當汽車越來越聰明,我們是否也夠安全?
當汽車越來越聰明,我們是否也夠安全?
作為數位化一代的我們,
然而,機遇越大風險也越高。智慧汽車更大限度地解放駕駛者的手腳的同時,也悄然將許多猶未可知的安全因素安插在其中。病毒、惡意攻擊、隱私洩露等都只是我們可預見的安全風險,
電影《速度與激情8》中,
看得見的安全警示
在研究中,就有來自美國的駭客和國內安全團隊分別演示了如何破解吉普、特斯拉和比亞迪等車型。
在現實中,也不乏真實案例。早在2015年,駭客就在車輛行駛過程中,從10英里之外入侵了一款名為Uconnect的觸屏車載無線電系統,對車輛的方向盤、油門、刹車以及空調、收音機、雨刷器等進行操控。這令菲亞特克萊斯勒汽車美國公司不得不召回了旗下“公羊”“吉普”“道奇”等品牌的140萬輛汽車,成為汽車行業首次因駭客入侵風險大規模召回車輛的事件。
緊接著,寶馬因為Connected Drive功能存在漏洞召回了220萬輛汽車。大眾集團旗下的奧迪、賓利、保時捷以及蘭博基尼也傳出搭載的Megamos Crypto防護系統被破解的消息。就在2016年5月,又有新聞曝出,一名特斯拉Model S型車主在使用自動駕駛模式時發生事故死亡,目前此車型正在接受美國高速公路交通安全委員會的調查。
這些原本更聰明、更智慧的交通工具,卻頻頻曝出負面資訊,不得不令人擔憂。而隨著技術的發展和應用的普及,智慧汽車系統勢必與城市交通網相結合,形成一張巨大的智慧交通網。在別有用心的駭客或有國家背景的網路攻擊下,很可能引發重大交通事故,甚至大規模的交通癱瘓,給社會甚至國家安全造成嚴重威脅。2013年,以色列北部城市海法的路網系統就曾遭遇網路攻擊,駭客使用惡意軟體攻破了卡梅爾隧道收費公路管理系統,獲得了控制權,在城市的主幹道上造成了大規模交通擁堵。這些教訓,值得我們警醒。
風險點隱藏在哪裡
1.技術短板埋下安全隱患。從核心技術上來看,智慧汽車的關鍵晶片、軟體技術還掌握在國外企業手中。而這些晶片、軟體堪稱汽車的神經,不僅廣泛應用於多媒體娛樂系統、智慧鑰匙和自動泊車系統,還在汽車發動機和變速箱控制系統、安全氣囊、駕駛輔助等系統中扮演著關鍵角色。
而在資訊安全防護上,相對於移動互聯網行業,車聯網產業還不夠成熟。專門針對智慧汽車的防火牆、殺毒軟體產品較少,從未經授權的檔共用、傳輸帶有代碼的MP3,就可能導致汽車資訊系統被感染,車主下載App也會包含惡意軟體或木馬病毒,輕則造成資訊洩露,重則還會出現拒絕服務、汽車失去控制等狀況,勢必影響人身安全。
2.因智慧而帶來的網路安全問題。原則上,凡是通過電腦控制的系統且與外部網路連接,就有可能受到駭客攻擊。除了利用智慧汽車資訊系統固有的漏洞外,駭客還可以向與其連接的智慧手機、手錶、眼鏡、手環等可擕式可穿戴設備或者雲端資料庫等植入病毒,影響汽車資訊系統的正常運行。
有分析認為,智慧汽車最大的網路安全隱患在雲端。一組雲端伺服器可以監控成千上萬輛智慧汽車的位置、行駛路線。由於智慧汽車接收的資料既包含網路連接埠處植入的資料,又有從雲端下載的內容,而它發出的資料也需要在雲端進行處理,這就極大地增加了遭受網路攻擊的風險。
3.複雜的電子元件更易“開小差”。即使在正常使用的情況下,各種電子元件也會面臨電阻開路、電容漏電、積體電路內部損壞、感測器失靈等各種問題。車聯網系統的硬體越多、系統越複雜,失效的概率就越大,可靠性也就越差。
