精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

驚恐:大卡車油門被黑客劫持,彈指間加速/剎車

責任編輯:editor006 作者:王小瑞 |來源:企業網D1Net  2016-08-11 18:09:53 本文摘自:百度百家

近些年,網絡安全研究人員展示了他們黑進雪佛蘭Impala和吉普切諾基的能力,禁用剎車或者劫持方向盤都不是什么難事,這結果讓消費汽車行業猛然一驚。但工業汽車制造商還沒意識到,他們也在售賣車輪上的脆弱計算機網絡——對15噸高速移動的金屬和玻璃有著直接控制權的計算機網絡。

在8月8號開幕的USENIX攻擊技術討論會上,密歇根大學的一組研究人員計劃展示令人恐慌的工業車輛劫持測試。通過向這些大卡車的內部網絡發送數字信號,研究人員可以對這鋼鐵怪物做各種各樣的事情,從修改卡車儀表盤的讀數、操控油門加速,到讓半掛卡車的某組剎車失效。而且研究人員發現,這種攻擊實際上比針對消費級汽車的攻擊還要簡單——因為大多數工業車輛內部網絡都遵從通用的通信標準,從水泥攪拌車到牽引拖車到校車,都是這樣。

這些大卡車通常轉載危險化學品,而且載重很重。它們撐起了工業社會的經濟。如果可以引起這些大卡車的非正常加速,不難想象會造成多少悲劇。

下面這個視頻展示的是研究人員敲一下筆記本電腦鍵盤,就引發了非預期的加速。

視頻連接: http://v.qq.com/x/page/u0320skinre.html

研究人員的攻擊集中在2006款半掛車上,2001校車也做了些黑客實驗。(由于實驗用的校車和卡車在脆弱性上跟采用相同通信標準的類似車輛是一樣的,研究人員認為揭露出實驗車輛的生產廠家會對這些公司造成不必要的騷擾。)

通過車載診斷端口將筆記本電腦連接上這些車輛,研究人員發現,這些重型卡車普遍使用的J1939開放標準所用的大部分指令都可以被看到。這就讓他們可以免去其他消費級車輛黑客必須費時費力逆向才可以重放指令的過程,直接就能在工業車輛網絡上復制這些信號。如果你想劫持某人的轎車,你得知道品牌和車型,還要精心設計專用的攻擊方式。但對卡車,通信標準都是開放的,搞定一臺,通殺全部。

基于此,這個源于密歇根大學課堂作業的卡車黑客項目,僅僅耗時2個月就成功了。這也是最令人擔憂的部分:此類攻擊到底是有多簡單就能設計并實施?

J1939標準讓大卡車可以發送指令精確修改儀表盤上任意部分的讀數。比如說,可以在卡車沒油的時候還顯示油箱滿格,或者在卡車空氣制動器里壓縮空氣不足時卻不發出警報,讓卡車毫無預警地啟用緊急制動。在每小時30英里或更低的速度上,他們可以完全禁用卡車的發動機制動(卡車兩種制動形式之一),強制駕駛員只能依賴另一種形式的制動,造成剎車過熱,乃至失效。

最恐怖的是,研究人員通過發送信號模仿卡車動力系統指令,可以限制卡車的油門,或者將傳動裝置開到最大轉速,違背駕駛員意志地給車輛加速。他們沒有嘗試摧毀卡車的引擎,但推測這也是可以實現的。他們還發現,校車手剎開啟而空轉的時候,他們的引擎增速黑客手法也能在校車上運作。

這些演示有兩點需要說明:首先,研究人員的測試中,筆記本電腦直接連上了目標卡車儀表盤上的車載診斷端口(OBD),而不是像現實中的惡意黑客那樣需要搜索無線入口點侵入車輛網絡。但與其他汽車網絡安全研究員一樣,他們認為,有動機的攻擊者會找到能提供互聯網接入的漏洞,來觸碰到車輛那脆弱的數字內核,而研究人員們早已反復證明過利用蜂窩連接接入車輛信息娛樂系統的攻擊了。事實上,通常會帶有遠程信息處理以方便車隊管理的工業車輛,可能會比消費級車輛更容易被遠程侵入。今年早些時候,一位安全研究員發現,成千上萬的卡車可以經由一個不安全的遠程油耗及位置追蹤軟件狗,通過互聯網進行攻擊。可以很放心地假設:遠程攻擊即將到來。

