汽車難躲黑客毒手 全美140萬輛車召回 越高配越危險
文章來源: 新華網 於 - 新聞取自各大新聞媒體,新聞內容並不代表本網立場!
打印本新聞(被閱讀 15761 次)
美國菲亞特克萊斯勒汽車公司召回140萬輛麵臨黑客攻擊風險的汽車,被網絡安全專家視為“大事”。隨著電腦和網絡技術的應用,汽車正變得更加智能,但也暴露在黑客的攻擊之下。
用科羅拉多州安全公司LogRhythm首席信息安全官詹姆斯·卡德爾的話說,不同於人們普遍認知的“黑客攻擊危及知識產權”,這次發現的汽車網絡安全漏洞事關“140萬個處於危險中的生命”。
這件“人命關天的大事”具體意味著什麽?你如果聽說過時下越來越熱的新名詞“物聯網”,再看看接下來要舉的這些例子,或許會有進一步認識。
首先要舉的例子當然是這次汽車召回的直接導火索——美國網絡安全專家查利·米勒和克裏斯·瓦拉塞克“黑入”一輛切諾基吉普車的實驗。兩人在家利用筆記本電腦,通過這輛吉普車的聯網娛樂係統侵入其電子係統,遠程控製車的行駛速度,操縱空調、雨刮器、電台等設備,甚至還把車“開進溝裏”。
米勒和瓦拉塞克認為,吉普車上的互聯網連接功能對黑客來說是非常理想的漏洞,隻要找到車的IP地址,侵入係統,就能“劫持”車輛,而菲亞特克萊斯勒生產的47.1萬輛車都存在這種漏洞。
實際上,黑客攻擊時不一定要“劫持”汽車或引發車禍,用其他手段也會對車主造成麻煩和損失,比如利用汽車導航係統跟蹤車主行蹤、遠程操控車內話筒錄下車主對話等。
網絡安全研究者說,目前已經出現盜竊者利用無線電信號解鎖並盜走汽車的案例。今後可能出現的手段包括:黑客在車中植入惡意軟件、導致引擎失靈,以此敲詐車主;或是利用所謂“車聯網”,即實現車輛與周邊環境聯網以改善交通狀況、防止車輛相撞的無線連接技術,使每一輛駛經的汽車都可能被侵入或置入病毒。
既然說到“車聯網”,不妨看看涉及範圍更廣的“物聯網”。汽車作為物聯網的重要組成部分,是較受黑客歡迎的攻擊目標,但可能成為攻擊目標的顯然不止汽車。
2008年,波蘭一名14歲少年用一個改裝過的電視遙控器控製了波蘭第三大城市羅茲的有軌電車係統,導致數列電車脫軌、人員受傷。
2010年,美國得克薩斯州奧斯汀市汽車經銷商“得克薩斯汽車中心”接到大量客戶投訴車輛故障,包括喇叭無故半夜鳴響、車輛無法發動等。調查發現,“得克薩斯汽車中心”一名前雇員遠程入侵這家經銷商的電腦係統,通過其與車輛間的聯網設備遙控車輛,而這名20歲男子的動機竟是發泄被炒魷魚的不滿。
2011年,3名美國網絡安全研究者宣布,他們成功入侵用於控製監獄大門的網絡係統,能夠任意遠程開關這些大門。他們還發現,其他不少機械控製係統也存在類似薄弱環節。
無人機也是黑客感興趣的目標。伊朗2011年俘獲美國RQ-170“哨兵”無人偵察機,據稱就是伊朗網絡專家遠程控製了這架飛機的操作係統。2013年,美國知名黑客薩米·卡姆卡爾在“優兔”網站發布一段視頻,展示他如何用一項名為SkyJack的技術,使一架基本款民用無人機能夠定位並控製飛在附近的其他無人機,組成一個由一部智能手機操控的“僵屍無人機戰隊”。
在引發物聯網意義上“物質損害”的重大網絡攻擊中,伊朗核設施遭遇的“震網”病毒襲擊算是典型案例。計算機專家認定,這次襲擊致使核電站離心機因轉速失控而受損,導致伊朗核計劃被顯著拖延。
此外,2007年,時任美國副總統迪克·切尼心髒病發作,被懷疑緣於他的心髒除顫器無線連接功能遭暗殺者利用。這被視為物聯網攻擊造成人身傷害的可能案例之一。
《華盛頓郵報》報道,2010年全球聯網設備數量為20億台,這一數字預計在2020年劇增到250億。網絡專家認為,隨著聯網設備越來越多,技術越來越普及,物聯網遭“黑”是“必然出現”的問題。甚至已經有專家把物聯網戲稱為“攻擊目標之網”。
究其原因,互聯網本身就具備“不安全性”:目前的互聯網基於誕生於數十年前的技術,那時“黑客”、“網絡安全”等概念甚至都沒有出現。要在這種“有缺陷”的技術基礎上實現大量設備高度互聯,有效的安全措施難以跟上。
