可信组件

网站版权归迈道驰石油化工(天津)有限公司 津ICP备18010294号         津公网安备 12011602000554号

官方微信

手机官网

>
>
>
特斯拉前实习生发布60美元开源汽车系统破解工具包

新闻中心

特斯拉前实习生发布60美元开源汽车系统破解工具包

分类:
行业动态
发布时间:
2014/09/03 11:41
浏览量
【摘要】:
各个汽车厂商都有自己的封闭的汽车系统,出于安全考虑,但是某些人不这么觉得,让汽车系统开源让更多人去研究汽车系统存在的问题,能更好的增强汽车系统的安全性。埃里克·伊文齐克(Eric Evenchick)所研发的开源工具会对汽车工业带来什么样的影响尚未可知,但和小迈看一下汽车行业的汽车系统现状吧。



各个汽车厂商都有自己的封闭的汽车系统,出于安全考虑,但是某些人不这么觉得,让汽车系统开源让更多人去研究汽车系统存在的问题,能更好的增强汽车系统的安全性。埃里克·伊文齐克(Eric Evenchick)所研发的开源工具会对汽车工业带来什么样的影响尚未可知,但和小迈看一下汽车行业的汽车系统现状吧。

埃里克·伊文齐克(Eric Evenchick)知道听任交通状况摆布会是怎样一番景象。这或许就是这位特斯拉(Tesla)前实习生为什么如此渴望破解他乘坐的交通工具以获得更大控制权的原因所在。我们通过加密通话应用RedPhone进行交谈的时候,他滞留在香港机场等候延误的航班飞赴新加坡——他将在那里举行的亚洲黑帽大会(BlackHat Asia)上公布开源的CANard工具。

他的代码使那些喜欢鼓捣东西的人能够更加容易地进入联网汽车的系统内部,看看是否可以做出任何有用的调整,或者是否存在可供恶意黑客利用的、令人担忧的安全漏洞,而且这么做的代价比以往任何时候都要低。伊文齐克希望,CANard(基于广泛使用且备受欢迎的Python语言)将对整个汽车业产生更大的影响力。它应该可以让安全研究人员轻松地对汽车进行缺陷检查,伊文齐克希望藉此使他们更加重视针对汽车的黑客入侵。

他在最近几周完善了代码,把CANard变成了更加强大的工具。他对福布斯说,该工具现在能够对控制器局域网(Controller Area Network,简称CAN)进行适当的诊断(当今几乎所有汽车都安装了控制器局域网,被用来发送车辆数据)。这意味着任何了解或学过Python(对于新手来说这是非常好用的编程语言)的人都可以利用电脑来探索他们能够获得对哪些功能的控制权,无论是苹果Mac、微软Windows还是Linux电脑。他们还需要购买相关硬件来连接笔记本电脑和诊断系统,也就是OBD2接口,伊文齐克也提供这种接口。他将以59.95美元的超低价出售作为CAN和电脑连接装置的CANtact(不含USB和OBD2线)。第一批只有100个,但CANtact也是开源的,意味着它易于复制,那些拥有适当技能的人甚至可以让它更廉价。

最近几个月,安全研究人员多次突破汽车安全系统。今年1月,科里·图恩(Corey Thuen)披露美国前进保险公司(Progressive Insurance)的OBD2电子狗存在一个令人吃惊的安全漏洞。后来,得到美国国防部高级研究计划局(DARPA)资助的研究人员使用一台笔记本电脑对一辆汽车进行远程控制。

以前,只有掌握了更加昂贵的定制硬件并且了解汽车所采用的信息交换协议,才能够破解汽车系统。但在最近几年里,这个领域日益向普通人敞开大门。研究人员克里斯·瓦拉塞克(Chris Valasek)和查理·米勒(Charlie Miller)在2013年将他们的汽车破解工具开源(也包含了探测漏洞的Python脚本),后来又公布了无需真正获取控制权就能入侵汽车系统的操作指南,但他们不像伊文齐克那样提供硬件装置。伊文齐克相信,他的工具包比以往的工具更易于获取。

“我想使这件事变得简单容易。Python程序员能够获得代码……并以此开始工作。它也被当成程序库,而不只是脚本的集合。计划是围绕它打造出更多的功能,并使之成为开源工具。”我们通话结束后,他在电子邮件中这样写道。

但研究人员对于破解汽车系统不是很踊跃。由于大多数汽车制造商对安全研究人员并不上心,而且购买和测试车辆的费用很不便宜,因此伊文齐克、米勒、瓦拉塞克和其他很多人想让大家明白,人人都应该开始检测自己汽车的漏洞,以便使汽车厂商正视那些问题。伊文齐克说,这好过于等着灾难真正发生了才使制造商们改变对安全问题的思维方式。

“使诊断变得廉价,这意味着我们不仅可以检测系统的安全性,还可以利用诊断来实现其原本的用途:修复汽车。”他说,“一个大问题在于接触车辆。比如说,福特(Ford)不会让任何拥有安全技能的人走进他们的工厂去破解汽车系统。”

“我没法想接触多少汽车就接触多少汽车……实际上,我是向朋友借的车。”他说他再三发现汽车各项诊断功能的身份验证措施很不安全。“你能够读写你本不应该读写的数据。”

汽车安全组织OpenGarages的创始人、安全研究公司Theia Labs的首席执行官克雷格·史密斯(Craig Smith)认为,对于研究人员和想弄明白汽车如何工作的普通人来说,伊文齐克的开源工具有利于降低进入门槛。史密斯说,由于汽车系统拥有超过1亿行代码,因此让尽可能多的安全研究人员对系统安全性进行验证是绝对必要的。

但“拼图还少了一块”:如何对待研究人员的发现。“很少有汽车制造商发布相关程序,让研究人员可以向他们报告研究发现。由于没有这些政策,研究人员不知道如何联系制造商,好让问题得到有效解决。这可能导致研究人员被起诉和/或受到禁制令。”

近五年来,伊文齐克一直致力于汽车技术。这期间,他曾于2012年在特斯拉(Tesla)做了四个月的实习生,负责为这款著名的电动汽车开发某些软件功能。虽然他不被允许接触细节内容,但他说该公司是对汽车安全最负责任的企业之一,设立了针对漏洞发现的奖励基金并提出了全面的信息安全计划。

其他汽车厂商不像特斯拉那么有远见,但几个新组织,尤其是I Am The Cavalry,正在与汽车业和政府机构努力合作,以便让各家汽车厂商采取更好的做法。面对着施加的越来越大的压力,汽车公司或许会感觉到在灾难发生前有必要立刻采取行动。

部分图文来源于网络

迈道驰润滑油:www.mcdonch.com