弱点

6 文章

《安全周报》35期:聚焦企业互联网安全

信息安全新闻行业(如果有这么一个行业的话)尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同,但也同样总是急不可耐地想着挖到独家新闻。比如,看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞,充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢?有些人(绝对不是我们!)故意想在人群中制造”恐慌”:就算是你在线看图片可能让PC电脑感染病毒!!111′。 当然,一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞,我绝对会大肆报道一番,但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了:当年,这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒,唯一条件是电脑联网。 就目前的软件而言,不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢?比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒,或者如一些充满邪恶想法的疯子所愿,其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中!妈妈咪呀!圣母玛利亚!我们不得不重新回到石器时代,只能用纸和笔来存储和分享信息! 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生,但我们可能忽略了一些严重但又实际存在的互联网缺陷,一些不法分子很可能会利用这些缺陷”大干一场”,而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中,我们将一如既往地带来有关常规漏洞的是三个新闻案例,其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括:黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎,从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻(并非全部): 在插件内发现零日漏洞。 在随机(并不完全是)数字发生器内发现缺陷,理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞,通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞,2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站(4.2及以下版本)的大规模攻击。顺便提一下,4.2版本刚刚在今年4月才发布不久,这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后,这些不法分子会注入iframe木马,随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止,已有超过2500个网站受到影响,尽管与整个互联网的网站数量相比微不足道,但足以让数万用户苦不堪言。 再进一步说,漏洞利用工具包利用了存在于Adobe Flash内的bug,该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后,网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件,受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息,请查看这里。 想象一下你拥有一家小型企业,大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站,至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击,此次攻击规模相对较小,但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元(或者说损失,这取决于你站在哪一方)。 从安全角度看,此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联:在一个网站引擎(或内部插件)发现许多漏洞;一些人负责不断黑客入侵这些网站并部署漏洞利用工具包;一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包,而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画,而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看,每一个步骤都没什么太大难度,但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是,安全研究人员很早以前就注意到了Neutrino流量的飙升,甚至赶上其竞争对手—Angler,但当时并未就这一原因给出特别解释。除了分赃外,这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

