這個黑過飛機的人把嗅探器裝在了汽車上
汽車就是裝了輪子的計算機,飛機就是浮在空中的數據中心,然而這種機動性與連接性的結合卻是建立在缺乏足夠安全控制的基礎之上,漏洞滿身,隱患重重。
以色列最近舉行的網路周安全大會上的主要議題之一,就是改善交通運輸安全。在為期一天的「光速」( Speed of Light )活動中,曾讓FBI頭疼的「飛機黑客」羅伯特作為司儀主持了本場會議,焦點就放在交通網路安全上。
羅伯特透露了交通運輸系統面臨的威脅以及來自供應商的回應,他認為,交通運輸安全發展很不平衡,該領域的成功大多來自以色列這樣的國家積極以供應商的身份處理這些問題。
「以色列不僅僅是來了幾個公司,這個國家作為主體直面了交通運輸安全。我們作為地方政府,作為國家,需要了解交通運輸安全,我們需要學習……各國應向製造商施加壓力,讓他們改善當前糟糕的交通運輸安全。」
羅伯特認為,通用公司做得很好,福特也不錯。一些德國公司幹得漂亮。菲亞特克萊斯勒集團則還有工作要做。而且某些行業在理解網路安全風險方面要比其他行業走得更遠些,比如汽車行業的網路安全意識就超前航空業一步。
「波音拒絕承認航空網路安全問題。空客對此持觀望態度。其他一些行業稍微好些。」
美國的問題在於,要國土安全部(DHS)明確通告相關公司「你們出問題了」,還要其他監管機構對他們說「你們得好好聽聽啊」,他們才會開始裝模作樣地調查,做些不痛不癢的改進。
但如果一個全天候處在威脅之下的國家作為國家主體想要了解運輸本國國民的系統的安全狀態,那發出的信號就不一樣了,收到的效果也不可同日而語。
國家可以向製造商施加壓力,問題只在於其他國家政府能否跟進以色列的樣例。
一些歐洲政府正在推進積極的網路安全改善動作,其他地方則還沒有採取行動。
鹿特丹港口開始以更積極的態度將航運作為網路安全風險對待,未來將會推進航運網路安全改善。
與之相反,美國鐵路協會則表示「我們不能干涉,我們所能做的只是代理人討論」。美國政府監管機構乾脆踢起了皮球,說自己得尊重鐵路協會的管理。然而,推諉責任解決不了問題,交通運輸安全問題得方方面面都參與進來才能有所改善。
交通運輸安全威脅已經堆積成了一團亂麻。
DHS和NCISC已發出航空安全警告,地面控制、衛星控制和其他一些遙測存在安全問題。
汽車安全要優於其他交通方式的網路安全狀況,這是個很驚悚的現象,因為汽車安全本身也還有很多工作要做,看看媒體上層出不窮的報道就知道了。
作為用戶,在車輛安全改善方面並沒有多少可以做的。用戶能做的只是每個月到車庫去升級一下自家車的微軟系統補丁——來自福特或通用的補丁。
最好每個月親自去打一下補丁,因為你要不親自動手把補丁挪到自家車上應用起來,補丁只會靜靜地躺在那兒一動不動。
無線更新?這東西可不是總那麼可靠的。
比方說,萬一不小心正好處在網路盲區呢?或者根本沒有無線更新的發展中國家?中東、遠東這些沒有4G/5G的國家又怎麼辦?跨國自駕游的時候怎麼辦?
羅伯特家裡既有現代汽車又有經典老爺車,他的網路安全意識並沒有影響到他的購車決定,但影響著他對他的車所做的某些事情。
「我在大卡車上裝了個網路嗅探器,看看這車都共享了些啥。簡直嚇呆!GPS、遙測數據、跟蹤信息,一大堆數據都共享出去了。」
「如果關掉共享又可能會繞過安全控制或者讓保單失效。誰掌握著車輛產生的數據也是個問題。這到底是在保護用戶還是在監視用戶呢?」
一些保險公司會基於遙測設備和感測器的讀數為小心謹慎的駕駛員提供更便宜的保費套餐。出於隱私原因,羅伯特極力反對這種做法。他說:「保險公司滾蛋!對我來說,5%的折扣不值得我接受保險公司在我車上裝個跟蹤裝置。」
3年前,FBI懷疑羅伯特通過機載娛樂系統黑進了飛行中的聯合航空公司航班的控制系統。2015年4月,羅伯特在乘坐聯合航空飛往錫拉丘茲 (紐約州) 的航班途中發了條關於飛機網路安全的推文。航班一落地,他就被FBI帶走盤問,並短暫扣留了他的一些設備。
但事件之後FBI並未對他提起任何訴訟,這讓羅伯特在信息安全界聲名大噪。其他黑客迅速為他站台,而他自此成為了航空產業各方的可信合作夥伴和專家顧問,儘管其他人似乎仍然不願意接受他的研究。
※水壩與工控安全的最大威脅竟然是……
※安全新需求:海事安全漏洞滿身
TAG:安全牛 |