通用推出漏洞悬赏计划 智能驾驶网络安全隐忧犹存
在自动驾驶和车联网的时代,汽车的信息网络安全成为更需要重点保护的领域。
就在上个月,安全研究公司UpGuard Cyber Risk披露称,特斯拉等百余家车厂机密数据泄露,公共服务器未“上锁”让一些隐秘的内部数据信息唾手可得。据悉,来自100多家制造公司的敏感文件——包括通用汽车、菲亚特克莱斯勒、福特特斯拉丰田蒂森克虏伯和大众,都暴露在属于Level One Robotics的公共服务器上。
通用汽车发布高额漏洞悬赏计划
通用汽车近日发布了一项高额的漏洞悬赏计划,要让程序员们为其挖掘潜在的网络安全问题和产品的潜在弱点。
这些程序在软件和技术公司中屡见不鲜。而随着通用汽车准备推出自动驾驶汽车和更多机遇服务的计划,暴露出来的漏洞也越来越显得突出。
“整体来看,威胁等级只会从这里增长,这就是为什么我们投入如此多的精力和资源来保持领先,并迅速迭代的原因,”通用汽车总裁丹·阿曼周五表示在底特律的比林顿网络安全峰会上发表演讲。
由Ammann周五宣布的通用汽车计划预计将于夏季结束。它将包括一组约10名或更少的研究人员,也被称为“白帽黑客”。
“我们将向他们展示我们悬赏中设计的产品、计划和系统。”Ammann说。通用汽车全球网络安全副总裁Jeff Massimilla表示,这些组员是从参与通用汽车漏洞披露计划的500多名研究人员中选出的。
通用汽车曾于2016年与HackerOne一起推出了漏洞计划,HackerOne是一个友好的黑客平台,用于识别工作。该计划自2016年1月启动以来,已发现700多个漏洞。
“我们通过披露计划启动了这项工作,但我们真正看到的是我们希望他们的专业知识真正用于产品,”Massimilla表示:“我们将关注我们产品中风险最高的系统。”
Massimilla说,赏金计划将根据他们可能发现的“错误”为研究人员提供“大笔资金”。他拒绝透露确切的付款金额。
汽车行业面临日益严峻的网络安全攻击威胁
近年来,人们在受控模拟中发现了越来越多的汽车黑客攻击行为。2015年夏天,汽车行业受到一系列备受瞩目的黑客攻击——他们一般远程解锁车门,打开挡风玻璃刮水器,干扰转向,甚至在高速公路拦下一辆Jeep Cherokee。
安全研究人员克里斯·瓦拉塞克(Chris Valasek)和查理·米勒(Charlie Miller)在2015年的实际测试中远程攻击了2014推出版本的吉普切诺基(Jeep Cherokee)。他向车辆刷入了带有病毒的固件,并对CAN总线发送指令控制汽车。
据悉,Charlie Miller自2015年起,先后在Uber 实验室、滴滴硅谷实验室担任高级安全工程师,开启了自动驾驶汽车网络安全研究的生涯;2017年,他又进入到通用旗下的Cruise Automation担任自动驾驶安全首席架构师。
汽车行业也已经深知——联网汽车越来越可能成为黑客入侵的对象,而这一类型的汽车在不断猛增。尽管如此,许多汽车制造商的车辆在这方面的保障进展缓慢,让黑客变得更为猖獗。据称,有黑客花了3年时间专门开发技术进行偷盗,最终这导致美国召回了140万辆汽车。
IHS Markit预计这一“黑Jeep”事件给菲亚特克莱斯勒造成了4550万美元(3700万欧元)的损失,并强调了汽车行业在安全性方面落后于消费电子产品的程度有多严重。
除了Jeep之外,包括福特、通用汽车、丰田和大众在内的大多数主要汽车制造商都有这样或那样的黑客入侵事故,即便是特斯拉这样以高科技为噱头的制造商也无法幸免。
掌握网络安全控制的主动权
嵌入式软件解决方案公司Elektrobit的总裁兼董事总经理亚历山大·科切尔解释说:“当汽车变得与网络连接更紧密时,黑客犯罪的影响范围更大。” “他们可以完全进入汽车,甚至操纵很多辆车,这可能会造成更大的伤害。例如,可以在道路上停下整个车队。犯罪分子可能将车辆扣为人质,并索要赎金,或操纵车辆造成致死事故。”
