今天上午，2015SyScan360國際前瞻信息安全會議在北京舉行。來自全球的優秀互聯網安全專家和頂級黑客同臺競技，展示亞洲最為頂尖的安全技術。

Uber頂級工程師與中國黑客“煮酒論英雄”

下午，本次Syscan360最為耀眼的兩名天才黑客、Uber頂級安全工程師查理·米勒（CharlieMiller）和克里斯·瓦拉塞克（ChrisValasek），前來演講。演講之前，網絡安全圈的不少專家、黑客慕名而來，整個會場座無虛席，兩位黑客一上臺就引起數百黑客的歡呼，兩位頂級黑客盡現魅力。兩位黑客也卓爾不群，帶著啤酒上場，與在場黑客“煮酒論英雄”。

米勒和瓦拉塞克帶來了《遠程利用未改裝的載客汽車》演講，這個題目前不久在美國黑客大會曾亮相，這是首次登陸中國。

查理米勒曾經是一名國家安全局雇員，也算得上斯諾登的前同事，米勒曾在世界著名的黑客Pwn2Own大賽上兩次攻破MacBook筆記本電腦，鞏固了他作為世界領先的蘋果Mac黑客的聲譽，后來他又還曾任推特的安全工程師。

查理米勒的搭檔瓦拉塞克曾是IOActive的汽車安全研究總監，監管著IOActive的汽車安全實踐并持續推進對汽車安全的研究范疇。瓦拉塞克曾率先公開討論汽車安全問題的細節，還發表了代碼、數據和工具用于通過CAN總線來控制汽車。他還是美國歷史最長的黑客會議SummerCon的主席。

目前，米勒和瓦拉塞克加盟了全球著名的叫車軟件Uber。Uber發言人稱，米勒和瓦拉塞克將與公司頂級安全人員合作，“繼續在Uber打造世界級的安全項目”。

黑客破解切諾基翻溝里

“有廠商說，汽車是無法破解的，實際上科技世界任何東西都可以被破解。”剛剛一上臺，兩位黑客語出驚人。兩位黑客介紹，汽車連入互聯網，自帶的藍牙設備、汽車上自帶WIFI，甚至蜂窩說句都可以用來攻擊汽車固件。別人眼中固若金湯的車聯網安全措施竟然在黑客眼中漏洞百出。

事實上，很多計算機安裝在汽車里，從發動機到各個部件均有，黑客找到各部分信息，并阻斷這些信息，然后控制汽車。兩位黑客用“講相聲”調侃汽車固件V850沒有任何授權設置，很容易利用汽車的不同硬件將CAN總線的信息發送至關鍵電子控制單元，他們還分享一些會影響汽車物理系統的信息。

在汽車連接WIFI時，兩位黑客發現了WPA2的密碼的漏洞，雖然每天只有幾秒能找到這個密碼，但是仍然無法逃脫黑客的眼睛。甚至黑客還發現一個更大的錯誤，汽車某個部件第一次設置密碼時，通過GPS設置，會有一個默認的時間密碼，黑客很容易算出這個密碼是3013年某日。

兩位黑客不但可以通過WIFI攻擊系統，通過蜂窩數據也可以，他們很輕易看到吉普的IP地址，可以讓汽車與假移動基站來通信，“這樣在800英里的外也行能攻擊汽車，距離不是問題。”米勒對這個廠商這個漏洞嗤之以鼻。

在視頻演示中，可怕的黑客終于亮出“攻擊成果”，切諾基汽車的音量不斷增加，駕駛員無法關閉，汽車的方向盤自動扭動；前方成堆汽油桶障礙物，剎車系統不停指揮，猛烈撞擊；最后，汽車栽倒了溝里。這一切都是汽車黑客在10英里以外通過鍵盤來操作完成。

搭載這個系統的克萊斯勒很多車型都有這個漏洞，米勒和瓦拉塞克估計有數十萬輛，沒想到遠遠不止這個數字，隨后克萊斯勒公司在美國召回了140萬輛搭載這個系統的漏洞，這也是汽車廠商首次因汽車軟件安全隱患問題召回車輛。

中國車聯網安全聯盟正在籌備

值得慶幸的是，兩位黑客都是“白帽子”，并不做壞事，他們將漏洞通報了廠商，并在9個月后才公開他們的發表漏洞信息，廠商有足夠時間封死這些漏洞，

值得一提的是，這些受影響的車輛也沒有在國內銷售。

“現在有一個黑客可以影響真實世界的例子！”兩位黑客笑稱自己不是壞人，只是“怪人，善良的怪人”，他們不會主動去攻擊別人的汽車，反而會就汽車安全性繼續進行研究。不過查理還是希望搭載智能設備的汽車廠商對安全引起足夠的重視。

“汽車黑客似乎已經成為最新的時髦詞語，人們開始擔憂自己的汽車被黑客攻擊。”360創始人、總裁齊向東特別提到兩位黑客的演講。齊向東在致辭中表示，正因為對汽車安全的重視，360正聯合多家機構和車企，籌備成立中國車聯網安全聯盟，集合全社會的網絡安全能力，共同面對和解決汽車的信息系統安全。