在美国西南的一个城市里,16岁的年轻黑客进入了交通灯控制系统的软件,获得了对信号灯的控制,如果他愿意,随时可以造成严重破坏。他可以让所有信号灯闪黄灯,阻滞交通,或者让所有信号灯显示绿灯,造成更严重后果。
这是发生在25年前的真实案例。
Jim Christy是一家咨询公司的创始人,他曾任美国国防部网络犯罪中心未来探索部门主管。25年前的这起黑客事件让当时还是一名警察的Jim Christy感到震撼。最近,他向汽车企业和交通部门强调了再次发生这类事件的潜在危险。
虽然汽车工业已经开始在一些控制汽车行驶的关键系统上,填补数字安全漏洞。但是Christy在参观纽约车展时说,更大的威胁存在于和车辆通信或控制车辆运动的道路基础设施。
它 可以是交通信号灯、GPS或是自动驾驶时代的短距离数字通信系统。上述系统对黑客和恐怖分子有很大吸引力,一来因为通过基础设施可以引起更大的破坏,二来 因为它们共容易被劫持。他说:“人们总说互联汽车会让生活轻松很多。但这种论调让我紧张,车载互联网虽然新鲜,但很危险。”
整车厂已经提升对联网安全性的关注。今年早些时候,多家汽车厂商已经联合组建共享信息网络,对抗黑客。美国公路交通安全管理局也在2012年设立了专门检查新车网络安全性的新部门。
交通信号灯仍是中心话题。今年内,已经有两个数字安全研究团队成功入侵并控制了美国多个城市的交通信号灯系统。
今 年夏天,数字安全研究者Cesar Cerrudo曾在美国几十个城市演示了他是如何劫持交通灯系统的。就在上周,密歇根大学的学生也表示完成了类似的试验项目,控制了一个城市里的超过一千 盏交通灯。在上述两个案例里,研究者都说,交通灯系统未使用加密信号,破解难度易如反掌。
政府束手无策
今 年早些时候,在Cerrudo的研究公布后不久,美国国土安全部发布了相应的建议法案。但是Christy认为联邦政府官员对于数字安全危机的准备仍然不 够。数字交通系统大多由承包商管理和运营,政府对其安全预案的了解甚少。他说:“政府根本没有预案,无法保证数字交通系统的安全。”
这块法规的真空不但影响交通信号灯,还波及了其他关键性的基础设施,如大坝、水处理设施、石油管线和电网等。Christy将这种法规缺失和早期的建筑行业做了类比:当时缺少建筑标准,不但建筑物安全难以保证,有时甚至连某些必要设施(如草坪灌溉设备)都没有规划。
他 认为已经有黑客曾试图劫持交通基础设施,而且随着互联汽车的发展,基础设施会成为更大的目标。他说:“关于互联汽车,有人认为其发展有利无害。但我一直工 作在反黑客领域,知道黑客们的手法。许多互联系统的功能基于GPS建立。一旦GPS遭劫持,那后果不堪设想。有些国家甚至投资大量金钱,研发劫持GPS的 技术,以备不时之需。”
目前情况下,劫持汽车更困难,相比之下,劫持交通系统就容易得多。
Chris Valasek是IOActive安全公司汽车业务总经理,曾发表过两篇关于汽车网络劫持的论文。他说,劫持汽车系统不但费钱,而且难度大,因为控制汽车行驶的软件系统对于黑客来说,既复杂又陌生,黑客也需要很长的时间慢慢学习。
他说:“就好比要学习劫持浏览器的技术,仅需提前下载这款浏览器。但是想要劫持一款车,你得先买一台回家。”
Christy 和Valasek认为,车载第三方设备(如通过蓝牙或插口同车辆配对的智能手机)今后很有可能成为劫持汽车的理想切入点。因为它成本低、耗时短,政府和整 车厂可能会难以招架。如果黑客用此方式,不但可以直接获得对汽车的控制,还可以间接对交通环境造成恶劣影响。随着这类切入点的增多,汽车联网越来越危险。
Valasek说:“对于安全问题,从不存在真正的解决方法,人们要学会接受一定的风险水平。安全系统都是人建的,人能建它,就能破他。”