为什么汽车企业开始雇佣计算机安全专家了浏览量 108

原文作者:NICOLE PERLROTH

原文链接:https://www.nytimes.com/2017/06/07/technology/why-car-companies-are-hiring-computer-security-experts.html

译者:ekse

Alt text

大概七年前,伊朗最厉害的核能专家被一连串相似的恐怖袭击暗杀:袭击者在骑着摩托车追上汽车,并在汽车上放上带有磁铁的炸弹,当摩托车袭击者逃离现场时,他们就引爆炸弹。

七年过后,安全专家提醒,恐怖袭击不再需要摩托车和磁铁炸弹了。他们需要的是一台笔记本电脑,就能让无人驾驶汽车冲下大桥或者和另外一辆无人货车相撞,或者在高速行驶的车流中突然毫无征兆的急刹车。

汽车生产厂家称他们为自动驾驶汽车。但对于 hacker 来说他们就是开着 100 公里每小时的计算机。

“他们不再是单一功能的汽车了,他们是轮子上的数据中心。汽车上任意一个可以和外界通讯的模块都可能成为攻击者潜在的入口。”来自 CloudFLare 的首席安全研究员 Marc Roger 说到。

这些担忧是因为两年前,两位白帽黑客从几英里远的电脑上成功入侵了一辆行驶中的吉普切诺基。他们让碰撞测试的假人坐在高速公路上的车里然后切断了电源,同时还让汽车的传输系统失灵。

白客 Chris Valasek 和 Charlie Miller 发现了一条吉普车上娱乐系统到屏幕的电路,通过这里他们控制了汽车的方向盘,刹车和传动系统,他们拥有了让测试车辆在高速公路上撞毁的所有条件。

Miller 上周在推特上发布说:“黑掉一辆汽车能够让你上头条,但是记住:到目前还没有人的汽车被坏人黑掉过,这些都是研究人员的研究工作。”

当然,他们的研究成果让吉普的制造厂商,菲亚特克莱斯勒,召回了 1.4 万台汽车。

这就是为什么通用汽车的首席执行官 Mary Barra 把网络安全作为公司去年最高等级的任务的原因。现在研究人员的能力和白帽子随着无人驾驶汽车的推进在汽车厂商和科技公司炙手可热。

Uber,Tesla,Apple 和滴滴中国已经开始积极的招募像 Miller 和 Valasek 的人才,同时也从传统的网络安全公司和学术机构招募研究者。

去年,Tesla 挖到了 Apple iOS 操作系统的负责人。Uber 请到了 Facebook 的白帽黑客 Chris Gates。Didi 从 Uber 找来了,在他对吉普的 hack 之后就去了 Uber。同时安全公司已经看到很多的工程师都离开了他们的自动驾驶汽车项目。

Miller 说,之所以他会选择离开 Uber 去滴滴,部分原因就是因为新的中国雇主给了他讨论工作更多的自由。

“汽车厂商好像更重视网络攻击的威胁,但是我还想对他们有更进一步的了解。”Miller 星期六在推特上写到。

和很多大型客机科技公司,Tesla 和菲亚特·克莱斯勒开始对那些在他们系统上发现漏洞的黑客给予奖励。通用汽车也做了类似的事情,虽然批评者说通用汽车的计划和那些科技公司比较起来是有限的,到目前为止还没有奖励发出来。

在 Miller 和 Valasek 黑掉吉普一年后,他们实现了可以打扰吉普驾驶人的手段,包括劫持汽车的巡航系统,突然改变方向盘 180 度,或者在高速行驶的时候突然踩下刹车,这些都是从这个汽车后边的一台电脑实现的。(他们的这些实验最终导致这俩吉普开到了沟里,叫了一辆当地的拖车公司才搞定。)

就算他们不得不在吉普车里来实现所有的实验。但是这也能证明可行的重要证据。

在吉普被渗透之前,已经被来自华盛顿大学,圣地亚哥加利福尼亚大学的研究人员实验了 2011 次。他们是第一个远程破解轿车并最终通过蓝牙控制刹车的人。研究人员警告汽车厂商,汽车越来越互联,他们就有更大的可能性被黑客操控。

安全研究人员也在 Tesla 的 Model S 型号的车上进行了相同的试验。2015 年,Rogers 和网络安全公司 Lookout 的首席科学家 Kevin Mahaffey 一起发现了通过一台电脑物理连接到汽车来控制很多 Tesla 的功能。

一年过后,一组腾讯的研究人员把研究更深入了一步,他们在 12 英里外黑掉了一台运行着的 Tesla Model S 控制了汽车的刹车。和克莱斯勒不同的是,Tesla 可以远程发布这个安全漏洞的补丁。

这些所有的案例里,对汽车进行的黑客行为是积极的,他们都是白帽安全专家。但是这给汽车厂商上了一堂深刻的课。

黑掉汽车的动机是无限的。当 Rogers 和 Mahaffey 对 Tesla Model S 进行研究时,一家中国的 app 厂商问 Rogers 是否有兴趣分享或者卖掉他们的发现。(这家 app 公司是想寻找 Tesla 的后门,想在屏幕上安装他们的应用。)

犯罪行为虽然到现在还没有发现利用过这些漏洞,但是他们也在积极的开发,交易和发布他们的工具用于拦截汽车通讯密钥。

但是随着无人驾驶和半自动无人驾驶汽车越来越多的上路,他们就会变成一个更有价值的目标。安全专家提醒到无人驾驶给黑客们呈现了一个超过想象的有意思的易受攻击的接口。每一个新的互联特性的汽车都引入了巨大的复杂性,随着复杂性的增大,脆弱性也随之而来。

20 年前,平均每个汽车只有 100 万行代码。通用汽车 2010 款雪弗兰 Volt 就有 1000 万行代码,比 F-35 的还多。

现在,平均每个车都有超过 1 亿行代码。汽车厂商表示离 2 亿行代码也不远了。当你停下来考虑这个问题,软件代码平均每 1000 行代码有 15-50 个问题,潜在的导致爆发的弱点就很快多起来了。

计算机代码和无人驾驶汽车代码的唯一区别就是:数据中心企业的安全的最大损失就是数据丢失,然而在汽车安全方面来说就有可能发生生命危险。一家 Israeli 叫做 Karamba 的致力于汽车安全的初创公司的联合创始人 David Barzilai 说到。

为了真正意义上的保护自动驾驶汽车,安全专家说,汽车厂商必须解决新传感器和车载电脑之间的不可避免的脆弱性问题,解决汽车本身固有的弱点,或许最具挑战性的是建立汽车厂商和软件企业之间的文化差异问题。

Mahaffey 说:“问题已经不在瓶子里了,要解决问题就需要一个较大的文化转变,同时汽车厂商如果真的重视网络安全会把这些安全问题看的和气囊召回问题一样严重。我们到现在还没有看的企业范围内作出这些转变。”

有输就有赢,Mahaffey 补充到:“那些转变成软件公司的传统汽车厂商会最终成功。其他的则会被落在后面。”

相关阅读 从代码手里拯救世界

微信扫一扫
关注该公众号