随着自动驾驶技术的快速发展,越来越多的汽车制造商开始采用Intel® Galileo和Intel® Edison等开发板来创造令人兴奋的新型解决方案。然而,这些技术进步也带来了新的安全挑战。最近,一家自动驾驶汽车公司提出了一些计划,以确保他们的车辆免受黑客攻击。不幸的是,这些计划实际上并不能提供真正的安全保障。这种失误突显了多个行业中普遍存在的问题:制造商对网络安全的理解不足,无法提供足够抵御攻击的产品。在自动驾驶汽车的情况下,这可能导致灾难性的后果。
在《为什么一些自动驾驶汽车将避免使用互联网》一文中,该公司的首席执行官向《金融时报》表示:“汽车只在需要时与外界通信,因此没有一条可以被黑客攻击的连续线路进入汽车。”他们选择以大部分离线的方式操作汽车,以保护其免受网络威胁。乍一看,这似乎是一种值得尝试的保护机制,以抵御黑客攻击。但实际上并非如此。这种“控制”是通过减少与互联网的连接来实现的,这在汽车未连接时确实提供了一定的安全价值。但这就是逻辑崩溃的地方,最终,它并没有显著降低被攻击的可能性。
似乎合乎逻辑的是,通过减少系统的总体脆弱性,可以提高安全性。但情况并非总是如此。仅仅因为消除了50%的脆弱性,并不意味着减少了一半的受害机会。实际情况要复杂得多,因为还有其他依赖因素在起作用。这种错误甚至在初级安全专业人员中也很常见,他们被教导将风险视为一个纯粹的方程式(R=T x V x I)。风险等于威胁乘以脆弱性再乘以影响,这是一个在特定目的下正确使用时很好的方程式。减少任何脆弱性,相应的风险也会减少。然而,这个方程式并不适用于每个问题或讨论。
回到自动驾驶汽车的安全性问题。间歇性连接是一种降低可用性的策略。对于攻击者来说,这只是一个网络延迟问题,可以很容易地克服。有很多先例和历史证明了这一点,在这里就不赘述了。相反,让通过一个类比来以不同的方式思考这个问题。
想象一下,被指派保护村庄免受掠夺者的侵袭。聘请了一位安全专家,以大幅降低强盗进入村庄并造成混乱的风险。一堵墙建在了城镇的一半,所有人都能看到。然后安全专家自信地宣布他已经将脆弱性减少了一半,因此显著降低了50%的成功攻击机会。不,强盗只需要绕过墙就能进入城镇。他们可能会放慢脚步,因为他们在嘲笑并绕过防御,但这并不会阻止或预防攻击。
这里提出的建议与此相同,这就是为什么减少自动驾驶汽车的互联网连接,是一种无效的安全控制。这种策略在过去已被证明是徒劳的。
逻辑问题的根源在于以平等的脆弱性来考虑安全问题。并非所有的弱点都是一样的。可能有一百个脆弱性,但只有5个被用来破坏系统。只有关闭那5个(被利用的)的努力才是重要的,而其他95个对于立即实现安全的目标来说是没有意义的。
网络攻击者会等待连接来破坏设备,就像小偷会绕过锁着的门,通过开着的窗户进入,强盗会绕过墙进入村庄一样。攻击的可能性并没有显著降低,只是它发生的时间会有所不同。
在这种情况下,汽车公司正在推广一种实际上无效的安全设计特性。然而,他们甚至没有意识到这一点。作为消费者,必须要求制造商对他们生产的产品的安全性、安全性和隐私性负责。对于可能存在生命安全风险的设备来说,这一点尤其重要。当公司在市场营销和公共沟通中显示出缺乏网络安全知识和经验时,应该引起关注,这可能是由于技能不足或管理层的优先级不当,同时却对产品的安全性表现出信心。这是一个危险的组合。
正确地实现安全性至关重要,作为设计和核心功能(硬件、固件、操作系统/实时操作系统、软件、端点、网络等)的一部分,以保护乘客和行人免受数字攻击可能导致的灾难性事故。安全性必须是有效的、经济的,并且不会破坏可用性。