保护现代信息系统
无论你是看GPS提示,连接到你最喜欢的流媒体音乐电台、卫星使用蓝牙与你的智能手机上的应用程序数量过大,在你的汽车信息娱乐系统在很大程度上是无害的,不显眼的——至少在汽车驾驶体验的宏大计划。
大多数乘客根本不会将信息娱乐系统视为汽车的关键部分。毕竟,它为您提供了诸如天气之类的信息,并且它以多媒体的最佳能力为您娱乐。但是,信息娱乐系统不会使车辆走向。它不会引导车辆。它不会停止或加速车辆。它不会让车祸。
还是这样做?
作为汽车的潜在门户高级驾驶员辅助系统,信息娱乐系统可以与可以影响汽车传感器,电子稳定性控制,防抱死制动器,车道脱落,自适应巡航控制,牵引力控制等的数据相关联。因此,它为网络安全黑客创造了一个有吸引力的目标。这应该担心乘客和汽车制造商。
其他担心的汽车制造商是信息制造商是信息娱乐系统是明天自动化和连接的车辆体验的关键组成部分。然而,固定信息娱乐系统中的挑战是复杂和相当大的。互联网上的任何计算机黑客都可以利用使用Wi-Fi,蓝牙和USB技术的外部连接的Web应用程序,有时很容易。
大量的代码 - 超过1 GB,包括超过50,000个可执行文件 - 是典型的现代信息娱乐系统。仅涉及的代码数量介绍了网络安全的机会,使用诸如此类的编码误差缓冲区溢出,堆溢出和其他内存损坏漏洞。对网络安全攻击者的代码和设计漏洞的曝光可能会威胁到乘客的安全性。
这种系统的安全性 - 并了解Cyber Hackers攻击如何利用它们 - 这是至关重要的。不幸的是,系统漏洞并不总是给予他们应得的注意力,直到为时已晚。值得庆幸的是,我们可以通过从黑客学习来积极主动。
学习如何防止网络图案有时是对违反直觉的必要部分。我们需要鼓励黑客来破解汽车以暴露代码和设计漏洞 - 我们只是不希望他们破解正在移动的真正的汽车。近年来,几个高调的案件曾致力于帮助我们从信息娱乐系统中公开的漏洞中吸取教训,并且值得我们注意。
一个突出的例子包括现在一个传奇的2015吉普Chackee黑客示范。在IT中,Charlie Miller和Chris Valasek的研究人员称为报告称为“数字碰撞 - 测试假人”,以支持连接娱乐和导航系统中的漏洞。在这种情况下,两个黑客能够禁用制动器并将车辆驱动到沟里。此外,他们证明了克服密码保护是多么容易蛮力攻击有时基于系统启动时间的简单猜测。
在另一个着名的事件中,中国的安全研究人员能够破解一个tesla模型x,将制动器远离刹车,让门和后备箱打开和关闭,同时闪烁着灯光。使用内存损坏漏洞,他们将此演示从汽车的无线电流到了音乐 - 他们被称为“未经授权的Xmas展示”。复杂的黑客涉及通过在一系列迂回计算机漏洞中通过信息娱乐系统发送恶意软件。研究人员能够通过Wi-Fi和蜂窝连接来远程控制汽车。
如果这不够可怕,这应该是:一大堆荷兰公司,揭示了一些奥迪和大众汽车内的信息娱乐系统易受远程黑客攻击。研究人员,大安克鲁珀和Thijs alkemade,使用大众高尔夫球电机和奥迪A3 Sportback E-Tron模型确认了这些利用。研究人员使用汽车的Wi-Fi连接到信息娱乐系统,利用暴露的港口,并获得汽车车载信息娱乐的进入。他们还获得了系统的root帐户,他们说他们允许他们访问其他汽车数据。
尽管网络安全黑客姿势存在挑战,但有希望。现代化的车辆可以通过现在可用的软件完整性验证进行安全,也可以为嵌入式系统提供。控制流程完整性(CFI)是唯一可逐步漏洞利用这种危险漏洞家族的技术之一。
控制流完整性描述了计算机安全技术,可防止多种恶意软件攻击重定向程序的执行流程。关联的技术包括代码指针分离,代码指针完整性,堆栈金丝雀,阴影堆栈和VTABLE指针验证。
CFI锁定远程代码执行传统上难以应用于资源受限的嵌入式系统,但这正在发生变化。Google, for example, introduced CFI at the end of last year into its Android kernel and while its implementation is partial in scope — both code-wise (kernel only) and security wise (only validating forwarding addresses) — it’s solid proof that using CFI to combat buffer exploits is not only possible, but practical.
因此,它是必要的,那些使用Linux内核或类似于Android内核的信息娱乐系统开发人员坚持最先进的网络统计技术。
确保汽车的信息娱乐系统对网络安全攻击是关于防止门的影响。了解现有技术的局限性和应用内置主动防御机制,例如CFI,在当今的高级信息娱乐系统中至关重要。
现在是时候开始观察那个小无序信息娱乐系统的网络安全防御作为乘客安全,品牌用户体验和汽车收入增长引擎的关键。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。