汽車(chē)也能被黑 物聯(lián)網(wǎng)看上去很危險

　　8月5日消息，據國外媒體報道，上個(gè)月末的汽車(chē)被黑實(shí)驗揭露了聯(lián)網(wǎng)汽車(chē)安全網(wǎng)絡(luò )的脆弱性，同時(shí)也發(fā)出了物聯(lián)網(wǎng)世界或許很危險的警示。

　　兩位黑客在成功侵入一輛Jeep Cherokee后，導航屏幕顯示他們的漫畫(huà)頭像

　　處于“物聯(lián)網(wǎng)”開(kāi)發(fā)前沿的波士頓公司LogMeIn副總裁帕迪·斯里尼瓦桑(Paddy Srinivasan)說(shuō)道，“我想現在是開(kāi)創(chuàng )性時(shí)期，這些新設備需要全新的處理方式以及新的安全思考方式，這是當下缺失的一塊?！?/p>

　　7月末，在一次汽車(chē)黑客實(shí)驗中，兩位網(wǎng)絡(luò )工程師查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)利用一臺聯(lián)網(wǎng)電腦控制了在圣路易斯高速公路行駛的一輛克萊斯勒Jeep Cherokee汽車(chē)。當時(shí)，作為駕駛者的《連線(xiàn)》雜志記者束手無(wú)策，米勒和瓦拉塞克打開(kāi)了車(chē)子的雨刮器，將音響和空調調到最大，并終止了車(chē)子的傳動(dòng)裝置運作，使得它無(wú)法駕駛——而這一切操控全都在米勒10英里以外的地下室完成。

　　幾天內，克萊斯勒母公司FCA US LLC召回了140萬(wàn)輛存在同樣的被黑隱患的車(chē)輛。

　　之后，計算機安全研究人員薩米·卡姆卡爾(Samy Kamkar)透露稱(chēng)，他曾經(jīng)入侵很多通用汽車(chē)車(chē)型采用的OnStar通訊系統。通過(guò)給車(chē)子附上一個(gè)小型的WiFi接收器，他可以遠程獲知車(chē)子的位置，打開(kāi)它的車(chē)門(mén)，或者啟動(dòng)其引擎。通用汽車(chē)稱(chēng)它已經(jīng)發(fā)布該問(wèn)題的補丁。

　　美國汽車(chē)制造商聯(lián)盟發(fā)言人韋德·紐頓(Wade Newton)指出，“網(wǎng)絡(luò )安全絕對是汽車(chē)廠(chǎng)商的重中之重?！彼€說(shuō)，該聯(lián)盟正制定一個(gè)新的項目，來(lái)實(shí)現數字安全威脅的信息共享和分析。

　　然而，塔夫斯大學(xué)計算機科學(xué)教授凱思琳·費舍爾(Kathleen Fisher)警告稱(chēng)，從內在結構來(lái)看，汽車(chē)的計算機網(wǎng)絡(luò )很脆弱，難以確保安全。幾乎所有的汽車(chē)都是使用名為“控制器局域網(wǎng)絡(luò )總線(xiàn)”( CAN bus)的網(wǎng)絡(luò )技術(shù)，該技術(shù)的開(kāi)發(fā)商是德國汽車(chē)零部件廠(chǎng)商博世?！癈AN總線(xiàn)技術(shù)很不安全?！辟M舍爾說(shuō)道。它開(kāi)發(fā)于汽車(chē)還遠未接入互聯(lián)網(wǎng)的數十年前，它缺少阻止惡意程序和拒絕來(lái)自非法入侵者的指令的功能。

　　費舍爾指出，開(kāi)發(fā)出更加安全的汽車(chē)網(wǎng)絡(luò )系統需要數年時(shí)間和大量的資金，競爭對手不去開(kāi)發(fā)的話(huà)，沒(méi)有公司會(huì )去開(kāi)發(fā)。

