為了防止黑客攻破汽車,通用采取了一系列措施。
在上周舉行的 CES 大會上,通用汽車發布了一則不同尋常的公告。這家汽車巨頭公開宣布了其安全漏洞及披露計劃:將漏洞提交給通用汽車公司的黑客將不會受到法律指控。漏洞披露計劃在硅谷十分常見,但在汽車世界非常罕見,只有特斯拉推出過類似計劃。
通用汽車剛剛與 Lyft 就無人駕駛汽車簽訂了一項開創性的協議。該項計劃的幕后推動者,公司首席產品網絡安全官杰夫·馬希米拉(Jeff Massimilla)肩負的任務很復雜:讓通用汽車為未來做好準備,并確保越來越依賴于計算機的汽車不受網絡安全漏洞的困擾。媒體在 CES 大會后采訪了馬希米拉,他闡述了通用汽車目前面對的機遇與挑戰。
通用汽車為什么對網絡安全感興趣?
馬希米拉的職責是確保雪佛蘭、別克、凱迪拉克等通用車系不會成為黑客容易下手的目標,他手下的團隊由大約80名員工組成。
“在車輛和服務系統中嵌入防御層,我們顯然是在保護產品生態,而且是在一個沒有絕對安全的世界里做這件事情。我們所說的網絡安全防御不止包括檢測和監控,還包括響應。”
通用汽車近期遇到了不少網絡安全麻煩。2015年,研究人員山米·坎木卡(Samy Kamkar)發現了一個漏洞,黑客可以利用該漏洞,通過通用汽車的 OnStar RemoteLink 應用和 OnStar 服務打開車門,啟動發動機。盡管該漏洞沒有吸引罪犯,畢竟在2015年,還有比擺弄智能手機更簡單的偷車方式,但該事件確實讓通用汽車開始對網絡安全的重要性提起注意。
當馬希米拉被問及通用汽車對 OnStar 入侵的應對措施時,他停頓了幾秒,給媒體的回應如下:
通過這起事件,我們了解到與安全研究人員的合作計劃非常重要。我們正在構建一個溝通計劃,讓整個系統擁有深度的防御、檢測和響應能力。通過與安全研究人員互動,我們意識到可以通過響應解決發現的漏洞,并在威脅出現之前檢測它們。
換句話說,通用汽車似乎意識到了在內部檢測安全漏洞的重要性,或者至少借助外部研究人員的力量了解它們,越快越好。這家汽車巨頭顯然在和大眾汽車思考一樣的問題:大眾汽車的產品似乎故意制造不準確的排量數據,這導致了一場公關噩夢。軟件問題對消費者的信任造成了重大打擊,也對公司產生了巨大財務沖擊。
互聯的智能車輛風險很高。這可能是很多人不愿意聽到的事實。
如何修復有漏洞的軟件?
未來,汽車會出現安全漏洞。從統計意義上講,這幾乎是必然發生的事情。那么如何修復它們?現在,汽車廠商正對消費者宣傳自家產品搭載的4G天線,通用汽車會使用天線自動推送更新?你是不是需要把車停到車庫里,再用一條網線尷尬地連接到服務器?還是未來汽車進行更新的方式與這些完全不同?
馬希米拉的回應很有趣。如果可能,通用汽車將使用后臺更新應用程序,在遠程禁用老版本應用之后向用戶推送新版本,這和智能手機應用的更新流程很相似。通用汽車已經與 AT &T 達成了一項協議,如果漏洞需要通信運營商協助修復,過程也會很流暢。然而,馬希米拉補充說:“問題取決于漏洞存在于車輛的哪里。我們可以將更新版本推送到車輛,也可以請求客戶拜訪經銷商獲取解決。”
特斯拉也在努力應對這一問題。
底特律為什么會吃黑客這一套?
為了確保汽車沒有安全漏洞,黑客不能對駕駛員造成傷害,或者造成尷尬的媒體丑聞,通用汽車等大型汽車廠商被迫與獨立尋找漏洞的“白帽子”黑客協同合作。這群黑客中的兩位:查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)去年黑進了一輛吉普切諾基長達九十分鐘,并在汽車行駛狀態下遠程獲取控制權,吸引了大量媒體的關注。兩位黑客現在已經被 Uber 聘用。
通用汽車的安全漏洞計劃努力與安全研究人員和白帽子之間保持開放的關系。這里存在挑戰。無法無天的黑客文化并不總是與汽車行業的保守方式合得來。在與媒體的溝通過程中,馬希米拉多次贊揚了通用汽車和漏洞披露平臺 HackerOne 的合作,因為,它有效地扮演了通用汽車和黑客社群之間的中間人。(注:HackerOne 的投資人包括 Salesforce 創始人兼 CEO 馬克·本尼霍夫(Marc Benioff)、俄羅斯科技大亨尤里·米爾納(Yuri Milner)、Dropbox 公司 CEO 德魯·休斯頓(Drew Houston))
通用汽車讓 HackerOne 成為了外部人士上報安全漏洞的首選平臺,這能夠緩解高管對不可預知的黑客亞文化的精神緊張。
網絡安全問題也迫使激烈競爭的汽車制造商彼此合作。馬希米拉是汽車信息分享分析中心(Auto ISAC)的副主席,該機構由兩大貿易團體共同組建:全球汽車制造商協會(ASSOciation of Global Automakers)、汽車制造商聯盟(Association of Global Automakers),它是網絡安全信息交換平臺,旨在幫助汽車廠商識別并應對安全問題,其董事會幾乎涵蓋所有主要汽車制造商的高管。
與此同時,汽車制造商正在準備迎接一個軟件比零件對汽車更加重要的時代。
京公網安備 11010502049343號