這不是"恐嚇" 黑客離你的汽車越來越近

    互聯(lián)網(wǎng)的恐龍時代(2003年以前),最早有能力借助網(wǎng)絡(luò)快速傳播的病毒案件,已經(jīng)讓人有點記憶模糊。“永恒之藍”勒索病毒幫助人們復活了恐怖的記憶。

　　6月28日,名為“Petya”的勒索病毒變種,再度肆虐。這一次,勒索病毒瞄準的是交通公司、能源和金融企業(yè),針對公共基礎(chǔ)設(shè)施的攻擊將越來越多。
　和早期以炫技為目的不同,現(xiàn)在的病毒,越來越像一門非法生意。和擁有成熟安全機制的銀行等金融機構(gòu)不同,交通網(wǎng)絡(luò)在智能化的道路上剛剛起步。顯然,汽車安全實際上指的是人的安全。汽車的物理安全還未完全解決,人們可能要增添點的新的擔心:汽車的數(shù)據(jù)安全。也就是說,汽車作為一個數(shù)據(jù)終端,會不會導致泄密、財產(chǎn)損失,甚至威脅人身安全?

　　智慧車輛是“易感者”

　　至少目前而言,還不需要公眾憂心忡忡,因為具備泛數(shù)據(jù)交換能力的汽車絕對數(shù)量還很少。黑客無法劫持一輛普桑,但特斯拉車主就需要小心一點了。

　　事實上,車輛數(shù)據(jù)上傳還是近幾年的事情。而且,廠家對開放底層數(shù)據(jù)都持消極態(tài)度。理論上而言,只要具備遠程數(shù)據(jù)交換功能的汽車,都可以受到非物理接觸的黑客攻擊。不過,目前手段是受到嚴格限制的。

　　當前普遍采用的CAN總線通訊中,各個ECU只通過規(guī)范化的報文進行通訊。每個ECU能發(fā)送和接收的報文,在出廠前就已經(jīng)在總線協(xié)議中制訂好了。車輛的特定節(jié)點,只能執(zhí)行特定的功能。沒有開放車聯(lián)網(wǎng)遠程控制功能的ECU,是無法被控制的。整車廠商將重要的功能,如剎車、油門、轉(zhuǎn)向等,都設(shè)置成只能接受本地控制。古老的CAN總線盡管不能適應(yīng)車聯(lián)網(wǎng),但遲遲沒有被拋棄的原因就在于此。

　　而ICT廠家則相信汽車“上網(wǎng)”是大勢所趨。不但駕駛員(或者未來的自動駕駛系統(tǒng))要上傳操作數(shù)據(jù),還要上傳傳感器數(shù)據(jù),乃至核心控制數(shù)據(jù)。

　　因此,自動駕駛對環(huán)境感知、智能決策和控制的要求,總線架構(gòu)必須要修改。智能控制的核心,就是要將轉(zhuǎn)向、車速、剎車等核心駕駛ECU的控制權(quán)限交給智能駕駛控制器。

　　黑客們的機會就來了。雷達、攝像頭等傳感器可能遭受攻擊,并傳遞錯誤信息,引發(fā)安全事故。鑒于現(xiàn)在處理的車輛數(shù)據(jù)越來越大,此前多個單一功能的ECU控制權(quán),必須上收到處理能力更強大的中央控制器。這樣一來,汽車和電腦就沒什么差別了。只要攻破車載CPU,整車控制權(quán)就不在話下。

　　更糟糕的是,智能互聯(lián)功能諸如云計算、V2X、OTA升級等,關(guān)鍵節(jié)點也將聯(lián)網(wǎng),相當于將汽車脆弱的部分暴露在高速無線網(wǎng)中。NMAP、御劍、AWVS等傳統(tǒng)黑客工具,將派上新用場。

　　JEEP曾經(jīng)被發(fā)現(xiàn)遠程漏洞,迫使FCA召回170萬輛車;而科恩試驗室也展示了遠程攻擊特斯拉的能力(特斯拉不承認遠程漏洞)。幸好這些都是白帽黑客,他們找出漏洞,雖然令整車廠商尷尬,但仍然是善意的?，F(xiàn)實世界肯定要殘酷得多。

　　整車廠商并未將互聯(lián)網(wǎng)的病毒泛濫模式與車聯(lián)網(wǎng)掛鉤,因為后者遠未成形。而且,互聯(lián)網(wǎng)病毒,越來越像一門非法生意。

　　發(fā)端于密歇根大學的學院派們早已認定,自動駕駛和車聯(lián)網(wǎng)是未來出行的模式,它們將處于智慧交通網(wǎng)絡(luò)的覆蓋下。在這種模式下,本地智能和云端決策共存,依靠高速通訊(5G)實施云對端、端對端的數(shù)據(jù)傳輸。

　　自動駕駛汽車集成了大量的傳感器,利用內(nèi)部數(shù)據(jù)流實現(xiàn)對環(huán)境的感知。云端服務(wù)器也有能力透過云計算,收集、處理泛交通數(shù)據(jù)。更要緊的是,云端可以對車輛進行實時控制,并可以順帶完成故障診斷、自動報警、預(yù)測導航和養(yǎng)護建議的功能。

