網(wǎng)絡(luò)安全研究員Charlie Miller(左)和Chris Valasek使用筆記本電腦，控制了一輛吉普切諾基的車載電腦。

華盛頓 -- 今年年底前，汽車制造商將建成一道新的防線，抵御可能出現(xiàn)的汽車網(wǎng)絡(luò)攻擊。

通過汽車制造商聯(lián)盟(the Alliance of Automobile Manufacturers)和全球汽車生產(chǎn)商協(xié)會(huì)(the Association of Global Automakers)，汽車制造商試圖建立一個(gè)信息分享和分析中心(Information Sharing and Analysis Center，下簡稱ISAC)，集合整個(gè)汽車行業(yè)的力量，共同捍衛(wèi)汽車以及汽車網(wǎng)絡(luò)的安全。各個(gè)汽車生產(chǎn)商還可以利用這個(gè)中心分享“保護(hù)汽車安全、應(yīng)對 ‘被黑’威脅”的可行做法。

網(wǎng)絡(luò)安全是汽車行業(yè)如今面臨的新問題，不同汽車生產(chǎn)商的應(yīng)對之道也并不相同。正因?yàn)槿绱耍囆袠I(yè)無法拿出一套完整、成熟的防衛(wèi)措施，保護(hù)用戶的安全。這也招致了多個(gè)包括律師在內(nèi)的行業(yè)批評家的“炮轟”。

就目前來看，充滿惡意的黑客瘋狂攻擊互聯(lián)汽車的場景并不大可能立刻成為現(xiàn)實(shí)。今年7月，雜志《連線》(Wired)率先報(bào)道了兩位黑客遠(yuǎn)程控制吉普切諾基 (Jeep Cherokee)的新聞，此后該事件不斷發(fā)酵。不過值得注意，該報(bào)道中的兩名研究人員并非一般的黑客，他們是非常專業(yè)的安全專家，而且曾花費(fèi)數(shù)年時(shí)間開發(fā)用于汽車攻擊的工具。

根據(jù)咨詢公司Frost & Sullivan最近的一份白皮書，雖然互聯(lián)汽車能夠收集大量數(shù)據(jù)，但汽車行業(yè)尚未能大規(guī)模將這些數(shù)據(jù)轉(zhuǎn)為美金。 因此，那些“為錢而戰(zhàn)”的黑客并不能得到什么好處。

不過，這種情況可能會(huì)發(fā)生改變。

汽車行業(yè)ISAC全國委員會(huì)主席Denise Anderson的相關(guān)經(jīng)驗(yàn)非常豐富，她曾擔(dān)任金融服務(wù)業(yè)ISAC副總裁一職，“我們現(xiàn)在應(yīng)該感到害怕嗎?我并不這樣認(rèn)為。但我們現(xiàn)在必須建立ISAC中心，提前準(zhǔn)備需要的基礎(chǔ)設(shè)施和信任關(guān)系。”她表示，“我們不能打無準(zhǔn)備的仗。這和‘健康’一樣，我們過去也未過多談?wù)撨@個(gè)話題，但現(xiàn)在大家人人都很關(guān)注健康。”

分享安全信息

1998年，時(shí)任美國總統(tǒng)的比爾.克林頓下達(dá)總統(tǒng)決策指令，要求行業(yè)成立ISAC中心。自此之后，除了金融服務(wù)業(yè)，還有很多行業(yè)都開設(shè)了自己的行業(yè)ISAC。

汽車制造商聯(lián)盟安全副總裁Rob Strassburger在今年7月表示，汽車行業(yè)的ISAC按計(jì)劃將在今年年底投入運(yùn)營。

除了各個(gè)大型汽車制造商，相關(guān)供應(yīng)商和通信公司預(yù)計(jì)也將加入汽車ISAC中心。成員公司可以通過ISAC匿名分享漏洞和攻擊的信息。汽車行業(yè)ISAC中心的員工和分析師將診斷這些漏洞并做出回應(yīng)，而后將相關(guān)信息分享給其他成員。

