnotagoodfitforourQ&Aformat.Weexpectanswerstobesupportedbyfacts,references,orexpertise,butthisquestionwilllikelysolicitdebate,arguments,polling,orextendeddiscussion.Ifyoufeelthatthisquestioncanbeimprovedandpossiblyreopened,visitthehelpcenter提供指导。已关闭8年。什么是学习ruby语言
