每次测试防火墙或安全套件时,我都依靠CORE Impact渗透工具来检查其抵御攻击的能力。 CORE Security确实专注于漏洞管理和渗透测试,但公司的利益远不止于此。 在RSA大会上,高级安全和策略副总裁Eric W. Cowperthwaite向我介绍了他们的研究人员对现代“互联汽车”的安全了解。
互联汽车的发展
Cowperthwaite说:“在整个第一代计算机化汽车中,计算机都是独立的。” “第二代也是如此。展望未来,现代汽车实质上将是移动WFi热点,移动设备,数据中心。每个与计算机连接的系统都将像一个应用程序,可以连接到网络,可以互相通信。系统将通过卫星与制造商的数据库进行对话。”
他继续说:“如果您考虑使用现代军事装备,那么F16或新型M1坦克就完全计算机化了。操作员和他的控制装置都与计算机相连。每个部件之间都有计算机链接。现代汽车看起来像那样。”
不完全是玫瑰色
“当然有问题,”考珀斯韦特说。 “看看丰田发生了什么事。我们不知道这是导致自发加速的计算机,但我们不能排除它。当您无法测试所有可能的用例时,就会发生这种情况。”
他指出,汽车中的错误或不良软件可能会导致严重的后果。 如果不使用刹车怎么办? 更糟糕的是,如果坏人找到了通过黑客赚钱的方法呢?
Cowperthwaite说:“所有联网汽车都需要某种卫星上行链路来提供车载Wi-Fi。” “对于坏蛋来说,攻击单个汽车可能并不有利可图,但是如果他们使用汽车向制造商的上游入侵,又该怎么办?或者在停车场附近开车吸取数据呢?卫星上行链路给攻击提供了潜在的机会。闯入汽车制造商的后端。”
物理攻击也是可能的。 Cowperthwaite说:“假设现在是2017年,而奥巴马不再担任总统。他会开车到处乱逛。如果怀有怨恨的网络暴徒知道他的车在哪里,他可能会遇到麻烦。就像医疗设备被黑客入侵一样,骇客可能是致命的。”
白帽黑客
Cowperthwaite无法透露全部细节,但他确实声明CORE Security正在为至少一家主要的汽车技术公司进行渗透测试。 他解释说:“我们的业务是帮助他们提前进行测试,因此,他们不会淘汰脆弱的系统。我们使它们尽可能具有抵抗力。在将系统发布给公众之前,我们让我们来看一下,像攻击者一样思考。”
人们会真的尝试破解下一代汽车吗? Cowperthwaite非常确定他们会的。 他说:“为什么会这样?有很多理由。” “十年前,我们无法想象有人会闯入计算机系统,窃取凭据,然后将其公开发布以进行炫耀。但事实确实如此。”
他总结说:“我们所有人都有汽车,而更换率大约是每七年半。到2020年,除收藏家的物品外,几乎所有汽车都将连接起来。在物联网中,互联世界就是汽车真的很有趣。” 我确定他是对的。 我当然希望CORE Security和类似机构进行的测试将确保驾驶联网汽车是安全和积极的体验。
