“網(wǎng)絡(luò)安全將成為未來十年至二十年汽車行業(yè)面臨的最大挑戰(zhàn)?！盜HS Markit的高級分析師柯林·伯德（colin Bird）說：“隨著越來越多的車輛配備遠程信息處理和嵌入式調(diào)制解調(diào)器，網(wǎng)聯(lián)汽車也會成為網(wǎng)絡(luò)罪犯、恐怖分子和政府機構(gòu)攻擊的‘新寵?！?/p>

未來五年，全球?qū)⒂?.5億輛帶有網(wǎng)聯(lián)屬性的汽車上路。而當下，汽車制造商們都在爭分奪秒的布局網(wǎng)聯(lián)汽車，諸如4G和藍牙之類的功能已經(jīng)成為許多品牌和車型的標配，他們希望車主能通過車輛聯(lián)動自己的生活。未來幾年，我們的車將通過物聯(lián)網(wǎng)與更多東西實現(xiàn)互聯(lián)，比如與智能手表、智能住宅和智能城市進行無縫連接。

華盛頓特區(qū)大西洋理事會網(wǎng)絡(luò)治國項目（the Cyber statectaft Initiative）的負責人約什·考爾曼（Josh Corman）表達了自己對網(wǎng)聯(lián)汽車的擔憂：“所有連接都有潛在的危險性?！笨紶柭救藢θ蚪?jīng)濟、政治和技術(shù)發(fā)展都有深入的思考分析，他認為汽車制造商抵御網(wǎng)絡(luò)威脅的能力遠遠落后于他們?yōu)檐囎优渲镁W(wǎng)聯(lián)功能的速度?？紶柭a充道：“他們終有一天會為這樣的行為付出代價，而這一天離我們并不遙遠?！?/p>

考爾曼用石棉來比喻網(wǎng)聯(lián)汽車的潛在風險。在石棉的致癌性被發(fā)現(xiàn)之前，它被譽為“具有無限發(fā)展前景的建筑材料”，并廣受追捧?！爱斒奘状纬霈F(xiàn)在公眾視野中時，不用石棉的人被視為白癡。石棉的優(yōu)點是如此的顯而易見，它即阻燃，又輕巧，而且價格便宜。同樣的，物聯(lián)網(wǎng)能帶給人們的好處也如石棉的優(yōu)點一樣明顯。但是當我們試圖連通信息物理系統(tǒng)時，我們必須以史為鑒?！?/p>

持此觀點的并非考爾曼一人。四月份，美國政府問責局（Government Accountabillty Office）發(fā)布了一則報告，認為交通運輸部（Department of Transportation）有必要明確自己的職責與定位，以便更好地預(yù)防和應(yīng)對現(xiàn)實生活中針對車輛的網(wǎng)絡(luò)攻擊。該報告指出，黑客可以悄無聲息地入侵大批車輛，且不受地域限制，不論在世界的哪個角落都可以實施入侵。去年，研究人員在匹茲堡一戶居民的家中遠程強制操控了一輛在圣路易斯的高速公路上行駛的吉普切諾基。

這次實驗也為美國國土安全局（Department of Homeland securlty）敲響了警鐘，但黑客們?nèi)肭周囕v的能力早在2010年就被汽車行業(yè)所熟知。當時研究者與華盛頓大學及加利福尼亞大學圣地亞哥分校聯(lián)手，首次證明了從外部攻入車載軟件系統(tǒng)并對車輛進行控制的可行性。從那時開始，汽車的網(wǎng)絡(luò)安全問題已經(jīng)迅速擴張為一個巨大的潛在陷阱。目前，全球共有1.12億輛具有網(wǎng)聯(lián)功能的汽車。據(jù)技術(shù)咨詢公司Gartner預(yù)測，到2025年，這一數(shù)字有望翻倍。屆時，網(wǎng)聯(lián)汽車的總量將達到2.5億輛。IHS Markit（英國金融咨詢服務(wù)公司）則稱，到2023年。汽車行業(yè)每年將投入7.59億美元用于處理汽車安全問題。

“網(wǎng)絡(luò)安全將成為未來十年至二十年汽車行業(yè)面臨的最大挑戰(zhàn)。”IHS Markit的高級分析師柯林·伯德（colin BiTd）說：“隨著越來越多的車輛配備遠程信息處理和嵌入式調(diào)制解調(diào)器，網(wǎng)聯(lián)汽車也會成為網(wǎng)絡(luò)罪犯、恐怖分子和政府機構(gòu)攻擊的‘新寵?！?/p>

共享情報，共抗威脅

聯(lián)邦官員深知，目前他們迫切需要加強車輛對外界攻擊的防御能力。為回應(yīng)政府問責局的報告，交通運輸部的官員正積極制定新的網(wǎng)絡(luò)安全政策，其發(fā)言人向《名車志》透露，這項政策將很快出臺。不久前，交通運輸部還頒布了《聯(lián)邦自動駕駛汽車政策》，特別強調(diào)了自動駕駛汽車的網(wǎng)絡(luò)安全問題。

