檢測汽車網路漏洞的軟體

1. 黑客，能控制我們的汽車嗎

很多人都看過那部電影，計算機高手搗鼓幾下，就能把一大堆汽車全都控制了，想讓它們往哪裡沖就往哪裡沖。看了電影，感到過癮的同時，忍不住想，我的車會不會也出現這種情況？

黑客能控制我們的汽車嗎？觀眾的看法主要有兩種，一種認為：假的，電影嘛，總要帶點科幻色彩才比較震撼！另一種則認為：不行，現在的汽車太不安全了，我還是開回我的老捷達吧。

今天我們從技術的角度來聊聊這個問題，先說結論：

1、從理論上講，只要有軟體在運行並且從外界接受輸入，就有被攻擊和破解的可能；

2、攻擊和破解沒有想像中那麼難，也沒有想像中那麼簡單；

3、沒必要過於擔心。

下面為大家詳細闡述。

攻擊和破解稍有不同，破解的難度更大，破解的目的是非法獲得控制權，攻擊的目的是使目標崩潰。當然，從廣義角度講，破解也是一種攻擊，本文按照狹義角度討論。

先說攻擊，只要你需要從外界接受輸入，我就可以在很短時間內產生海量輸入，很快就能讓你的系統崩潰！打個比方（註：這里不討論合理性、合法性，僅僅是從技術討論角度進行假設），有人開了一個商店，另外一個人想攻擊他，就請一萬個人同時假裝顧客到店裡來，只是看看或挑選商品，或者與服務員討價還價等等，就是不真正購買。如果這種情況持續下去，一直都保持有一萬人去店裡搗亂，結果會怎麼樣？（1）店裡工作人員會累崩潰；（2）真正有需求的顧客根本進不來；（3）只有支出，沒有任何收入。現實世界裡，這種持續海量訪問攻擊是不太可能的，因為代價非常大，但在計算機世界裡，實現起來很簡單很容易。

這種攻擊行為一般發生在競爭對手之間，攻擊者目的就是搞垮對方，自己並不能直接獲得好處。而破解則不同，破解者採用各種手段，非法獲得系統的控制權，目的通常不是讓系統直接崩潰，而是能為破解者產生收益。

相對於攻擊，破解的難度大很多。主流的思路是找漏洞然後利用漏洞。任何一個復雜的系統都存在漏洞，只不過有的漏洞很容易被發現，有的漏洞很難被發現。一個操作系統，代碼量有幾千萬到上億行；一個瀏覽器，代碼量也至少二千萬行。想想，這么多行代碼，要做到沒有任何漏洞是絕對不可能的。

通常一個軟體系統，由三類軟體組成：1、操作系統；2、第三方公司開發的實現某種功能的通用軟體；3、自己開發的業務軟體。這三種軟體，都會有漏洞，但是相對來說，前兩種軟體出現漏洞的危害更大，黑客最喜歡這兩種軟體中的漏洞，因為它們有普適性、性價比高：找到了一個，就可以廣泛應用在很多目標上......

這個世界上，有很多個人、組織或公司，每天唯一的任務就是找漏洞，你的軟體名氣越大用的人越多，就越會被研究。找漏洞這種行為的存在，有好一面，也有不好的一面。好的一面是，漏洞是客觀存在的，我不找，總有人會找到，還不如我找到了首先通知開發者馬上製作補丁；壞的一面是，找到的漏洞，最終的下場都是被惡意利用，因為即使開發者馬上發布了補丁，也不是所有人都會立即去升級修補的，所有沒有及時打補丁的系統，立刻就被推到危險的邊緣！

要破解一個系統，有時候很容易。有些系統比較老舊，存在大量被公開的漏洞，這個時候，一個普通的愛好者就可以利用現成的黑客工具進行破解，破解者自己並不需要知道具體的機制和原理是什麼。

但是，如果系統有專門的人一直進行安全維護，有漏洞就及時打補丁，那麼這種情況下要破解就難多了。普通破解者沒法直接用現成的工具進行破解，只能憑自己的本事努力去尋找目標系統的未被修補的漏洞。真正的黑客高手，都會掌握一些不為人所知、隱藏很深的漏洞......

