■ 文 /chulong

FBI向美國民眾發(fā)出警告黑客攻擊車載系統(tǒng)不再是演習(xí)

■ 文 /chulong

聯(lián)邦調(diào)查局和美國交通部還給民眾提供了一些防護(hù)建議：必須要實(shí)時(shí)更新自己的汽車軟件；盡量避免安裝一些未經(jīng)授權(quán)的車輛軟件；在汽車網(wǎng)絡(luò)中連入一些設(shè)備時(shí)，必須格外小心等等。

前不久，據(jù)一則新聞報(bào)道：一位美國公民駕駛著他的2014款切諾基，行駛在圣路易斯州的高速公路上時(shí)，切諾基的網(wǎng)絡(luò)系統(tǒng)突然遭到了黑客攻擊。

黑客用遠(yuǎn)程設(shè)備控制了該系統(tǒng)，并切斷了他與外界的聯(lián)系?，F(xiàn)在，F(xiàn)BI已經(jīng)介入了此事的調(diào)查，同時(shí)還對(duì)美國民眾發(fā)出了警告，讓他們要對(duì)這種針對(duì)車載系統(tǒng)實(shí)施的網(wǎng)絡(luò)攻擊，給予高度的重視，因?yàn)樗钦鎸?shí)存在的風(fēng)險(xiǎn)。

不久之后，美國交通部（DOT）、美國國家公路交通安全管理局（DTNHTSA）、聯(lián)邦調(diào)查局（FBI）等部門一起發(fā)布了一項(xiàng)公共服務(wù)公告。

公告中表示：“FBI和NHTSA現(xiàn)在警告美國公眾及汽車、汽車配件和售后設(shè)備制造商——應(yīng)該警惕現(xiàn)代汽車聯(lián)網(wǎng)技術(shù)帶來的潛在問題和網(wǎng)絡(luò)安全威脅?！?/p>

該公告稱：“現(xiàn)代化的汽車通常包括一些全新的聯(lián)網(wǎng)汽車技術(shù)，其旨在提供諸如提升燃油經(jīng)濟(jì)性或增強(qiáng)整體便利度的附加安全功能。而消費(fèi)者后期購買的設(shè)備也能為消費(fèi)者提供一些新功能，用來監(jiān)控車輛的狀態(tài)等。不過隨著連接性的提升，對(duì)消費(fèi)者和汽車生產(chǎn)商來說，對(duì)潛在的網(wǎng)絡(luò)安全威脅保持警惕至關(guān)重要?！?/p>

FBI和NHTSA還在公告中提出了一些建議，以減少汽車遭受網(wǎng)絡(luò)黑客攻擊的風(fēng)險(xiǎn)。這些小貼士包括及時(shí)更新軟件來修補(bǔ)安全漏洞，并避免在未經(jīng)授權(quán)的情況下修改汽車軟件；在修改軟件時(shí)保持謹(jǐn)慎；同時(shí)在將不安全的第三方設(shè)備接入汽車網(wǎng)絡(luò)時(shí)要格外小心。

該公告稱，廣大汽車和卡車司機(jī)必須要對(duì)這種新的網(wǎng)絡(luò)攻擊威脅，引起重視并加以防護(hù)。

在該公告中，并沒有披露任何的，關(guān)于相關(guān)機(jī)構(gòu)對(duì)車載系統(tǒng)襲擊事件調(diào)查的細(xì)節(jié)，而是在其中引用了一份2015年車載系統(tǒng)襲擊調(diào)查報(bào)告，它給人們提供了一些如何防止車輛遭到攻擊的措施，以及當(dāng)你發(fā)現(xiàn)你的汽車遭到了網(wǎng)絡(luò)攻擊，你應(yīng)該怎么辦，其中一項(xiàng)就是迅速向FBI報(bào)告，向他們尋求幫助。

PSA（標(biāo)志雪鐵龍集團(tuán)，一家法國私營汽車制造公司）表示：隨著汽車制造技術(shù)的不斷革新，現(xiàn)在的汽車中通常都包含很多新的車輛網(wǎng)絡(luò)連接技術(shù)。

之所以在汽車制造中加入這些高科技技術(shù)，就是為了給用戶提供便利，比如：增加安全功能、提高燃油的經(jīng)濟(jì)性能、以及在整體性上作出了更大的改變。一些售后設(shè)備也為消費(fèi)者提供了一些新的功能，這些功能能幫助他們對(duì)自己的愛車進(jìn)行實(shí)時(shí)監(jiān)測，了解運(yùn)行狀態(tài)。然而，這也是一把雙刃劍。

（1）假設(shè)數(shù)據(jù)集 D={x1，x2，…，xn}的維數(shù)為d，網(wǎng)格u為邊界稠密網(wǎng)格，考察其鄰近網(wǎng)格單元是否存在稀疏網(wǎng)格單元u′，若存在則進(jìn)行步驟（2），否則不作處理；

這些新增的科技技術(shù)，也給網(wǎng)絡(luò)黑客們創(chuàng)造了實(shí)施攻擊的機(jī)會(huì)。正如PSA公司所說的那樣，消費(fèi)者和汽車制造商必須時(shí)刻注意這種潛在的網(wǎng)絡(luò)安全威脅。

