驾车危险:行驶中的Jeep难逃黑客入侵

啊!他们竟然又’干了一票’:在分别成功地黑客入侵丰田普锐斯和福特翼虎后,安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。 这一次的结果更加令人震惊不已,因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时,则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时,我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座,亲眼目睹了整个过程,他说道:研究人员完全掌控了汽车的刹车和油门,以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些,Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。 幸运的是,目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到! 正如Chris Valasek说到的:”当我看到我们可以通过互联网完全控制汽车的时候,我简直吓坏了,发自内心地感到恐惧。这绝对不是开玩笑,这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻,对汽车黑客入侵最终还是成为了现实。” 不幸的是,目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外,这已经不是汽车第一次遭受黑客入侵,尽管安全问题重重,但似乎没有人迫切想要解决这些存在已久的问题。 其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌,Miller 和Valasek还未有过尝试。更加可怕的是,Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础,即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言,我们始终认为要想避免此类事件发生,汽车制造商在为汽车制造智能结构体系时,应时刻牢记两个基本原则:隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如,在遭受本文开头的黑客攻击时,即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言,不是认证算法过于薄弱/存在漏洞,就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前,我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少,这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行,届时安全专家们将就他们的研究发现做陈述报告,我们也对此翘首以盼。  

啊!他们竟然又’干了一票’:在分别成功地黑客入侵丰田普锐斯和福特翼虎后,安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。

这一次的结果更加令人震惊不已,因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时,则正驾车以70 mph的速度行驶在圣路易斯市的郊区。

“当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时,我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。”

来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座,亲眼目睹了整个过程,他说道:研究人员完全掌控了汽车的刹车和油门,以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些,Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。

幸运的是,目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到!

正如Chris Valasek说到的:”当我看到我们可以通过互联网完全控制汽车的时候,我简直吓坏了,发自内心地感到恐惧。这绝对不是开玩笑,这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻,对汽车黑客入侵最终还是成为了现实。”

不幸的是,目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外,这已经不是汽车第一次遭受黑客入侵,尽管安全问题重重,但似乎没有人迫切想要解决这些存在已久的问题。

其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌,Miller 和Valasek还未有过尝试。更加可怕的是,Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础,即可发动恐怖袭击或由一国政府发动网络攻击。

“对于卡巴斯基实验室而言,我们始终认为要想避免此类事件发生,汽车制造商在为汽车制造智能结构体系时,应时刻牢记两个基本原则:隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。

“隔离意味着两个分离的系统不会相互影响。例如,在遭受本文开头的黑客攻击时,即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言,不是认证算法过于薄弱/存在漏洞,就是并未正确实施密码验证。”

所有安全问题在行业层面未被解决之前,我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少,这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行,届时安全专家们将就他们的研究发现做陈述报告,我们也对此翘首以盼。

 

无人机与安全:未来之路将走向何方?

最近,我碰巧有机会参加了Changellenge Cup Russia 2015学生项目竞赛,并在其中一个环节担任评委。但今天我并不打算谈论竞赛本身,而是想就工程设计环节讨论的一些问题作一番探讨。 参赛者必须详细介绍无人驾驶飞行器(UAV)在商业、国防以及国民经济方面的使用案例。我觉得我们完全有必要了解其中的内容成果。 UAV可运用于各种领域。主要包括三大类别: 公共管理:军事用途、国家边境监视以及灾难重建援助。 商业用途:办公大楼、能源设施、建筑工地、农业目标、农场的监视与维护,以及地质勘探和航拍。 消费用途:货物交付、广告营销、导游和游戏。 就目前而言,UAV市场仅仅满足于军事和国防的需求,但这并不会持续太久。在未来的10-20年里,UAV将以某种方式成为我们生活不可或缺的一部分,但同时也极易产生漏洞和安全问题。 自然而言,这也将加速各产业的发展和相关法规的订立。尽管无人机发展前景一片看好,但随之而来的技术风险或漏洞也将不可避免地出现。 简而言之,UAV由两个主要部分组成–无人机本身以及地面控制站-可以是固定场所也可以是移动设施。 而一架无人机内部则安装有实时操作系统、控制软件;用于简化数据交换的前端组件、内置固件的传感器以及航空电子设备。根据需要,还可加入武器控制系统(如适用)或自动导航装置。 地面控制站则由控制软件、前端组件和人工操作员组成。因此我个人观点是上述列举的所有部件都存在受黑客攻击的风险。 黑客主要有三种攻击途径: 直接对无人机装置动手脚进而实施攻击。例如,在维护过程中,有人故意或无意中将恶意软件植入无人机或更换电板或集成电路 通过无线电连接实施攻击:扰乱控制信道并对数据进行劫持和加密–事实上,黑客在入侵伊朗服役的美国无人机就采用了这个方法。有趣的是,当时实施攻击的黑客竟然使用的是一款俄罗斯程序-SkyGrabber。 针对传感器的攻击,包括数据欺骗—例如,欺骗GPS坐标。 一旦遭受黑客入侵,无人机可能被用于各种目的;这可能会影响数据生成以及飞行参数的显示和控制(包括:速度、高度、方向和可编程飞行计划),或者就像最近报道的那样,直接将它占为己有,因为高端的无人机价格十分昂贵,同时这也会让原本的’主人’蒙受很大一笔损失。 此类威胁即将来临,时间已迫在眉睫,让我们做好准备迎面挑战。有关无人机问题的更多精彩报道,请阅读这里、这里和这里。      

提示