還有一種破解思路，叫暴力破解，常用於破解系統的登錄密碼或加密密鑰。這種破解方式不是找漏洞，而是採用最原始的方式：窮盡各種組合，一個個的去嘗試。為了防止這種暴力破解，常見的密碼登錄系統往往都會限制一定時間內連續錯誤密碼的次數。如果你的系統沒有這種限制，恭喜你，理論上我肯定能猜出你的密碼，破解時間只取決於我運行破解程序的計算機運算能力和你密碼的復雜度了。很多時候，我們在保存、傳輸重要數據的時候要對數據進行加密保護。這種加密數據的破解是非常適合用暴力破解方法，理論上只要運算能力足夠強大，現在所有的加密保護都不安全。

還有一種破解思路，叫逆向工程。什麼意思呢？就是根據你公開發布的可執行程序，我通過技術手段進行反匯編，一步步反推出高級語言的源代碼，最終能保證我反推出來的源代碼能編譯出跟你一樣的可執行程序。幸好，逆向工程是一件非常考驗人的苦活，要有無比的耐心和細心，能抗住的人還真不多。

很多人都有一台自己的計算機，只要裝上一個殺毒軟體並且不胡亂上一些有病毒或木馬的網站，基本就不會出什麼問題；黑客，那隻是個傳說，只在電影里看到過，現實中怎麼沒有黑客來找過我啊？

是的，普通人沒必要過於擔心。通常來說，黑客要攻擊一個目標，不外乎這幾種原因：1、獲取金錢利益；2、磨練自己的技術；3、展示能力，為了榮譽或知名度；4、因為某種特殊原因報復破壞。對於我們普通老百姓而言，你擔心個啥呢？說句扎心的話，攻擊你只是浪費黑客自己的時間......

上面說了一堆，並沒有專門針對車聯網，但也基本適用。不過，車聯網還是有其特殊性，一是更復雜、系統環節更多；二是畢竟還是新生事物還在起步階段還不成熟；三是車聯網的安全關繫到人的生命安危，更不容忽視。因此，相對而言，風險確實還要大些。

先看一張圖，如下所示：

就問你，看完這些圖慌不慌？

別慌，我們能知道有這些問題，國家監管部門當然也知道，肯定會採取各種措施來解決！

2019年11月29日，中國汽研與國家計算機網路應急技術處理協調中心聯合成立車聯網安全聯合實驗室。同日，北汽藍谷信息（北汽藍谷信息技術有限公司）、中電互聯（中電工業互聯網有限公司）、奇安信（奇安信科技集團）也宣布聯合成立車聯網安全實驗室。還有其他很多大公司、組織機構，也都早已經關注和研究車聯網安全。

車聯網安全問題，不是一個汽車廠商也不是一個監管部門或者一個信息安全公司能做起來的，而是需要所有各方的大力協作和配合才能實現。車聯網安全問題，其實是一場永不停止的戰斗，沒有一勞永逸的解決方案，沒有絕對安全的系統，也沒有永遠修補不了的漏洞。攻擊與防護會達到一個平衡的狀態，一切，都才剛開始起步，相信未來會越來越好！

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

2. 網路的黑客有什麼用就是入侵別人系統的，檢查網站漏洞，還有什麼

如一樓所說，你所說的駭客

你要說黑客是SB，那就沒勁了~轉篇文章給你看~

---什麼是黑客?

Jargon File中對「黑客」一詞給出了很多個定義，大部分定義都涉及高超的編程技術，強烈的解決問題和克服限制的慾望。如果你想知道如何成為一名黑客，那麼好，只有兩方面是重要的。（態度和技術）

長久以來，存在一個專家級程序員和網路高手的共享文化社群，其歷史可以追溯到幾十年前第一台分時共享的小型機和最早的ARPAnet實驗時期。 這個文化的參與者們創造了「黑客」這個詞。 黑客們建起了Internet。黑客們使Unix操作系統成為今天這個樣子。黑客們搭起了Usenet。黑客們讓WWW正常運轉。如果你是這個文化的一部分，如果你已經為它作了些貢獻，而且圈內的其他人也知道你是誰並稱你為一個黑客，那麼你就是一名黑客。

黑客精神並不僅僅局限於軟體黑客文化圈中。有些人同樣以黑客態度對待其它事情如電子和音樂---事實上，你可以在任何較高級別的科學和藝術中發現它。軟體黑客們識別出這些在其他領域同類並把他們也稱作黑客---有人宣稱黑客實際上是獨立於他們工作領域的。 但在本文中，我們將注意力集中在軟體黑客的技術和態度，以及發明了「黑客」一詞的哪個共享文化傳統之上。

另外還有一群人，他們大聲嚷嚷著自己是黑客，實際上他們卻不是。他們是一些蓄意破壞計算機和電話系統的人（多數是青春期的少年）。真正的黑客把這些人叫做「駭客」(cracker)，並不屑與之為伍。多數真正的黑客認為駭客們是些不負責任的懶傢伙，還沒什麼大本事。專門以破壞別人安全為目的的行為並不能使你成為一名黑客， 正如拿根鐵絲能打開汽車並不能使你成為一個汽車工程師。不幸的是，很多記者和作家往往錯把「駭客」當成黑客；這種做法激怒真正的黑客。