政策規(guī)定，原始設(shè)備制造商（OEM）應(yīng)提供檢測、防范和恢復等選項，用于化解安全危機，并且能夠迅速對突發(fā)事件進行處理。但以目前的技術(shù)水平來看，這些操作均不能實現(xiàn)。聯(lián)邦官員大力呼吁汽車制造商將涉及自動駕駛安全問題的信息進行共享，因為關(guān)涉到網(wǎng)絡(luò)安全，政府在這一問題的立場上很可能會與聯(lián)邦官員保持一致。

“網(wǎng)絡(luò)安全是我們提倡信息共享的又一領(lǐng)域?！苯煌ㄟ\輸部一位不愿透露姓名的高級官員說，“我們積極倡導并希望可以幫助大家在多個領(lǐng)域建立起合作關(guān)系，這樣大家就不會和他們的鄰居犯同樣的錯誤?！?/p>

這樣的共享工作已經(jīng)在進行當中。Auto-ISAC（汽車信息共享與分析中心）是現(xiàn)存少有的幾家抵抗車輛黑客攻擊的保護機構(gòu)之一，成立于2016年1月。據(jù)其執(zhí)行董事喬恩·艾倫（Jon Allen）介紹，他們的組成人員均來自于主流汽車制造商和供應(yīng)商，在成立的第一個月就記錄和分享了超過30條可操作性的安全威脅。

七月份，Auto-ISAC發(fā)布了為汽車制造商和供應(yīng)商量身定制的“最佳實踐”。該文件承認，“零風險汽車的說法是不現(xiàn)實的，未來我們也不可能造出零風險汽車?！辈⑶抑攸c介紹了數(shù)種供汽車制造商和供應(yīng)商評估風險、檢測安全威脅以及組織反擊的方法。美國高速公路安全管理局（NKTSA）認為，Auto-ISAC發(fā)布的文件應(yīng)成為指導高度自動駕駛車輛發(fā)展的重要參考資料。

但當下有一個問題，就是幾乎所有的汽車制造商都不具備檢測實時威脅并即刻采取措施的能力。原始設(shè)備制造商已經(jīng)開始通過添加軟件來強化防御能力，這種軟件可以識別和防疫車載網(wǎng)絡(luò)上潛在的黑客攻擊。然而沒有任何一家主流汽車制造商具有實時保留網(wǎng)絡(luò)流量，亦或是捕獲數(shù)據(jù)以供后續(xù)調(diào)查的能力。

考爾曼是一家分析網(wǎng)絡(luò)安全和公共安全的基礎(chǔ)組織iamthecavalry.org的創(chuàng)始人，他發(fā)起了一項“五星級汽車網(wǎng)絡(luò)安全計劃”，這項計劃也是另一個系列的“最佳實踐”。五顆星中第三顆的內(nèi)容是建議汽車制造商開發(fā)出一項用于證據(jù)捕捉的方法，類似于飛機的黑匣子，可以追蹤企圖入侵者，也可以追蹤對車輛控制區(qū)域網(wǎng)絡(luò)總線的破壞行為。但是設(shè)計這樣一個“數(shù)據(jù)錄音機”并不像航空公司現(xiàn)在應(yīng)用的系統(tǒng)那么簡單?！昂诳蛡冏龅牡谝患虑榫褪莿h除記錄以隱藏他們的蹤跡，所以我們不能僅僅嘗試著做一個證據(jù)記錄?！笨紶柭f：“我們在私營領(lǐng)域的經(jīng)驗來之不易，這些都應(yīng)為我們現(xiàn)在的工作所借鑒和遵守?！?

與獨立專家合作，實現(xiàn)逆轉(zhuǎn)

如果加強車輛安全和信息共享是汽車產(chǎn)業(yè)在網(wǎng)聯(lián)汽車時代抵御黑客攻擊的兩大利器，那么做一些曾經(jīng)是不可思議的事情或許也能成為抵御黑客的有效法寶。比如求助外界的獨立研究者，這些獨立研究者也是剛剛起步的網(wǎng)絡(luò)安全領(lǐng)域的先驅(qū)。

現(xiàn)在已經(jīng)有三家車企采取了行動，發(fā)起漏洞修復獎賞，或者運行合作披露計劃，這就給獨立研究者提供了一個和車企進行連接與合作的渠道。特斯拉汽車對發(fā)現(xiàn)并共享漏洞情報的研究人員提供一枚金幣作為獎勵，這一具有象征意義的獎勵在白帽子黑客社區(qū)受到高度追捧。此外，免費參觀特斯拉工廠也是獎勵之一。通用汽車在一月份發(fā)起了一項合作披露項目，菲亞特-克萊斯勒汽車在七月份也加入了這一計劃。

