|
|
黑客:成千上萬的車輛被攻擊的風(fēng)險. 灰鴿子使用教程,灰鴿子下載
確保車輛的最佳方法是通過檢測攻擊他們發(fā)生
1.jpg (50.65 KB, 下載次數(shù): 1419)
下載附件
2015-7-25 10:42 上傳
安全專家最近展示了他可以侵入一輛吉普車和控制最重要的功能說同樣可以做得與成千上萬的其他車輛今天在路上。
安全專家查理·米勒和克里斯Valasek與《連線》雜志展示如何遠(yuǎn)程入侵和控制娛樂系統(tǒng)以及更多的一輛2015年吉普切諾基的重要功能����。
黑客都是經(jīng)驗豐富的IT安全人員��。米勒是前國家安全局黑客和安全研究員Twitter和Valasek IOActive安全研究部主任,一家咨詢公司����。
隨著《連線》雜志的記者在高速公路駕駛車輛,黑客能夠操縱它廣播和擋風(fēng)玻璃雨刷,甚至關(guān)閉汽車�����。
車輛發(fā)生黑客連線記者安迪·格林伯格開著吉普切諾基Rte����。40在圣路易斯。黑客10英里之外��。
黑客表示,他們能夠使用的細(xì)胞連接到吉普車的娛樂系統(tǒng)或主管單位進入其他系統(tǒng);車輛的單位通常被連接到各種電子控制單元(ecu)坐落在一個現(xiàn)代的汽車�������?赡苡卸噙_200人在汽車ecu�����。
米勒和Valasek花了大約一年侵入UConnect提供克萊斯勒的主管單位,根據(jù)米勒,它需要三個步驟����。
獲得車輛的主管單位/控制器芯片和固件,灰鴿子遠(yuǎn)程控制軟件�����,遠(yuǎn)控�����。
使用單位負(fù)責(zé)人的固件妥協(xié)車輛的控制器區(qū)域網(wǎng)絡(luò)(可以),這說明所有的整個汽車電子控制單元(ecu)
發(fā)現(xiàn)它可以傳遞可以控制各種車輛功能�������!暗谝徊轿蚁雽⒆铍y的:找到一個遠(yuǎn)程漏洞和編寫一個利用��。
事實證明,實際上是相當(dāng)容易的,所以我已經(jīng)做了大約三個星期,”米勒說����������!暗诙轿乙詾闀苋菀,真的很困難�����;舜蟾湃齻月�������!
可以將消息發(fā)送給車輛系統(tǒng)的最后一步只是一種發(fā)現(xiàn)哪些消息控制功能,米勒解釋道��。
喬恩·艾倫,博思艾倫咨詢公司的首席分析師說,他不確定是否黑客進入汽車之前啟用了攻擊�����。
在防御黑客會議上2013年,米勒和Valasek證明他們能夠侵入福特和豐田普銳斯和控制剎車和轉(zhuǎn)向�����。然而,黑客,要求對車載診斷(OBD-II)計算機的物理訪問端口在每個車輛����。自1996年以來,OBDⅱ港口標(biāo)準(zhǔn)在美國所有車輛,他們允許訪問ECU數(shù)據(jù)�����。
“沒有不同于把糖倒進一輛車的油箱。所有你需要的是物理訪問��。Valasec和米勒是好標(biāo)題,”艾倫說����������!八麄冇形锢碓L問車輛之前砍它�������!
米勒表示,克萊斯勒吉普切諾基屬于他,但之前訪問所需的車輛不是零day-style攻擊發(fā)生�����。
“我們可以輕松做了同樣的事情在一個脆弱的成千上萬的車輛在路上,”米勒說�������!拔覀儷@得了利用漏洞,在場的頭單元(即收音機/導(dǎo)航thingie)通過互聯(lián)網(wǎng)訪問。它不需要任何物理訪問或更改車輛�������!
