视频
微博忘记汽车偷窃吧,现在汽车黑客才是热点!随着汽车与网络连接的日益紧密,一个名为“我是骑士”的基层安全运动最近引入一款可以促进研究人员与汽车制造商合作的网络安全程序。上周五,这个团体向当前各领先的汽车公司的负责人发出一封公开信,信中质疑这些汽车公司是否知道越来越多的网络安全隐患已经在影响汽车的安全性。在对其“五星级汽车网络安全程序”进行具体介绍时,“我是骑士”列出了这款程序的五大功能,可供参与企业在公司内部展示以改进车辆安全性:
1. 设计安全性
依据:我们在设计、开发和测试环节高度重视公共安全。
措施:因此,我们公布了对安全软件开发周期的认证,并汇总了针对产品和供应链的设计、开发和对抗性应变能力测试程序。
2. 第三方合作
依据:我们意识到我们的程序无法找出所有漏洞。
措施:因此,我们制定了一个公开的协调信息披露政策,邀请声誉良好的第三方研究人员提供协助。
3. 证据获取
依据:我们想从失败中吸取教训,并持续改进。
措施:因此,我们的系统提供了防篡改、取证记录和证据采集功能,从而为安全调查提供便利。
4. 安全更新
依据:我们认识到解决近期发现的安全问题的必要性。
措施:因此,我们的系统能够迅速快捷地安全更新。
5. 分化与隔离
依据:我们认为非关键系统(如娱乐系统)的妥协不应对关键系统/实体系统(如刹车系统)产生负面影响。
措施:因此,我们公布了对已经采取的实体隔离/逻辑隔离和分层防御措施的认证。
研究小组在网站上写道:“现代汽车实际上就是带轮子的电脑,它们与软件连接的越来越紧密,且越来越受控于软件。人们对车辆科技的依赖程度远远快于有效安全防护措施的速度。安全研究员早在十几年前就向公众展示了车辆易于受事故风险与不利后果影响。”
似乎有些人已经厌倦了电脑攻击、邮件攻击、网站攻击和网络攻击等老一套做法,开始选择转向移动的目标。因此,联网车辆的出现导致了汽车遭受黑客攻击的可能性变大。
在公开信中,“我是骑士”提到了车对车通信(V2V)、车流量自动报告、汽车遥控功能以及无人驾驶汽车等公众开始逐渐接触到的一些新型技术。Joshua Corman,我是骑士的联合创办人与Sonatype的首席技术官,在接收《网络安全杂志》采访时说道:“我们不要等到坏事发生后才开始将安全性纳入设计(考量)。技术开发和上市需要很长一段时间。即使我们现在就开始行动,未来几年都可能没有多大成效。”
(数据来源:赛斯罗森布拉特/科技资讯网)
此外,Change.org公司还成立一个名为Change.org 请愿的网站,旨在鼓励汽车行业尽快解决汽车安全问题。“当我们依赖的技术影响到公共安全与个人生命时,需要我们给予高度重视和审慎。我们的汽车需要这样的爱护程度。每一天,我们都把自己和所爱之人的生命托付给我们的汽车。”
“我们推广工作的目标是促使安全研究员与汽车行业更加紧密的合作。我们希望专业人士能够像处理其他汽车安全问题那样谨慎地处理计算机技术带来的安全问题。”
研究人员发现高端汽车采用多个计算机控制刹车、加速、定速巡航以及自动泊车等系统。因此,黑客需要找到攻击系统的途径,然后利用系统漏洞向电子控制单元发送指令。由于汽车不能进行系统补丁修复,因此,这些系统漏洞就成了问题。正如《企业脉搏》所述,“特斯拉汽车采取了许多安全措施,还设立了漏洞披露系统。大多数汽车制造商似乎还未准备应对黑客攻击,因为它们还不习惯可攻击电子系统这一概念。例如,胎压监测系统也是可被黑客攻击的,但相关的风险很小。”由于汽车制造商添加了更多的计算功能和与其他汽车通信的功能,这些功能成为了黑客更大的攻击目标。特斯拉汽车依靠复杂的软件与电子系统取胜。特斯拉创立人Elon Musk甚至悬赏10,000美元奖励能够成功攻击特斯拉Model S汽车的黑客。
在2014年黑帽大会上,安全研究员Chris Valasek与Charlie Miller公布一项研究探究了24种不同车型的“可攻击性”。其中,“最易遭受攻击”的汽车包括2014款吉普切诺基、2015款凯迪拉克凯雷德、英菲尼迪Q50等,而受人瞩目的“最不易遭受攻击”的汽车则包括2014款道奇/蝰蛇,2014款奥迪A8以及2014款本田雅阁。