互联汽车面临的网络安全问题
互联汽车(Connected vehicles)正在产生巨大的网络安全问题,不过,《汽车安全与隐私法案》(Security and Privacy in Your Car Act,简称SPY Car Act)正试图保护消费者的信息安全。
近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。车主还能通过智能手机应用远程解锁汽车、查看引擎状态或定位车辆所在。
美国政府气候变化与安全中心(Center for Climate Change and Security)研究员Daniel Allen认为,在技术不断进步的同时,互联汽车同样面临着与其他物联网设备一样的问题,即来自于网络的安全威胁。Allen是一位参加过当年沙漠风暴行动的老兵。最近,由于其针对互联汽车网络安全的在线技术培训计划,Allen刚入选了Entrepreneurs Organization-Houston Veterans Business Battle(一个支持退役老兵创业的活动)2016年度的最终决赛名单。在本文中,Allen就互联汽车的网络安全问题以及诸如《汽车安全与隐私法案》之类的监管措施发表了自己的观点。
随着物联网类技术在汽车行业日益广泛的运用,互联汽车面临着哪些安全隐患?
Daniel Allen:通过与互联网以及其他车辆的连接,互联汽车能够提升驾驶的安全性和效率。但是,车辆和驾驶人员同样由此而暴露在网络攻击的威胁之下。这些车辆被设计成为移动式的联网设备或是无线热点(如同一个可移动的无线局域网),从而导致传输保密、数据完整和身份认证(confidentiality、 integrity、authentication,CIA)等网络安全类问题暴露出来。
随着车辆不断融入物联网、互联和自治特性日益彰显,在与其他车辆和基础架构进行无线连接的过程中,受到网络威胁的潜在风险也越来越高,也提升了乘车人所面临的风险。简单地说,如今的互联汽车已经演变为一个可驾驶的计算机,从而和计算机一样面临着各种网络方面的威胁。
2013年,通过成功控制丰田普锐斯的部分功能,网络安全专家Charlie Miller和Chris Valasek实证了汽车系统的脆弱性。2015年,他们又从10英里之外成功侵入了一辆切诺基(基于切诺基的Uconnect功能),能够控制该车的刹车、行驶速度、广播、雨刷器等。Miller和Valasek的实验震惊了业界,总计有140万辆汽车被召回进行软件升级。
对于互联汽车技术面对的安全隐患,会出台哪些法律法规?
Allen:互联汽车面临着全天候的网络安全风险,政府因此加快了工作的进度。去年7月21日,《汽车安全与隐私法案》的草案稿出台,这是这个领域的第一部法律草案。同时,针对互联汽车的安全和隐私问题,国会还责成全美高速公路管理局和联邦贸易委员会一同建立联邦级的标准。
在该法案中,对计算机技术与汽车技术的融合做出了规范。随着远程通信系统(telematics systems)、传感器、蓝牙和802.11 IEEE无线局域网标准在汽车领域的应用,互联车辆正逐渐演变为一款超级移动设备。
你认为这些标准能够保护消费者和互联汽车吗?
Allen:如果与其他国家级、关键性基础架构的网络安全规范一样,那最终形成的标准就应该能够为车辆和乘车人提供足够的保护。值得注意的是,工业控制 /SCADA系统(Supervisory Control And Data Acquisition,数据采集与监视控制)与汽车行业有一点非常相似:历史悠久,但之前一直没有成为黑客的焦点。
在这种没有很强安全需求的情况下,相关的战略和规范就显得比较薄弱,直接导致安全防御能力的低下。而且,传统上,这两个行业的产品开发周期都在一年以上,使得针对已知安全威胁的措施在产品进入市场时已经过时了,而面对新出现的威胁又无法应对。Stuxnet蠕虫病毒就是一个最佳的案例,工业控制系统在安全方面的脆弱性和滞后性彰显无遗。
作者:Ben Cole
来源:51CTO
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- 去年中国网络安全产业规模超700亿
- 未来5年网络安全支出将达到1万亿
- CNCC 人物专访 谭晓生(下)| 人工智能时代的网络安全新发展
- 网络安全越玩越大,Tenable获2.5亿美元B轮投资
- 以网络安全为例的大数据可视化设计
- 传网络安全提供商FireEye有意收购CyberArk
- 医疗设备网络安全FDA指南解读
- 《网络安全人才市场状况研究报告》出炉 四大发展趋势值得关注
- 突发 | 大陆收购汽车网络安全公司Argus,收购价格可能为4亿美金
- 凭借这41道网络安全面试题,我拿到了鹅厂offer
- 零基础入门网络安全?看这一篇就够了!
- 调查显示:员工构成的网络安全威胁超过黑客
- 网络安全之隐私保护
- 101.网络安全渗透测试—[常规漏洞挖掘与利用篇17]—[json劫持漏洞与测试]
- 中职网络安全2022国赛之CVE-2019-0708漏洞利用