攻擊,將工作在任何Uconnect提供克萊斯勒汽車的遠(yuǎn)程信息處理系統(tǒng)從2013年底,2014,和2015年初,包括道奇�����、Ram和吉普車模型汽車�����。
物理設(shè)備需要執(zhí)行車輛黑客是相對簡單的:米勒和Valasek京瓷Android智能手機作為W-iFi熱點連接到一個MacBook筆記本電腦����。
克萊斯勒的主管單位與互聯(lián)網(wǎng)Sprint的蜂窩網(wǎng)絡(luò)。
汽車制造商經(jīng)常收集信息通過蜂窩網(wǎng)絡(luò),以提醒司機在車輛需要保養(yǎng)或維修�����。
今天,越來越多的汽車制造商也嵌入wi - fi路由器,讓移動互聯(lián)網(wǎng)連接。
米勒說,他的吉普切諾基wi - fi的選擇,但它的細(xì)胞功能,允許從任何地方訪問��。
吉普切諾基Creative Commons印度人壽保險公司�����。吉普切諾基像查理·米勒和克里斯Valasek能夠侵入��。
通過手機連接,米勒和Valasek能夠獲得車輛的GPS坐標(biāo),車輛識別號碼,,更重要的是,它的IP地址��。
米勒說允許攻擊的脆弱性是獨家UConnect提供克萊斯勒的主管單位,但也有可能相似類型的安全漏洞對其他車輛的遠(yuǎn)程信息處理系統(tǒng)����。
米勒與克萊斯勒和Valasek溝通他們的研究在過去的九個月左右,這讓該公司發(fā)行軟件補丁,以幫助防止未來的攻擊�����。
羅恩·蒙托亞,消費者的建議與Edmunds.com的編輯,說他很驚訝車輛所需的物理訪問不是黑客,但他也不認(rèn)為黑客工具是像看起來那么容易��。
“這是一組研究人員已經(jīng)將他們的生活過去的幾年里,這樣做,他們有很高的技能水平�����。他們安全工程師,”蒙托亞說�����。“我不認(rèn)為這是嚇一跳��。它(給)意識到汽車制造商,他們需要認(rèn)真審視他們的車輛安全����������!
創(chuàng)造更安全的汽車,蒙托亞認(rèn)為制造商最終必須找到一個方法來隔離驅(qū)動函數(shù)從信息娛樂系統(tǒng)����。
艾倫認(rèn)為,廣泛的車輛襲擊將來不太可能發(fā)生,因為會有小的貨幣激勵,他們會需要大量的工作。
確保車輛無線黑客與防火墻和更少與認(rèn)識到正在發(fā)生的攻擊和關(guān)閉才能操縱汽車��。
米勒表示同意����。
“你需要分層的方法,就像你在企業(yè)安全,”米勒說。CAN總線是非常簡單的�����。的消息非常可預(yù)測的,但是當(dāng)我開始發(fā)送消息導(dǎo)致攻擊……,這些消息非常明顯���������!
汽車制造商可以很容易地升級軟件來檢測惡意信息和指導(dǎo)至關(guān)重要的車輛系統(tǒng),如剎車或傳播,忽視他們,米勒說����。
馬薩諸塞州民主黨參議員愛德華·馬基(和理查德•布盧門撒爾(銀行業(yè))本周提出立法,要求聯(lián)邦政府制定標(biāo)準(zhǔn),以確保汽車安全的司機對車輛網(wǎng)絡(luò)攻擊。
除此之外,你的車的安全性和隱私(間諜汽車)法案要求車輛裝備技術(shù),可以檢測,實時報告和阻止黑客攻擊��。
“汽車網(wǎng)絡(luò)的入侵檢測系統(tǒng)�����。這是我們一直提倡的東西很長一段時間,”米勒說���������!笆堑,克萊斯勒固定這個特定的遠(yuǎn)程漏洞,但也有其他問題。我們不能建立完美的軟件。有人會侵入另一輛車有一天單位�������! |
|
加載中...
發(fā)表于 2015-7-25 10:42:13
QQ好友和群
收藏
發(fā)表于 2015-7-25 10:42:15