8月5日,2015年美国黑帽大会(Black Hat Conference)于8月初在拉斯维加斯拉开帷幕。在过去的20年中,黑客每年夏季都会涌向拉斯维加斯,展示他们能够通过黑客手段控制其它电脑的一些方法和途径。然而,在今年的黑帽大会上,黑客们已经将攻击汽车当作重要主题。
Twitter公司的一位工程师,此前曾在美国国家安全局(NSA)工作,这位工程师计划于周三(注:美国东部时间)在今年的黑帽大会上展示他如何通过几英里之外的笔记本电脑控制Jeep Cherokee汽车。另外,一位来自移动安全初创公司的高管也计划于周四展示他与其好友如何对特斯拉汽车发动黑客攻击。此外,还有一位开发师也计划展示他是如何通过无线方式来解锁汽车,不论这些汽车的主人是谁。
此次黑帽大会似乎表明,汽车越来越像是安装了车轮的电脑——完全配置了互联网连接功能,可以让汽车司机上传音乐,或者是发现附近的加油站。特斯拉汽车甚至还可以通过互联网下载汽车的更新版操作系统,并提升加速器的功能等。
对于黑客而言,那些炫酷的新功能日益成为他们更加关注的攻击目标。黑客们也认为,这些新功能将可以表明——在匆忙部署新技术的过程中,安全问题缘何得不到重视,往往在事后才得到考虑。事实上,对无线手机网络和互联网本身而言,同样的情况也在发生。
市场研究机构SANS研究院的资深分析师兼Counter Hack机构创始人埃德·斯库迪斯(Ed Skoudis)对此表示:“每一个新领域最初总做得特别糟糕,然后我们再逐步进行修补。或许在其它的某一个地方会有一个经济规则。”
当汽车制造商开始推出具有互联网功能的汽车之时,最初的安全担忧并不是考虑黑客攻击的问题,而是担心司机在驾驶过程中会因为更多的功能而分心。
2012年,一篇有关道奇Ram卡车和道奇Viper运动汽车中的新Uconnect功能的新闻稿称,“客户可以利用一项突破性功能,来帮助他们与外部的世界保持联系,同时还能够专注完成他们手头的任务——驾驶。”Uconnect是一款娱乐与通讯系统,由菲亚特-克莱斯勒汽车公司(Fiat Chrysler Automobiles NV)制造。
在本周的拉斯维加斯,两名开发者还将展示Uconnect的一个漏洞——尽管已经得到修复——是如何被黑客用来在几英里之外的地方控制一辆Jeep Cherokee汽车。据知情人士透露,早在2014年1月初,菲亚特-克莱斯勒公司就已发发现了这个漏洞,但却没有认识到这个漏洞还来被黑客用来控制汽车。
上个月,菲亚特-克莱斯勒公司为这个漏洞发布了一个补丁,并发布了回收相关汽车的通知。事实上,这距开发者宣布利用此漏洞对汽车进行攻击的消息并非很久。上述二人中的一位开发者就是Twitter工程师兼前NSA雇员查利·米勒(Charlie Miller)。米勒称,这个补丁似乎会阻止黑客攻击娱乐系统,但或许将无法阻止黑客在几英里之外控制汽车。
菲亚特-克莱斯勒公司在声明中宣称,“在对此次召回的软件进行操作时,需要有独特广泛的科技知识、持续很久的进入实体汽车、而且还需要更长的时间来编写程序。”
与此同时,在今年的黑帽大会上,还有两位开发者计划分享一些经验,“这些经验可以帮助黑客对特斯拉Model S汽车进行攻击——无论是在当地进行攻击,还是进行远程攻击。”据称,此次交流主题为“就像你黑客攻击汽车那样驾驶汽车:对无线窃取汽车的新攻击与工具”。特斯拉汽车公司表示,其安全团队的工作人员将在此次黑帽大会上探讨这一问题。
美国的一些政府官员已经开始重视这一问题。上个月,美国两名参议员提议了相关的法案,要求美国联邦贸易委员会和美国国家公路交通安全管理局为接入互联网的汽车制定相应的网络安全标准。就在上个月,两大贸易组织——美国汽车制造商联盟和全球汽车制造商协会还成立了共同机构,以共享对他们汽车安全构成威胁的网络安全信息。
美国汽车制造商联盟发言人韦德·纽顿(Wade Newton)在一份书面声明中表示:“多年来,汽车制造商一直在研发多个防线,以解决汽车的安全与可靠性问题。那项工作从汽车的设计和研发就已经开始,一直贯穿整个过程。”
另外,目前在网络安全初创型企业BitSight技术公司工作的前美国参议员贾各布·奥尔科特(Jacob Olcott)表示:“将会有一套针对汽车的网络安全评级机制出台。汽车制造商有意通过制定自己的标准来阻止政府的相关规则。”他还表示:“试想一下,如果政府监管机构开始对汽车相关的程序进行逐一审查,那将是一件非常疯狂的事。”
本文来源:不详 作者:佚名