以汽車為例:目前市麵上出售的汽車已經不隻是代步工具,而是“車輪上的電腦”,各係統內外相互連接。遙控鑰匙、衛星電台、遠程信息處理部件、藍牙連接、儀表盤聯網、無線胎壓監測等功能使汽車與外部聯通,也都可能成為黑客攻擊的突破口。在汽車內部,各係統相互聯通使外來攻擊有了跨越係統的路徑,而各係統間通信依靠的仍是創立於20世紀80年代的計算機協議,不具備“驗證”消息來源的能力。
原美國國防部高級研究項目局網絡安全研究負責人派特爾·紮特克說,汽車上述係統的整體安全“可能比目前(計算機)操作係統的安全狀況落後15或20年”。
原福特汽車公司技術專家約翰·埃利斯說,物聯網連通性和新功能的增速遠快於對攻擊有效防範措施的增速,而汽車製造業研發周期較長,導致填補汽車網絡安全漏洞或以新車型替換存漏洞車型耗時長、難度大。
米勒和瓦拉塞克2011年受紮特克委托,開始研究汽車網絡安全。他們研究車型除了吉普切諾基,還包括豐田“普銳斯”和福特“翼虎”等。據他們統計,汽車電腦係統的數量近年來持續增加,2006年版普銳斯內含23個電腦係統,而2014年版包含40個。
隨著各汽車製造商爭相研發無人駕駛汽車,這一勢頭預計將加速發展。
實際上,一些“老車型”也通過車載自動診斷係統(OBD)接口,被加上無線連接設備,加入“物聯網”。
然而,如果汽車防黑客措施如專家所說那樣欠缺,汽車豈不是“越高配越危險”?
美國塔夫茨大學計算機科學教授和網絡安全研究者凱瑟琳·費希爾認為,盡管汽車製造商麵臨計算機協議過時且存在缺陷的技術困境,但如果在安全措施研發方麵投入更多時間和資源,汽車網絡安全進一步完善在技術上而言“是可能的”。
但她指出,技術研發能否實現,還要看汽車製造商是否有足夠“商業動機”。“他們(製造商)都很擔心不安全,但難以獨自承擔(研發成本)。”
埃利斯認為,作為汽車製造商上遊供貨方的電腦軟件製造商應該研發安全軟件並做好維護和更新工作,但現有商業模式沒有給予他們這樣做的動力。“這不是車的問題,而是軟件和商業模式的問題。”
用科羅拉多州安全公司LogRhythm首席信息安全官詹姆斯·卡德爾的話說,不同於人們普遍認知的“黑客攻擊危及知識產權”,這次發現的汽車網絡安全漏洞事關“140萬個處於危險中的生命”。
這件“人命關天的大事”具體意味著什麽?你如果聽說過時下越來越熱的新名詞“物聯網”,再看看接下來要舉的這些例子,或許會有進一步認識。
首先要舉的例子當然是這次汽車召回的直接導火索——美國網絡安全專家查利·米勒和克裏斯·瓦拉塞克“黑入”一輛切諾基吉普車的實驗。兩人在家利用筆記本電腦,通過這輛吉普車的聯網娛樂係統侵入其電子係統,遠程控製車的行駛速度,操縱空調、雨刮器、電台等設備,甚至還把車“開進溝裏”。
米勒和瓦拉塞克認為,吉普車上的互聯網連接功能對黑客來說是非常理想的漏洞,隻要找到車的IP地址,侵入係統,就能“劫持”車輛,而菲亞特克萊斯勒生產的47.1萬輛車都存在這種漏洞。
實際上,黑客攻擊時不一定要“劫持”汽車或引發車禍,用其他手段也會對車主造成麻煩和損失,比如利用汽車導航係統跟蹤車主行蹤、遠程操控車內話筒錄下車主對話等。
網絡安全研究者說,目前已經出現盜竊者利用無線電信號解鎖並盜走汽車的案例。今後可能出現的手段包括:黑客在車中植入惡意軟件、導致引擎失靈,以此敲詐車主;或是利用所謂“車聯網”,即實現車輛與周邊環境聯網以改善交通狀況、防止車輛相撞的無線連接技術,使每一輛駛經的汽車都可能被侵入或置入病毒。
既然說到“車聯網”,不妨看看涉及範圍更廣的“物聯網”。汽車作為物聯網的重要組成部分,是較受黑客歡迎的攻擊目標,但可能成為攻擊目標的顯然不止汽車。
2008年,波蘭一名14歲少年用一個改裝過的電視遙控器控製了波蘭第三大城市羅茲的有軌電車係統,導致數列電車脫軌、人員受傷。
