Cybellum 很高兴为我们的播客Left to Our Own Devices采访了德国的网络男孩奇迹和 Colombo Technologies 的创始人 David Colombo 。

这位多产的网络研究人员还不到 20 岁，他已经暴露了许多严重的漏洞，包括入侵特斯拉汽车的荣誉！

由于我们每天都会为我们的产品安全平台分析车辆漏洞，因此我们迫不及待地想了解更多关于年轻黑客如何设法破坏特斯拉系统的信息。我们稍后会详细说明他是如何做到的。

当然，作为一名道德黑客，大卫试图通过立即与世界分享他的发现来让世界变得更美好，使安全研究社区能够在实际违规发生之前解决网络问题。

那么，这一切是如何开始的呢？

网络快速学习
当大卫对计算机感兴趣时，他还是个孩子。在他 10 岁生日时收到他的第一台笔记本电脑，他立即被它的工作原理所吸引，当然，尤其是互联网。快速掌握了计算和网络基础知识后，David 开始了他的软件开发之旅。检查自己的代码后，他突然意识到存在漏洞，可以让外人在他不知情的情况下在自己的笔记本电脑上运行代码。

那是激发他对跨应用程序、操作系统和设备漏洞进行研究的热情的灵感时刻。

到他十几岁的时候，大卫已经在研究如何保护公司、医院和其他计算机用户和网络。他发现这项活动比花时间在教室里更令人兴奋。

到 10 年级时，他找到了一位来自德国商会的导师，该导师能够让他的学校允许他每周只出现一两天，让他可以将剩余的时间用于建立他的计算机和网络技能。

16 岁时，大卫创办了自己的网络安全公司。但由于年纪太小，不能合法经营，他的父亲不得不代为签署咨询合同。18 岁时，大卫终于在法律上能够独立开展网络业务。

涂特斯拉，米特斯拉
那么，年仅 19 岁的大卫科伦坡是如何侵入超高科技特斯拉汽车的呢？

在描述这个过程之前，大卫向我们保证，由于他从事道德黑客业务，他告诉我们的一切现在都是公开的，不会以任何方式损害特斯拉汽车或其所有者。所以，这就是故事。

就在去年，大卫开始为一家法国公司进行安全审计。他查看了构成特斯拉正在使用的数据记录器的代码。数据记录器显示特斯拉的行驶地点、速度以及其他此类使用统计数据。但令他惊讶的是，大卫可以很容易地找到这家法国公司的首席执行官驾驶他自己的特斯拉的地方，以及其他私人信息。

作为特斯拉的粉丝，他开始从 GitHub 上阅读其他特斯拉组件的源代码。

啊，骗人的！他发现开源软件以一种可以从外部轻松访问的方式存储数字车钥匙。而且根本没有加密。大卫可以轻松获得任何汽车的数字车钥匙。

他能用这些钥匙做什么？只需远程禁用汽车的安全模式、解锁车门、按喇叭——诸如此类的“小”事情。如果车主的车库门开启器连接到汽车，大卫也可以打开车库门——在芬兰，在瑞士，在任何地方——所有这些都来自他在德国的笔记本电脑！

这是侥幸吗？是否涉及一两辆以上的汽车？大卫迅速进行了互联网搜索。宁。大卫轻松地找到了 20 多辆他可以破坏的汽车。

他立即通过电子邮件联系了特斯拉，并报告了这个令人震惊的漏洞。

特斯拉是如何应对的？马上。但大卫只收到了一个简短的答复，“我们正在调查。” 然而，第二天，OMG！电子邮件来了。“我们仔细查看了您的发现，我们将立即撤销访问令牌并通知所有者。非常感谢您让我们知道！”

特斯拉是如何应对的？马上。但大卫只收到了一个简短的答复，“我们正在调查。” 然而，第二天，OMG！电子邮件来了。“我们仔细查看了您的发现，我们将立即撤销访问令牌并通知所有者。非常感谢您让我们知道！”

安全洞察
大卫年纪轻轻，对他积累的大量网络知识和经验并不公平。今天，他的咨询专业知识需求量很大。他与我们分享了他收集到的一些见解。

网络安全人员和专业知识的短缺是可怕的。汽车、医疗和其他行业需要大量对网络安全充满热情的敬业人员。
即使是“古老的”漏洞也会继续影响现代互联机器的安全操作。例如，许多最新的医疗设备都基于 Windows XP，并且容易受到困扰 XP 系统数十年的相同安全漏洞的影响。
最重要的是，大卫说，“不要放弃。保持专注。作为一名网络安全专业人士，你将对安全、行业和社会产生重大影响。”

未来
毫无疑问，大卫是个天才，我们都很幸运他站在了黑客的右边。但他的故事揭示了汽车产品安全的现状：破坏当今许多先进智能汽车的安全性比我们想象的要容易。

与其他汽车制造商不同，特斯拉将其产品构建在软件之上，并有望实施网络安全控制来管理内部开发的代码库。对于每辆特斯拉来说，还有数以千计的其他设备和车辆对于网络安全游戏来说相对较新，并且仍在努力保护其软件供应链免受恶意玩家的侵害。这使得大多数车辆更容易被利用——即使没有大卫的专业知识。

在 Cybellum，我们的使命是为产品安全团队配备强大的产品安全平台，以应对新出现的网络威胁，因此不会出现这种情况。