针对您汽车的网络威胁
华盛顿特区发生了大规模伤亡恐怖袭击。
攻击者是一名精干,资金雄厚的威胁演员。生命已经丧失,更多的人悬而未决。used已通过所使用的倍增器增强。华盛顿市区的数百辆汽车同时向左转弯,而驾驶员没有转动方向盘。有很多事故。驾驶员和行人受伤或死亡。重要的访问路线被阻止。急救车无法通行,许多人拒绝启动。这是一个严峻的场面。
上述情况极不可能发生。这也是可能的。这是战争游戏。我们驾驶的汽车存在漏洞。它们可以从我们的控制中远程获取。这不是理论,而是已经完成。
《汽车周刊》的读者罗德尼·乔夫(Rodney Joffe)在阅读了我们撰写的有关自动驾驶和驾驶的故事后,引起了我们的注意。Joffe是位于华盛顿特区的IT公司Neustar Inc.的高级副总裁兼技术人员,该公司为《财富》 500强公司和联邦机构提供实时分析和安全服务。Joffe还是商业互联网的23位创始人之一,也是全球关注互联网安全的数百人之一。他也是一个汽车人,对此他很关注。
乔夫(Joffe)和一小群人,包括汽车嵌入式系统安全中心(加利福尼亚大学圣地亚哥分校/华盛顿大学)的斯蒂芬·萨维奇博士,悄悄地为奥巴马政府进行了一系列网络威胁演习。国土安全部进行“网络风暴”演习,但乔夫的演习有所不同:他包括对车辆的网络攻击。
例如,乔夫(Joffe)和他的团队展示了他们解锁,启动和驶离1,200英里以外车辆的能力。他们控制了汽车的油门,刹车和转向。他们无法引导车辆绕过障碍物,但可以脱离驾驶员对车辆转向和系统的控制。他们说,在1998年或以后配备OBD-II的汽车上,他们可以使驾驶员摆脱油门和制动控制。带有自动车道校正或自动停车系统的车辆可以控制/禁用转向。从经销商服务中心到电动汽车充电站,再到供应商黑匣子,再到汽车内部的系统,都存在黑客入侵您的汽车以及其他许多汽车的机会。
在8月在拉斯维加斯举行的DEF CON黑客大会上,发表了五篇有关汽车黑客的演讲。尽管这个问题才刚刚开始公开讨论,但多年来,政府和汽车制造商已经意识到这一点并对其敏感。实际上,7月下旬,英国法院颁布了一项禁令,禁止英国和荷兰学者发表论文,揭露秘密密码,以绕过保时捷和宾利汽车等车辆的安全性。大众要求该禁令。
我们试图与汽车制造商交谈,但取得的成功有限。除了获得正式法律顾问批准的声明外,他们还拒绝讨论黑客行为。包括福特高级IT高管在内的内部人士说,许多最壮观的大规模黑客攻击场景都是不可能的。他们指出,汽车制造商正在投入大量资源来解决该问题-雇用IT安全人员,并与汽车工程师协会等机构合作建立打击网络入侵的标准。但是,我们联系过的原始设备制造商(OEM)之一(福特,通用,克莱斯勒,丰田,梅赛德斯·奔驰,日产和大众汽车)都不会同意接受采访记录。也许这说明了一切。甚至据称技术领先的特斯拉也拒绝发表评论。
当然,原因与责任有关,也与每个制造商将问题内在化的程度,缺少监管框架和问题的范围有关。
Savage教授估计,现代汽车有十二点容易被黑客入侵。它们的范围从Wi-Fi系统和可下载的应用程序到USB和SIM卡端口。正在开发中的新的无线电防撞系统可能很脆弱,而电动汽车快速充电站已经存在。甚至还有可能损坏ECU的音频文件。
Savage补充说:“每个人都将远程信息处理作为其车辆计划的核心,将其汽车定位为计算平台。”“这创造了更多机会。”
对于那些在OEM内外从事IT安全工作的人来说,这大部分都是老新闻。例如,像GM的OnStar这样的远程信息处理系统的脆弱性在几年前就已得到强调。使用OnStar不需要先进行黑客攻击,只需识别每辆装备好的汽车的OnStar电话号码即可。该缺陷应该被修复。
根据制造商的消息来源,有关应用程序如何与ECU交互的保障措施已经到位。尽管如此,有见识的观察者认为,它们仅与隔离它们的防火墙和设计假设一样好。就像在更广泛的IT世界中的同行一样,汽车制造商在每一次新技术变革中都在“捣蛋”。
例如,从1996年开始生产的每辆汽车都有16针OBD-II端口。在DEF CON的演示中,IOActive研究人员Charlie Miller展示了“如何通过连接到OBD-II连接的设备来重放某些专有消息,以执行关键的汽车功能,例如制动和转向。”
每个人都可以使用连接OBD-II端口的设备,其范围从代码读取器,ECU监视器/调谐器到便携式GPS计时器。保险公司向将通过数据记录器共享数据的驾驶员提供折扣。所有这些设备都可以被黑客入侵,并植入“专有消息”或错误。选择一个设备,对其进行破解,开发与其连接的经销商服务系统的利用,将您的恶意软件(恶意软件)加载到您的汽车的ECU中,然后将其驱动到经销商处进行维修。一旦技术人员插入扫描工具或便携式计算机并下载数据,他的设备就可能被污染,并且使用这些设备的每辆后续车辆都会感染该蠕虫。
然后,如果相同的设备通过Internet连接到OEM技术网站(例如,查找零件号或下载软件更新),则该门户可能受到感染。可以将植入的bug设置为像定时炸弹一样爆炸。在经销商受到损害的几个月后,可以命令所有经过检查的受感染汽车在指定的日期和时间同时关闭或加速。
无需传播恶意软件。经销商系统可能会通过其无线局域网受到影响。提供信息和软件更新的制造商Web门户可能会被黑客入侵。可以在互联网黑市上购买OEM及其供应商(包括《财富》 500强公司和政府)内受损计算机的访问权限。
知道上述途径确实很难利用,并且制造商一直(并且正在)努力并尽快关闭它们。尽管没有人能保证汽车行业内部或外部的安全系统,但另一位消息人士则认为OEM拥有“安全意识”。
他们也有重要的商业伙伴关系。福特和丰田已与微软合作开发其车载系统。福特使用程序员为其基于Microsoft的SYNC系统编写应用程序。微软的平台无疑是具有成本效益的,但它也许也是世界上最常被黑客入侵的平台。如Joffe所说:“ Windows每天都有零日漏洞[攻击]。他们已经打补丁了,但是什么时候您最后一次看到有人在打补丁您的ECU?”
