应对汽车网络安全 车企似乎走偏了

    Chris Valasek和Charlie Miller是网络安全领域的两位研究人员，他们时刻提醒着驾驶者们要时刻注意着黑客们对当今智能化汽车的攻击。2013年二位研究人员在圣地亚哥大学和华盛顿大学举行的学术讨论活动中，强调了黑客攻击和控制车辆的可实现性。去年夏季他们的研究成果表明，车辆往往存在着固有的安全漏洞。刚刚过去的几个星期之前，最新的研究发现汽车安全漏洞下暗藏的巨大危险隐患。

       在美国匹兹堡的Louis快速路上，Chris Valasek和Charlie Miller发现了吉普切诺基车型的移动电话连接和强制控制功能中的瑕疵。通过远程控制可以对车辆的优先控制权进行篡改，这会对整个汽车行业带来致命的威胁。根据这项研究的结果，美国交通运输部门要求召回了140万辆汽车，保障了数以百万计的驾驶者安全。现在Chris Valasek和Charlie Miller处在网络安全领域的前沿位置，不过几个月之后他们很有可能面临失业的困境。
      
    科技研究人员往往利用自己的软件开发技能和安全理论知识来不断寻找和解决互联汽车难以预见的隐患，但是汽车制造厂商们却希望极力抹杀掉那些独立的网络安全研究，这次吉普切诺基缺陷的分析将很有可能成为相关研究的绝唱。到今年九月或十月，美国版权局将发布一项重要的法规，用来阻止Chris Valasek和Charlie Miller这种第三方研究人员在不被授权的情况下，擅自接入汽车零部件展开相关实验。研究人员在数字千禧版权法中就已经申请了豁免权，以便保留他们对车辆性能进行分析的权利。但当时就受到了汽车制造厂商们的大力反对，制造商们声称车载的每一款软件都是享有专利认证的。
      
    除此之外，汽车制造厂商们还认为，如果来自第三方的研究人员随意更改代码数据，本来就已经很复杂的软件将带来更加严重的安全问题。厂商们对网络安全的观点是，既然已经对相关技术开发了很长一段时间，自己的产品必然要优于其他产品，第三方乱动源代码的话，肯定会导致更多的麻烦。
 
    不过从吉普切诺基的案例来看，问题并不是汽车制造厂商想像的那样。Chris Valasek和Charlie Miller成功发现了其中的问题，Uconnect资讯娱乐系统中的Sprint移动电话连接模块存在安全漏洞，这一点是汽车产业内部人士所未能察觉的。吉普切诺基是独立研究人员出其不意地发现汽车漏洞的案例之一，圣地亚哥和华盛顿的第三方研究人员是最早向汽车制造厂商展示汽车网络安全问题的人士，他们找到了Progressive Insurance Snapshot电子狗的缺陷。
       
    希望版权局的行政人员尽快看到第三方研究人员的重要性，不要总是对这些独立研究人员抱有不满和抱怨的态度。七月早些时候向美国国会委员会提交的车辆黑客调查总结信中，由各大汽车制造厂商组成的行业联盟，甚至把第三方研究人员比作技术掠夺者。汽车制造厂商们面临着有组织的第三方研究人员团体和反版权团体压力，尽量对车载网络进行保护，防止向黑客提供权限，避免一些资助研究中对车辆带来的意外攻击。公共化研究是第三方独立研究的另一种形式，汽车制造厂商们自然也是反对的，他们认为这种研究等同于向邪恶的黑客们直接提供设计图纸。
      
    但是与此同时，汽车制造厂商们忽略了保留产品细节不公开做法带来的不良后果。虽然保留核心细节可以有效防止一些恶意山寨模仿行为，但是也错过了第三方人士对产品提出改进意见的机会。如果汽车制造厂商们不把自己研究成果细节向世人公布的话，大家肯定会质疑产品的可靠性，所以最有效的做法就是展示出所有细节，之后车辆将能变得更加安全。更重要的是，对汽车产品的公共监督行为将促使安全漏洞得到更快的修复。
      
    如果第三方独立研究人员被禁止从事他们的工作，车辆会变得更安全吗？答案是很有可能不会。还是以吉普切诺基为例，直到Chris Valasek和Charlie Miller提醒汽车制造厂商，他们之前完全不清楚存在网络安全漏洞。第三方机构首先与联邦安全办公室进行了电话会议，行政人员当时仅仅希望发布一项技术服务通报，来建议制造厂商该怎样修复该安全漏洞；直到WIRED杂志发表了相关报道才引起政府部门的重视，媒体压力之下才最终实施了召回举措。国土安全部认为，这种汽车网络安全漏洞应该得到足够的关注，甚至有参议员建议立法最低化汽车技术标准，并敦促国家公路交通安全局调查是否应该展开更多的召回，以确保车辆的安全。如果没有Chris Valasek和Charlie Miller的独立研究，上述这些都将不复存在。

    国家版权局的法规将在九月或十月出台，不管第三方研究人员是否会得到支持，汽车制造厂商们已经暗示将全力压制独立研究人员；同时还会继续淡化独立研究的价值。七月上旬汽车行业联合公布了建立信息共享分析中心，用于评估网络威胁；制造厂商们希望第三方研究人员能够在他们的要求下展开产品评估工作，换句话说要求研究人员发现的一些问题对公众保密。

    未来几年后汽车行业将面临前所未有的黑客威胁，但是汽车制造厂商们并没有意识到问题的严重性。信息共享分析中心的运行还是很久之后的事情，而制造厂商还把大量精力放在找寻安全漏洞，而不是如何解决这些问题上。在应对挑战的时候，汽车制造厂商的处理方法并不合理，他们寄希望于不通过讨论就成功解决问题。