根本的區別是：黑客們建設，而駭客們破壞。

如果你想成為一名黑客，繼續讀下去。如果你想做一個駭客，去讀 alt.2600 新聞組，並在發現你並不像自己想像的那麼聰明的時候去坐5到10次監獄。 關於駭客，我只想說這么多。

---黑客的態度

黑客們解決問題，建設事物，信仰自由和雙向的幫助，人人為我, 我為人人。
要想被認為是一名黑客，你的行為必須顯示出你已經具備了這種態度。要想做的好象你具備這種態度，你就不得不真的具備這種態度。但是如果你想靠培養黑客態度在黑客文化中得到承認，那就大錯特錯了。因為成為具備這些特質的這種人對你自己非常重要，有助於你學習，並給你提供源源不斷的活力。同所有有創造性的藝術一樣，成為大師的最有效方法就是模仿大師的精神---不是僅從理智上，更要從感情上進行模仿。

So，如果你想做一名黑客，請重復以下事情直到你相信它們：

1 這世界充滿待解決的迷人問題

做一名黑客有很多樂趣，但卻是些要費很多氣力方能得到的樂趣。 這些努力需要動力。成功的運動員從健壯體魄，挑戰自我極限中汲取動力。同樣，做黑客，你必須
要有從解決問題，磨練技術，鍛煉智力中得到基本的熱望。如果你還不是這類人又想做黑客，你就要設法成為這樣的人。否則你會發現，你的黑客熱情會被其他誘惑無情地吞噬掉---如金錢、性和社會上的虛名。

（同樣你必須對你自己的學習能力建立信心---相信盡管你對某問題所知不多，但如果你一點一點地學習、試探，你最終會掌握並解決它。）

2. 一個問題不應該被解決兩次

聰明的腦瓜是寶貴的，有限的資源。當這個世界還充滿其他有待解決的有趣問題之時，他們不應該被浪費在重新發明輪子這些事情上。 作為一名黑客，你必須相信其他黑客的思考時間是寶貴的---因此共享信息，解決問題並發布結果給其他黑客幾乎是一種道義，這樣其他人就可以去解決新問題而不是重復地對付舊問題。

(你不必認為你一定要把你的發明創造公布出去，但這樣做的黑客是贏得大家尊敬最多的人。賣些錢來給自己養家糊口，買房買車買計算機甚至發大財和黑客價值也是相容的，只要你別忘記你還是個黑客。)

3. 無聊和乏味的工作是罪惡

黑客們應該從來不會被愚蠢的重復性勞動所困擾，因為當這種事情發生時就意味著他們沒有在做只有他們才能做的事情---解決新問題。這樣的浪費傷害每一個人。因此，無聊和乏味的工作不僅僅是令人不舒服而已，它們是極大的犯罪。 要想做的象個黑客，你必須完全相信這點並盡可能多地將乏味的工作自動化，不僅為你自己，也為了其他人（尤其是其他黑客們）。

(對此有一個明顯的例外。黑客們有時也做一些重復性的枯燥工作以進行「腦力休息」，或是為練熟了某個技巧，或是獲得一些除此無法獲得的經驗。但這是他自己的選擇---有腦子的人不應該被迫做無聊的活兒。）

4 自由就是好

黑客們是天生的反權威主義者。任何能向你發命令的人會迫使你停止解決令你著迷的問題，同時，按照權威的一般思路，他通常會給出一些極其愚昧的理由。因此，不論何時何地，任何權威，只要他壓迫你或其他黑客，就要和他斗到底。

(這並非說任何權力都不必要。兒童需要監護，罪犯也要被看管起來。 如果服從命令得到某種東西比起用其他方式得到它更節約時間，黑客會同意接受某種形式的權威。但這是一個有限的、特意的交易；權力想要的那種個人服從不是你的給予，而是無條件的服從。)

權力喜愛審查和保密。他們不信任自願的合作和信息共享---他們只喜歡由他們控制的合作。因此，要想做的象個黑客，你得對審查、保密，以及使用武力或欺騙去壓迫人們的做法有一種本能的反感和敵意。

5. 態度不能替代能力

要做一名黑客，你必須培養起這些態度。但只具備這些態度並不能使你成為一名黑客，就象這並不能使你成為一個運動健將和搖滾明星一樣。成為一名黑客需要花費智力，實踐，奉獻和辛苦。

