一周安全漫谈|都是科技与狠活儿？ 欧洲一偷车团伙瞄准智能网联汽车

要说本周最热闹的一件大事，自然是永信至诚上市了。

 

2022年10月19日，北京永信至诚科技股份有限公司正式鸣锣开市，登陆科创板。股票简称：永信至诚，股票代码688244。至此，网络安全领域上市企业增至25家。

 

作为聚焦科技创新的网络安全企业和国家级专精特新“小巨人”企业，永信至诚在网络安全行业内一直有着良好的口碑，永信至诚着力于解决产业数字化转型缺乏安全测试环境、网络安全人员实战能力不足、政企用户缺乏主动防护能力等问题，其核心业务主要包括两大块，其一是网络靶场，另一块是网络安全人才培养。

 

在网络靶场方面，永信至诚网络靶场曾经获评为北京市科学技术奖一等奖，其网络靶场产品实现了7+1应用场景落地，正在源源不断地为各行业提供灵活、稳定、高效的网络安全研究、实战演练、安全测试、效能分析、态势推演等服务，为企业数字化转型构建网络安全“数字风洞”。

 

在网络安全人才方面，永信至诚开创了拥有89万多注册用户的全国知名网络安全专业学习社区，打造了完整的社区、岛链式产品线和人才培养、选拔、评价及实践机制；助力国家各大部委举办高质量赛事遴选人才，为6000余家单位、逾55万人次提供训练环境，源源不断为社会和企业输送了大量的实战型安全人才。

 

本次成功登陆科创板，实际上也是代表着安全业界和社会各界对永信至诚过往成绩的认可，我们也要再次对永信至诚表示祝贺。希望借助资本市场平台的力量，永信至诚能够进一步扩大核心优势，继续为我国数字经济安全稳健发展保驾护航，实现“带给世界安全感”的愿景。

 

好，恭喜完永信至诚，我们再来聊一聊本周另外两件值得关注的新闻。

 

10月19日，欧洲执法机构宣布捣毁了一个一个专门入侵汽车无钥匙解锁系统的黑客团伙，逮捕了包括汽车入侵软件的开发人员、软件经销人员和偷车团伙在内的31名嫌疑人，并没收超过100万欧元（约人民币775万元）的犯罪资产。

 

据悉，在这一汽车盗窃案件中，该犯罪团队中的软件开发人员制作了一个为汽车提供问题诊断解决方案的仿冒欺诈工具，随后再安排专人在互联网中推广传播，引诱车主们下载软件，随后再由专门的偷车团伙找到被植入恶意软件的汽车，利用恶意软件中的无钥匙进入和无钥匙启动功能开走车辆。

 

有专家指出，针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低，毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术，但利用网络钓鱼和黑客攻击技术，偷车贼甚至可以直接走到车辆旁边开走它。

 

关注车联网安全的朋友们可能都知道，此前在2015年，有国外的安全研究人员成功的以远程控制的方式让行驶在高速公路上的吉普车熄火，开启了汽车收音机并打开了前雨刷器；在2020年的GeekPwn大赛上，也有安全研究员成功的干扰了特斯拉的辅助驾驶功能，控制汽车横冲直撞，但这些说实话都是在实验环境下完成的，但欧洲警方发布的这一案件，却真实的发生在现实生活中。

 

不难看出，智能网联车技术的蓬勃发展，正在让黑客大电影中的种种幻想的场景走入现实。

 

此前360董事长周鸿祎在投资哪吒汽车的时候曾经表示，“未来的智能汽车将会变成四个轮子加上一台电脑”，未来智能汽车将是“软件定义汽车，网络连接汽车，大数据驱动汽车”。

 

显然，与互联网相连接的智能汽车也面临着严峻的网络安全风险，还是那句话，对于汽车这样的一个出行工具来说，背离安全性的初衷，再好的功能设计都是舍本逐末。

 

如何改善车辆的网络安全水平，避免来自网络世界的恶意攻击，这一问题或许要交给智能汽车的制造商们和车联网安全厂商们一同来回答。

 

 

好，接下来我们再来看另一个热门事件。

 

10月12日早上，加密交易平台Mango遭遇黑客攻击，据报道被盗价值超过 1 亿美元的加密资产。

 

在遭到攻击之后，Mango官方在社交平台表示，已经停止平台的运营以限制攻击者继续从平台中盗取更多的资产，同时呢，同时希望黑客能主动联系协商返还窃取的资产，看看事情有没有缓和的余地。

 

有趣的是，与以往攻击事件的剧情走向不同，这次的黑客“戏瘾很足”，看到官方消息后，他真的就主动联系了平台，并提出几点要求：

 

第一，要拿出7000万美元作为自己漏洞赏金；同时希望 Mango 官方使用国库资金（7000 万美元）偿还这次攻击造成的用户坏账；

第二，平台不能报警，不能发起刑事调查；

第三，平台不能冻结自己的资产和账户。

 

除此以外，这名攻击者还在Mango Markets社区中发起了一个投票活动，希望所有的社区用户都来投票支持自己。截至投票结束，共有96%的社区用户投了赞成票，只有3.4%的用户投出了反对票。这也不难理解，毕竟如果官方同意了黑客的要求的话，无辜的社区群众们就能够得以挽回自己的损失。

 

最终Mango官方还是向该名黑客妥协，经过几番拉扯后，官方同意将本次被盗资产中的4700万美元作为漏洞奖金支付给这名黑客，随后，这名黑客也履行了自己的承诺，按照不同批次返还了剩余的6700万美元。

 

10月16日，Mango官方称，目前已经开始着手计算这部分被盗资金的返还方式，并将被盗资产重新返回给各位用户。

 

虽然这一安全事件以和平且戏剧性的方式告终，但还是有大量的吃瓜群众对这名黑客的行为表示了唾弃和谴责。其中一部分人认为，攻击者利用的这一个安全漏洞并不十分高明，对于这种低级漏洞来说4700万美元的漏洞赏金简直高得离谱。

 

但更多人从更深的层面围绕安全机制进行了讨论，首先这名黑客后续的种种行为无疑是希望为自己“脱罪”，尽管黑客与平台方达成了共识，将4700万美元定义为漏洞赏金，但这显然是一次站不住脚的勒索行为，黑客的犯罪性质是毋庸置疑的，试图以此种方式逃脱法律的制裁显然行不通。

 

试想，假若以后有更多黑客冠以“白帽子”的身份，大肆对加密交易平台进行披着“合法外衣”的勒索行为，那加密市场岂不是要沦为黑客们“提款机”？加密货币市场的安全秩序也将当然无存。

 

从安全的角度来看，当一个系统足够复杂但又承载了大量资金时，就很容易被黑客盯上，因此，保障链上安全仍然需要多方努力，不仅项目方要更重视内部风险控制和智能合约代码审计等安全保障措施；区块链安全服务机构也应该持续加强安全研发投入，迭代安全技术，积极对应各类风险，来遏制安全风险进一步扩大的趋势。

 

本期的《一周安全漫谈》节目就到这里啦！关注安全419，我们下周再见！