　　盡管整車廠商和一級供應(yīng)商打算獨立運作云平臺的很少,但他們認為銀行已經(jīng)有運行數(shù)據(jù)安全交換的經(jīng)驗和成熟機制,車聯(lián)網(wǎng)平臺是安全的。

　　銀行系統(tǒng)不直接讀取外來數(shù)據(jù),而是將其放入“中間池”中。而托管的云端服務(wù)器的防火墻機制完善。托管企業(yè)不斷測試漏洞并更新系統(tǒng),俗稱打補丁。雖然理論上沒有攻不破的防火墻,但云端服務(wù)器不支持直接讀取外來數(shù)據(jù),而是將其放在“中間池”中。試圖劫持云平臺是費力不討好的。

　　在供電網(wǎng)絡(luò)中,我們已經(jīng)建立了“防火溝”機制,即將超載事故限制在小范圍,不至于蔓延到整個城市,杜絕了“紐約大停電”的災(zāi)難。

　　車聯(lián)網(wǎng)難道有什么特異之處?正打算在車聯(lián)網(wǎng)安全領(lǐng)域大顯身手的科技公司當然持不同看法。

　　黑客攻擊的尋常道路

　　和擁有成熟安全機制的銀行等金融機構(gòu)不同,交通網(wǎng)絡(luò)在智能化的道路上剛剛起步,遠未建立起完善的安全機制。事實上,連技術(shù)架構(gòu)本身都未確定。在黑客眼里,不啻于待宰的肥羊。

　　車輛和交通指揮系統(tǒng)讓渡部分控制權(quán)給云端,帶來新的安全問題。不但云端本身可能被阻塞攻擊下陷入癱瘓,車輛控制權(quán)更容易被劫持。當前互聯(lián)網(wǎng)下PC、手機喪失控制權(quán),固然可能帶來財產(chǎn)和個人信息暴露,但車聯(lián)網(wǎng)下車輛喪失控制權(quán),帶來的危險要大得多。
　黑客或者更廣泛意義的“惡意用戶”,并非總以奪取控制權(quán)為目的?？赡苤幌胫踩肽承┬畔?或者插入一些代碼,也不排除無目的性的純粹惡作劇。但就攻擊目標而言,無外乎兩個:端攻擊(攻擊車輛本身)和泛網(wǎng)攻擊。后者包含網(wǎng)路、智能交通的所有外部節(jié)點,還包括云端服務(wù)器。鑒于后者還未建立,對攻擊模式的猜測,只能以現(xiàn)有網(wǎng)絡(luò)為參考。

　　已經(jīng)有黑客試圖用發(fā)送垃圾包的方式,淹沒數(shù)據(jù)通道,這是一種變相的阻塞攻擊。雖然云平臺本身的數(shù)據(jù)安全無虞,但終端(車輛)與云平臺的通訊將被阻遏。黑客仍然有機會偽裝云端發(fā)送“種馬”數(shù)據(jù)包給終端,而終端對于遠程幀和數(shù)據(jù)幀的校驗?zāi)芰赡艽嬖谌毕?終端控制權(quán)被臨時劫持。對于整個云端指揮系統(tǒng)而言,仍然存在系統(tǒng)性危險。

　　我們假定,道路(或者整個城市)的云端,已經(jīng)積累了足夠多的交通大數(shù)據(jù),將整個城市數(shù)字化了。每一厘米道路都被數(shù)字化,交通設(shè)施也具有智慧特征,產(chǎn)生數(shù)據(jù)流。汽車而非人類駕駛員能據(jù)此感知到交通信號和路況,每輛車都可以和道路“對話”。道路將告訴它如何行進,在多遠會遇到障礙,建議最佳處理策略。

　　這些數(shù)據(jù)鏈是亞毫秒級實時更新的,本地智能決策算法將變得簡單,再也不用窮盡所有可能的狀況。危險是所有交通參與者嚴重依賴網(wǎng)絡(luò)。

　　《速度與激情8》中描述的,黑客利用“天眼”系統(tǒng),“批量”黑了上千臺車。且不論技術(shù)上如何實現(xiàn),云端指揮機制本身就為大規(guī)模制造“僵尸車”提供了可能。

　　在有人駕駛時代,市內(nèi)交通事故通常規(guī)模很小而且只影響局部區(qū)域。但是黑掉整個網(wǎng)絡(luò)、導致巨大安全事故、整個城市癱瘓的前景太可怕,我們絕對無法承受交通網(wǎng)絡(luò)全局控制能力被劫持。

　　技術(shù)從來都是雙刃劍。我們沒有因為地球上每年車禍喪生120萬人,而否定汽車的發(fā)明。車聯(lián)網(wǎng)尚未建立,安全問題已經(jīng)提上討論日程。整車廠家無一例外都宣傳自家產(chǎn)品的物理安全,將來必然加上數(shù)據(jù)安全。他們相信能夠?qū)Ω逗诳凸粜袨?哪怕只是模擬攻擊),而科技公司則相信車聯(lián)網(wǎng)安全可能會危及車聯(lián)網(wǎng)自身。他們不可能全都正確,但試錯的成本太高,留給我們選擇的時間已經(jīng)不多了。