兩位黑客在成功侵入一輛Jeep Cherokee后,導航屏幕顯示他們的漫畫頭像
8月5日消息,據國外媒體報道,上個月末的汽車被黑實驗揭露了聯網汽車安全網絡的脆弱性,同時也發出了物聯網世界或許很危險的警示。
處于“物聯網”開發前沿的波士頓公司LogMeIn副總裁帕迪·斯里尼瓦桑(Paddy Srinivasan)說道,“我想現在是開創性時期,這些新設備需要全新的處理方式以及新的安全思考方式,這是當下缺失的一塊。”
7月末,在一次汽車黑客實驗中,兩位網絡工程師查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)利用一臺聯網電腦控制了在圣路易斯高速公路行駛的一輛克萊斯勒Jeep Cherokee汽車。當時,作為駕駛者的《連線》雜志記者束手無策,米勒和瓦拉塞克打開了車子的雨刮器,將音響和空調調到最大,并終止了車子的傳動裝置運作,使得它無法駕駛——而這一切操控全都在米勒10英里以外的地下室完成。
幾天內,克萊斯勒母公司FCA US LLC召回了140萬輛存在同樣的被黑隱患的車輛。
之后,計算機安全研究人員薩米·卡姆卡爾(Samy Kamkar)透露稱,他曾經入侵很多通用汽車車型采用的OnStar通訊系統。通過給車子附上一個小型的WiFi接收器,他可以遠程獲知車子的位置,打開它的車門,或者啟動其引擎。通用汽車稱它已經發布該問題的補丁。
美國汽車制造商聯盟發言人韋德·紐頓(Wade Newton)指出,“網絡安全絕對是汽車廠商的重中之重。”他還說,該聯盟正制定一個新的項目,來實現數字安全威脅的信息共享和分析。
然而,塔夫斯大學計算機科學教授凱思琳·費舍爾(Kathleen Fisher)警告稱,從內在結構來看,汽車的計算機網絡很脆弱,難以確保安全。幾乎所有的汽車都是使用名為“控制器局域網絡總線”( CAN bus)的網絡技術,該技術的開發商是德國汽車零部件廠商博世。“CAN總線技術很不安全。”費舍爾說道。它開發于汽車還遠未接入互聯網的數十年前,它缺少阻止惡意程序和拒絕來自非法入侵者的指令的功能。
費舍爾指出,開發出更加安全的汽車網絡系統需要數年時間和大量的資金,競爭對手不去開發的話,沒有公司會去開發。
她支持美國參議員愛德華·馬基(Edward J. Markey)最近提出的法規,該法規關于對所有在美出售的汽車設定數據安全和隱私標準。
物聯網隱患
Jeep被黑的確讓人毛骨悚然,但事實上,很多其它的聯網設備同樣存在著被入侵的隱患。很多人都在使用聯網的恒溫器、可遠程打開的門鎖或者可將實時畫面傳送到屋主手機的安全攝像頭。
波士頓和其它的城市在部署安裝聯網的停車計時器,以引導車主前往空置的停車位。
任何的這些設備以及諸多其它的聯網設備都有可能會成為網絡破壞者或不法分子的入侵目標。
斯里尼瓦桑指出,許多物聯網設備所使用的廉價芯片缺少內置的安全功能,如可降低被攻擊風險的硬連線加密功能。因此,這些系統只能依靠軟件來保障,一旦被入侵者注入不正當的代碼,都有可能出現嚴重問題。
“如果你能夠對停車計時器實施逆向工程,你可以注入虛假數據,從而使得城市中的每一個人都相信當下一個閑置的停車位都沒有。”斯里尼瓦桑舉例說道。
LogMeIn的物聯網系統Xively尋求通過無視所有進來的信息來防止這類攻擊。Xively芯片僅通過定期檢查特定的網絡地址來獲得指令。此外,每一個指令都必須要包含證明來自特許源的加密數字簽名。
但目前還不清楚Xively是否真如LogMeIn所宣稱的那么靠譜。很多其它的物聯網系統也才剛剛開始進行大范圍部署。跟被黑的Jeep一樣,也許要讓知名的黑客出手才能知道它們是否容易受到攻擊。
類似的情況曾發生在微軟的Windows操作系統上,該公司當初在開發該系統時并沒有考慮到網絡安全性。21世紀初,一系列的網絡惡意程序(如SQL Slammer、Blaster和Code Red)感染了全球數百萬部Windows電腦。那些攻擊對微軟的聲譽和業績構成了不小的威脅。因此,2012年,微軟決定停止Windows的所有新功能研發工作,花費兩個月時間修復安全漏洞,并訓練其軟件工程師編寫更加安全的代碼。它的努力收到了回報;雖然還不算完美,但后續的新Windows版本比以往的要難攻擊得多。
在數字安全公司RSA技術解決方案總監羅伯·薩多夫斯基(Rob Sadowski)看來,要是也有這樣的危機意識,物聯網開發者最終也會獲益。“我想我們非常需要像那樣的戰斗。”他說道,“很多開發者可能都是先想到功能開發,然后才想到安全問題……我們迫切需要做的是,給予開發者和用戶潛在風險方面的教育。”
京公網安備 11010502049343號