据国外媒体报道,上个月末的汽车被黑实验揭露了联网汽车安全网络的脆弱性,同时也发出了物联网世界或许很危险的警示。
处于“物联网”开发前沿的波士顿公司LogMeIn副总裁帕迪·斯里尼瓦桑(Paddy Srinivasan)说道,“我想现在是开创性时期,这些新设备需要全新的处理方式以及新的安全思考方式,这是当下缺失的一块。”
7月末,在一次汽车黑客实验中,两位网络工程师查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)利用一台联网电脑控制了在圣路易斯高速公路行驶的一辆克莱斯勒Jeep Cherokee汽车。当时,作为驾驶者的《连线》杂志记者束手无策,米勒和瓦拉塞克打开了车子的雨刮器,将音响和空调调到最大,并终止了车子的传动装置运作,使得它无法驾驶——而这一切操控全都在米勒10英里以外的地下室完成。
几天内,克莱斯勒母公司FCA US LLC召回了140万辆存在同样的被黑隐患的车辆。
之后,计算机安全研究人员萨米·卡姆卡尔(Samy Kamkar)透露称,他曾经入侵很多通用汽车车型采用的OnStar通讯系统。通过给车子附上一个小型的WiFi接收器,他可以远程获知车子的位置,打开它的车门,或者启动其引擎。通用汽车称它已经发布该问题的补丁。
美国汽车制造商联盟发言人韦德·纽顿(Wade Newton)指出,“网络安全绝对是汽车厂商的重中之重。”他还说,该联盟正制定一个新的项目,来实现数字安全威胁的信息共享和分析。
然而,塔夫斯大学计算机科学教授凯思琳·费舍尔(Kathleen Fisher)警告称,从内在结构来看,汽车的计算机网络很脆弱,难以确保安全。几乎所有的汽车都是使用名为“控制器局域网络总线”( CAN bus)的网络技术,该技术的开发商是德国汽车零部件厂商博世。“CAN总线技术很不安全。”费舍尔说道。它开发于汽车还远未接入互联网的数十年前,它缺少阻止恶意程序和拒绝来自非法入侵者的指令的功能。
费舍尔指出,开发出更加安全的汽车网络系统需要数年时间和大量的资金,竞争对手不去开发的话,没有公司会去开发。
她支持美国参议员爱德华·马基(Edward J. Markey)最近提出的法规,该法规关于对所有在美出售的汽车设定数据安全和隐私标准。
物联网隐患
Jeep被黑的确让人毛骨悚然,但事实上,很多其它的联网设备同样存在着被入侵的隐患。很多人都在使用联网的恒温器、可远程打开的门锁或者可将实时画面传送到屋主手机的安全摄像头。
波士顿和其它的城市在部署安装联网的停车计时器,以引导车主前往空置的停车位。
任何的这些设备以及诸多其它的联网设备都有可能会成为网络破坏者或不法分子的入侵目标。
斯里尼瓦桑指出,许多物联网设备所使用的廉价芯片缺少内置的安全功能,如可降低被攻击风险的硬连线加密功能。因此,这些系统只能依靠软件来保障,一旦被入侵者注入不正当的代码,都有可能出现严重问题。
“如果你能够对停车计时器实施逆向工程,你可以注入虚假数据,从而使得城市中的每一个人都相信当下一个闲置的停车位都没有。”斯里尼瓦桑举例说道。
LogMeIn的物联网系统Xively寻求通过无视所有进来的信息来防止这类攻击。Xively芯片仅通过定期检查特定的网络地址来获得指令。此外,每一个指令都必须要包含证明来自特许源的加密数字签名。
但目前还不清楚Xively是否真如LogMeIn所宣称的那么靠谱。很多其它的物联网系统也才刚刚开始进行大范围部署。跟被黑的Jeep一样,也许要让知名的黑客出手才能知道它们是否容易受到攻击。
类似的情况曾发生在微软的Windows操作系统上,该公司当初在开发该系统时并没有考虑到网络安全性。21世纪初,一系列的网络恶意程序(如SQL Slammer、Blaster和Code Red)感染了全球数百万部Windows电脑。那些攻击对微软的声誉和业绩构成了不小的威胁。因此,2012年,微软决定停止Windows的所有新功能研发工作,花费两个月时间修复安全漏洞,并训练其软件工程师编写更加安全的代码。它的努力收到了回报;虽然还不算完美,但后续的新Windows版本比以往的要难攻击得多。
在数字安全公司RSA技术解决方案总监罗伯·萨多夫斯基(Rob Sadowski)看来,要是也有这样的危机意识,物联网开发者最终也会获益。“我想我们非常需要像那样的战斗。”他说道,“很多开发者可能都是先想到功能开发,然后才想到安全问题……我们迫切需要做的是,给予开发者和用户潜在风险方面的教育。”
本文转载自网易科技