這些都是在Auto-ISAC推動下取得的新進展。汽車制造商對待獨立研究者的態(tài)度相較于一年前也發(fā)生了翻天覆地的變化。2015年，以通用汽車為代表的汽車制造商們通過他們的宣傳團體四處宣揚獨立研究者不應(yīng)擁有研究他們車載軟件的合法權(quán)利。每輛汽車都需要上百萬行的代碼支持其運行，他們認為，這些代碼應(yīng)該受到版權(quán)法的保護。但是研究人員和動手小達人們利用《千禧年數(shù)字版權(quán)法》（Digital Millennium Copyright Act）相關(guān)規(guī)定，成功爭取到了對車輛進行研究的權(quán)利。

通用汽車在去年夏天轉(zhuǎn)變了他們的立場。當時，一個名叫薩米·卡姆克爾（Samy Kamkar）的黑客發(fā)現(xiàn)，通用公司所研發(fā)的可控制雪佛蘭Volt的智能手機應(yīng)用程序OnStar存在安全漏洞。利用這個漏洞，他可以遠程起動車輛。隨后，卡姆克爾將自己的發(fā)現(xiàn)告知了通用公司。短短幾個月，通用汽車對待獨立研究者的態(tài)度從拒之于千里之外轉(zhuǎn)變?yōu)槔瓟n聯(lián)手，發(fā)起了合作披露項目。在計劃開始運行的前24個小時，通用汽車收到了大、量報告，通過這些報告，通用汽車發(fā)現(xiàn)了一些以前并不知道的安全漏洞。

“通過這種互動，我們發(fā)現(xiàn)了與研究人員進行合作的重要性。同樣的，給研究人員提供一個簡單、固定的方式與我們?nèi)〉寐?lián)系也非常重要。”通用集團首席網(wǎng)絡(luò)安全員杰夫·馬西謬爾（Jeff Massimilla）如是說。“他們對于和我們合作的擔心與我們對于和他們合作的擔心很可能是一樣的。我們非常熟悉和汽車及汽車電子設(shè)備打交道，但我們沒有必要親自和黑客打交道。通過合作披露項目，我們得到了許多指導。目前為止，我們的項目運行良好，后續(xù)我們也會持續(xù)完善這個項目?！币粓鰹?zāi)難“蓄勢待發(fā)”

通過Auto-ISAC和合作披露項目進行情報共享雖是保護車輛安全的兩劑良藥，但卻不足以抵御外界對車輛的攻擊。考爾曼說交通運輸部即將出臺的應(yīng)對網(wǎng)絡(luò)安全方案應(yīng)該有一些威力。在達到一定的飛行時間之后，系統(tǒng)對商用飛機會進行強制性的檢查；餐廳也有統(tǒng)一的強制性安全守則；安全帶和安全氣囊也是每輛汽車必備的安全配置。就像這些硬性的規(guī)定一樣，考爾曼認為，汽車行業(yè)也需要制定網(wǎng)絡(luò)安全技術(shù)的準入標準。

“以上所列舉的這些措施沒有一項是企業(yè)自發(fā)自愿進行的?！彼a充道：“我知道人們會擔心政府在進行宏觀調(diào)控的時候并沒有對每個領(lǐng)域的基層細節(jié)信息都有很深入的了解，但政府的介入對于我們來說是一個非常好的提醒，告減我們現(xiàn)在正在做的事情不僅僅是網(wǎng)絡(luò)那么簡單。它是網(wǎng)絡(luò)物理系統(tǒng)，與網(wǎng)絡(luò)安全息息相關(guān)，是比特和字節(jié)遇到真實血肉的地方?！?/p>

現(xiàn)有安全漏洞的數(shù)量在短期內(nèi)很可能快速增長。因為10月1日是版權(quán)案判決生效一周年的日子，這也意味著，研究者們可以打消被制造商起訴的顧慮，重新得到法律的庇護，將之前不敢公開的發(fā)現(xiàn)告知于世。

三家車企開始主持合作披露項目或許是一個好的開始，但是其他車企呢？當下，我們正處在一個汽車嵌入連接不斷增長的時代。但現(xiàn)有防御明顯不足，加密狗（一種軟硬件結(jié)合的加密產(chǎn)品）的脆弱性也日益暴露，然而大部分制造商和售后市場供應(yīng)商并無意接受外界幫助。

安全漏洞就像是隱形炸彈，任何一個潛在小缺口都可以導致人員傷亡，甚至有可能導致網(wǎng)聯(lián)汽車時代最終短命終結(jié)?！爱斘覀兡慷靡蚓W(wǎng)絡(luò)安全問題喪失生命的例子時，我們對網(wǎng)絡(luò)安全的信心將被摧毀。那時你會發(fā)現(xiàn)，人們激進地反對連接任何東西?！笨紶柭f：“有時候，讓人們接收到暗示需要花費。場災(zāi)難的代價。我很好奇這樣的災(zāi)難什么時候發(fā)生，但有一點是確定的，那就是處理這場災(zāi)難的時間將非常長也非常痛苦?！?img alt="" src="https://cimg.fx361.com/images/2017/03/03/qczk201702qczk20170227-4-l.JPG" style="">