围绕控制子供应链,保护联网汽车回路以及确保即使车辆遭到黑客攻击也可以继续运行,这些方面也存在问题。
推动联网汽车的安全化,推动制造商之间、传统供应商之间达成了更紧密的合作,还因此出现了诸多并购。在产业链的下游,还有大量精通网络的IT和初创企业被大型供应商抢购,这些供应商热衷于访问其跨越式技术,以解决诸如行业内软件能力严重不足等限制性问题。领导网络安全创新的是以色列,目前估计有50多家年轻公司在这一领域的不同行业进行合作,未来还会有更多企业涌现出来。
威胁=巨大的机会
美国IHS Markit的高级汽车技术分析师科林·伯德估计,该行业的收入“在2017年底达到3000多万美元,预计到2024年将超过20亿美元。大约90%的布局仍然有待填补,因此有巨大的机会。在一个100%的潜力市场中,目前只涌进了4%-5%的企业。”
目前,汽车网络安全主要集中在三个主要市场:北美,西欧和日本。毫无疑问,那些已经准备好从中抢得一杯羹的参与者将会包括博世、哈曼、大陆以及霍尼韦尔等领先的汽车供应商和思科等跨国网络公司。
分析师Frost&Sullivan的汽车连接专家Krishna Jayaraman表示,汽车公司目前在安全方面的IT预算中只占3%至7%,但随着“获取软件服务和安全功能的投资”,这将大幅增长继续获得动力,安全将成为研发预算的一部分。”
实际上,这个过程已经在不断酝酿之中。2015年-2016年,哈曼花费超过10亿美元(8.1亿欧元)购买了TowerSec、Red Bend软件和Symphony Teleca,而大陆集团去年11月以4亿美元(3.25亿欧元)的价格收购了以色列拥有的网络安全公司Argus。
Jeep还将矛头对准了立法者的缓慢行动,他们突然意识到——由于大多数车辆到2020年将具有一定程度的联网功能,他们需要在他们认为安全责任所在的位置采取立场,特别是在出现问题时。因此,法律和立场文件正在变得越来越快。据报道,欧盟的网络安全机构正在考虑向与其他关键领域(如食品安全)类似的联网汽车颁发证书。“黑Jeep”事件还启发了美国的立法系统,推动参议员拟定了新的汽车安全法案和数字安全标准。
立法者似乎认为,这个行业,尤其是高级管理人员,已经停止了这种做法。截至去年8月,英国政府声明的立场是,网络安全应该在董事会层面负责管理和改进。“我们已经看到了提供这些网络安全计划的公司的高层管理人员将承担个人责任的举措。”Elektrobit的Kocher说。
为了抢在黑客的进度前面,汽车行业于2015年成立了汽车信息共享和分析中心。其作用是识别和跟踪潜在的网络威胁。Kocher承认,“我们认识到拥有100%的网络安全并不是现实”。然而,Kocher希望看到的是一种可以尽快控制黑客攻击的情况。 “有不同的技术可用,例如入侵检测软件和异常检测。”他说。
“那么你需要能够非常快速地分析这些信息的技术,以保护车辆免受攻击,并在任何地方修复泄漏。当你拥有一个设计良好的系统时,目标就是在几个小时内停止攻击。”
数据处理与保护成自动驾驶汽车关键
特斯拉和Waymo都试图收集和处理足够的数据,以创造一辆可以自动驾驶的汽车。他们正在以不同的方式处理这些问题。特斯拉正在利用其在道路上行驶的数十万辆汽车,收集有关这些车辆在目前半自治系统Autopilot下如何行驶(以及它们可能如何执行)的真实数据。 Waymo开始了谷歌的自驾车项目,它使用强大的计算机模拟,并将它从中学到的东西提供给一个更小的现实世界的车队。
但收集数据是一回事,处理数据也是一项艰巨的任务,尤其是保护数据安全的时候。从频频曝出的数据泄露事件中,汽车厂商们是时候来一波大整顿了。