2010年,美國得克薩斯州奧斯汀市汽車經銷商“得克薩斯汽車中心”接到大量客戶投訴車輛故障,包括喇叭無故半夜鳴響、車輛無法發動等。調查發現,“得克薩斯汽車中心”一名前雇員遠程入侵這家經銷商的電腦係統,通過其與車輛間的聯網設備遙控車輛,而這名20歲男子的動機竟是發泄被炒魷魚的不滿。
2011年,3名美國網絡安全研究者宣布,他們成功入侵用於控製監獄大門的網絡係統,能夠任意遠程開關這些大門。他們還發現,其他不少機械控製係統也存在類似薄弱環節。
無人機也是黑客感興趣的目標。伊朗2011年俘獲美國RQ-170“哨兵”無人偵察機,據稱就是伊朗網絡專家遠程控製了這架飛機的操作係統。2013年,美國知名黑客薩米·卡姆卡爾在“優兔”網站發布一段視頻,展示他如何用一項名為SkyJack的技術,使一架基本款民用無人機能夠定位並控製飛在附近的其他無人機,組成一個由一部智能手機操控的“僵屍無人機戰隊”。
在引發物聯網意義上“物質損害”的重大網絡攻擊中,伊朗核設施遭遇的“震網”病毒襲擊算是典型案例。計算機專家認定,這次襲擊致使核電站離心機因轉速失控而受損,導致伊朗核計劃被顯著拖延。
此外,2007年,時任美國副總統迪克·切尼心髒病發作,被懷疑緣於他的心髒除顫器無線連接功能遭暗殺者利用。這被視為物聯網攻擊造成人身傷害的可能案例之一。
《華盛頓郵報》報道,2010年全球聯網設備數量為20億台,這一數字預計在2020年劇增到250億。網絡專家認為,隨著聯網設備越來越多,技術越來越普及,物聯網遭“黑”是“必然出現”的問題。甚至已經有專家把物聯網戲稱為“攻擊目標之網”。
究其原因,互聯網本身就具備“不安全性”:目前的互聯網基於誕生於數十年前的技術,那時“黑客”、“網絡安全”等概念甚至都沒有出現。要在這種“有缺陷”的技術基礎上實現大量設備高度互聯,有效的安全措施難以跟上。
以汽車為例:目前市麵上出售的汽車已經不隻是代步工具,而是“車輪上的電腦”,各係統內外相互連接。遙控鑰匙、衛星電台、遠程信息處理部件、藍牙連接、儀表盤聯網、無線胎壓監測等功能使汽車與外部聯通,也都可能成為黑客攻擊的突破口。在汽車內部,各係統相互聯通使外來攻擊有了跨越係統的路徑,而各係統間通信依靠的仍是創立於20世紀80年代的計算機協議,不具備“驗證”消息來源的能力。
原美國國防部高級研究項目局網絡安全研究負責人派特爾·紮特克說,汽車上述係統的整體安全“可能比目前(計算機)操作係統的安全狀況落後15或20年”。
原福特汽車公司技術專家約翰·埃利斯說,物聯網連通性和新功能的增速遠快於對攻擊有效防範措施的增速,而汽車製造業研發周期較長,導致填補汽車網絡安全漏洞或以新車型替換存漏洞車型耗時長、難度大。
米勒和瓦拉塞克2011年受紮特克委托,開始研究汽車網絡安全。他們研究車型除了吉普切諾基,還包括豐田“普銳斯”和福特“翼虎”等。據他們統計,汽車電腦係統的數量近年來持續增加,2006年版普銳斯內含23個電腦係統,而2014年版包含40個。
隨著各汽車製造商爭相研發無人駕駛汽車,這一勢頭預計將加速發展。
實際上,一些“老車型”也通過車載自動診斷係統(OBD)接口,被加上無線連接設備,加入“物聯網”。
然而,如果汽車防黑客措施如專家所說那樣欠缺,汽車豈不是“越高配越危險”?
美國塔夫茨大學計算機科學教授和網絡安全研究者凱瑟琳·費希爾認為,盡管汽車製造商麵臨計算機協議過時且存在缺陷的技術困境,但如果在安全措施研發方麵投入更多時間和資源,汽車網絡安全進一步完善在技術上而言“是可能的”。
但她指出,技術研發能否實現,還要看汽車製造商是否有足夠“商業動機”。“他們(製造商)都很擔心不安全,但難以獨自承擔(研發成本)。”
埃利斯認為,作為汽車製造商上遊供貨方的電腦軟件製造商應該研發安全軟件並做好維護和更新工作,但現有商業模式沒有給予他們這樣做的動力。“這不是車的問題,而是軟件和商業模式的問題。”
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