汽車聯(lián)盟(Auto Alliance)和全球汽車生產(chǎn)商的官員稱，大家還在商議中心的具體運(yùn)營細(xì)節(jié)。不過，汽車行業(yè)可以從其他行業(yè)的ISAC中尋求一點(diǎn)啟示。

Anderson表示，由于金融服務(wù)業(yè)ISAC的存在，金融機(jī)構(gòu)才有能力在2012年和2013年成功應(yīng)對針對數(shù)十家大型銀行的網(wǎng)頁攻擊。

她表示，中心的設(shè)立將為關(guān)于分布式拒絕服務(wù)攻擊的信息分享打開大門。一般來說，黑客會(huì)利用這種攻擊集中訪問某一網(wǎng)站，沖破網(wǎng)站訪問極限，而從使網(wǎng)站癱瘓。

Anderson表示，由于銀行采用了有效的應(yīng)對措施，這種攻擊的威力被大大減少了。她表示，有家ISAC成員銀行的防御措施做的非常好，他們的網(wǎng)站甚至完全沒有受到影響。

“黑”入一輛吉普

根據(jù)《連線》雜志的報(bào)道，安全研究人員Charlie Miller和Chris Valasek在吉普切諾基的聯(lián)網(wǎng)廣播設(shè)備中找到一個(gè)漏洞，然后借此“黑”入汽車的中央電腦，并最終控制了車輛的若干功能。菲亞特克萊斯勒汽車(Fiat Chrysler Automobiles)和Sprint修復(fù)了Miller和Valasek發(fā)現(xiàn)的漏洞。

但在此之前，這兩名專家得以成功“黑”入切諾基，通過遠(yuǎn)在數(shù)英里外的筆記本電腦控制車輛的部分功能，他們調(diào)高廣播的音量、打開雨刷、開啟空調(diào)，甚至使車輛的變速器失控。

目前，這些車輛系統(tǒng)的漏洞處于華盛頓立法者和監(jiān)管者的密切監(jiān)管之下。

根據(jù)美國高速公路交通安全局(the National Highway Traffic Safety Administration，下簡稱NHTSA)去年10月份的報(bào)告，通過蜂窩數(shù)據(jù)連接控制汽車僅為現(xiàn)代汽車需要面對的11種潛在攻擊之一。這份報(bào)告來自一支在2012年集結(jié)的NHTSA研發(fā)團(tuán)隊(duì)，報(bào)告主要關(guān)注包括汽車網(wǎng)絡(luò)安全在內(nèi)的各種汽車電子系統(tǒng)。

最近，上呈美國議院的議案將指導(dǎo)NHTSA和聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission)起草汽車網(wǎng)絡(luò)安全的最低標(biāo)準(zhǔn)。在此之前，馬薩諸塞州民主黨議Edward Markey已經(jīng)發(fā)現(xiàn)汽車行業(yè)并沒有應(yīng)對網(wǎng)絡(luò)安全的統(tǒng)一作法，他認(rèn)為這種相互獨(dú)立的做法無法完全確保汽車用戶的安全和隱私。

同時(shí)，美國眾議院能源和商業(yè)委員會(huì)(the House Energy and Commerce Committee)也在進(jìn)行相關(guān)的獨(dú)立審閱工作。委員會(huì)曾在今年5月份向全美17家汽車生產(chǎn)商的高層領(lǐng)導(dǎo)人詢問關(guān)于如何應(yīng)對網(wǎng)絡(luò)安全的問題。在收到回復(fù)后，委員會(huì)正在繼續(xù)跟進(jìn)這個(gè)問題。

能源和商業(yè)委員會(huì)發(fā)言人在一次聲明中表示，“每天出現(xiàn)的互聯(lián)汽車越來越多，車企必須看清當(dāng)下形式及未來發(fā)展趨勢。”

由于行業(yè)缺少應(yīng)對網(wǎng)絡(luò)安全的指導(dǎo)作法，F(xiàn)rost & Sullivan稱政府應(yīng)出臺相關(guān)政策，推動(dòng)行業(yè)發(fā)展。

這家咨詢公司表示：“政府似乎有所動(dòng)作，汽車制造商卻看起來好像慢一拍。他們的角色應(yīng)該互換一下。”