因此，你必須學會不相信態度，並尊重各種各樣的能力。黑客們不會為那些故意裝模做樣的人浪費時間，但他們卻非常尊重能力---尤其是做黑客的能力，不過任何能力總歸是好的。具備很少人才能掌握的技術方面的能力尤其為好，而具備那些涉及腦力、技巧和聚精會神的能力為最好。

如果你尊敬能力，你會享受提高自己能力的樂趣---辛苦的工作和奉獻會變成一種高度娛樂而非賤役。 要想成為一名黑客，這一點非常重要。

---基本黑客技術

黑客態度是重要的，但技術更加重要。態度無法替代技術，在你被別的黑客稱為黑客之前，有一套基本的技術你必須掌握。 這套基本技術隨著新技術的出現和老技術的過時也隨時間在緩慢改變。例如，過去包括使用機器碼編程，而知道最近才包括了HTML語言。但現在明顯包括以下技術：

1 學習如何編程

這當然是最基本的黑客技術。如果你還不會任何計算機語言，我建議你從Python開始。它設計清晰，文檔齊全，對初學者很合適。盡管是一門很好的初級語言，它不僅僅只是個玩具。它非常強大，靈活，也適合做大型項目。

但是記住，如果你只會一門語言，你將不會達到黑客所要求的技術水平，甚至也不能達到一個普通程序員的水平---你需要學會如何以一個通用的方法思考編程問題，獨立於任何語言。要做一名真正的黑客，你需要學會如何在幾天內通過一些手冊，結合你現在所知，迅速掌握一門新語言。這意味著你應該學會幾種不同的語言。

如果要做一些重要的編程，你將不得不學習C語言，Unix的核心語言。其他對黑客而言比較重要的語言包括Perl和LISP。 Perl很實用，值得一學；它被廣泛用於活動網頁和系統管理，因此即便你從不用Perl寫程序，至少也應該能讀懂它。 LISP 值得學習是因為當你最終掌握了它你會得到豐富的經驗；這些經驗使你在以後的日子裡成為一個更好的程序員，即使你實際上可能很少使用LISP本身。

當然，實際上你最好四種都會。 (Python, C, Perl, and LISP). 除了是最重要的四種基本語言，它們還代表了四種非常不同的編程方法，每種都會讓你受益非淺。

這里我無法完整地教會你如何編程---這是個復雜的活兒。但我可以告訴你，書本和課程也不能作到。幾乎所有最好的黑客都是自學成材的。真正能起作用的就是去親自讀代碼和寫代碼。

學習如何編程就象學慣用自然語言寫作一樣。最好的做法是讀一些大師的名著，試著自己寫點東西，再讀些，再寫點，又讀些，又寫點....如此往復，直到你達到自己在範文中看到的簡潔和力量。

過去找到好的代碼去讀是困難的，因為很少有大型程序的可用源代碼能讓新手練手。這種狀況已經得到了很大的改善；現在有很多可用的開放源碼軟體，編程工具和操作系統（全都有黑客寫成）。這使我們自然地來到第二個話題...

2 得到一個開放源碼的Unix並學會使用、運行它

我假設你已經擁有了一台個人計算機或者有一個可用的（ 今天的孩子們真幸福 :-) ）。新手們最基本的一步就是得到一份Linux或BSD-Unix，安裝在個人計算機上，並運行它。
當然，這世界上除了Unix還有其他操作系統。但它們都是以二進制形式發送的---你無法讀到它的源碼，更不可能修改它。嘗試在DOS或Windows的機器上學習黑客技術，就象是在腿上綁了鐵塊去學跳舞。

除此之外，Unix還是Internet的操作系統。你可以不知道Unix而學會用Internet，但不懂它你就無法成為一名Internet黑客。因為這個原因，今天的黑客文化在很大程度上是以Unix為中心的。（這點並不總是真的，一些很早的黑客對此很不高興，但Unix和Internet之間的共生關系已是如此之強，甚至連微軟也無可奈何)

So，裝一個Unix---我個人喜歡Linux，不過也有其他選擇。（你也可以在同一台機器上同時運行DOS,Windows和Linux）學會它。運行它。用它跟Internet對話。讀它的代碼。試著去修改他。你會得到比微軟操作系統上好的多的編程工具（包括C,Lisp, Python, and Perl），你會得到樂趣，並將學到比你想像的更多知識。

關於學習Unix的更多信息，請看 The Loginataka.

要得到Linux，請看： 哪裡能得到 Linux.

