汽车制造商联盟，共同捍卫网络安全

时间：2015-09-01 22:43:50

关键字：网络安全汽车制造汽车行业黑客

手机看文章

扫描二维码
随时随地手机看文章

[导读]网络安全研究员Charlie Miller(左)和Chris Valasek使用笔记本电脑，控制了一辆吉普切诺基的车载电脑。华盛顿 -- 今年年底前，汽车制造商将建成一道新的防线，抵御可能出现

网络安全研究员Charlie Miller(左)和Chris Valasek使用笔记本电脑，控制了一辆吉普切诺基的车载电脑。

华盛顿 -- 今年年底前，汽车制造商将建成一道新的防线，抵御可能出现的汽车网络攻击。

通过汽车制造商联盟(the Alliance of Automobile Manufacturers)和全球汽车生产商协会(the Association of Global Automakers)，汽车制造商试图建立一个信息分享和分析中心(Information Sharing and Analysis Center，下简称ISAC)，集合整个汽车行业的力量，共同捍卫汽车以及汽车网络的安全。各个汽车生产商还可以利用这个中心分享“保护汽车安全、应对 ‘被黑’威胁”的可行做法。

网络安全是汽车行业如今面临的新问题，不同汽车生产商的应对之道也并不相同。正因为如此，汽车行业无法拿出一套完整、成熟的防卫措施，保护用户的安全。这也招致了多个包括律师在内的行业批评家的“炮轰”。

就目前来看，充满恶意的黑客疯狂攻击互联汽车的场景并不大可能立刻成为现实。今年7月，杂志《连线》(Wired)率先报道了两位黑客远程控制吉普切诺基 (Jeep Cherokee)的新闻，此后该事件不断发酵。不过值得注意，该报道中的两名研究人员并非一般的黑客，他们是非常专业的安全专家，而且曾花费数年时间开发用于汽车攻击的工具。

根据咨询公司Frost & Sullivan最近的一份白皮书，虽然互联汽车能够收集大量数据，但汽车行业尚未能大规模将这些数据转为美金。因此，那些“为钱而战”的黑客并不能得到什么好处。

不过，这种情况可能会发生改变。

汽车行业ISAC全国委员会主席Denise Anderson的相关经验非常丰富，她曾担任金融服务业ISAC副总裁一职，“我们现在应该感到害怕吗?我并不这样认为。但我们现在必须建立ISAC中心，提前准备需要的基础设施和信任关系。”她表示，“我们不能打无准备的仗。这和‘健康’一样，我们过去也未过多谈论这个话题，但现在大家人人都很关注健康。”

分享安全信息

1998年，时任美国总统的比尔.克林顿下达总统决策指令，要求行业成立ISAC中心。自此之后，除了金融服务业，还有很多行业都开设了自己的行业ISAC。

汽车制造商联盟安全副总裁Rob Strassburger在今年7月表示，汽车行业的ISAC按计划将在今年年底投入运营。

除了各个大型汽车制造商，相关供应商和通信公司预计也将加入汽车ISAC中心。成员公司可以通过ISAC匿名分享漏洞和攻击的信息。汽车行业ISAC中心的员工和分析师将诊断这些漏洞并做出回应，而后将相关信息分享给其他成员。

汽车联盟(Auto Alliance)和全球汽车生产商的官员称，大家还在商议中心的具体运营细节。不过，汽车行业可以从其他行业的ISAC中寻求一点启示。

Anderson表示，由于金融服务业ISAC的存在，金融机构才有能力在2012年和2013年成功应对针对数十家大型银行的网页攻击。

她表示，中心的设立将为关于分布式拒绝服务攻击的信息分享打开大门。一般来说，黑客会利用这种攻击集中访问某一网站，冲破网站访问极限，而从使网站瘫痪。

Anderson表示，由于银行采用了有效的应对措施，这种攻击的威力被大大减少了。她表示，有家ISAC成员银行的防御措施做的非常好，他们的网站甚至完全没有受到影响。

“黑”入一辆吉普

根据《连线》杂志的报道，安全研究人员Charlie Miller和Chris Valasek在吉普切诺基的联网广播设备中找到一个漏洞，然后借此“黑”入汽车的中央电脑，并最终控制了车辆的若干功能。菲亚特克莱斯勒汽车(Fiat Chrysler Automobiles)和Sprint修复了Miller和Valasek发现的漏洞。

但在此之前，这两名专家得以成功“黑”入切诺基，通过远在数英里外的笔记本电脑控制车辆的部分功能，他们调高广播的音量、打开雨刷、开启空调，甚至使车辆的变速器失控。

目前，这些车辆系统的漏洞处于华盛顿立法者和监管者的密切监管之下。

根据美国高速公路交通安全局(the National Highway Traffic Safety Administration，下简称NHTSA)去年10月份的报告，通过蜂窝数据连接控制汽车仅为现代汽车需要面对的11种潜在攻击之一。这份报告来自一支在2012年集结的NHTSA研发团队，报告主要关注包括汽车网络安全在内的各种汽车电子系统。

最近，上呈美国议院的议案将指导NHTSA和联邦贸易委员会(Federal Trade Commission)起草汽车网络安全的最低标准。在此之前，马萨诸塞州民主党议Edward Markey已经发现汽车行业并没有应对网络安全的统一作法，他认为这种相互独立的做法无法完全确保汽车用户的安全和隐私。

同时，美国众议院能源和商业委员会(the House Energy and Commerce Committee)也在进行相关的独立审阅工作。委员会曾在今年5月份向全美17家汽车生产商的高层领导人询问关于如何应对网络安全的问题。在收到回复后，委员会正在继续跟进这个问题。

能源和商业委员会发言人在一次声明中表示，“每天出现的互联汽车越来越多，车企必须看清当下形式及未来发展趋势。”

由于行业缺少应对网络安全的指导作法，Frost & Sullivan称政府应出台相关政策，推动行业发展。

这家咨询公司表示：“政府似乎有所动作，汽车制造商却看起来好像慢一拍。他们的角色应该互换一下。”