就是資安

汽車對很多人 (尤其是男生) 來說，往往不只是一項代步工具，更是一種身分跟品味的象徵。但是在眾多感性的訴求當中，卻還是有一些比較理性的訴求，其中之一就是安全性。過去汽車的安全性，對車子本身而言，包含了車身結構、安全氣囊、ABS 以及其他的安全設計。對駕駛而言，則包含了行前的檢查 (油、水、胎壓、煞車、電池及其他) 與安全地駕駛 (開車不喝酒、不打行動電話) 等等。但是在未來，所謂的汽車安全性，或許會另外多了一個項目，那就是軟體的更新 (事實上，部分汽車廠商現在就已經具有這樣的服務)。隨著汽車工業的高度發展，現代汽車的設計已經內建越來越多的軟體 (Mercedes-Benz S-Class 擁有超過兩千萬行的程式碼) ，用以強化駕駛與乘客的乘坐經驗。但是這些軟體，卻也代表著可能存在的安全漏洞。尤其是當這些軟體可以從遠端 (利用網路) 加以控制時，其所產生的影響將可能是前所未見的。

之前我分享過幾則相關的新聞，但是其影響大多還只是侷限在造成不便，對安全尚未造成真正的危害。但是，隨著市場規模的擴大，惡意的攻擊，乃至於有利益目的的攻擊，只是早晚的問題。例如，如果駭客可以透過車載定位系統明確地掌握某大企業 CEO 的行程，或許就可以猜到這家企業暗地裡可能在進行什麼業務。又例如當駭客可以透過同樣的系統掌握到政要的出現地點，那麼想要對其不利也就容易多了。至於市井小民嘛，也許哪一天車子無緣無故自己開到荒山野地躲起來也不會是什麼令人驚訝的消息。想要找回愛車，請記得先付款給駭客。除此之外，針對那些喜歡在車上做些非正常活動的男女，或許更該多加小心，免得成了現場直播成人秀的最佳男、女主角了。

之前我分享過幾篇有關 WiFi 協定加密安全性的文章，對於使用者而言， WEP 與 WPA 應該是早就揚棄不用。但是在現實的環境中，使用 WEP 與 WPA 的設備依舊不在少數。一般而言，破解加密/密碼需要大量的運算能力，而且是不同於一般電腦設備所依賴的 CPU (中央處理器) 運算能力。提到大量運算能力，大家現在最容易聯想到的就是利用雲端架構的充沛資源，所以因而有了利用雲端平台來破解 WPA 的服務。但是雲端再強大，依舊是使用所謂的 CPU 當做主要運算能力的來源。相較於 CPU，GPU (圖型處理器) 的運算能力其實更適用於破解加密/密碼。因此雲端平台如果能夠再加上 GPU 的組合，那可真的是如虎添翼了，而這樣的夢想已經可以在 Amazon 的 EC2 平台上加以實現。Amazon EC2 於日前宣布提供 GPU (Nvidia Telsa) 運算能力的服務，讓破解加密/密碼的工作進行地更加快速。事實上，已經有人提供如何利用此一架構來執行破解密碼的程式。對我們的影響？那就是趕快換掉老舊的設備，還有就是選擇一個好的密碼。

之前我在 [從電影看資安] 誰才是大將軍 - 大兵小將 這篇文章中提到資安專家利用假冒的觀念來減少危險，後來甚至演變出所謂的 Honeypot/Honeynet，這類機制不但可以用來減少駭客攻擊的有效性，甚至可以用來學習駭客的行為以利資安專家對抗駭客所發動的攻擊。我在文章最後提到假冒的觀念對於攻擊與防守的雙方都同樣重要，甚至攻擊方對於假冒更是駕輕就熟，畢竟攻擊要成功，完美的假冒往往是一個基本條件。但是像是 Honeypot 這種用來誘敵的機制，對於攻擊一方的用途卻是到了近期才被加以利用。這倒也不是說明資安專家就比駭客更加聰明，而是資安專家往往比較被動，所以對他們採用 Honeypot 的效用不大。不過一旦駭客發現這是一個好方法，他們絕對不會放棄，而且我相信駭客可以發揮出更好的效果。因為駭客只要放出足夠的煙霧彈就夠資安專家們忙上好一陣子了，而在現今的攻擊情境中，好一陣子已經可以產生決定性的效果。事情會怎麼演變，就讓我們繼續觀察吧。