互聯(lián)汽車(chē)(Connected vehicles)正在產(chǎn)生巨大的網(wǎng)絡(luò)安全問(wèn)題,不過(guò),《汽車(chē)安全與隱私法案》(Security and Privacy in Your Car Act,簡(jiǎn)稱(chēng)SPY Car Act)正試圖保護(hù)消費(fèi)者的信息安全。
近年來(lái),物聯(lián)網(wǎng)的應(yīng)用逐漸擴(kuò)散到消費(fèi)領(lǐng)域,汽車(chē)工業(yè)就是一例。汽車(chē)制造商不斷改進(jìn)技術(shù),完善互聯(lián)汽車(chē)的效能,并讓駕駛者能夠及時(shí)獲知潛在的危險(xiǎn)。車(chē)主還能通過(guò)智能手機(jī)應(yīng)用遠(yuǎn)程解鎖汽車(chē)、查看引擎狀態(tài)或定位車(chē)輛所在。
美國(guó)政府氣候變化與安全中心(Center for Climate Change and Security)研究員Daniel Allen認(rèn)為,在技術(shù)不斷進(jìn)步的同時(shí),互聯(lián)汽車(chē)同樣面臨著與其他物聯(lián)網(wǎng)設(shè)備一樣的問(wèn)題,即來(lái)自于網(wǎng)絡(luò)的安全威脅。Allen是一位參加過(guò)當(dāng)年沙漠風(fēng)暴行動(dòng)的老兵。最近,由于其針對(duì)互聯(lián)汽車(chē)網(wǎng)絡(luò)安全的在線(xiàn)技術(shù)培訓(xùn)計(jì)劃,Allen剛?cè)脒x了Entrepreneurs' Organization-Houston Veterans Business Battle(一個(gè)支持退役老兵創(chuàng)業(yè)的活動(dòng))2016年度的最終決賽名單。在本文中,Allen就互聯(lián)汽車(chē)的網(wǎng)絡(luò)安全問(wèn)題以及諸如《汽車(chē)安全與隱私法案》之類(lèi)的監(jiān)管措施發(fā)表了自己的觀(guān)點(diǎn)。
隨著物聯(lián)網(wǎng)類(lèi)技術(shù)在汽車(chē)行業(yè)日益廣泛的運(yùn)用,互聯(lián)汽車(chē)面臨著哪些安全隱患?
Daniel Allen:通過(guò)與互聯(lián)網(wǎng)以及其他車(chē)輛的連接,互聯(lián)汽車(chē)能夠提升駕駛的安全性和效率。但是,車(chē)輛和駕駛?cè)藛T同樣由此而暴露在網(wǎng)絡(luò)攻擊的威脅之下。這些車(chē)輛被設(shè)計(jì)成為移動(dòng)式的聯(lián)網(wǎng)設(shè)備或是無(wú)線(xiàn)熱點(diǎn)(如同一個(gè)可移動(dòng)的無(wú)線(xiàn)局域網(wǎng)),從而導(dǎo)致傳輸保密、數(shù)據(jù)完整和身份認(rèn)證(confidentiality、integrity、authentication,CIA)等網(wǎng)絡(luò)安全類(lèi)問(wèn)題暴露出來(lái)。
隨著車(chē)輛不斷融入物聯(lián)網(wǎng)、互聯(lián)和自治特性日益彰顯,在與其他車(chē)輛和基礎(chǔ)架構(gòu)進(jìn)行無(wú)線(xiàn)連接的過(guò)程中,受到網(wǎng)絡(luò)威脅的潛在風(fēng)險(xiǎn)也越來(lái)越高,也提升了乘車(chē)人所面臨的風(fēng)險(xiǎn)。簡(jiǎn)單地說(shuō),如今的互聯(lián)汽車(chē)已經(jīng)演變?yōu)橐粋€(gè)可駕駛的計(jì)算機(jī),從而和計(jì)算機(jī)一樣面臨著各種網(wǎng)絡(luò)方面的威脅。
2013年,通過(guò)成功控制豐田普銳斯的部分功能,網(wǎng)絡(luò)安全專(zhuān)家Charlie Miller和Chris Valasek實(shí)證了汽車(chē)系統(tǒng)的脆弱性。2015年,他們又從10英里之外成功侵入了一輛切諾基(基于切諾基的Uconnect功能),能夠控制該車(chē)的剎車(chē)、行駛速度、廣播、雨刷器等。Miller和Valasek的實(shí)驗(yàn)震驚了業(yè)界,總計(jì)有140萬(wàn)輛汽車(chē)被召回進(jìn)行軟件升級(jí)。
對(duì)于互聯(lián)汽車(chē)技術(shù)面對(duì)的安全隱患,會(huì)出臺(tái)哪些法律法規(guī)?
Allen:互聯(lián)汽車(chē)面臨著全天候的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),政府因此加快了工作的進(jìn)度。去年7月21日,《汽車(chē)安全與隱私法案》的草案稿出臺(tái),這是這個(gè)領(lǐng)域的第一部法律草案。同時(shí),針對(duì)互聯(lián)汽車(chē)的安全和隱私問(wèn)題,國(guó)會(huì)還責(zé)成全美高速公路管理局和聯(lián)邦貿(mào)易委員會(huì)一同建立聯(lián)邦級(jí)的標(biāo)準(zhǔn)。
在該法案中,對(duì)計(jì)算機(jī)技術(shù)與汽車(chē)技術(shù)的融合做出了規(guī)范。隨著遠(yuǎn)程通信系統(tǒng)(telematics systems)、傳感器、藍(lán)牙和802.11 IEEE無(wú)線(xiàn)局域網(wǎng)標(biāo)準(zhǔn)在汽車(chē)領(lǐng)域的應(yīng)用,互聯(lián)車(chē)輛正逐漸演變?yōu)橐豢畛?jí)移動(dòng)設(shè)備。
你認(rèn)為這些標(biāo)準(zhǔn)能夠保護(hù)消費(fèi)者和互聯(lián)汽車(chē)嗎?
Allen:如果與其他國(guó)家級(jí)、關(guān)鍵性基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)安全規(guī)范一樣,那最終形成的標(biāo)準(zhǔn)就應(yīng)該能夠?yàn)檐?chē)輛和乘車(chē)人提供足夠的保護(hù)。值得注意的是,工業(yè)控制/SCADA系統(tǒng)(Supervisory Control And Data Acquisition,數(shù)據(jù)采集與監(jiān)視控制)與汽車(chē)行業(yè)有一點(diǎn)非常相似:歷史悠久,但之前一直沒(méi)有成為黑客的焦點(diǎn)。
在這種沒(méi)有很強(qiáng)安全需求的情況下,相關(guān)的戰(zhàn)略和規(guī)范就顯得比較薄弱,直接導(dǎo)致安全防御能力的低下。而且,傳統(tǒng)上,這兩個(gè)行業(yè)的產(chǎn)品開(kāi)發(fā)周期都在一年以上,使得針對(duì)已知安全威脅的措施在產(chǎn)品進(jìn)入市場(chǎng)時(shí)已經(jīng)過(guò)時(shí)了,而面對(duì)新出現(xiàn)的威脅又無(wú)法應(yīng)對(duì)。Stuxnet蠕蟲(chóng)病毒就是一個(gè)最佳的案例,工業(yè)控制系統(tǒng)在安全方面的脆弱性和滯后性彰顯無(wú)遺。
京公網(wǎng)安備 11010502049343號(hào)