懷疑論者或許會說,他們測試的車型都是十幾年前的了。研究人員承認,他們不確定同樣的攻擊方式對更新型的車輛會不會有效。但即使無效,也有大量的半掛車是無防護狀態:汽車、國防和安全分析公司 IHS markit 的數據顯示,在美國,路上跑著的同噸位卡車,車齡大多超過了12年。

美國汽車貨運運輸協會(NMFTA)首席技術官表示:該組織非常嚴肅地對待密歇根大學的研究,甚至贊助了同一研究團隊未來的研究項目。NMFTA承認,該研究團隊呈現的,重型卡車被遠程攻擊的噩夢般的場景,是有可能發生的。這些系統很多都是獨立的,但隨著汽車制造商越來越多地用遠程信息處理系統將車輛連接起來,有些問題是得解決了。

除了單個的卡車和巴士制造商,控制J1939標準的汽車工程師社區(SAE),至少也對使用該標準的卡車和巴士負有部分責任。不過,SAE并未對此事做出任何回應。

研究人員寫道,他們的攻擊向整個重型機車制造商行業展示了:不僅需要關注防撞和防駕駛員誤操作,還需要預防對車輛系統的活躍數字攻擊的可能性。他們建議卡車制造商最好隔離卡車網絡組件,或者給網絡添加上身份驗證措施,以便被感染的組件不會冒充其他組件發送消息。其他防御性措施還包括像克雷斯勒和特斯拉一樣設立漏洞獎勵,或者加載多名汽車安全研究員已做出原型的入侵檢測系統之類的。

現在已經到了卡車行業必須更嚴肅對待軟件安全的時候了。我們有理由假設,隨著時間流逝,黑客可能會設計出更加復雜的攻擊,那種可以遠程實現的攻擊。希望在于,重型機車行業開始在他們的安全特性設計里考慮被攻擊的可能性

關鍵字:剎車研究人員黑客

本文摘自:百度百家

x 驚恐:大卡車油門被黑客劫持,彈指間加速/剎車 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

驚恐:大卡車油門被黑客劫持,彈指間加速/剎車

責任編輯:editor006 作者:王小瑞 |來源:企業網D1Net  2016-08-11 18:09:53 本文摘自:百度百家

近些年,網絡安全研究人員展示了他們黑進雪佛蘭Impala和吉普切諾基的能力,禁用剎車或者劫持方向盤都不是什么難事,這結果讓消費汽車行業猛然一驚。但工業汽車制造商還沒意識到,他們也在售賣車輪上的脆弱計算機網絡——對15噸高速移動的金屬和玻璃有著直接控制權的計算機網絡。

在8月8號開幕的USENIX攻擊技術討論會上,密歇根大學的一組研究人員計劃展示令人恐慌的工業車輛劫持測試。通過向這些大卡車的內部網絡發送數字信號,研究人員可以對這鋼鐵怪物做各種各樣的事情,從修改卡車儀表盤的讀數、操控油門加速,到讓半掛卡車的某組剎車失效。而且研究人員發現,這種攻擊實際上比針對消費級汽車的攻擊還要簡單——因為大多數工業車輛內部網絡都遵從通用的通信標準,從水泥攪拌車到牽引拖車到校車,都是這樣。

這些大卡車通常轉載危險化學品,而且載重很重。它們撐起了工業社會的經濟。如果可以引起這些大卡車的非正常加速,不難想象會造成多少悲劇。

下面這個視頻展示的是研究人員敲一下筆記本電腦鍵盤,就引發了非預期的加速。

視頻連接: http://v.qq.com/x/page/u0320skinre.html

研究人員的攻擊集中在2006款半掛車上,2001校車也做了些黑客實驗。(由于實驗用的校車和卡車在脆弱性上跟采用相同通信標準的類似車輛是一樣的,研究人員認為揭露出實驗車輛的生產廠家會對這些公司造成不必要的騷擾。)

通過車載診斷端口將筆記本電腦連接上這些車輛,研究人員發現,這些重型卡車普遍使用的J1939開放標準所用的大部分指令都可以被看到。這就讓他們可以免去其他消費級車輛黑客必須費時費力逆向才可以重放指令的過程,直接就能在工業車輛網絡上復制這些信號。如果你想劫持某人的轎車,你得知道品牌和車型,還要精心設計專用的攻擊方式。但對卡車,通信標準都是開放的,搞定一臺,通殺全部。

基于此,這個源于密歇根大學課堂作業的卡車黑客項目,僅僅耗時2個月就成功了。這也是最令人擔憂的部分:此類攻擊到底是有多簡單就能設計并實施?

