通用推出漏洞懸賞計劃 智能駕駛網(wǎng)絡(luò)安全隱憂猶存

　　在自動駕駛和車聯(lián)網(wǎng)的時代，汽車的信息網(wǎng)絡(luò)安全成為更需要重點保護的領(lǐng)域。

　　就在上個月，安全研究公司UpGuard Cyber Risk披露稱，特斯拉等百余家車廠機密數(shù)據(jù)泄露，公共服務(wù)器未“上鎖”讓一些隱秘的內(nèi)部數(shù)據(jù)信息唾手可得。據(jù)悉，來自100多家制造公司的敏感文件——包括通用汽車、菲亞特克萊斯勒、福特特斯拉豐田蒂森克虜伯和大眾，都暴露在屬于Level One Robotics的公共服務(wù)器上。

　　通用汽車發(fā)布高額漏洞懸賞計劃

　　通用汽車近日發(fā)布了一項高額的漏洞懸賞計劃，要讓程序員們?yōu)槠渫诰驖撛诘木W(wǎng)絡(luò)安全問題和產(chǎn)品的潛在弱點。

　　這些程序在軟件和技術(shù)公司中屢見不鮮。而隨著通用汽車準備推出自動駕駛汽車和更多機遇服務(wù)的計劃，暴露出來的漏洞也越來越顯得突出。

　　“整體來看，威脅等級只會從這里增長，這就是為什么我們投入如此多的精力和資源來保持領(lǐng)先，并迅速迭代的原因，”通用汽車總裁丹·阿曼周五表示在底特律的比林頓網(wǎng)絡(luò)安全峰會上發(fā)表演講。

　　由Ammann周五宣布的通用汽車計劃預計將于夏季結(jié)束。它將包括一組約10名或更少的研究人員，也被稱為“白帽黑客”。

　　“我們將向他們展示我們懸賞中設(shè)計的產(chǎn)品、計劃和系統(tǒng)。”Ammann說。通用汽車全球網(wǎng)絡(luò)安全副總裁Jeff Massimilla表示，這些組員是從參與通用汽車漏洞披露計劃的500多名研究人員中選出的。

　　通用汽車曾于2016年與HackerOne一起推出了漏洞計劃，HackerOne是一個友好的黑客平臺，用于識別工作。該計劃自2016年1月啟動以來，已發(fā)現(xiàn)700多個漏洞。

　　“我們通過披露計劃啟動了這項工作，但我們真正看到的是我們希望他們的專業(yè)知識真正用于產(chǎn)品，”Massimilla表示：“我們將關(guān)注我們產(chǎn)品中風險最高的系統(tǒng)。”

　　Massimilla說，賞金計劃將根據(jù)他們可能發(fā)現(xiàn)的“錯誤”為研究人員提供“大筆資金”。他拒絕透露確切的付款金額。

　　汽車行業(yè)面臨日益嚴峻的網(wǎng)絡(luò)安全攻擊威脅

　　近年來，人們在受控模擬中發(fā)現(xiàn)了越來越多的汽車黑客攻擊行為。2015年夏天，汽車行業(yè)受到一系列備受矚目的黑客攻擊——他們一般遠程解鎖車門，打開擋風玻璃刮水器，干擾轉(zhuǎn)向，甚至在高速公路攔下一輛Jeep Cherokee。

　　安全研究人員克里斯·瓦拉塞克(Chris Valasek)和查理·米勒(Charlie Miller)在2015年的實際測試中遠程攻擊了2014推出版本的吉普切諾基(Jeep Cherokee)。他向車輛刷入了帶有病毒的固件，并對CAN總線發(fā)送指令控制汽車。

　　據(jù)悉，Charlie Miller自2015年起，先后在Uber 實驗室、滴滴硅谷實驗室擔任高級安全工程師，開啟了自動駕駛汽車網(wǎng)絡(luò)安全研究的生涯;2017年，他又進入到通用旗下的Cruise Automation擔任自動駕駛安全首席架構(gòu)師。

　　汽車行業(yè)也已經(jīng)深知——聯(lián)網(wǎng)汽車越來越可能成為黑客入侵的對象，而這一類型的汽車在不斷猛增。盡管如此，許多汽車制造商的車輛在這方面的保障進展緩慢，讓黑客變得更為猖獗。據(jù)稱，有黑客花了3年時間專門開發(fā)技術(shù)進行偷盜，最終這導致美國召回了140萬輛汽車。

　　IHS Markit預計這一“黑Jeep”事件給菲亞特克萊斯勒造成了4550萬美元(3700萬歐元)的損失，并強調(diào)了汽車行業(yè)在安全性方面落后于消費電子產(chǎn)品的程度有多嚴重。

　　除了Jeep之外，包括福特、通用汽車、豐田和大眾在內(nèi)的大多數(shù)主要汽車制造商都有這樣或那樣的黑客入侵事故，即便是特斯拉這樣以高科技為噱頭的制造商也無法幸免。

　　掌握網(wǎng)絡(luò)安全控制的主動權(quán)

　　嵌入式軟件解決方案公司Elektrobit的總裁兼董事總經(jīng)理亞歷山大·科切爾解釋說：“當汽車變得與網(wǎng)絡(luò)連接更緊密時，黑客犯罪的影響范圍更大。” “他們可以完全進入汽車，甚至操縱很多輛車，這可能會造成更大的傷害。例如，可以在道路上停下整個車隊。犯罪分子可能將車輛扣為人質(zhì)，并索要贖金，或操縱車輛造成致死事故。”

