在滴滴眼中,物联网时代下日趋严峻的信息安全问题并非假设性议题,只是一个时间的问题。
滴滴信息安全专家Charlie Miller来华了。2015年,这位知名白帽“黑客”曾与他的研究伙伴合作,完成了远程控制汽车的试验。最终迫使菲亚特克莱斯勒召回了140万辆存在安全的漏洞汽车,并对它们进行升级。Miller此次来华,唯一的公开行程是出席一场滴滴主办的 “安全说”。这是由滴滴主导,鼓励互联网业内人士分享最新信息安全研究的系列交流活动。
自从今年3月宣布离开优步,并正式加盟滴滴后,很少接受媒体采访。Miller低调的态度佐证了滴滴年初提出的“修炼内功”的关键词。只有在谈论信息安全问题的场合,这位快人快语的业界风云人物,才又公开露面,呼吁汽车行业开展更广泛的交流和合作,以应对物联网时代新生的安全问题。
未来信息安全可能造成物理性伤害
传统印象里,黑客入侵会窃取我们的个人资料和银行信息,造成隐私泄漏或财产损失。但汽车网络安全问题不同,其中最大的区别是,一旦黑客利用漏洞远程控制了汽车,我们未来还有可能受到生命威胁。
现在的汽车有越来越多的网络连接功能,比如无线传感器、蓝牙、车载wifi。随着智能驾驶、以及无人驾驶技术普及,汽车制造商还会将更多功能接入网络。其中暗藏的信息安全风险也将随之增加。尽管汽车安全漏洞可能导致极其严重的后果,但在Miller看来,目前此类安全议题尚未受到足够的重视。他此次来华希望藉由滴滴的“安全说”活动,让更多中国同行关注这个近年来萌生的新问题。
提升行业透明度是解决问题的关键
Miller此前侧重于传统信息安全研究,曾多次发现苹果浏览器、iOS系统、Android系统等产品的安全漏洞。当他意识到,汽车网络安全有可能比传统信息安全存在更大隐患时,查理便开始专注于这一新兴物联网安全领域的研究。
丰富的跨领域研究经历,让他相信提高汽车网络安全问题最有效的方式,是让整个汽车行业提高透明度。对于软件公司来说,公布安全系统设计和应用是很常见的做法。微软、苹果和谷歌等公司都会发布公告详细描述他们如何确保浏览器的安全,以及怎样防御针对内存的攻击。乍看之下,公开这些文件好像为黑客提供了便利。但是从安全角度来看,出色的系统不会因为你了解它们的工作原理,而更容易受到入侵。
Miller在分享活动中解释说,公布相关汽车安全防御信息,不但能促使制造商设计出更加稳定的系统,还能让行业内部彼此学习,让用户有知情权。借鉴软件行业公开信息的惯例,还能让外部安全研究人员更容易从事相关研究,最终令企业和用户获益。有时候汽车厂商需要几年才能修复的漏洞,但是交给信息安全专家可能只需要一个礼拜就可以快速解决。到目前为止,大部分汽车制造商们仍将安全方面的技术作为公司机密,相信“不公开即安全”。然而未来这样的封闭做法,会造成极大隐患。
滴滴积极应对智能驾驶中的信息安全难题
好的趋势是,业界对汽车网络安全的关注度有所提升。传统汽车制造商们开始向外部专家寻求帮助。Miller说他最近有一些惊喜的发现,比如汽车租赁公司开始在使用说明书中,增加信息安全的内容。
为了履行他在安全研究中上“分享、开放”的一贯主张,Miller和他的研究伙伴陆续将此前多年研究积累的工具、数据、研究笔记和论文一次性免费公开。合作伙伴在推特上说,希望通过分享这些价值超过百万美金的资料,帮助相关领域的研究者节省资金和时间上的投入。
此前《连线》杂志报道,Miller认为专业人士有责任向公众解释信息安全的潜在风险,提升社会对安全问题的关注。滴滴在安全研究领域鼓励行业合作的态度,给他提供了更多表达的机会。在多数人看来,无人驾驶时代尚未真正到来,科技公司针对物联网时代下的汽车信息安全研究更多是战略性的部署。但滴滴似乎在信息安全领域已经先人一步,有了相对明确的方案。在将Miller收归麾下之前,滴滴还聘请了包括弓峰敏、卜峥在内的多位业界顶尖的信息安全专家。与此同时,公司还针对高校学生举办信息安全闯关赛,通过在线竞赛的方式网罗未来人才,从而形成完善的安全研究团队。