通用汽車的網路安全祕訣
為了防止黑客攻破汽車,通用採取了一系列措施。
在上週舉行的 CES 大會上,通用汽車釋出了一則不同尋常的公告。這家汽車巨頭公開宣佈了其安全漏洞及披露計劃:將漏洞提交給通用汽車公司的黑客將不會受到法律指控。漏洞披露計劃在矽谷十分常見,但在汽車世界非常罕見,只有特斯拉推出過類似計劃。
通用汽車剛剛與 Lyft 就無人駕駛汽車簽訂了一項開創性的協議。該項計劃的幕後推動者,公司首席產品網路安全官傑夫·馬希米拉(Jeff
Massimilla)肩負的任務很複雜:讓通用汽車為未來做好準備,並確保越來越依賴於計算機的汽車不受網路安全漏洞的困擾。媒體在 CES
大會後採訪了馬希米拉,他闡述了通用汽車目前面對的機遇與挑戰。
通用汽車為什麼對網路安全感興趣?
馬希米拉的職責是確保雪佛蘭、別克、凱迪拉克等通用車系不會成為黑客容易下手的目標,他手下的團隊由大約80名員工組成。
“在車輛和服務系統中嵌入防禦層,我們顯然是在保護產品生態,而且是在一個沒有絕對安全的世界裡做這件事情。我們所說的網路安全防禦不止包括檢測和監控,還包括響應。”
通用汽車近期遇到了不少網路安全麻煩。2015年,研究人員山米·坎木卡(Samy
Kamkar)發現了一個漏洞,黑客可以利用該漏洞,通過通用汽車的 OnStar RemoteLink 應用和 OnStar
服務開啟車門,啟動發動機。儘管該漏洞沒有吸引罪犯,畢竟在2015年,還有比擺弄智慧手機更簡單的偷車方式,但該事件確實讓通用汽車開始對網路安全的重要性提起注意。
當馬希米拉被問及通用汽車對 OnStar 入侵的應對措施時,他停頓了幾秒,給媒體的回應如下:
通過這起事件,我們瞭解到與安全研究人員的合作計劃非常重要。我們正在構建一個溝通計劃,讓整個系統擁有深度的防禦、檢測和響應能力。通過與安全研究人員互動,我們意識到可以通過響應解決發現的漏洞,並在威脅出現之前檢測它們。
換句話說,通用汽車似乎意識到了在內部檢測安全漏洞的重要性,或者至少藉助外部研究人員的力量了解它們,越快越好。這家汽車巨頭顯然在和大眾汽車思考一樣的問題:大眾汽車的產品似乎故意製造不準確的排量資料,這導致了一場公關噩夢。軟體問題對消費者的信任造成了重大打擊,也對公司產生了巨大財務衝擊。
互聯的智慧車輛風險很高。這可能是很多人不願意聽到的事實。
如何修復有漏洞的軟體?
未來,汽車會出現安全漏洞。從統計意義上講,這幾乎是必然發生的事情。那麼如何修復它們?現在,汽車廠商正對消費者宣傳自家產品搭載的4G天線,通用汽車會使用天線自動推送更新?你是不是需要把車停到車庫裡,再用一條網線尷尬地連線到伺服器?還是未來汽車進行更新的方式與這些完全不同?
馬希米拉的回應很有趣。如果可能,通用汽車將使用後臺更新應用程式,在遠端禁用老版本應用之後向使用者推送新版本,這和智慧手機應用的更新流程很相似。通用汽車已經與
AT &T
達成了一項協議,如果漏洞需要通訊運營商協助修復,過程也會很流暢。然而,馬希米拉補充說:“問題取決於漏洞存在於車輛的哪裡。我們可以將更新版本推送到車輛,也可以請求客戶拜訪經銷商獲取解決。”
特斯拉也在努力應對這一問題。
底特律為什麼會吃黑客這一套?
