为何应该把你的汽车钥匙放在金属咖啡罐里？

Published : 2018.9.1

专业的网络安全专家绝不会将车钥匙挂在后门附近的挂勾上，也不会将它们放在厨房的柜台上。最佳的防盗策略就是将钥匙存放在老式的金属咖啡罐中。

“真的，有些网络专家部会在没有将钥匙放入金属容器的情况下去睡觉，”以色列空军的资深人士、现任守卫诺克斯网络科技公司（GuardKnox Cyber Technologies）首席执行官莫许·史利索（Moshe Shlisel）说。“它被称为法拉第牢笼（Faraday Cage）。因为将钥匙放入金属罐中可以阻挡电磁场。”

 从电子车钥匙卡（Key Fobs）中复制代码很容易。科技窃贼可在您家外或汽车旅馆外进行。然后他们可在车主没有意识到他们其实已被侵入的情况下，窃取车辆或使获得访问权。

包括守卫诺克斯团对在内的网络安全公司正在与底特律三大汽车公司，以及全球的汽车制造商合作，制订保护措施，已遏制贪图新车及其数据的黑客。

在过去90天内，守卫诺克斯已获得三项美国专利，其中包括“通信锁定法”，可防止攻击者进入车辆系统。该专利包括卡车、公共汽车、轮船、飞机、无人机，甚至宇宙飞船。该方法已在战斗机和导弹防御系统中实施。

“脆弱无所不在，而Fob就是一种症状。”史利索在特拉维夫南边的办公室接受电话采访时说道。“还记得20年前的电脑吗？没有防火墙，暴露在许多攻击媒介中。如果有人在高速公路上行驶时，同时还有两个孩子在车上，当你的汽车被人控制而你却什么都做不了时，你一定会很崩溃。如今，这样的情况将可以被避免。”

这不是科幻小说，这就是现实生活，一个被无线连接的世界。车门通过喀哒声和唧唧声上锁，后座中的儿童可以观看视频，而后备摄像头使停车变得更容易，驾驶员辅助系统可防止事故，而公司更可以远程更新软件。

“连通性引发了网络风险，”从事网络安全战略的非营利性汽车信息共享和分析中心的执行董事法叶·弗兰西（Faye Francy）说。

她说，虽然汽车工业工程师对传统的安全性、质量、合规性和可靠性挑战了如指掌，但网络是一种“自适应对手”。

“这是一个不断变化的新兴威胁，需要透过操作在设计的各个方面上勤奋的改进，而这并不是一个简单的工程修复。”弗蘭西說。“随著我们进入智能城市和自动驾驶，互联性提供了更高的效率和安全性，但也为更广泛的全球生态系统带来了潜在的风险。”

需要：一个网络俱乐部

还记得重型钢制设备－有些人称之为Kryptonite俱乐部－那些驾驶员在20世纪80年代和90年代用笨重的金属大锁，锁在他们的方向盘上的东西？现在，这个行业也必须在他们的网络上找到这个能力来防范黑客。

“今天我们处于一个相互联系的社会，从我们的电脑到手机，从到我们的汽车再到我们家。我们需要在网络上使用Kryptonite棒（汽车金属防盗锁），”弗兰西说。

“汽车制造商开始在设计和制造的每个阶段实施安全功能。这包括密钥卡。网络安全的防范能力是今天在数字时代开展业务的成本。”

2015年，底特律三大汽车公司和其他11家汽车制造商成立了该团队，负责分享、跟踪和分析与北美、欧洲和亚洲相关联的车辆相关的潜在网络威胁、漏洞和事件。 弗兰西指出，一家公司发现潜在的攻击，可能意味着另一家公司可预防安全漏洞。

史利索的董事会成员包括在通用汽车董事会任职的高管，他说数字防火墙至关重要。“如果你没有一种机制可以保护他的通信免受复制它们的人的攻击，那么拟就是傻子。有些公司透过在亚马逊上合法销售物品来复制车辆的变速箱。这被称为'中间人攻击' 或'接力攻击'。”

因此，虽然消费者喜欢连接技术提供的便利性，并愿意为增强型技术支付更多费用，但事实上连接技术的价格却很高。

“人们把它称为物联网，或正如我想说的那样，'充满威胁的互联网'，”弗兰西说。 “你没办法在阅读报纸时不读到另一起网络攻击的新闻。”