3 學會如何使用WWW和寫HTML

大多黑客文化建造的東西都在你看不見的地方發揮著作用，幫助工廠、辦公室和大學正常運轉，表面上很難看到它對他人的生活的影響。Web是一個大大的例外。即便政客也同意，這個巨大而耀眼的黑客玩具正在改變整個世界。單是這個原因（還有許多其它的）， 你就需要學習如何掌握Web。

這並不是僅僅意味著如何使用瀏覽器（誰都會），而是要學會如何寫HTML，Web的標記語言。如果你不會編程，寫HTML會教你一些有助於學習的思考習慣。因此，先建起自己的主頁。

但僅僅建一個主頁也不能使你成為一名黑客。 Web里充滿了各種網頁。多數是無意義的，零信息量垃圾。

要想有價值，你的網頁必須有內容---必須有趣或對其它黑客有用。這樣，我們來到下一個話題....

---黑客文化中的地位

象大部分不涉及金錢的文化一樣，黑客王國的運轉靠聲譽維護。你設法解決有趣的問題，但它們到底多有趣，你的解法有多好，是要有那些和你具有同樣技術水平的人或比你更牛的人去評判的。

相應地，當你在玩黑客游戲時，你知道，你的分數要靠其他黑客對你的技術的評估給出。（這就是為什麼只有在其它黑客稱你為黑客是，你才算得上是一名黑客）這個事實常會被黑客是一項孤獨的工作這一印象所減弱；它也會被另一個黑客文化的禁忌所減弱（此禁忌的效力正在減弱但仍很強大）：拒絕承認自我或外部評估是一個人的動力。

特別地，黑客王國被人類學家們稱為一種精英文化。在這里你不是憑借你對別人的統治來建立地位和名望，也不是靠美貌，或擁有其他人想要的東西，而是靠你的奉獻。尤其是奉獻你的時間，你的才智和你的技術成果。

要獲得其他黑客的尊敬，你可以做以下五種事情：

1. 寫開放源碼的軟體

第一個（也是最基本和傳統的）是寫些被其他黑客認為有趣或有用的程序，並把程序的原代碼公布給大家共享。
（過去我們稱之為「自由軟體-free software」，但這卻使很多不知free的精確含義的人感到不解。現在我們很多人使用「開放源碼-open source」這個詞）

黑客王國里最受尊敬的大牛們是那些寫了大型的、具有廣泛用途的軟體，並把它們公布出去，使每人都在使用他的軟體的人。

2. 幫助測試並修改開放源碼的軟體

黑客們也尊敬也那些使用、測試開放源碼軟體的人。在這個並非完美的世界上，我們不可避免地要花大量軟體開發的時間在測試和抓臭蟲階段。 這就是為什麼任何開放源碼的作者稍加思考後都會告訴你好的beta測試員象紅寶石一樣珍貴。 (他知道如何清楚描述出錯症狀，很好地定位錯誤，能忍受快速發布的軟體中的bug，願意使用一些簡單的診斷工具) 甚至他們中的一個能判斷出哪個測試階段是延長的、令人精疲力盡的噩夢，哪個只是一個有益健康的玩意兒。

如果你是個新手，試著找一個趕興趣的正在開發的程序，作一個好的beta測試員。從幫著測試，到幫著抓臭蟲，到最後幫著改程序，你會不斷進步。以後你寫程序時，會有別人來幫你，你就得到了你當初善舉的回報。

3. 公布有用的信息

另一個好事是收集整理網頁上有用有趣的信息或文檔如FAQ。許多主要FAQ的維護者和其他開放源碼的作者一樣受到大家的尊敬。

4. 幫助維護基礎設施的運轉

黑客文化是靠自願者運轉的。要使Internet能正常工作，就要有大量枯燥的工作不得不去完成----管理mail list，newsgroup，維護大量文檔，開發RFC和其它技術標准等等。做這類事情的人會得到很多人的尊敬，因為每人都知道這些事情是耗時耗力的苦役，不象編碼那樣好玩。做這些事情需要毅力。

5. 為黑客文化本身服務

最後，你可以為這個文化本身服務（例如象我這樣，寫一個「如何成為黑客」的初級教程 :-) ）（hehe,象我這樣把它翻成中文 :-) ） 這並非一定要在你已經在這里呆了很久，精通所有以上4點，獲得一定聲譽後後才能去做。

黑客文化沒有領袖。精確地說，它確實有些文化英雄和部落長者和歷史學家和發言人。若你在這圈內呆的夠長，你或許成為其中之一。
記住：黑客們不相信他們的部落長者的自誇的炫耀，因此很明顯地去追求這種名譽是危險的。你必須具備基本的謙虛和優雅。

---黑客和怪人(Nerd)的聯系

同流行的傳說相反，做一名黑客並不一定要你是個怪人。然而，很多黑客都是怪人。做一個出世者有助於你集中精力進行更重要的事情，如思考和編程。
因此，很多黑客都願意接受「怪人」這個標簽，更有甚者願意使用「傻子(geek)」一詞並自以為豪---這是宣布他們與主流社會不合作的聲明。

如果你能集中足夠的精力來做好黑客同時還能有正常的生活，這很好。今天作到這一點比我在1970年代是個新手是要容易的多。今天主流文化對技術怪人要友善的多。甚至有更多的人意識到黑客通常更富愛心，是塊很好的做戀人和配偶的材料。 更多信息見 Girl's Guide to Geek Guys.

