2019-07-06 15:45:02
以下是黑客如何让您的特斯拉 通用汽车 克莱斯勒不易受到攻击

3月,特斯拉模型3被黑了。

负责发现漏洞的二人组访问了汽车的网络浏览器,在其固件上执行了代码并在信息娱乐系统上显示了一条消息,然后再使用Model 3和$ 375,000。

当一名无辜的司机坐在里面时,黑客没有远程控制汽车或对门锁或刹车造成严重破坏。事实上,他们无法闯入电动汽车的任何其他系统,他们收集的现金以特斯拉的支票形式出现。

这是为期三天的网络安全竞赛的一部分,名为Pwn2Own,特斯拉向任何能够找到以前未知的漏洞的人支付高价。纠正任何弱点有助于电动汽车公司保护驾驶车辆的人,它希望如此。

随着越来越多的汽车成为轮子上的高科技计算机,专家们说车辆 - 就像连接到互联网的其他一切 - 本质上是可以攻击的。这意味着每个智能汽车理论上都可以被精明的黑客,罪犯或更糟糕的人在某种程度上打破并控制。

虽然存在未实现的威胁,但汽车制造商保护驾驶者的努力正在扩展到雇用经验丰富的内部安全团队之外。

对于像特斯拉这样的公司来说,这意味着在严格的第三方测试竞赛中进入汽车或实施其他所谓的“bug赏金计划”,以鼓励安全研究人员积极定位和报告公司硬件上的任何热点。

从表面上看,鼓励外人寻找缺陷可能看起来违反直觉。然而,此举不仅让熟练的黑客有机会展示自己的力量,而且还帮助像特斯拉,通用汽车等公司加强汽车安全。

“我们相信,为了设计和建立固有的安全系统,制造商必须与安全研究界密切合作,以便从他们的集体专业知识中受益,”特斯拉在今日美国的一份声明中表示。

特斯拉使用软件更新来修复“白帽子”或道德黑客所发现的漏洞,这是一个好处,因为司机不必去维修店或支付费用来更新汽车的软件。

Bug赏金计划

特斯拉在插入访问漏洞方面的做法始于2014年的漏洞赏金计划,然而,它并不是唯一邀请黑客测试系统的汽车制造商。

自2016年以来,菲亚特克莱斯勒已经实施了一项漏洞赏金计划,每次发现以前未知的漏洞时,它都会向黑客支付高达1,500美元的费用。在2016年确立了所谓的安全漏洞披露计划之后,通用汽车于2018年正式推出了其漏洞赏金计划。

超过500名研究人员参与了通用汽车的计划,以识别和解决700多个漏洞。

福特在1月份宣布,它正在挑选顶级研究人员参与未来的特殊黑客项目。

安全和分析软件公司Verimatrix的首席战略官Asaf Ashkenazi表示,为了阻止黑客,汽车制造商及其供应商正在采取多种方法来保护汽车免受各方面的侵害。

他说,今天的汽车正处于他所谓的智能汽车安全三方法的初级阶段。

“他们试图通过在子系统之间创建防火墙来过滤掉外界明显的攻击,”他说。 “如果一个人遭到入侵,黑客就无法转移到其他系统。”

这种方法在特斯拉黑客行动期间展示,因为总部位于帕洛阿尔托的公司设法在保护所有其他车辆功能的同时控制浏览器的损坏。

远程更新

Ashkenazi说,汽车制造商的下一级保护是通过电视广播升级和修复问题的能力。

传统汽车公司落后于特斯拉将这些智能手机风格的更新发送给客户的能力。总部位于Palo Alto的公司使用该功能更新从半自动驾驶模式到厚脸皮复活节彩蛋或隐藏宝石的所有内容。

在回应错误时,该公司在发现漏洞后的几天内通过软件更新修复了问题。

与特斯拉一起,福特和通用汽车的2020款车型将允许通过无线更新,可以升级具有新功能的车辆并远程修复有问题的软件。通用汽车公司的2020年凯迪拉克CT5将配备一个新的“数字神经系统”,使更新成为可能。

今年5月,通用宣布其大部分全球型号将能够在2023年之前进行无线软件升级。

持续监控

第三级消费者车辆保护涉及让AI检测到汽车的行为不同。 Ashkenazi说,这使汽车制造商有更好的机会在早期发现攻击。

像Argus Cyber Security这样的第三方软件公司正在帮助汽车公司在生产过程中开发和烘焙这些类型的远程诊断功能。

“即使你在车内有实时保护,你仍然需要知道你的一辆车是目标,”Argus网络安全营销总监Monique Lance说。

这就是监控技术的步骤,允许汽车公司执行交叉数据分析并识别可能会错过的可疑行为。

“你需要能够看到整个车队,因为可能还有其他受影响的车辆,”兰斯说。 “你知道网络内部发生的事情是至关重要的。汽车制造商能够防止攻击的成本远低于一旦发生就能对他们做出响应,以便服务至关重要。”

最坏的情况

兰斯说,如果没有分层的安全方法,灾难就会等待。

2015年数据安全研究人员成功对Jeep Cherokee进行远程控制时,可能会发生这种情况。菲亚特克莱斯勒回应了140万辆汽车和卡车,并向业主发送了带有软件补丁的瑞银棒。

同年,另一名黑客透露,他在汽车上放置了一个小电子盒,以便从通用汽车的OnStar系统中窃取信息,这样他就可以打开车门并启动车辆。通用汽车表示黑客被隔离到一辆汽车上,因此它已经关闭了漏洞。

车队的车辆黑客攻击导致死亡和破坏尚未发生,但正如特斯拉首席执行官埃隆马斯克在2017年所说,这是“自动驾驶汽车面临的最大风险之一”。他补充说,特斯拉的整个黑客攻击“基本上是不可能的”。

合作伙伴

汽车制造商正在合作以防止这些类型的情况发生。

该行业的信息共享和分析小组成立于2015年,名为Auto ISAC,致力于研究和创建网络安全的最佳实践。三菱电机,PACCAR,沃尔沃集团北美和美国货运协会于2018年加入该协议。

非营利组织表示,美国道路上98%的车辆都是会员公司。网络安全专家Ashkenazi说,协作方法是朝着正确方向迈出的一步。

“但是组建团队和制定指导方针可能并不一定适用于所有车辆。对于所有车辆来说,达到这一点非常困难,需要很长时间。”

猜您喜欢的其它内容