在公告中，聯(lián)邦調(diào)查局和美國交通部還給民眾提供了一些防護(hù)建議：必須要實(shí)時(shí)更新自己的汽車軟件；對(duì)那些需要用戶提供汽車相關(guān)信息之后，才能安裝軟件安全補(bǔ)丁的請(qǐng)求，應(yīng)提高警惕；盡量避免安裝一些未經(jīng)授權(quán)的車輛軟件；在汽車網(wǎng)絡(luò)中連入一些設(shè)備時(shí)，必須格外小心，要事先確保設(shè)備的安全性等等。

這些防護(hù)措施其實(shí)就是從去年發(fā)生的一起車載系統(tǒng)攻擊事件中，總結(jié)出的經(jīng)驗(yàn)教訓(xùn)。

2015年7月，兩名叫做查 理· 米 勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）的黑客攻擊了克萊斯勒（Chrysler）公司的一款吉普車。

之后，克萊斯勒公司迅速發(fā)出了一則召回聲明，召回了140萬輛該款吉普，同時(shí)向那些遭到攻擊的客戶寄去了新的，帶有及時(shí)軟件更新驅(qū)動(dòng)程序的U盤。

8月份，來自圣地亞哥加州大學(xué)的研究人員發(fā)現(xiàn)，在Corvette（克爾維特，雪弗蘭公司在2015年推出的一款跑車）的車載系統(tǒng)中存在漏洞。

公告中還指出：就像你不會(huì)將自己的個(gè)人電腦或智能手機(jī)放在一個(gè)不安全的環(huán)境中，或是借給一些你不信任的人一樣，司機(jī)們盡量不要將自己的愛車借給陌生人使用，這樣，在一定程度上，就能夠降低被攻擊的風(fēng)險(xiǎn)。

而最重要的是，你必須時(shí)刻對(duì)那些能夠訪問你的車載系統(tǒng)的人，保持足夠高的警惕性。

克里斯·瓦拉塞克（他也是Jeep-hacking事件的調(diào)查員）表示，在FBI發(fā)表的聲明中，新的信息少之又少，但他說：“FBI認(rèn)為，對(duì)于那些還沒有認(rèn)識(shí)到車載系統(tǒng)正面臨著數(shù)字攻擊威脅的用戶來說，這其實(shí)才是真正可怕的地方。

我們要對(duì)針對(duì)車載系統(tǒng)實(shí)施的網(wǎng)絡(luò)攻擊，給予高度的重視，因?yàn)樗钦鎸?shí)存在的風(fēng)險(xiǎn)。

因?yàn)楸绕鹫嬲暮诳凸?，用戶?duì)攻擊威脅的毫不知情，才更為令人擔(dān)心。

對(duì)于這一點(diǎn)的重要性，F(xiàn)BI強(qiáng)調(diào)的太遲了，但也告訴人們，應(yīng)該認(rèn)真地看待FBI發(fā)表的聲明?！?/p>

Valasek 還表示：“該公告中最重要的部分，就是公告中提出的要求了。具體為：一些用戶懷疑黑客侵入了自己的車載系統(tǒng)，并通過其進(jìn)入了FBI、汽車制造商以及美國國家公路交通安全管理局的相關(guān)系統(tǒng)，進(jìn)行用戶信息篡改和用戶刪除等非法活動(dòng)，因而他們要求對(duì)自己的賬戶進(jìn)行檢查。直到現(xiàn)在，我和我的‘合作伙伴’Charlie Miller就像掉進(jìn)了一個(gè)信息漩渦之中，整天都會(huì)收到大量的信息。在這些信息中，有些有一定的可信度，有些則是無稽之談。而這些信息的發(fā)布者都是那些堅(jiān)信他們自己是車載系統(tǒng)攻擊事件的受害者。同時(shí)，Charlie和我每天都會(huì)收到一些電子郵件，郵件內(nèi)容大致都是：你們兩個(gè)混蛋攻擊了我的車載系統(tǒng)！”

克萊斯勒公司在一項(xiàng)聲明中稱，該公司“絕不相信公開有可能鼓勵(lì)或幫助黑客非法攻入汽車系統(tǒng)的信息是合適的，也絕不會(huì)容忍這種行為”。

克萊斯勒公司已經(jīng)與米勒和瓦拉塞克溝通數(shù)月，并在上周發(fā)布了據(jù)稱可以修補(bǔ)安全漏洞的補(bǔ)丁包。

米勒表示，將研究結(jié)果公之于眾是想通過引發(fā)公眾關(guān)注來提高汽車的安全性能。

“我們所能做的就是指出這些汽車的安全漏洞，讓生產(chǎn)商的研發(fā)人員攻克這些問題并提出好的建議。”米勒說。

雖然并不清楚有多少汽車會(huì)受到影響，米勒和瓦拉塞克相信他們的攻擊方式在所有搭載UConnect車載信息系統(tǒng)的汽車上都是奏效的，這涉及克萊斯勒公司2013年底至2015年生產(chǎn)的多種新品系汽車。