如果你因為生活上不如意而為做黑客而吸引，那也沒什麼---至少你不會分神了。或許以後你會找到自己的另一半。

---風格的意義

重申一下，做一名黑客，你必須進入黑客精神之中。當你不在計算機邊上時，你仍然有很多事情可做。它們並不能替代真正的編程（沒有什麼能替代編程），但很多黑客都那麼做，並感到它們與黑客精神存在一種本質的關聯。

閱讀科幻小說。參加科幻小說討論會。（一個很好的尋找黑客的場合）
研究禪宗，或練功習武。
練就一雙精確的耳朵，學會鑒賞特別的音樂。學會玩某種樂器，或唱歌。
提高對雙關語的鑒賞。
學會流暢地用母語寫作。（令人驚訝的時，我所知道的所有最棒的黑客，都是很不錯的作家）

這些事情，你做的越多，你就越適合做黑客。至於為什麼偏偏是這些事情，原因並不很清楚，但它們都涉及到了左-右腦的綜合技巧，這似乎是關鍵所在。（黑客們既需要清晰的邏輯思維，有時也需要強烈的跳出邏輯之外的直覺）

最後，還有一些不要去做的事情。

不要使用愚蠢的，過於嘩眾取寵的ID
不要自稱為網路崩客(punk) ，也不要對那些人浪費時間
不要寄出充滿拼寫和語法錯誤的email，或張貼錯誤百出的文章

做以上的事情，會使大大損害你的聲譽。黑客們個個記憶超群---你將需要數年的時間讓他們忘記你的愚蠢。

---其它資源

Peter Seebach為那些不知如何同黑客打交道的經理們維護了一個非常精彩的黑客FAQ。

The Loginataka 有許多關於如何正確培養一個Unix黑客的態度的材料。

我也曾寫過一篇「黑客文化簡史」。

我還寫過另一篇文章，「大教堂與集市」，解釋了許多Linux和開放源碼文化的運做原理。我還在它的續集「開拓智域」一文中有更直接的論述。

---FAQ（常問問題解答）

問：你會教我如何做黑客嗎？

自從第一次發布此頁，我每周都會得到一些請求，要我「教會他如何做黑客」；遺憾的是，我沒有足夠的時間和精力來做這個；我自己的編程項目已經佔用了我110%的時間。
甚至即便我想教你也不可能，黑客基本上是一項需要你自行修煉的的態度和技術。你會發現即使真正的黑客想幫助你，如果你乞求他們填鴨一樣教你的話，你不會贏得他們的尊敬。
首先去學習。顯示你在嘗試，你能靠自己去學習。然後再去向黑客們請教問題。

問：你會幫我「黑」掉一個站點嗎？或者教我怎麼黑它？

No. 任何在讀完FAQ後還問此問題人，都是愚不可及的傢伙，即使有時間我也不會理睬。 任何發給我的此類mail都會被忽略或被痛斥。

問：哪裡能找到真正的可以與之交流的黑客？

最佳辦法是就近參加一個Unix或Linux的用戶組，參加他們的會議。

問：我該先學哪種語言？

HTML, 如果你還不會的話.
但它不是一個真正的編程語言。當你准備編程時，我建議你從 Python開始. 會有很多人向你推薦Perl，它比Python還受歡迎，但卻難學一些。

C 是非常重要的，但它卻是最難學的。不要一開始就嘗試學C。

問：開放源碼的自由軟體不會使程序員餓肚子嗎？

這似乎不大可能---到目前，開放源碼軟體產業創造了而不是消滅了大量工作機會。
如果寫一個程序比不寫一個程序只是個純粹經濟上的收益的話，無論它是否免費，只要它被完成，程序員都會從中得到回報。而且，無論軟體是由多麼的free的方法開發的，對更新的軟體應用的需求總是會有的。

問：我從何學起？哪裡有免費的Unix?

