随着互联网的发展,全球恶性网络攻击事件频发,黑客入侵的手段越来越高级,与此同时全球安全产业也在持续稳步增长,网络安全越来越成为了一个重要的议题。
8 月 27 日,第四届互联网安全领袖峰会(Cyber Security Summit2018,简称 CSS2018)在北京召开,国内外百位安全专家参加分享,其中包括通用汽车旗下 Cruise 自动驾驶安全首席架构师 Charlie Miller。他可以说是一个传奇人物,被称为「汽车黑客开山鼻祖」。我们先来了解一下他的传奇经历:
Charlie Miller 毕业于美国圣母大学,毕业后他在美国国家安全局以及尤伯杯 ATC 的计算机安全团队工作过六年多,并连续四年获得 Pwn2Own(全球著名黑客大赛)冠军的黑客。随后他又在推特工作了三年,还去优步、滴滴工作过一段时间,去年他选择到传统车企通用旗下的自动驾驶公司 cruise 工作。
他被世人所熟知是因为一次「黑入 JEEP 事件」。2015 年,Charlie Miller 和他的好搭档 Chris Valasek 利用克莱斯勒 Uconnect 车载系统的漏洞,重新刷入了带有病毒的固件并向 CAN 总线发送指令控制汽车,成功入侵了一辆 2014 款 Jeep,这一举措直接迫使车厂在全球召回了 140 万辆车进行返厂升级。
随后两人又在 2016 年通过 OBD 接口,再次黑掉了 Jeep 自由光的 ECU 系统,他们可以随意控制这台车辆的加速、转向以及制动,甚至可以控制某个单一车轮的轮速。
除了对车辆系统的入侵,他还曾经攻进了安卓系统、苹果系统,成为苹果系统越狱第一人。
作为一个白帽黑客,Charlie Miller 对于网络安全,尤其是车联网的安全有着自己独到的见解。在这次 CSS 大会上,他讲解了一些自动驾驶车辆安全的优势、挑战、入侵形式以及应对方法,以下是根据他的讲话整理出来的信息:
优势:
1. 他认为未来的自动驾驶车辆将属于几个大的汽车企业,车辆们每天都会回到车厂,进行充电、检修以及保养。这种统一的有固定频率的维护将在一定程度上保证车辆的安全。
2. 黑客的入侵需要一个媒介,比如说蓝牙、Wi-Fi。但是未来的自动驾驶车根本就不需要这些功能,所以把这些不需要的功能直接从自动驾驶汽车中就去除了,这对车辆来说将会更安全。
3. 自动驾驶汽车目前的安全度主要是来源于黑客们还没有太多接触它的机会。Charlie Miller 说:像我这样的研究人员,我要黑飞机的话就比较难,因为我没有飞机。这是一个暂时的优势,不是长久之计。
挑战:
1. 自动驾驶汽车现在还只是开发阶段,交通基础还是普通的汽油车,所以要保证自动驾驶车辆的安全的话,要处理的安全问题就要更多。
2. 现在的自动驾驶车辆还不足够高级,比如我们想让车里的 ECU 安全,想让它跟其他的模块单元进行沟通,但是它有可能不支持 TLS,或者连 TCP 都不支持。
入侵形式:
1. 最可怕的就是远程攻击,意思就是利用程序在远程就可以攻击任何一辆车。
2. 通过一定媒介(比如蓝牙、Wi-Fi)进行的近距离攻击,如果去掉了蓝牙、Wi-Fi 的设置安全性会提高一些。
3. 通过在车辆安装一些插件,然后对车机系统进行篡改。这种攻击很难规模化,破坏量较小,但是很难彻底避免。
4. 篡改感应器。感应器是可以被篡改的,如果将激光雷达的正确感应行为篡改成一些危险的感知行为,汽车将陷入非常危险的境地。
5. 攻击高精地图和 GPS,让车辆主动做出不理智行为。
对于篡改感应器这个问题,Charlie Miller 解释:所有实验室的研究表明,自动驾驶车辆的冗余系统绝不是完全依靠激光雷达或者摄像机,它也会有其他的信息来源,所以车辆也不会轻易被后篡改的感应程序所愚弄。不过感应器这方面的确是一个值得担心的点。
而攻击高精地图和 GPS,很多人可能会认为这将使车辆自己作出一些不理智的行为,但 Charlie Miller 认为这点并不要太担心,因为车辆本身就有一个经过检验的内部地图,高精地图是一种提供验证和更多实时信息的存在。
应对方法:
1. 减少容易被入侵的接口,比如蓝牙、wifi 或者收发器等等。
2. 通过数据中心、小的网络以及控制器技术来保证汽车的安全。
3. 要保证汽车在第一次启动的时候有好的编码,不要在设计之初就有大漏洞。
4. 要把密钥进行非常好地存放,可以使用不同的密钥技术。
5. 车主发出的任何数据应该加密以后再进行传输。
在发言的最后,Charlie Mille 表达了自己作为安全防卫者的一些感慨。世界上没有绝对的安全,没有任何防卫是完美的。这是一个博弈的过程,我们需要时刻面对问题做出最快的反应。现在路上跑的还不都是自动驾驶车辆,所以在这一天真正来临之前,我们现在就要把安全的问题做好,使得自驾车在未来不要陷入安全很重大的问题。
原创声明: 本文为 GeekCar 原创作品,欢迎转载。转载时请在文章开头注明作者和「来源自 GeekCar」,并附上原文链接,不得修改原文内容,谢谢合作!
欢迎关注 GeekCar 微信公众号: GeekCar 极客汽车(微信号:GeekCar)& 极市(微信号:geeket)。