行駛途中,汽車面臨的工作環境變化多端,自然環境也可能非常惡劣。寒潮、冰凍、高溫、潮濕以及不同海拔地區大氣壓力的變化,都會對電子元件產生影響,特別是對額定工作電流的影響,往往造成電子元件的絕緣損壞、機件腐蝕、性能惡化。另外,眾多的電磁干擾也直接影響電子系統對資料的採集和整理,進而影響程式的運行、指令的發出,導致汽車控制出現異常。
如何補齊安全短板
既然埋伏著這麼多不安全因素,汽車是否還需要智慧化?答案當然是肯定的。畢竟,智慧化的目標之一就是實現更加安全的駕駛,從最早的ABS防抱死制動系統,到報警監控系統、預碰撞刹車,以及日趨成熟的無人駕駛等,對於交通安全都發揮著積極作用。我們不能因為“可能不安全”的論調,忘記智慧汽車原本是“為了交通更安全”的初衷。
既然不能拒絕進步,就只有嘗試找到出路。為了防止網路安全問題對智慧汽車發展帶來的傷害,不少國家已從頂層設計上開始考慮,並著手建立相應的法律法規。2011年,澳大利亞政府成立了交通與設施常務委員會,負責智慧交通的推廣與實施,其中安全防護和隱私保護一直就是核心問題。2013年,美國國家公路交通安全管理局設立了專門機構,負責車輛網路安全問題。1年後,美國國家標準與技術研究院制定了《車聯網網路攻擊防護安全框架》。歐盟智慧交通系統實施計畫和相關指令中也明確了智慧交通應用系統資料使用最小化的原則,並提出要對使用者資料進行匿名化和集成化處理,以保證車聯網的安全。
在技術防護上,有安全企業提出按照事態發展將智慧汽車的安全應對分為3個層級。第一級是事後分析,即發現攻擊後能快速找到漏洞,並根據線索查找攻擊源,由此降低影響和損失。第二級是事中防禦,通過各方監控平臺主動嗅探,發現攻擊苗頭後快速啟動應急回應進行阻斷,並進一步分析漏洞,更新補丁。最後一級是事前感知,通過研究智慧汽車的系統漏洞,同時廣泛關注國內外應用技術和威脅情報,結合大資料分析事先發現短板,防患於未然。
面對網路安全威脅,這也讓汽車廠商和安全企業看到了組建產業聯盟的契機。智慧汽車作為一條新興的產業鏈,吸引安全企業參與,能更好地發揮後者的技術優勢,形成合力。二者的聯盟不僅能夠在智慧汽車開發製造過程中動態考慮各類安全因素,還能建立起強大的售後安全服務團隊,提供有效的管理和解決方案。對於因駕駛者人為因素引發的風險,也能及時推出有針對性的安全使用手冊,在銷售過程中對用戶進行培訓,使其對汽車的構造、功能、技術參數、設置情況等具備清晰的認知,形成防護觀念。
原載《保密工作》2017年第4期
原創 李建 保密觀
智慧汽車系統勢必與城市交通網相結合,形成一張巨大的智慧交通網。在別有用心的駭客或有國家背景的網路攻擊下,很可能引發重大交通事故,甚至大規模的交通癱瘓,給社會甚至國家安全造成嚴重威脅。2013年,以色列北部城市海法的路網系統就曾遭遇網路攻擊,駭客使用惡意軟體攻破了卡梅爾隧道收費公路管理系統,獲得了控制權,在城市的主幹道上造成了大規模交通擁堵。這些教訓,值得我們警醒。風險點隱藏在哪裡
1.技術短板埋下安全隱患。從核心技術上來看,智慧汽車的關鍵晶片、軟體技術還掌握在國外企業手中。而這些晶片、軟體堪稱汽車的神經,不僅廣泛應用於多媒體娛樂系統、智慧鑰匙和自動泊車系統,還在汽車發動機和變速箱控制系統、安全氣囊、駕駛輔助等系統中扮演著關鍵角色。
而在資訊安全防護上,相對於移動互聯網行業,車聯網產業還不夠成熟。專門針對智慧汽車的防火牆、殺毒軟體產品較少,從未經授權的檔共用、傳輸帶有代碼的MP3,就可能導致汽車資訊系統被感染,車主下載App也會包含惡意軟體或木馬病毒,輕則造成資訊洩露,重則還會出現拒絕服務、汽車失去控制等狀況,勢必影響人身安全。
