白帽黑客:大数据时代下的赏金猎人
时间:2023-03-10 20:10 来源:网络整理 作者:默认发布 点击:次
编译 / 张 鸥 来源 / Automotive News,作者:Karn Dhingra,题图:WESLEY TINGEY 在我们不太熟悉的黑客世界中,实际上存在着派别,最常见的三大类被称为黑帽黑客、灰帽黑客以及白帽黑客。 黑帽黑客是一种在未经允许的情况下擅自入侵他人系统,借此获取利益或者进行破坏的黑客,也是最为人熟知的一类;灰帽黑客有时可能会违反法律或道德标准,但不具有黑帽黑客典型的恶意意图;白帽黑客又称为道德黑客,他们利用黑客技术识别硬件、软件或网络安全漏洞,并且尊重法律规则。 而这些白帽子,便是正在与各行各业进行合法交易的一群人。 根据以色列网络安全公司Upstream的数据,与2018年相比,2022年公开报道的汽车网络攻击数量猛增239%。由于汽车在操作、信息娱乐、自动驾驶和安全系统方面越来越依赖软件、传感器和计算机,网络安全已成为该行业的一个主要问题。 因此,汽车公司们俨然成为了白帽黑客的新客户群。他们寻找车辆的安全漏洞并通知汽车制造商和供应商。然而到目前为止,这个行业支付给黑客们的报酬比其他行业要少得多。
2022年,白帽黑客先后通报了宝马、法拉利、福特、捷豹路虎、梅赛德斯-奔驰、保时捷和丰田的安全漏洞,包含多个车型与系统的客户信息、后端操作。他们还发现了SiriusXM远程信息处理服务的缺陷,这些缺陷造成本田、现代和日产汽车出现问题。 帮助经销商清除车辆个人数据的Privacy4Cars公司的创始人兼首席执行官安德烈·阿米科(Andrea Amico)认为,随着汽车制造商扩大软件服务,未来几年甚至会有更多的消费者数据有可能被曝光。他说:“抱着恶意想法的黑客们正在虎视眈眈。”
交保护费是必经之路 2016年2月,特斯拉与Bugcrowd公司联合启动了漏洞赏金计划,为发现其软件漏洞的黑客提供奖金,金额高达1万美元。同年7月,菲亚特克莱斯勒汽车公司也推出了这一计划,提供500美元到1500美元不等的金额,合作伙伴依旧是Bugcrowd公司。 Bugcrowd成立于2011年,于2019年成为互联网上最大的漏洞赏金和漏洞披露公司之一。 通用汽车同样在2016年开始了漏洞赏金计划,由旧金山的HackerOne公司管理,该公司还协助宝马、福特、Rivian和丰田开展了项目。 由于客户在合同中增加了服务,HackerOne的汽车业务从2021年到2022年跃升了400%。除了漏洞赏金计划,HackerOne还提供漏洞披露、在线系统的渗透测试和其他服务。 底特律韦恩州立大学电气和计算机工程系主任穆罕默德·伊斯梅尔(Mohammed Ismail)表示,汽车行业在网络安全方面落后于其他行业。 伊斯梅尔说:“对于任何新技术,这都是一个非常典型的情况。当Wi-Fi和蓝牙在25年前开始出现的时候,这些技术花了很多年才发展成 熟 ,实现安全连接。” 伊斯梅尔估计,汽车行业还需要大约5年的研发时间去进行试错,才能生产出数百万辆以软件为主并且安全的汽车。 友好的白帽黑客则是帮助该行业实现这一目标的关键群体之一。
梅赛德斯-奔驰汽车和货车公司的IT通信经理卡佳·李森菲尔德(Katja Liesenfeld)在一封电子邮件中说:“使用漏洞赏金平台是引进安全社群知识和专长的一种有效方式。我们不能提供更多关于任何技术细节的信息,因为这些项目是私有的。” 包括福特、捷豹路虎、日产、Stellantis、宝马、保时捷和大众在内,大多数汽车制造商不愿意谈论他们在数字安全方面的花费,本田则表示自己根本没有漏洞赏金计划。 通用汽车公司首席网络安全官兼汽车信息共享和分析中心组织(Auto-ISAC)副主席凯文·蒂尔尼(Kevin Tierney)表示,大多数汽车行业都在积极应对网络安全问题。 Auto-ISAC是一个由汽车制造商组成的团体,他们会分享有关潜在网络威胁、漏洞和事件的信息。 蒂尔尼说:“每个人都在采取大动作,进行大投资。” (责任编辑:admin) |