J1939標準讓大卡車可以發送指令精確修改儀表盤上任意部分的讀數。比如說,可以在卡車沒油的時候還顯示油箱滿格,或者在卡車空氣制動器里壓縮空氣不足時卻不發出警報,讓卡車毫無預警地啟用緊急制動。在每小時30英里或更低的速度上,他們可以完全禁用卡車的發動機制動(卡車兩種制動形式之一),強制駕駛員只能依賴另一種形式的制動,造成剎車過熱,乃至失效。

最恐怖的是,研究人員通過發送信號模仿卡車動力系統指令,可以限制卡車的油門,或者將傳動裝置開到最大轉速,違背駕駛員意志地給車輛加速。他們沒有嘗試摧毀卡車的引擎,但推測這也是可以實現的。他們還發現,校車手剎開啟而空轉的時候,他們的引擎增速黑客手法也能在校車上運作。

這些演示有兩點需要說明:首先,研究人員的測試中,筆記本電腦直接連上了目標卡車儀表盤上的車載診斷端口(OBD),而不是像現實中的惡意黑客那樣需要搜索無線入口點侵入車輛網絡。但與其他汽車網絡安全研究員一樣,他們認為,有動機的攻擊者會找到能提供互聯網接入的漏洞,來觸碰到車輛那脆弱的數字內核,而研究人員們早已反復證明過利用蜂窩連接接入車輛信息娛樂系統的攻擊了。事實上,通常會帶有遠程信息處理以方便車隊管理的工業車輛,可能會比消費級車輛更容易被遠程侵入。今年早些時候,一位安全研究員發現,成千上萬的卡車可以經由一個不安全的遠程油耗及位置追蹤軟件狗,通過互聯網進行攻擊。可以很放心地假設:遠程攻擊即將到來。

懷疑論者或許會說,他們測試的車型都是十幾年前的了。研究人員承認,他們不確定同樣的攻擊方式對更新型的車輛會不會有效。但即使無效,也有大量的半掛車是無防護狀態:汽車、國防和安全分析公司 IHS markit 的數據顯示,在美國,路上跑著的同噸位卡車,車齡大多超過了12年。

美國汽車貨運運輸協會(NMFTA)首席技術官表示:該組織非常嚴肅地對待密歇根大學的研究,甚至贊助了同一研究團隊未來的研究項目。NMFTA承認,該研究團隊呈現的,重型卡車被遠程攻擊的噩夢般的場景,是有可能發生的。這些系統很多都是獨立的,但隨著汽車制造商越來越多地用遠程信息處理系統將車輛連接起來,有些問題是得解決了。

除了單個的卡車和巴士制造商,控制J1939標準的汽車工程師社區(SAE),至少也對使用該標準的卡車和巴士負有部分責任。不過,SAE并未對此事做出任何回應。

研究人員寫道,他們的攻擊向整個重型機車制造商行業展示了:不僅需要關注防撞和防駕駛員誤操作,還需要預防對車輛系統的活躍數字攻擊的可能性。他們建議卡車制造商最好隔離卡車網絡組件,或者給網絡添加上身份驗證措施,以便被感染的組件不會冒充其他組件發送消息。其他防御性措施還包括像克雷斯勒和特斯拉一樣設立漏洞獎勵,或者加載多名汽車安全研究員已做出原型的入侵檢測系統之類的。

現在已經到了卡車行業必須更嚴肅對待軟件安全的時候了。我們有理由假設,隨著時間流逝,黑客可能會設計出更加復雜的攻擊,那種可以遠程實現的攻擊。希望在于,重型機車行業開始在他們的安全特性設計里考慮被攻擊的可能性

關鍵字:剎車研究人員黑客

本文摘自:百度百家

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
扎赉特旗|
临颍县|
西平县|
达州市|
和田县|
新宾|
盈江县|
奉新县|
通海县|
西安市|
昭觉县|
上思县|
新蔡县|
宣武区|
砚山县|
泗阳县|
旬阳县|
永新县|
吐鲁番市|
永年县|
芒康县|
曲阜市|
延津县|
灵台县|
嵊州市|
桐柏县|
余庆县|
广灵县|
黎川县|
河源市|
冕宁县|
平凉市|
兰州市|
美姑县|
邓州市|
承德市|
仙居县|
梁平县|
五台县|
缙云县|
竹溪县|