美國國會夠狠!草案聽證欲將「白帽黑客」送上

  網絡滲透測試     |      2023-04-10 07:15

毋庸置疑,智能聯網化可能要比新能源,更能夠代表未來汽車產業發展的趨勢。但我們在享受流媒體音樂、實時交通導航等便利功能的同時,卻無形使自己陷入了黑客攻擊造成的潛在安全隱患中。八月份以來,從Jeep切諾基“淪陷”開始,已經陸續有其他品牌車型被爆出“安全漏洞”。一時間,圍繞底層系統架構和互聯汽車安全保障等方面的討論甚囂塵上。但熟料近日美國國會針對一項草案舉行的聽證會,不僅沒有鼓勵車企、供應商和安全研究團體合作,卻似乎“有意”將這股應時而生的行業推動力量扼殺掉。

據《連線》雜志報道,美國眾院能源和商務委員會今天開始對一項「美國高速公路安全管理局改革草案」舉行聽證,討論是否將“個人或團體針對汽車網絡安全進行的研究定論為違法行為,并將其納入司法體系”。而眾所周知,這些熱衷于網絡安全研究的民間人士,即我們俗稱的“白帽黑客”,對促進聯網汽車安全的良性發展有著積極作用。固然美國國會的做法可謂“謹慎”,但如果將實驗性質的汽車數據搜集和安全操作扣上「違法」的帽子,恐怕這無益于增加消費者對汽車網絡安全的信心。


Jeep召回引發汽車網絡安全熱議


△白帽黑客Charlie Miller & Chris Valasek在演示遠程控制Jeep切諾基

這項改革法案是在幾位白帽黑客陸續公布了某幾款車型存在的安全漏洞后,草擬提請國會通過的。今年夏天,安全研究員Charlie Miller和Chris Valasek向公眾展示了他們是如何通過無線“入侵”Jeep切諾基車載娛樂系統,進而通過其控制了車子的轉向、剎車和傳動系統。而這項安全研究的后果,不僅令克萊斯勒美國公司“被動”向車主提供了漏洞補丁解決方案,同時還“被迫”拿出大筆資金用于140萬臺涉事車輛的召回。

事后有人將這兩位白帽黑客的一系列行為稱作“故作姿態的炫技作秀”。我們暫且先不討論二位破解Jeep切諾基的意圖,有一點不可否認的是,他們發現的安全漏洞幾乎在其他很多車機系統上都有。今年早些時候,有幾位安全研究員公布了特斯拉Model S車載娛樂系統存在的類似安全隱患;而加州大學圣地亞哥分校的某團隊甚至通過入侵一枚能聯網的“軟件狗”,成功控制了一輛雪佛蘭克爾維特。類似的實例盡管數量不多,但足以讓整個汽車產業清楚地認識到未來聯網汽車發展面臨的安全屏障。

據車云菌了解,早在公眾意識到汽車面臨黑客攻擊安全隱患之前,美國議會曾在報告中披露,目前汽車行業存在大量形式各異的安全規則。例如,有部分主機廠會將車輛安全檢測的工作交由第三方機構完成,而其他車企可能對此并不在意;其實絕大多數檢測機構并沒有能力對侵入車機系統的惡意行為進行監測。

不過可喜的是,目前美國汽車行業已經充分認識到了網絡安全的重要性,并伺機成立了情報共享和分析中心(ISAC),以供內部分享安全漏洞信息。而這已經邁出的第一步,為今后智能汽車的網絡安全建設奠定了基礎,既有利于安全研究人士和車企建立長效的合作機制,同時也能夠提升以主機廠為主的整個汽車工業的安全標準,而受益方卻是所有消費者。


汽車網絡安全建設恐“功虧一簣”


但無可奈何的是,原本事情已經在朝著明朗的方向發展時,卻硬生生跳出了這么一個攔路虎。而擺在美國眾院能源和商務委員會面前的這份「美國高速公路安全管理局改革草案」很可能會使目前取得的一些成果“功虧一簣”。假設將安全研究人員進行的代碼檢索、漏洞探查等工作定性為「違法」,未來聯網汽車不僅更容易受到不法分子的惡意攻擊,同時汽車網絡安全方面的創新也可能停滯不前。而限制安全研究人員的行為對防止黑客對同一漏洞進行攻擊,或者由這一漏洞進行深層次發掘,都似乎毫無裨益。

車云菌倒認為,在日益嚴峻的汽車網絡安全形勢下,政府應該在保持謹慎的同時,鼓勵車企向IT產業學習,而后者更多的是選擇同安全研究人員建立長效合作機制,邀請他們搜集、尋找、報告軟件程序和產品中的漏洞。因為這種將專攻于網絡安全的研究人員劇集麾下,經過共同商討得到解決方案的形式,在面對黑客攻擊威脅時甚為高效。所以國會不僅不應該將這些“白帽黑客”們和肆意妄為的破壞者混為一談、一棒打死,甚至可以努力促成主機廠和民間安全研究組織的合作。