2.因智慧而帶來的網路安全問題。原則上,凡是通過電腦控制的系統且與外部網路連接,就有可能受到駭客攻擊。除了利用智慧汽車資訊系統固有的漏洞外,駭客還可以向與其連接的智慧手機、手錶、眼鏡、手環等可擕式可穿戴設備或者雲端資料庫等植入病毒,影響汽車資訊系統的正常運行。
有分析認為,智慧汽車最大的網路安全隱患在雲端。一組雲端伺服器可以監控成千上萬輛智慧汽車的位置、行駛路線。由於智慧汽車接收的資料既包含網路連接埠處植入的資料,又有從雲端下載的內容,而它發出的資料也需要在雲端進行處理,這就極大地增加了遭受網路攻擊的風險。
3.複雜的電子元件更易“開小差”。即使在正常使用的情況下,各種電子元件也會面臨電阻開路、電容漏電、積體電路內部損壞、感測器失靈等各種問題。車聯網系統的硬體越多、系統越複雜,失效的概率就越大,可靠性也就越差。
行駛途中,汽車面臨的工作環境變化多端,自然環境也可能非常惡劣。寒潮、冰凍、高溫、潮濕以及不同海拔地區大氣壓力的變化,都會對電子元件產生影響,特別是對額定工作電流的影響,往往造成電子元件的絕緣損壞、機件腐蝕、性能惡化。另外,眾多的電磁干擾也直接影響電子系統對資料的採集和整理,進而影響程式的運行、指令的發出,導致汽車控制出現異常。
如何補齊安全短板
既然埋伏著這麼多不安全因素,汽車是否還需要智慧化?答案當然是肯定的。畢竟,智慧化的目標之一就是實現更加安全的駕駛,從最早的ABS防抱死制動系統,到報警監控系統、預碰撞刹車,以及日趨成熟的無人駕駛等,對於交通安全都發揮著積極作用。我們不能因為“可能不安全”的論調,忘記智慧汽車原本是“為了交通更安全”的初衷。
既然不能拒絕進步,就只有嘗試找到出路。為了防止網路安全問題對智慧汽車發展帶來的傷害,不少國家已從頂層設計上開始考慮,並著手建立相應的法律法規。2011年,澳大利亞政府成立了交通與設施常務委員會,負責智慧交通的推廣與實施,其中安全防護和隱私保護一直就是核心問題。2013年,美國國家公路交通安全管理局設立了專門機構,負責車輛網路安全問題。1年後,美國國家標準與技術研究院制定了《車聯網網路攻擊防護安全框架》。歐盟智慧交通系統實施計畫和相關指令中也明確了智慧交通應用系統資料使用最小化的原則,並提出要對使用者資料進行匿名化和集成化處理,以保證車聯網的安全。
在技術防護上,有安全企業提出按照事態發展將智慧汽車的安全應對分為3個層級。第一級是事後分析,即發現攻擊後能快速找到漏洞,並根據線索查找攻擊源,由此降低影響和損失。第二級是事中防禦,通過各方監控平臺主動嗅探,發現攻擊苗頭後快速啟動應急回應進行阻斷,並進一步分析漏洞,更新補丁。最後一級是事前感知,通過研究智慧汽車的系統漏洞,同時廣泛關注國內外應用技術和威脅情報,結合大資料分析事先發現短板,防患於未然。
面對網路安全威脅,這也讓汽車廠商和安全企業看到了組建產業聯盟的契機。智慧汽車作為一條新興的產業鏈,吸引安全企業參與,能更好地發揮後者的技術優勢,形成合力。二者的聯盟不僅能夠在智慧汽車開發製造過程中動態考慮各類安全因素,還能建立起強大的售後安全服務團隊,提供有效的管理和解決方案。對於因駕駛者人為因素引發的風險,也能及時推出有針對性的安全使用手冊,在銷售過程中對用戶進行培訓,使其對汽車的構造、功能、技術參數、設置情況等具備清晰的認知,形成防護觀念。
原載《保密工作》2017年第4期
原創 李建 保密觀