很多人都看過那部電影,計算機高手搗鼓幾下,就能把壹大堆汽車全都控制了,想讓它們往哪裏沖就往哪裏沖。看了電影,感到過癮的同時,忍不住想,我的車會不會也出現這種情況?
黑客能控制我們的汽車嗎?觀眾的看法主要有兩種,壹種認為:假的,電影嘛,總要帶點科幻色彩才比較震撼!另壹種則認為:不行,現在的汽車太不安全了,我還是開回我的老捷達吧。
今天我們從技術的角度來聊聊這個問題,先說結論:
1、從理論上講,只要有軟件在運行並且從外界接受輸入,就有被攻擊和破解的可能;
2、攻擊和破解沒有想象中那麽難,也沒有想象中那麽簡單;
3、沒必要過於擔心。
下面為大家詳細闡述。
攻擊和破解稍有不同,破解的難度更大,破解的目的是非法獲得控制權,攻擊的目的是使目標崩潰。當然,從廣義角度講,破解也是壹種攻擊,本文按照狹義角度討論。
先說攻擊,只要妳需要從外界接受輸入,我就可以在很短時間內產生海量輸入,很快就能讓妳的系統崩潰!打個比方(註:這裏不討論合理性、合法性,僅僅是從技術討論角度進行假設),有人開了壹個商店,另外壹個人想攻擊他,就請壹萬個人同時假裝顧客到店裏來,只是看看或挑選商品,或者與服務員討價還價等等,就是不真正購買。如果這種情況持續下去,壹直都保持有壹萬人去店裏搗亂,結果會怎麽樣?(1)店裏工作人員會累崩潰;(2)真正有需求的顧客根本進不來;(3)只有支出,沒有任何收入。現實世界裏,這種持續海量訪問攻擊是不太可能的,因為代價非常大,但在計算機世界裏,實現起來很簡單很容易。
這種攻擊行為壹般發生在競爭對手之間,攻擊者目的就是搞垮對方,自己並不能直接獲得好處。而破解則不同,破解者采用各種手段,非法獲得系統的控制權,目的通常不是讓系統直接崩潰,而是能為破解者產生收益。
相對於攻擊,破解的難度大很多。主流的思路是找漏洞然後利用漏洞。任何壹個復雜的系統都存在漏洞,只不過有的漏洞很容易被發現,有的漏洞很難被發現。壹個操作系統,代碼量有幾千萬到上億行;壹個瀏覽器,代碼量也至少二千萬行。想想,這麽多行代碼,要做到沒有任何漏洞是絕對不可能的。
通常壹個軟件系統,由三類軟件組成:1、操作系統;2、第三方公司開發的實現某種功能的通用軟件;3、自己開發的業務軟件。這三種軟件,都會有漏洞,但是相對來說,前兩種軟件出現漏洞的危害更大,黑客最喜歡這兩種軟件中的漏洞,因為它們有普適性、性價比高:找到了壹個,就可以廣泛應用在很多目標上......
這個世界上,有很多個人、組織或公司,每天唯壹的任務就是找漏洞,妳的軟件名氣越大用的人越多,就越會被研究。找漏洞這種行為的存在,有好壹面,也有不好的壹面。好的壹面是,漏洞是客觀存在的,我不找,總有人會找到,還不如我找到了首先通知開發者馬上制作補丁;壞的壹面是,找到的漏洞,最終的下場都是被惡意利用,因為即使開發者馬上發布了補丁,也不是所有人都會立即去升級修補的,所有沒有及時打補丁的系統,立刻就被推到危險的邊緣!
要破解壹個系統,有時候很容易。有些系統比較老舊,存在大量被公開的漏洞,這個時候,壹個普通的愛好者就可以利用現成的黑客工具進行破解,破解者自己並不需要知道具體的機制和原理是什麽。
但是,如果系統有專門的人壹直進行安全維護,有漏洞就及時打補丁,那麽這種情況下要破解就難多了。普通破解者沒法直接用現成的工具進行破解,只能憑自己的本事努力去尋找目標系統的未被修補的漏洞。真正的黑客高手,都會掌握壹些不為人所知、隱藏很深的漏洞......