本頁的其他地方指向最常用的免費Unix。要做一名黑客，你需要自立自強，以及自我教育的能力。

3. 汽車的智能網聯化面臨著極大的網路安全挑戰

你點的每個贊，我都認真當成了喜歡

隨著互聯網 科技 的發展， 汽車 產業也逐漸向智能化、網聯化、共享化的方向發展，車輛本身已從封閉的系統變成了開放的系統，智能網聯 汽車 將逐漸成為像手機一樣的智能終端設備。當 汽車 成為網路空間的一個組成部分，也像其他聯網的電子設備和計算機系統一樣，成為黑客攻擊的目標，面臨嚴峻的網路安全挑戰。近幾年針對 汽車 的眾多攻擊事例表明，黑客攻擊不僅會造成數據和隱私泄露，還能通過接管和控制車輛駕駛系統，給駕乘人員的人身和財產安全都帶來了重大隱患。

值得重視的安全問題

早在2015年，兩名白帽黑客就通過遠程入侵一輛正在路上行駛的切諾基，對其做出減速、關閉引擎、突然制動或者制動失靈等操控，這次事件造成克萊斯勒公司在全球召回了140萬輛車並安裝了相應補丁。2019年4月，騰訊科恩實驗室發布的報告顯示，利用特斯拉Autopilot自動輔助駕駛系統存在的缺陷，通過欺騙Autopilot系統，可以實現讓車輛駛入反向車道;即使Autopilot系統沒有被車主主動開啟，黑客利用已知漏洞獲取Autopilot控制權之後，也可以利用Autopilot功能通過 游戲 手柄對車輛行駛方向進行操控。

此外， 汽車 安全漏洞不僅會對用戶的人身和財產安全構成威脅，還有可能造成城市交通癱瘓，給 社會 公共安全管理帶來治理挑戰。例如，喬治亞理工學院的研究人員通過數學模型分析發現，在交通高峰期，只要20%的 汽車 被黑客入侵導致熄火，就能有效地讓城市交通癱瘓，並導致交通事故、人員傷亡等城市混亂，而救護車和消防車也因交通停滯而無法趕到。雖然讓數百萬輛 汽車 同時遭到協同攻擊具有一定的技術難度，但這項研究成果顯示了 汽車 網路安全風險可能導致的嚴重後果。

隨著車聯網的發展，智能網聯 汽車 受到的攻擊面非常廣泛。例如，黑客可通過移動App、車聯網雲平台、OTA空中軟體升級、車載T-BOX、車載信息 娛樂 系統、車載診斷系統介面、V2X車路通信等環節和節點存在的漏洞實現對車輛內數據的竊取、對車輛的盜竊以及對車輛駕駛系統自動控制。

同時，除網路安全風險外，載入自動駕駛功能的智能網聯 汽車 在功能安全性方面也存在重大隱患。截至目前，特拉斯、谷歌Waymo、Uber等公司研製的自動駕駛 汽車 在上路測試過程中都發生過交通事故，Uber公司的自動駕駛 汽車 還曾在2018年3月造成一名行人死亡，特拉斯開發的載入輔助駕駛系統的 汽車 更是造成多起嚴重的交通事故。這些安全事件都為智能網聯 汽車 產業發展蒙上了陰影。

科技 「病」還需要用 科技 「葯」來治

智能網聯 汽車 產業鏈長、防護界面眾多，安全問題復雜，為此，產業鏈各方紛紛加快安全技術研發，提升 汽車 安全防禦能力。

整車廠安全意識明顯提升，特拉斯連續4年在Pwn2own國際黑客大賽上舉辦漏洞懸賞計劃，已向發現其系統漏洞的黑客提供了數十萬美元獎勵。2019年，其獎金更是提高為贈送一輛Model 3轎車。國內長安 汽車 、比亞迪、蔚來 汽車 也都紛紛建立信息安全部門，或與網路安全廠商加強合作。

汽車 配套產品供應商積極在產品設計和研發側嵌入網路安全能力，以滿足整車廠的安全需求。大陸集團2017年收購以色列 汽車 網路安全公司Argus，並把網路安全放在產品與服務開發的核心位置，目前已發布了端到端安全解決方案，涵蓋電子部件安全、部件間通信安全、車輛與外界介面安全、雲端安全等。哈曼國際2016年收購 汽車 網路安全公司TowerSec，快速加強網路安全技術研發，推出了HARMAN SHIELD網路安全解決方案，並積極為標致雪鐵龍等整車廠商提供智能網聯 汽車 平台的網路安全策略。

