http://www.forbeschina.com/review/201504/0042415.shtml
去年，黑客们参加了一项竞赛，能够破解一辆特斯拉Model S联网系统的黑客将得到1万美元奖金。来自中国的安全、搜索和应用商店巨头奇虎360的研究人员们在比赛中胜出。但严格来讲，这场竞赛并没有得到特斯拉的批准。

然而，根据几位不愿具名、与特斯拉安全团队关系密切的消息人士的说法，今年晚些时候，在拉斯维加斯举办的Defcon大会上，特斯拉计划向到场的黑客开放一辆埃伦·穆斯克（Elon Musk）的电动汽车，允许他们研究这辆汽车上的联网系统。这会为特斯拉带来双重好处：他们将了解汽车上存在的任何漏洞，并知道哪些黑客值得聘用。在去年的Defcon大会上，特斯拉的侦察员们悄悄出动，在Rio Hotel & Casino的各个会议大厅穿梭，网罗了大批人才。

在公布这一消息后，特斯拉一开始表示不做评论，之后又称它不会开放Model S的系统用于测试，这与消息人士的说法不符，而这些人与该公司安全部门的关系非常密切。“我们确实计划出席这一大会（并展出一辆Model S），这是我们招募计划的一部分。特斯拉安全团队的成员们期待能参加大会，与大家讨论该团队在我们汽车的安全问题上所做的工作。”特斯拉的一位发言人说道。福布斯获知，在Defcon大会上会设一个“汽车破解村”，特斯拉将在那里开设一个展位，尽管它声称不会为任何人准备测试用的工具包。（注：我百分之百确信消息人士说法的真实性）。

在Defcon和2015年黑帽大会（BlackHat）上，汽车数字系统的安全问题肯定会引来大量关注。2015年黑帽大会也在拉斯维加斯举行，比Defcon早几天。长年累月不断对汽车厂商发难（并且非常有帮助的黑客）的克里斯·瓦拉赛克（Chris Valasek）和查理·米勒（Charlie Miller）已经承诺会展示破解汽车的过程，他们将远程入侵一辆汽车的控制局域网（CAN）——记忆中这种事最近只发生过几次。

关于他们演讲的宣传语是这样写的：“虽然破解汽车的话题经常被人们提及，但有关成功破解的细节，即便曾经公开过的话，充其量也是不全面的。对汽车安全性模棱两可的说法引发了完全相反的论述：不是我们都得死，就是我们的汽车固若金汤。在此次演讲中，我们将通过演示远程入侵将如何攻破一辆未经改动的原厂汽车，来展示破解汽车的真实情况。”

“以远程破解为开端，我们将展示如何逐个攻破汽车硬件的不同部分，以便在CAN总线上向关键的电子控制单元发送信息。我们将展示几个影响到汽车物理系统的CAN信息，以此作为结束。通过把这些要素串在一起，我们将展示远程汽车攻击的现实和局限。”

虽然瓦拉赛克谢绝对演讲中将要揭示的内容提供更多消息，但下面的推文暗示了他们将锁定哪款汽车，以及两人通过此番破解将达到什么目的：

没有线缆连接。没有按下任何模组。直接在演示厅现场。@0xcharlie和我将在@_defcon_上为你们演示如何通过远程操控入侵一辆汽车！

—克里斯·瓦拉赛克(@nudehaberdasher) 2015年4月18日

我对获得许可与@nudehaberdasher一起在今年的@_defcon_上谈论远程汽车入侵这一话题感到非常激动。

—查理·米勒(@0xcharlie) 2015年4月18日

近几个月来，一系列开源汽车破解工具陆续在网上发布，从CANard一直到CANCat，许多研究人员试图曝光汽车中存在的各种漏洞，现代汽车的安全性受到了日益严密的审视。这就是“我是骑兵”（I Am The Cavalry）这类组织应运而生的原因，这为立法机构和汽车制造商施加了压力，鞭策他们在灾难性的事情发生前，就要着手改进汽车的安全保护系统，以避免恶意黑客的入侵。

国会山上的一些人在倾听这样的诉求，其中包括参议员马基，他在要求汽车厂商提供有关其在安全方面所做工作的更多信息后，表示很多厂商没有为驾驶员提供充分的保护，并且还泄漏了他们的私人信息。

几家汽车制造商也予以了回应。比如特斯拉、宝马和通用汽车，它们目前正在大举招兵买马，提供的职位包括汽车网络安全测试工程师等，这些公司已经制订了计划以改进其车辆的安全性。但很多厂商继续忽视这一问题，因而黑客们纷纷出手，敦促汽车厂商们加以重视，提高其汽车的安全性。

译 陈岳林 校 俆笑音

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)