《安全周报》34期:修复补丁,补之不易

我的朋友们,我想说的过去一周对于安全信息行业简直是噩梦一般。如果说上一周我们只是发现了些有趣的bug、零日漏洞以及安全研究专家寻找已久的漏洞的话,那本周真正的灾难才刚刚降临:网络犯罪分子已利用所有这些缺陷渗透进了存在漏洞的软件。尽管这些内容相当重要,但人们对这样的新闻或多或少已有些厌倦。每一次,我们的新闻博客-Threatpost都会带来安全信息领域新鲜热辣的新闻,同时还会在其中精选三篇有关安全补丁修复的文章,而文章摘选工作远比你们想象的要难得多。 不管怎么样,这些内容都相当重要!找到一个漏洞需要花费不少的时间和精力,但更难的是在没有遭受黑客攻击之前就将其修复。软件开发者可以找出千万种不立即(或当季度或无限期)对特定bug修复的理由。但问题最终总是要解决的。 在本周最热门的三个新闻故事中,无一例外其中所含的bug均还未能修复。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 另一个存在于Google Admin内的安卓系统bug Threatpost新闻故事。MWR实验室研究。 我们发现了哪些漏洞? 你是否注意到最近有关bug的新闻纷涌而至?哎,难道只是一辆车遭到黑客入侵?我们在许多车内都发现了数十种安全漏洞!同时,在有关安卓的最新新闻中,我们也很容易注意到同样的情况。首先是Stagefright漏洞,然后是一些稍小的bug,现在则轮到了Google Admin,即通过该工具绕过沙盒。 作为安卓系统级的应用程序之一,Google Admin可以接受来自其他应用的URL地址,而且事实证明,该工具可以接受所有URL地址,甚至是以’file://’开头的路径。结果是,具有网页下载功能的简单联网工具开始向类似整体文件管理器演变。是否因此所有安卓应用就可以相互隔离呢?当然不是,Google Admin只是拥有更高的权限,一旦不幸读取某些流氓URL地址,任何应用都能绕过沙盒访问私人数据。 漏洞是如何修复的? 首先,请容许我简要介绍该独立研究和漏洞披露的整个过程。这一漏洞是在三月份被发现,随后相应的报告即提交给了Google。大约5个月后,当研究专家再度检查Google Admin的安全状况时,发现这个bug依然还未修复。8月13日,有关这一bug的信息被公开披露,目的是敦促Google尽快发布相关补丁。 顺便提一下,Google拥有一支内部研究团队,任务是花费大量时间和精力到处寻找bug,且不仅限于Google自行研发的软件。Google的Project Zero项目小组通常在将找到的bug公诸于众前,给予软件开发者90天的时间修复漏洞,但我们依然对Google能否在90天内成功修复漏洞持怀疑态度。 Google Admin工具在有些方面的确很糟糕:首先,有些方面确实糟糕;其次,我们都知道未必所有存在漏洞的安卓设备上都能修复漏洞。你是在说月度安全更新?那如果是长达半年的漏洞修复过程又如何呢?看!看! 施耐德电气SCADA系统内发现开放式漏洞 Threatpost新闻故事。ICS-CERT报告。 欢迎来到重要基础设施的奇妙世界!请坐好,不必拘束,但千万不要碰可怕的红色开关,也不要摸那些莫名突出在外的电线。没错,它们本来就突在外面。这没什么问题。多年以来一直就这样。你一碰的话,我们就全完蛋了。 SCADA(监控与数据采集)系统作为重要基础设施的一部分,负责像锅炉(主要位于公寓大楼甚至核电站内)这样重要设备的操作和运行。此类系统无法进行篡改、关闭或重启。千万不要在这一系统上修改任何参数,说得简单点,不要碰任何东西! 如果你有任何问题的话,千万不要自己去冒险尝试,最好读一读我们这一主题的文章。同时,我们还必须承认,尽管这些系统的重要性不言而喻,但却常常部署在运行老版本Windows系统的PC电脑上。与一般企业不同的是,重要基础设施通常至少过5年后才会升级或更换所用的硬件和软件,有些工业设施机器人或离心机为了将一些致命化学品分离,可能会数十年不停歇地使用同一个硬件运行。 我们发现了哪些漏洞? 安全研究专家们在其中一个系统内—施耐德电气Modicon M340(多么浪漫的名字!)的PLC站内发现了大量bug。简而言之,这一连串漏洞将能让非工作人员完全掌控系统…基本上来说,可通过系统调节所有参数。其中还找到一个相当普遍的漏洞(顺便说下,该漏洞常常出现在许多路由器和物联网设备内),我们称之为硬编码器凭证。 关于工业SCADA系统内到底对哪些程序进行了硬编码,目前依然未知(尽管理由很明显),但我们完全可以做大胆的假设:这是一个由供应商提供的为简化维护程序而提供的默认登录凭证,或者是供应商可能只是忘了从编码中挑一个测试密码。或者你自己也可以想个理由出来。 漏洞是如何修复的? 根本就没有得到修复。从安全研究专家Aditya