IT互聯網公司以及網路安全企業也積極應對 汽車 網路安全風險。騰訊旗下科恩實驗室依靠自身多年的漏洞挖掘經驗長期致力於車聯網系統的漏洞挖掘與研究。網路2018年4月啟動網路安全實驗室，負責為自動駕駛 汽車 開發安全解決方案，2018年11月發布一站式 汽車 信息安全解決方案，可解決黑客攻擊和隱私泄露等安全問題。此外，國內外網路安全廠商紛紛拓展 汽車 安全業務，360推出「 汽車 安全大腦」解決方案，通過監控、分析、響應的動態防禦手段，為智能網聯 汽車 的安全運營提供保障。

此外，Arxan Technologies、Mocana、Intertrust Technologies等國外安全廠商，亞信安全、梆梆安全、綠盟 科技 等國內安全廠商都將 汽車 安全作為新增業務。同時，國外也涌現多家專注於 汽車 網路安全的初創企業，例如CarsDome、GuardKnox、CyMotive等。

汽車 網路安全的立法挑戰

除產業界積極應對 汽車 網路安全挑戰外，針對該領域的法案、指南、標准等也在積極推進過程中。美國眾議院2017年9月通過的《自動駕駛法案》將網路安全作為單獨一個章節，要求自動駕駛車輛廠商必須制定網路安全計劃，包括如何應對網路攻擊、未授權入侵以及虛假或者惡意控制指令等安全策略，用以保護關鍵的控制、系統和程序，並根據環境的變化對此類系統進行更新。此外，還要求自動駕駛 汽車 製造商必須制定隱私保護計劃，明確對車主和乘客信息的收集、使用、分享和存儲的相關做法，包括在收集方式、數據最小化、去識別化以及數據留存等方面的做法。

英國政府於2017年8月發布《網聯 汽車 和自動駕駛 汽車 的網路安全關鍵原則》，提出包括加強企業內部網路安全管理、安全風險評估與管理、產品售後服務與應急響應機制、整體安全性要求、系統設計、軟體安全管理、數據安全、彈性設計在內的 8 項關鍵原則。隨後，在英國交通部和英國國家網路安全中心以及眾多 汽車 企業的支持下，英國標准協會於2018年12月發布自動駕駛 汽車 網路安全標准，英國由此成為首個發布此類標準的國家。目前，我國 汽車 標准化技術委員會和信息安全標准化技術委員會等標准制定機構也在加緊制定 汽車 信息安全標准。

針對功能安全問題，目前國內外都利用法律法規進行規制。各國針對自動駕駛 汽車 上路的立法都非常謹慎。例如出於安全考慮，目前國內外大部分自動駕駛道路測試法規都要求自動駕駛 汽車 測試時必須配備經過嚴格培訓的測試人員，測試駕駛人應當始終處於測試車輛的駕駛座位上，要在必要時干預或接管車輛，並強制要求測試主體在測試前購買相關保險，且必須通過封閉道路測試驗證後方可在公共和開放道路上進行測試。

當前，全球范圍內進入智能網聯 汽車 快速發展階段，企業之間跨界融合、產業重構的趨勢已經非常明顯，產業生態正在快速形成與發展。未來，人工智慧、5G、物聯網、雲計算等新一代信息技術的飛速發展，將在智能網聯 汽車 技術發展中產生巨大協同效應，重塑 汽車 產業業態和商業模式，為人類出行方式帶來根本性變革。但在當前發展階段，國內外智能網聯 汽車 廠商尚沒有構建面向中高級無人駕駛階段的可信安全體系，無論在功能安全，還是網路安全方面，智能網聯 汽車 的安全可靠性都亟待加強。若無安全性保障，將極大地限制智能網聯 汽車 的普及應用。因此，安全是智能網聯 汽車 發展的基礎，產業界各方應進一步提升安全意識，在產品設計、研發、測試的過程中，將安全內嵌其中，並在產品全生命周期中做到持續的安全保障，實現安全與產業發展同步建設。

人民交通》雜志是我國交通領域大型時政類期刊

以傳播國家方針政策，展現交通發展進程

助力中國交通事業快速發展成長為辦刊目標

網址：http://www.rmjtxw.com

電話：010—67637567

地址：北京市豐台區東鐵營順三條2號

郵政編碼：100079‍‍‍

編輯|貢昶

圖文|網路

4. 一個漏洞就能讓數百萬輛車被黑客操控，智能汽車的安全誰來保障

文/Hanmeimei

而在智能汽車行業真正騰飛之前，必須繫上這根「安全帶」，因為安全永遠應該跑在速度前面。從RSAC2020上釋放的信息來看，如今車企與互聯網安全企業的合作已經成為主流趨勢，有360這樣專業的安全企業保駕護航，風口上的智能汽車行業才能飛得更高、更遠也更穩。

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。