自动驾驶技术为人们勾勒出了一副关于未来出行的美好画面:坐上没有方向盘的汽车,一觉睡到公司门口;甚至我们可以不再拥有一辆汽车,需要出门时共享自动驾驶汽车就会自己来到你面前,然后在把你送到目的地后自行离开⋯⋯
但是现实很显然并不会如此美好,因为有黑客的存在!他们能够控制自动驾驶汽车,并迫使其按照他/她的命令行事。在去年夏天的《速度与激情8》影片中描绘了这样一个画面,黑客随意在键盘上敲几行代码,停在停车场中的汽车就一齐出动,组成一支“僵尸车队”,为观众奉上一场属于汽车的“自杀盛宴”。其实,这个画面就是大多数人所能想象到的有关车辆受到网络威胁时的场景。
但是,作为Mcity网络安全工作组联合主席、密歇根大学(UM)连接和自动驾驶车联网安全副研究科学家以及Lear公司网络安全副总裁的Weimerskirch却表示,对于黑客而言,针对自动驾驶汽车的攻击只能位于其优先事项列表的底端。他表示,黑客通常是出于金钱利益而实施攻击活动,但是远程控制别人的汽车显然并不能为此目的提供很多机会。
然而,这个迅速成长的连接和自动驾驶汽车世界确实为黑客提供了获取更多丰厚利润的机会,从窃取车辆的信用卡信息到滥用汽车到基础设施(vehicle-to-infrastructure)系统来入侵车主的车库或房屋,每个环节都能为攻击者带来丰厚收益。
幸运的是,现在有很多像Weimerskirch这样来自底特律自动驾驶车联网安全部门的人员,正在努力研究解决方案应对此类攻击。
我相信黑客是非常聪明的,而且他们具备很大的优势。因为他们只需要提出一个想法,一种攻击方式,我们这些防御者就需要去预见可能会受到影响的所有方式,并做好对应的防御准备。
车联网安全的缓慢上升
车联网安全十分重要,但是由于一些显然易见的原因,它也同时是一个相对较新的领域。
ETAS公司(为汽车行业以及相关嵌入式行业的嵌入式系统开发提供创新解决方案、工程服务、咨询、培训和客户支持,其子公司为ESCRYPT)总经理Eric Cesa表示,“如果你回想下我们5年前的汽车会发现,它们都没有WiFi连接,更不用说连接到基础设施了。结果它们都是它们自己的单一节点。”
Weimerskirch表示,随着遥控车门解锁技术的出现,网络安全问题首先出现在汽车制造商的雷达上。但是在很长一段时间内,这并不是一个迫切的问题。直到2010年,加利福尼亚大学圣地亚哥分校的研究人员远程入侵了雪佛兰Chevy Impala汽车后,人们对于车联网安全的需求才开始日益增加。
后来,在2015年的一场BlackHat大会上,两位研究人员Charlie Miller和Chris Valasek现场演示了如何远程入侵一辆Jeep切诺基。当时,两名研究人员从十公里之外入侵了这辆车的音箱和空调,并当这辆车行驶在繁华路段时切断了一切对外通讯。此事进一步强化了人们对于车联网安全的关注意识。Weimerskirch说,在过去的5、6年中,公众对于车联网安全这一话题呈现出不同水平的关注度和敏感度;而如今,人们都已经开始认真对待它了。
Weimerskirch表示,从事车联网安全工作的人员正面临“许许多多开放式挑战”亟待解决。2016年美国国家公路交通安全管理局在发布的一份报告中将这些挑战分为四大类:防止黑客攻击;在黑客成功渗透到系统中就能检测到黑客;事件响应,缓解成功的攻击带来的影响;评估和广泛传播解决方案。
以色列网络安全公司Karamba Security的首席执行官兼联合创始人Ami Dotan说,在克服了最初的学习曲线之后,汽车行业现在正在致力于“快速前进”来解决这些问题。他表示,汽车制造商现在已经充分意识到网络安全和汽车整体安全性密不可分。
任何错误,任何一次意外,任何错误的命令读取都可能意味着人们的生命会受到威胁。因此,这也成为网络安全解决方案思维的催化剂,毕竟兴趣是最好的良药,兴趣越大,投入度自然也就会越高。
Ami Dotan
密歇根州占据领先地位
更重要的是,这种兴趣和参与度高度集中在了密歇根州底特律地区。Dotan最初把Karamba Security公司的美国办事处设在了安娜堡地区(位于密歇根州),以便能够更接近密歇根大学-安娜堡分校(U-M),但是随后,他又选择在布隆菲尔德山和底特律市中心“PlanetM”计划(20016年年初正式启动,旨在将密西根作为全美最全面的网联和自动驾驶车辆的试验场)覆盖区设立了多个办事处,以便能够接近汽车制造商和一级汽车供应商。
最终,在2016年,Dotan选择把公司从以色列搬迁到底特律地区,并表示对于目前和底特律汽车社区的亲密接触感到万分感激。
他说,“密歇根州在车联网安全领域是全球领先的,为什么呢?因为在硅谷,这种汽车制造商⋯⋯合作机会等都非常有限。围绕车联网安全这一话题的社区并不多,但是在这里却能得到更多的参与和分享机会。”
安娜堡网络安全公司Duo Security的高级应用安全工程师Matt Fanto(曾参与过福特、克莱斯勒和ESCRYPT公司的网络安全项目)表示,密歇根州的领先地位要感谢底特律作为美国汽车工业发源地和长期占据领导中心所发挥的作用。他说,车联网安全与其他类型的网络安全完全不同,因为车联网安全涉及人身安全,这一点底特律的汽车行业十分明白。
汽车行业对于质量、安全性和可靠性等方面的关注度非常高。我认为在这方面的专业经验,助力底特律稳坐汽车行业领导中心的位置。
凯特林大学校长Robert McMahan回应了这种观点,并指出底特律的汽车工业一直在坚持比其他地区更高的安全标准。他说,“驾驶过程中的安全问题会导致人身伤害或死亡,所以要求汽车系统每次都要完美地运行,也是车联网安全和其他类型网络安全的显著差异,而在这方面密歇根州始终处于巨大的优势地位。”
车联网安全的未来
如今,汽车行业对于车联网安全的兴趣和关注度正在不断增加,由于专业知识主要集中在底特律地区,所以该地区的当地活动和参与度都非常高。
Cesa表示,“目前,车联网安全领域是一个非常具有竞争力的领域。你可以看到所有的分层供应商以及原型设备制造商(OEMs)都已经组建起了内部专家团队,争取为真正具有竞争力的环境创造条件。”
Dotan称,2018年对于汽车制造商、车联网安全部门以及密歇根州来说都将是非常重要的一年。
“2016和2017年对于汽车制造商和我们这种供应商来说是痛苦而挣扎的两年。在这两年中,我们互相教育彼此什么才是解决和克服这些痛苦所需的解决方案。最终,我们在与汽车制造商的讨论中得到了承诺,他们认为2018年对他们而言是至关重要的一年。”
Cesa将该行业描述为正处于另一个“适应阶段”,因为西海岸的传统技术中心已经开始真正注意到了底特律的活动。谷歌的自主汽车开发公司Waymo已经在诺维(位于密歇根州)建立了一个开发中心。Cesa希望其他科技巨头能够很快对底特律在车联网安全领域的领导地位做出回应。
“我认为,我们在车联网安全方面拥有的丰富知识确实为我们支持汽车行业未来的发展打下了坚实的基础。”
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。