专门从事黑客攻击保护的公司不会透露他们能够破解车辆的频率或容易程度。 一位网络安全研究员说：“我们的工作不是让这个行业难堪。”一些汽车制造商表示他们不想讨论这个话题，因为害怕被视为向黑客挑战。

能够轻松远程访问的车辆肯定会带来好处。

2017年，特斯拉远程和暂时提高了其特斯拉汽车的电池容量，从而提高了驾驶范围，这些汽车的拥有者是佛罗里达州的车主，而他们当时试图逃离飓风伊尔玛。

行业观察家说，但这些便利的方式常会被坏人利用。

真实存在并持续增长的威胁

位于硅谷的网络安全创业公司Upstream产品副总裁丹·萨哈尔（Dan Sahar）表示，车辆广泛发生网络攻击的风险是真实的，并且还在不断增长。

萨哈尔表示，车辆易受攻击的部分原因在于拥有数亿行代码的软件复杂性，而其公司专注于云计算的网络安全、监视和阻止异常情况。

他说，有这么多行代码，就会存在错误，并且“如果有错误，黑客就可以利用这个错误。”

但目前尚不清楚公众到底会多快发现一组针对汽车大规模的黑客行为。

“有些公司从不承认这一点。你知道优步被黑了，但你什么时候知道的？当事情发生后一年你才知道。”萨哈尔说。

“在这种情况下，黑客窃取了5700万优步用户的数据。而Uber没有报告这一事件，而是向黑客支付了10万美元，用于删除被盗数据并保密。”

网络攻击对移动中车辆的后果尤为可怕。

最着名或最臭名昭着的事件涉及2015年的吉普切诺基（Cherokee）。黑客能够在吉普车于圣路易斯地区的高速公路上开车时干扰其操作。这些网络安全研究人员能禁用吉普汽车的变速器和制动器，并在车辆倒车时接管方向盘。

这一事件损害了菲亚特克莱斯勒汽车公司的声誉，尽管它不是唯一受攻击的公司； 萨哈尔说，首先允许黑客入侵的连接来自蜂窝网络，并指出由于汽车制造商依赖于众多供应商，因此存在更多潜在的漏洞。

当然，吉普的黑客攻击只是其中一个例子。

根据《今日美国（USA TODAY》的报导，2017年中国安全研究人员第二次攻击特斯拉Model X，做到了“远程刹车，让车门和行李箱打开和关闭，同时按照汽车收音机播放的音乐，以及即时闪烁灯光。”

在回应《自由报（Free Press）》的询问时，包括底特律三大在内的一些汽车制造商承认正在努力解决网络安全问题。

通用汽车发言人汤姆·威金森（Tom Wilkinson）表示，随着车辆连接的不断发展，通用汽车将继续加强网络安全保护。“通用汽车的三支柱防御法采用纵深防御、监控和检测，以及事件响应功能来保护我们的客户、他们的车辆和他们的数据。”

菲亚特克莱斯勒于2016年建立了一个漏洞赏金计划，强调它有一个致力于预防、检测和应对网络安全风险的小组。车辆网络安全高级经理桑德拉·霍斯勒Sandra Hosler）说，该公司“正在部署硬件和软件技术，以防止网络侵入”，并保持与其他公司的合作。

与此同时，福特发表了与智能城市和联网汽车相关的移动行业最多的新闻稿。 这是CEO吉姆·汉克特（Jim Hackett）最喜欢的话题。

虽然福特发言人凯伦·汉普顿（Karen Hampton）没有提供有关网络安全的细节，但她确实表示该公司非常重视安全和数据隐私。“我们将继续发展我们的流程和政策，以确保其透明度、安全性和隐私，因我们扩大了我们提供的连接产品和服务，用以改善客户的生活和我们负责运营的社区。”

与此同时，菲亚特克莱斯勒和特斯拉指出他们的赏金计划有助于识别和减少网络安全威胁。

特斯拉发言人说：“我们的工作人员致力于不断进行压力测试、验证和更新我们的保护措施。他们每天都专注于这一点。意思是，我们不会仅依靠赏金计划参与者识别威胁，但它们对于帮助特斯拉来说的确很重要，确保我们能始终保护我们的产品。”

网络安全专家表示，他们常拥有至少两辆车，一辆比较旧，而另一辆则提供奢华的相机和新技术，“因为旧的更安全。”

原文出处：

https://www.freep.com/story/money/cars/2018/05/30/car-keys-metal-coffee-can/629027002/

< PrevBack to blogNext >