《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google

特斯拉S型电动车安全性:挥之即来,呼之即去

如果说’黑客入侵’已成为一种时尚潮流的话,那本季的最热流行非’黑客入侵汽车’莫属。在两名研究专家Charlie Miller和Chris Valasek详细揭露如何黑客入侵Jeep大切吉诺不久后,另一个安全专家小组也成功控制了特斯拉S型电动车。 移动安全公司Lookout联合创始人兼首席技术官Kevin Mahaffey及其合作伙伴Marc Rogers(CloudFlare首席安全研究专家)在特斯拉S型系统中发现了6个漏洞后,已与特斯拉公司开展了数周之久的合作,以共同编写修复补丁。 尽管已放出了相关补丁,但这一事件已让人们对特斯拉S型电动车的安全性产生了极大怀疑。犯罪分子可将PC电脑与车载以太网进行物理连接来利用这些安全漏洞,只需使用软件命令就能将你价值10万美元的’豪车’直接开走。另外,犯罪分子还能让系统感染木马病毒,从而远程关闭正在行驶中的电动车的发动机。 在测试潜在网络威胁时,研究人员竟然完全掌控了车载娱乐系统。他们可以随意打开和关闭车窗、锁车门或开门锁、升/降悬吊系统以及切断汽车电源。 但特斯拉并没有犯和克莱斯勒相同的错误。一旦正在行驶中的S型电动车电源被切断,其车内系统可立即激活手刹。 当车速慢于8公里/小时,车辆会自动倾斜直至停下来为止;而当车速快于8公里/小时,特斯拉则采取特殊安全预防措施。在对高速行驶的车辆进行测试时,当司机保留对转向和制动的控制时,汽车档位会自动转到空挡并自动停下来。此外,安全气囊也能完全起到其应有的作用。 在相同的处境下,克莱斯勒不得不通过召回140万辆问题车打上紧急安全补丁,而特斯拉汽车只需通过无线通信即可打上安全补丁。具有讽刺意味的是,一些汽车生产公司提供安全补丁的速度竟然比许多智能手机生产商还要快许多。 “如果每次下载和安装补丁的过程都能顺畅进行的话,这可以解决许多的问题。你可以看到,在现在的汽车系统内运行着大量的软件,因此需要频繁地安装补丁,其安装频率有时甚至超过了PC电脑,但如果要求车主每周或每个月前往经销商处安装各种补丁的话,那绝对是一件恐怖的事情。我的观点是世界上的每一辆车如果能连接互联网的话,都应该采用OTA(无线通信)方式下载并安装补丁。” —Mahaffey在《Wired》杂志上评论道。 Mahaffey和Rogers将就如何提高特斯拉汽车安全性方面继续展开合作。此外据报道,特斯拉公司还从Google新挖来了一名在业内享有声望的工程师:Chris Evans将担任特斯拉汽车安全团队的负责人。

2015美国黑帽大会:关于黑客入侵Jeep车的详细介绍

近期,我们就时下热门的”黑客入侵Jeep大切吉诺“主题,写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上,安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。 在他们的研究之初,Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明,黑客入侵这一车载Wi-Fi并非难事,原因在于Wi-Fi密码是基于汽车本身及其多媒体系统(主机)在首次启动时自动生成的。 从理论上讲,考虑到日期/时间的极高精确度,这是一种相当安全的加密方法,因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此,这两名研究专家决定另寻他路。令人吃惊的是,他们竟然真的又找到了一个解决方案:结果证明,克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成,即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。 那辆大切吉诺的默认系统起始时间是2013年1月1日00:00(格林威治标准时间),或更精确地说,是00:00:32(格林威治标准时间)。这样可能的组合范围就相当小了,即使是业余黑客,猜出正确的Wi-Fi密码也完全是小菜一碟。 在成功连上Jeep车的主机后,Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到,因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。 尽管攻击范围有限,但却足以惊世骇人:研究专家们不仅能完全控制音乐播放器,还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象,当你以70英里/小时(相当于112公里/小时)在高速公路上急速行驶时,收音机突然自动提高了音量,任何人碰到都会悚然一惊,进而可能引发交通事故。 研究专家们还发现了另一种可能,即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞,因为该系统在汽车出厂前就已内置。 以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法,但前提条件是车主购买了此项功能服务。但就目前而言,许多车主并未购买。而另一方面,克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接,就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力,但他们的努力并没有白费。借助在eBay上购买的’femtocell’(毫微微蜂窝式基站),他们得以进入到Sprint内网,并通过监听某几个电话(他们通过黑客入侵Wi-Fi获得)扫描大量IP地址。 利用这一黑客技巧,你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了,因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事,正如研究专家所言,”相比其他品牌汽车而言,所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器,对任何想要黑客入侵的Jeep车下手。在成功入侵后,黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。 下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等(几乎囊括了所有车载部件)互联,原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。 但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时,所有汽车制造商都反复强调的:多媒体系统完全独立于这些系统的联网和物理部分以外。 但事实证明,其安全性也并非万无一失,至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯,但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻,他认识个家伙,那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式,因此尽管有可能’听从于’CAN总线,但却无法通过它发送命令。但你也知道,这毕竟是一台计算机。你根本无需拆箱操作,只需简单地对计算机重新编程即可将其添加入内。 通过与多媒体系统的控制器连接,研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下,固件即可完成’升级’。尽管存在权限问题,但研究专家们在其中发现了数个漏洞,从而实现了对V850控制器的完全掌控。 实际上就是如此简单:在这一步操作完成后,Miller和Valasek即能通过CAN总线成功发送命令,并且对所有汽车部件(千真万确)进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统,更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且,他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。 好消息是:Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外,也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是:此类黑客入侵成功的可能性相当高,且产生的破坏性将难以估量。

