蒂姆•Radzykewycz

去年，在拉斯维加斯举行的黑帽大会上，查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)报告了他们对一辆切诺基吉普车的安全研究。他们能够远程侵入该系统，控制转向、刹车和车辆上的其他安全关键系统，以及信息娱乐系统等通常不被视为安全关键的系统。

在得知这些黑客行为后，克莱斯勒的母公司菲亚特(Fiat)做出了异常积极的反应。他们进行了修复，并召回了140万辆汽车来安装它。这是在我所谓的边界层中实现的，它试图阻止攻击者获得对系统的访问。

从那以后，他们一直在继续研究这款车，今年，再次在黑帽，他们展示了他们的新发现。这一次，他们忽略了无线接入，并发现了几种能够在接入后更彻底地控制车辆的方法。

菲亚特这次的反应有所不同。他们指出，目前的研究结果需要车辆的物理访问。这是正确的。由于去年的修复“阻止”了边界的远程访问，他们似乎不那么担心了。对整个行业的许多人来说，菲亚特的不那么紧急的反应令人担忧。

为什么如此?考虑与此相关的两个安全准则:

*任何系统都可能被动机充分、技术熟练、资金充足的攻击者攻破

*防御应该涉及多个独立的安全层

第一个漏洞意味着在未来的某个时候会发现另一个漏洞，从而允许攻击者访问。他们会绕过目前的边界安全。漏洞确实存在，不管我们是否知道它们。问题不在于攻击者能否入侵，而在于何时入侵。

现在，如果袭击者通过了边界安检，他们就能控制这辆车。他们能够在任何速度下停止车辆，快速加速，在任何速度下影响转向，启动和设置巡航控制，以及其他在道路上制造危险情况的东西。

这就是第二个格言的由来。我喜欢将安全性划分为不同的层，这些层在概念上相互独立。根据上下文，层可能会发生变化，但下面是一个很好的起点:

*边界:阻止攻击者进入系统

*沟通:保持沟通的私密和可靠

* configuration:确保系统安全配置

*取证:发现正在进行或即将发生的攻击

*缓解:知道如何应对攻击，无论它是否成功

*预防:阻止攻击达到目标

* secure_environment:确保软件是经过授权的

*消毒:确保不再需要敏感数据时没有敏感数据

*认证(伪层):有专家审核系统

历史上，安全始于边界安全。但如果这是唯一的保护，那么当它被绕过时，攻击者就很容易在被破坏的系统上做任何他们想做的事。就像上周米勒和瓦拉塞克展示的吉普车一样。

就汽车而言，通信安全同样重要。对信息娱乐单元的成功攻击不应该允许攻击者完全访问汽车CAN总线。但是在许多汽车中，can总线并没有得到很好的保护。

法医鉴定在这里很重要。通过对CAN网络的监控，可以发现正在进行的攻击，并对其进行阻止。

我所称的防护层由一些技术组成，例如使用各种形式的强制访问控制，使攻击更加困难。汽车里有很多东西是信息娱乐装置或TPMS不应该允许做的。强制执行这些访问控制将提高汽车的安全性。

至于认证，在汽车设计和制造中有很多，一些与安全有关，但大多数与其他事情有关。

公平地说，他们很担心菲亚特。他们已经建立了一个安全漏洞赏金程序，这是又一个伟大的步骤。他们的回应表明，袭击需要有实体进入，但这并不表示他们不担心，而只是表示他们试图平息公众可能存在的恐惧。所以他们这次也做得不错。尽管如此，作为一名安全专家，我仍然希望了解他们在当前和未来的产品中正在处理的其他安全层。

你是怎么想的?