還有壹種破解思路,叫暴力破解,常用於破解系統的登錄密碼或加密密鑰。這種破解方式不是找漏洞,而是采用最原始的方式:窮盡各種組合,壹個個的去嘗試。為了防止這種暴力破解,常見的密碼登錄系統往往都會限制壹定時間內連續錯誤密碼的次數。如果妳的系統沒有這種限制,恭喜妳,理論上我肯定能猜出妳的密碼,破解時間只取決於我運行破解程序的計算機運算能力和妳密碼的復雜度了。很多時候,我們在保存、傳輸重要數據的時候要對數據進行加密保護。這種加密數據的破解是非常適合用暴力破解方法,理論上只要運算能力足夠強大,現在所有的加密保護都不安全。
還有壹種破解思路,叫逆向工程。什麽意思呢?就是根據妳公開發布的可執行程序,我通過技術手段進行反匯編,壹步步反推出高級語言的源代碼,最終能保證我反推出來的源代碼能編譯出跟妳壹樣的可執行程序。幸好,逆向工程是壹件非常考驗人的苦活,要有無比的耐心和細心,能抗住的人還真不多。
很多人都有壹臺自己的計算機,只要裝上壹個殺毒軟件並且不胡亂上壹些有病毒或木馬的網站,基本就不會出什麽問題;黑客,那只是個傳說,只在電影裏看到過,現實中怎麽沒有黑客來找過我啊?
是的,普通人沒必要過於擔心。通常來說,黑客要攻擊壹個目標,不外乎這幾種原因:1、獲取金錢利益;2、磨練自己的技術;3、展示能力,為了榮譽或知名度;4、因為某種特殊原因報復破壞。對於我們普通老百姓而言,妳擔心個啥呢?說句紮心的話,攻擊妳只是浪費黑客自己的時間......
上面說了壹堆,並沒有專門針對車聯網,但也基本適用。不過,車聯網還是有其特殊性,壹是更復雜、系統環節更多;二是畢竟還是新生事物還在起步階段還不成熟;三是車聯網的安全關系到人的生命安危,更不容忽視。因此,相對而言,風險確實還要大些。
先看壹張圖,如下所示:
整個車聯網系統,可以四個方面:
1、雲端,包括廠商雲和監管雲。廠商雲對車輛有很大的控制權,可以在線升級車輛的軟件系統,因此壹旦廠商雲被攻破,那問題就很嚴重。監管雲壹般跟蹤車輛的基本狀況,進行智能交通管理等,不會直接控制車輛。
2、傳輸,包括有線網絡、無線wifi、蜂窩網絡等方式。所有數據在節點之間傳遞,必須要進行加密處理。
3、車輛,這是我們重點關註的對象,直接關系到我們的生命和財產安全。車輛上的系統可以分為兩大類:控制系統和通信系統。
4、終端,不僅僅指手機,還包括鑰匙、交通設施等。終端提供車輛控制、輔助和信息反饋。
這四個方面都存在可以攻擊的地方,具體見下面的圖:
就問妳,看完這些圖慌不慌?
別慌,我們能知道有這些問題,國家監管部門當然也知道,肯定會采取各種措施來解決!
2019年11月29日,中國汽研與國家計算機網絡應急技術處理協調中心聯合成立車聯網安全聯合實驗室。同日,北汽藍谷信息(北汽藍谷信息技術有限公司)、中電互聯(中電工業互聯網有限公司)、奇安信(奇安信科技集團)也宣布聯合成立車聯網安全實驗室。還有其他很多大公司、組織機構,也都早已經關註和研究車聯網安全。
車聯網安全問題,不是壹個汽車廠商也不是壹個監管部門或者壹個信息安全公司能做起來的,而是需要所有各方的大力協作和配合才能實現。車聯網安全問題,其實是壹場永不停止的戰鬥,沒有壹勞永逸的解決方案,沒有絕對安全的系統,也沒有永遠修補不了的漏洞。攻擊與防護會達到壹個平衡的狀態,壹切,都才剛開始起步,相信未來會越來越好!
本文來源於汽車之家車家號作者,不代表汽車之家的觀點立場。