驾车危险:行驶中的Jeep难逃黑客入侵

啊!他们竟然又’干了一票’:在分别成功地黑客入侵丰田普锐斯和福特翼虎后,安全研究人员Charlie Miller和Chris Valasek近期又一次成功入侵了Jeep大切诺基。 这一次的结果更加令人震惊不已,因为这两名安全专家竟然找了一种能够远程控制汽车的方法。而作为本次试验的”自愿受害人”在遭受漏洞利用攻击时,则正驾车以70 mph的速度行驶在圣路易斯市的郊区。 “当我亲眼目睹这两名’黑客’竟然能远程控制车上的空调、广播和雨刷时,我真为我自己在如此大压力下展现出的勇气而佩服不已。当时他们还切断了我的变速器。” 来自Wired的新闻报道透露了’受害司机’对于所驾驶超级智能联网汽车遭受强制行为的反应。记者Andy Greenberg当时就坐在试验汽车的后座,亲眼目睹了整个过程,他说道:研究人员完全掌控了汽车的刹车和油门,以及包括广播、喇叭和雨刷在内的其它次要的汽车组件。要做到这些,Chris和Charlie必须通过蜂窝网络黑客入侵车载娱乐系统。 幸运的是,目前的形式并未完全糟糕透顶。无论是操作系统开发商还是汽车制造商都不遗余力地采取重要且十分有必要的网络安全防范措施–他们应该有能力做到! 正如Chris Valasek说到的:”当我看到我们可以通过互联网完全控制汽车的时候,我简直吓坏了,发自内心地感到恐惧。这绝对不是开玩笑,这可是一辆在乡间高速公路上高速行驶的汽车。就在那一刻,对汽车黑客入侵最终还是成为了现实。” 不幸的是,目前所有这些重要的安全防范措施依然还远远不够。像微软和苹果这样的软件巨头常常需要花费数年的时间开发有效的方法来为其产品漏洞编写安全补丁。而留给汽车产业的时间则不多了。除此之外,这已经不是汽车第一次遭受黑客入侵,尽管安全问题重重,但似乎没有人迫切想要解决这些存在已久的问题。 其他品牌的汽车可能存在同样的安全漏洞。对于包括福特和通用在内的其它汽车品牌,Miller 和Valasek还未有过尝试。更加可怕的是,Miller表示”一名技术娴熟的黑客就能控制一组未联网主机并用来执行更多扫描—使用任何一组被劫持的计算机—通过Sprint网络让病毒从一个仪表盘感染到另一个。最终演变为由成千上万辆汽车组成的一个无线网络控制汽车僵尸网络。”以此为基础,即可发动恐怖袭击或由一国政府发动网络攻击。 “对于卡巴斯基实验室而言,我们始终认为要想避免此类事件发生,汽车制造商在为汽车制造智能结构体系时,应时刻牢记两个基本原则:隔离和受控通讯。”卡巴斯基实验室GReAT 高级安全研究人员Sergey Lozhkin表示。 “隔离意味着两个分离的系统不会相互影响。例如,在遭受本文开头的黑客攻击时,即使娱乐系统遭受入侵也不会影响到控制系统。受控通讯则意味着汽车在传输和接收信息时必须完全采用密码验证措施。就上文提到的Jeep试验结果而言,不是认证算法过于薄弱/存在漏洞,就是并未正确实施密码验证。” 所有安全问题在行业层面未被解决之前,我们都应该考虑是否改骑自行车和骑马…或驾驶老爷车。至少,这些交通工具都不会遭受黑客入侵。黑帽大会即将在2015年8月举行,届时安全专家们将就他们的研究发现做陈述报告,我们也对此翘首以盼。