　　圍繞控制子供應鏈，保護聯(lián)網(wǎng)汽車回路以及確保即使車輛遭到黑客攻擊也可以繼續(xù)運行，這些方面也存在問題。

　　推動聯(lián)網(wǎng)汽車的安全化，推動制造商之間、傳統(tǒng)供應商之間達成了更緊密的合作，還因此出現(xiàn)了諸多并購。在產(chǎn)業(yè)鏈的下游，還有大量精通網(wǎng)絡(luò)的IT和初創(chuàng)企業(yè)被大型供應商搶購，這些供應商熱衷于訪問其跨越式技術(shù)，以解決諸如行業(yè)內(nèi)軟件能力嚴重不足等限制性問題。領(lǐng)導網(wǎng)絡(luò)安全創(chuàng)新的是以色列，目前估計有50多家年輕公司在這一領(lǐng)域的不同行業(yè)進行合作，未來還會有更多企業(yè)涌現(xiàn)出來。

　　威脅=巨大的機會

　　美國IHS Markit的高級汽車技術(shù)分析師科林·伯德估計，該行業(yè)的收入“在2017年底達到3000多萬美元，預計到2024年將超過20億美元。大約90%的布局仍然有待填補，因此有巨大的機會。在一個100%的潛力市場中，目前只涌進了4%-5%的企業(yè)。”

　　目前，汽車網(wǎng)絡(luò)安全主要集中在三個主要市場：北美，西歐和日本。毫無疑問，那些已經(jīng)準備好從中搶得一杯羹的參與者將會包括博世、哈曼、大陸以及霍尼韋爾等領(lǐng)先的汽車供應商和思科等跨國網(wǎng)絡(luò)公司。

　　分析師Frost&Sullivan的汽車連接專家Krishna Jayaraman表示，汽車公司目前在安全方面的IT預算中只占3%至7%，但隨著“獲取軟件服務(wù)和安全功能的投資”，這將大幅增長繼續(xù)獲得動力，安全將成為研發(fā)預算的一部分。”

　　實際上，這個過程已經(jīng)在不斷醞釀之中。2015年-2016年，哈曼花費超過10億美元(8.1億歐元)購買了TowerSec、Red Bend軟件和Symphony Teleca，而大陸集團去年11月以4億美元(3.25億歐元)的價格收購了以色列擁有的網(wǎng)絡(luò)安全公司Argus。

　　Jeep還將矛頭對準了立法者的緩慢行動，他們突然意識到——由于大多數(shù)車輛到2020年將具有一定程度的聯(lián)網(wǎng)功能，他們需要在他們認為安全責任所在的位置采取立場，特別是在出現(xiàn)問題時。因此，法律和立場文件正在變得越來越快。據(jù)報道，歐盟的網(wǎng)絡(luò)安全機構(gòu)正在考慮向與其他關(guān)鍵領(lǐng)域(如食品安全)類似的聯(lián)網(wǎng)汽車頒發(fā)證書。“黑Jeep”事件還啟發(fā)了美國的立法系統(tǒng)，推動參議員擬定了新的汽車安全法案和數(shù)字安全標準。

　　立法者似乎認為，這個行業(yè)，尤其是高級管理人員，已經(jīng)停止了這種做法。截至去年8月，英國政府聲明的立場是，網(wǎng)絡(luò)安全應該在董事會層面負責管理和改進。“我們已經(jīng)看到了提供這些網(wǎng)絡(luò)安全計劃的公司的高層管理人員將承擔個人責任的舉措。”Elektrobit的Kocher說。

　　為了搶在黑客的進度前面，汽車行業(yè)于2015年成立了汽車信息共享和分析中心。其作用是識別和跟蹤潛在的網(wǎng)絡(luò)威脅。Kocher承認，“我們認識到擁有100%的網(wǎng)絡(luò)安全并不是現(xiàn)實”。然而，Kocher希望看到的是一種可以盡快控制黑客攻擊的情況。 “有不同的技術(shù)可用，例如入侵檢測軟件和異常檢測。”他說。

　　“那么你需要能夠非?？焖俚胤治鲞@些信息的技術(shù)，以保護車輛免受攻擊，并在任何地方修復泄漏。當你擁有一個設(shè)計良好的系統(tǒng)時，目標就是在幾個小時內(nèi)停止攻擊。”

　　數(shù)據(jù)處理與保護成自動駕駛汽車關(guān)鍵

　　特斯拉和Waymo都試圖收集和處理足夠的數(shù)據(jù)，以創(chuàng)造一輛可以自動駕駛的汽車。他們正在以不同的方式處理這些問題。特斯拉正在利用其在道路上行駛的數(shù)十萬輛汽車，收集有關(guān)這些車輛在目前半自治系統(tǒng)Autopilot下如何行駛(以及它們可能如何執(zhí)行)的真實數(shù)據(jù)。 Waymo開始了谷歌的自駕車項目，它使用強大的計算機模擬，并將它從中學到的東西提供給一個更小的現(xiàn)實世界的車隊。

　　但收集數(shù)據(jù)是一回事，處理數(shù)據(jù)也是一項艱巨的任務(wù)，尤其是保護數(shù)據(jù)安全的時候。從頻頻曝出的數(shù)據(jù)泄露事件中，汽車廠商們是時候來一波大整頓了。