為了確保汽車沒有安全漏洞,黑客不能對駕駛員造成傷害,或者造成尷尬的媒體醜聞,通用汽車等大型汽車廠商被迫與獨立尋找漏洞的“白帽子”黑客協同合作。這群黑客中的兩位:查理·米勒(Charlie
Miller)和克里斯·瓦拉塞克(Chris
Valasek)去年黑進了一輛吉普切諾基長達九十分鐘,並在汽車行駛狀態下遠端獲取控制權,吸引了大量媒體的關注。兩位黑客現在已經被 Uber
聘用。
通用汽車的安全漏洞計劃努力與安全研究人員和白帽子之間保持開放的關係。這裡存在挑戰。無法無天的黑客文化並不總是與汽車行業的保守方式合得來。在與媒體的溝通過程中,馬希米拉多次讚揚了通用汽車和漏洞披露平臺
HackerOne 的合作,因為,它有效地扮演了通用汽車和黑客社群之間的中間人。(注:HackerOne 的投資人包括 Salesforce
創始人兼 CEO 馬克·本尼霍夫(Marc Benioff)、俄羅斯科技大亨尤里·米爾納(Yuri Milner)、Dropbox 公司 CEO
德魯·休斯頓(Drew Houston))
通用汽車讓 HackerOne 成為了外部人士上報安全漏洞的首選平臺,這能夠緩解高管對不可預知的黑客亞文化的精神緊張。
網路安全問題也迫使激烈競爭的汽車製造商彼此合作。馬希米拉是汽車資訊分享分析中心(Auto
ISAC)的副主席,該機構由兩大貿易團體共同組建:全球汽車製造商協會(ASSOciation of Global
Automakers)、汽車製造商聯盟(Association of Global
Automakers),它是網路安全資訊交換平臺,旨在幫助汽車廠商識別並應對安全問題,其董事會幾乎涵蓋所有主要汽車製造商的高管。
與此同時,汽車製造商正在準備迎接一個軟體比零件對汽車更加重要的時代。
本文轉自d1net(轉載)
相關文章
- 網路安全是汽車行業的重中之重行業
- 玩互聯的網核心祕訣什是麼?
- 美議員呼籲汽車安全監管行業重視汽車網路安全行業
- 解讀個人網站Viralnova.com的走紅祕訣網站
- 郝芬頓郵報前CEO的網站流量祕訣網站
- Google招聘優秀人才的祕訣Go
- 我的高效程式設計祕訣程式設計
- 程式設計師成功的祕訣程式設計師
- 出色的 JavaScript API 設計祕訣JavaScriptAPI
- 遊戲成功的五大祕訣遊戲
- 西方手機遊戲在日本盈利的祕訣遊戲
- 女程式設計師的成功祕訣程式設計師
- 程式設計巨星的唯一祕訣程式設計
- 6個用好大資料的祕訣大資料
- 網路安全“慣犯”,有哪些不為人知的祕密?
- [譯] 幫你高效使用 VS Code 的祕訣
- 從 CRUD 遷移到事件溯源的祕訣 - eventstore事件
- 瑞爾3年虧12億的定位祕訣
- IT自由職業者的12個成功祕訣
- 提高無線網路下載速度的秘訣
- 偷懶祕訣之變數篇變數
- 大資料盈利祕訣——資訊圖大資料
- 寫好程式碼十個祕訣
- 安全測試|網路安全漏洞分類分級指南、CVSS、DREAD的通用思路
- 網聯汽車存安全隱患美當局呼籲加強網路安全保護
- 【連載】高效人士的116個IT祕訣(第2版)——祕訣23早晨就來一次突破
- 抓機遇,做汽車網路安全產業“發動機”GAYD產業
- Upstream:2021年全球汽車網路安全報告
- 田汽車張靈通:整體網路安全架構架構
- 揭祕網路賭什麼樣的平臺資金最安全的,必看
- 【連載】高效人士的116個IT祕訣(第2版)——祕訣25快速記錄你的工作日誌
- 社交網路擴張的祕密
- 網際網路的下一個祕密
- 絕佳的API設計祕訣 - DZone整合API
- 讓遊戲更有趣的祕訣:策略與隨機遊戲隨機
- 避免App淪為“殭屍”的12個祕訣APP
- 《經濟學人》:亞馬遜20年長期發展的祕訣亞馬遜
- 蘋果成功的祕訣在銷售 不在製造蘋果