在经销商的日常维护中,制造商正在悄悄地这样做。尽管如此,他们仍需要新的召回/软件更新策略。今年早些时候,福特汽车通过30,000个USB记忆棒向车主发布了SYNC系统更新,鼓励他们为自己拥有的每辆福特汽车提供独特的,不受密码保护的USB。该更新也可以在线下载。
这可能是一个冒险的提议,但不超过OEM厂商提供的软件/硬件所产生的安全缺陷。那是因为汽车制造商购买了一系列子系统,并且具有不同程度的质量和安全性。
Savage说:“我们发现的所有漏洞都恰好在不同供应商编写的代码的交集处。这就是我们始终能够利用的东西。”
他说,由于OEM通常无法访问供应商的源代码,因此很难应用对策。实际上,存在半对抗关系:供应商担心释放知识产权和/或让OEM自行发挥其能力。Savage补充说:“弄清楚如何将安全性嵌入与此相关的合同语言中是一个巨大的挑战。”
嵌入式车辆安全是Escrypt的业务,Escrypt是德国电子公司Bosch的子公司。许多人认为欧洲的汽车行业在打击黑客攻击方面具有优势,而Escrypt被视为领导者。该公司的Marko Wolf博士同意,在接口/设计交界处标准化供应商/ OEM软件/硬件对于确保车载系统至关重要。
根据概率和可能产生的媒体歇斯底里,对于Escrypt而言,成功的单次网络攻击对安全的影响很小,而不是大规模攻击。Escrypt将智能手机和Wi-Fi接口视为最容易受到攻击的接入点,包括个人数据盗窃和订户服务盗用。
但是狼警告:不能排除汽车控制权的接管。他指出了一个美国人似乎不愿讨论的潜在例子,即滚石新闻记者迈克尔·黑斯廷斯(Michael Hastings)的案子,他在六月的一次火热事故中死亡(据报道是在一辆新的梅赛德斯C250中)。从理论上讲,网络攻击是造成事故的原因。
国家公路交通安全管理局不同意这种观点。NHTSA只会在背景上简要讨论车辆黑客攻击,并提及其在7月下旬发布的声明。该机构表示,“不知道有任何车辆控制系统被黑客入侵的消费者事件。”
NHTSA已建立了一个电子系统安全部门,专注于电子,自动车辆和网络安全。它坚持认为,需要几个月的时间才能接近车辆,才能使用其车辆控制功能。此外,它声称还没有见过可以通过蓝牙或无线方式利用车辆控制而无需扩展物理访问的情况。
国土安全部正在其国家网络安全部门内积极研究该问题。它拒绝发表评论。像汽车制造商一样,山姆大叔也对公开讨论网络威胁有合理的担忧。制定监管对策将很困难。底线:恶意车辆入侵现在是一个公共问题。因此,总的来说,我们应该真正关心什么?“这些东西是可行的,”野蛮人允许。“我认为普通驾驶员应该担心自己的汽车会被接管吗?我会说,在接下来的五年中,这在我要担心的事情上并不重要。从长远来看,它将在我的名单上。”
Savage认为,最有可能(如果不可能)的大规模攻击类似于Internet上常见的分布式拒绝服务(DDoS)攻击。
“使某些不起作用的事情比使它以特定方式起作用要容易得多。控制汽车需要大量投资。另一方面,我完全可以看到一些黑客团体认为禁用旧金山的所有梅赛德斯汽车会很有趣。”
乔夫(Joffe)更担心“无意中的灾难性事件”。他指出,年轻的黑客可以利用漏洞进行娱乐活动,他说,用一首歌在snyc中闪烁500辆汽车的前大灯。因为他们正在试验,所以代码可能会出问题。同样,一个有积极性,才华横溢的个人黑客可能会遇到问题。Joffe保证,这两种风险过去都已显现出来。
偷车威胁的可能性大致与您要求的专家的兴趣和职位成正比。这种威胁也在不断发展。如今,在行业领导者和政府妈妈的陪同下,很难评估高层领导是否真的“得到了”。
在过去的几年中,从西雅图到多伦多再到波士顿的城市中,“汽车之战”一词广为流传,那里的自行车/大众运输建议与汽车的利益冲突。那可能是一个杂耍。汽车上的真正战争是通过运行它们的软件进行的。我们不能完全确定谁在开车。
