首页 > 房产 > 正文

黑客最喜欢对那些自认防守出众的汽车厂商出手

2020/2/13 16:53:40 

一份在2015年7月份所进行的汽车网络安全调查结果显示,汽车产业仍缺乏保护连网汽车不受黑客入侵的能力──尽管该产业对主管机关、媒体与消费者信誓旦旦。

研究机构Ponemon Institute透过电访、安全的网络在线以及面对面的访问,取得了500位来自主要来自车厂与一线汽车零组件供应商的汽车软件开发者、工程师与企业高层的意见,发表了一份题为“汽车网络安全:车厂们实际上是怎么想的?”的报告;该报告发现,汽车开发者不相信他们所属的企业有认真看待安全性问题,或是有督促他们开发更安全的软件。

 

这份Ponemon调查的两家赞助商之一,Security Innovation的产品管理与营销总监Gene Carter在接受EE Times美国版访问时表示,该调查最令人惊讶的结果是:“不到半数的受访者未将安全性列为优先考虑;但随着各种有关公共网络安全的研究结果出炉,以及来自政府机关的压力,我预期人人都会同意安全性考虑的优先性。”

 

根据该报告,只有41%的开发者同意,他们所属的车厂将安全性软件列为优先考虑,而有28%的受访者不同意这点。

更糟的是,在那些受访的开发者中,有69%认为要保障汽车应用程序的安全性是困难或非常困难的;此外他们之中有近一半认为汽车的架构需要有大幅改变,才能确保更高的安全性。该调查并显示,至少有44%的受访开发者认为黑客会主动将汽车列为攻击目标。

 

Ponemon并询问受访者关于汽车厂商们在软件开发上的实际做法,也就是安全性考虑是否已经被纳入软件开发生命周期中,以及要提升安全性所面临的障碍;调查结果显示:“车厂与零组件供应商尚渴望打造安全汽车有,也缺乏所需技巧、工具与制程。”

 

这样的结果听起来不是好事,不过该调查也显示,车厂之间对于安全性相关知识有基础性的落差──也就是如何主动避开安全性故障。不过该报告也为各家车厂辩护,指出他们缺乏知识并不意味着他们一直停滞不前。

 

有 63%的受访者是在汽车开发期间执行自动化软件扫描,有一半会在应用程序发表之后才执行扫描,有36%则执行渗透式测试(penetration test)。而更值得注意的是,该调查发现,只有四分之一的受访者表示他们支持安全的编码标准,或正在执行例如威胁模型(threat models)等高层次的评估。

 

汽车厂商的心态

 

汽车厂商缺乏经过特殊训练的人员是显而易见的,而更明显的是,汽车厂商的行为表现还无法像是软件厂商那样。以下有个案例说明汽车厂商在软件方面的心态:

 

Ponemon 的调查发现,汽车开发者以及他们所属的企业并没有利用、甚至说没有意愿去学习IT世界过去十年来在网络安全方面取得的经验;例如与所谓的“白帽黑客 (white hat hacker)”共同合作,透过“抓漏赏金”之类的程序来发现错误。汽车开发者还未有这样的意识。

 

该报告指出,令人惊讶地,有43%的受访者认为白帽黑客应该要受到数字千禧年著作权法案(Digital Millennium Copyright Act,DMCA)的规范,也就是说如果他们以汽车应用程序代码来做实验,就有被逮捕的可能;而有42%的受访者认为白帽黑客不该受DMCA的规范,还有 52%的受访者认为那些白帽黑客不应该被鼓励去测试汽车软件。

 

汽车产业的辩护者可能会说,从汽车厂商开始注意到需要考虑网络安全其实只有几年的时间。远程无线连结可能危及汽车的威胁,是2011年才出现在美国华盛顿大学(University of Washington)与美国加州大学圣地亚哥分校(University of California at San Diego)研究人员发表的论文中。

 

有一部分汽车产业的工程师将上述的开创性报告放在了心上,他们发现那是对即将来临之连网汽车时代的一个早期警讯。但其他汽车产业的工程师则主张,若没有实际进入到一辆车子里,要“骇”进一辆车几乎是不可能的;他们还指出,汽车黑客并没有明确的“业务模式”,因此这也是他们不认为汽车黑客会成为普遍性问题的理由之一。

 

市场研究机构IHS的汽车产业分析师Egil Juliussen表示,在过去几年,汽车业者通常自满于自己的行动;他们自满的理由是:“不可能发生(汽车黑客)那样的事情;”以及:“那要花很多力气但回报很少;”还有:“没有实际已知的破坏行为。”

 

汽车产业的行为没有改变;其中一个案例是今年稍早发表的“Markey报告”。在2014年,美国麻州的参议员Edward Markey写信询问20家汽车制造商有关于他们的车辆安全性与隐私权保障措施,而汽车厂商坦承他们的车辆几乎100%配备某种无线链接功能,却只有七家 公司表示他们有委托第三方业者测试他们的车辆安全性,五家表示没有,其他则忽略该问题。

 

而今年夏天,有数起著名的汽车黑客事件发生了,包括克莱斯勒(Chrysler)吉普车被发现的安全漏洞,导致该车厂召回1,400万辆车;此外还有通用汽车(General Motors)的OnStar RemoteLink系统缺陷,黑客发现有个方法能远程解锁车门或启动引擎。这些事件推翻了汽车厂商认为汽车黑客问题是“不可能发生”以及“危言耸听”的观点。

 

不过IHS分析师Juliussen表示,要成功“骇”进汽车,还是需要不少时间以及专业;但他也警告,好用的汽车骇 客工具或是汽车黑客专家预期三到五年内就会出现。他也观察到,汽车产业已经在投资网络安全解决方案;Ponemon的调查支持了以上观点,发现汽车厂商已经开始注意到安全性,并没有退缩或是忽略该问题。

 

但Juliussen指出,汽车厂商的动作稍嫌落后了些,可能得花费十年才能赶上IT世界的脚步。Ponemon则总结表示,关键在于汽车厂商开始使用经验证以及测试的最佳(软件开发)方法,提供他们的工程师在软件开发周期所需的安全性工具与程序。



相关阅读:
大连房产 http://dl.zhuge.com/

频道精选