　　她支持美國參議員愛(ài)德華·馬基(Edward J. Markey)最近提出的法規，該法規關(guān)于對所有在美出售的汽車(chē)設定數據安全和隱私標準。

　　物聯(lián)網(wǎng)隱患

　　Jeep被黑的確讓人毛骨悚然，但事實(shí)上，很多其它的聯(lián)網(wǎng)設備同樣存在著(zhù)被入侵的隱患。很多人都在使用聯(lián)網(wǎng)的恒溫器、可遠程打開(kāi)的門(mén)鎖或者可將實(shí)時(shí)畫(huà)面傳送到屋主手機的安全攝像頭。

　　波士頓和其它的城市在部署安裝聯(lián)網(wǎng)的停車(chē)計時(shí)器，以引導車(chē)主前往空置的停車(chē)位。

　　任何的這些設備以及諸多其它的聯(lián)網(wǎng)設備都有可能會(huì )成為網(wǎng)絡(luò )破壞者或不法分子的入侵目標。

　　斯里尼瓦桑指出，許多物聯(lián)網(wǎng)設備所使用的廉價(jià)芯片缺少內置的安全功能，如可降低被攻擊風(fēng)險的硬連線(xiàn)加密功能。因此，這些系統只能依靠軟件來(lái)保障，一旦被入侵者注入不正當的代碼，都有可能出現嚴重問(wèn)題。

　　“如果你能夠對停車(chē)計時(shí)器實(shí)施逆向工程，你可以注入虛假數據，從而使得城市中的每一個(gè)人都相信當下一個(gè)閑置的停車(chē)位都沒(méi)有?！彼估锬嵬呱Ｅe例說(shuō)道。

　　LogMeIn的物聯(lián)網(wǎng)系統Xively尋求通過(guò)無(wú)視所有進(jìn)來(lái)的信息來(lái)防止這類(lèi)攻擊。Xively芯片僅通過(guò)定期檢查特定的網(wǎng)絡(luò )地址來(lái)獲得指令。此外，每一個(gè)指令都必須要包含證明來(lái)自特許源的加密數字簽名。

　　但目前還不清楚Xively是否真如LogMeIn所宣稱(chēng)的那么靠譜。很多其它的物聯(lián)網(wǎng)系統也才剛剛開(kāi)始進(jìn)行大范圍部署。跟被黑的Jeep一樣，也許要讓知名的黑客出手才能知道它們是否容易受到攻擊。

　　類(lèi)似的情況曾發(fā)生在微軟的Windows操作系統上，該公司當初在開(kāi)發(fā)該系統時(shí)并沒(méi)有考慮到網(wǎng)絡(luò )安全性。21世紀初，一系列的網(wǎng)絡(luò )惡意程序(如SQL Slammer、Blaster和Code Red)感染了全球數百萬(wàn)部Windows電腦。那些攻擊對微軟的聲譽(yù)和業(yè)績(jì)構成了不小的威脅。因此，2012年，微軟決定停止Windows的所有新功能研發(fā)工作，花費兩個(gè)月時(shí)間修復安全漏洞，并訓練其軟件工程師編寫(xiě)更加安全的代碼。它的努力收到了回報;雖然還不算完美，但后續的新Windows版本比以往的要難攻擊得多。

　　在數字安全公司RSA技術(shù)解決方案總監羅伯·薩多夫斯基(Rob Sadowski)看來(lái)，要是也有這樣的危機意識，物聯(lián)網(wǎng)開(kāi)發(fā)者最終也會(huì )獲益?！拔蚁胛覀兎浅Ｐ枰衲菢拥膽鸲??！彼f(shuō)道，“很多開(kāi)發(fā)者可能都是先想到功能開(kāi)發(fā)，然后才想到安全問(wèn)題……我們迫切需要做的是，給予開(kāi)發(fā)者和用戶(hù)潛在風(fēng)險方面的教育?！?/p>