通用汽车的网络安全秘诀

为了防止黑客攻破汽车，通用采取了一系列措施。

在上周举行的 CES 大会上，通用汽车发布了一则不同寻常的公告。这家汽车巨头公开宣布了其安全漏洞及披露计划：将漏洞提交给通用汽车公司的黑客将不会受到法律指控。漏洞披露计划在硅谷十分常见，但在汽车世界非常罕见，只有特斯拉推出过类似计划。

通用汽车刚刚与 Lyft 就无人驾驶汽车签订了一项开创性的协议。该项计划的幕后推动者，公司首席产品网络安全官杰夫·马希米拉（Jeff Massimilla）肩负的任务很复杂：让通用汽车为未来做好准备，并确保越来越依赖于计算机的汽车不受网络安全漏洞的困扰。媒体在 CES 大会后采访了马希米拉，他阐述了通用汽车目前面对的机遇与挑战。

通用汽车为什么对网络安全感兴趣？

马希米拉的职责是确保雪佛兰、别克、凯迪拉克等通用车系不会成为黑客容易下手的目标，他手下的团队由大约80名员工组成。

“在车辆和服务系统中嵌入防御层，我们显然是在保护产品生态，而且是在一个没有绝对安全的世界里做这件事情。我们所说的网络安全防御不止包括检测和监控，还包括响应。”

通用汽车近期遇到了不少网络安全麻烦。2015年，研究人员山米·坎木卡（Samy Kamkar）发现了一个漏洞，黑客可以利用该漏洞，通过通用汽车的 OnStar RemoteLink 应用和 OnStar 服务打开车门，启动发动机。尽管该漏洞没有吸引罪犯，毕竟在2015年，还有比摆弄智能手机更简单的偷车方式，但该事件确实让通用汽车开始对网络安全的重要性提起注意。

当马希米拉被问及通用汽车对 OnStar 入侵的应对措施时，他停顿了几秒，给媒体的回应如下：

通过这起事件，我们了解到与安全研究人员的合作计划非常重要。我们正在构建一个沟通计划，让整个系统拥有深度的防御、检测和响应能力。通过与安全研究人员互动，我们意识到可以通过响应解决发现的漏洞，并在威胁出现之前检测它们。

换句话说，通用汽车似乎意识到了在内部检测安全漏洞的重要性，或者至少借助外部研究人员的力量了解它们，越快越好。这家汽车巨头显然在和大众汽车思考一样的问题：大众汽车的产品似乎故意制造不准确的排量数据，这导致了一场公关噩梦。软件问题对消费者的信任造成了重大打击，也对公司产生了巨大财务冲击。

互联的智能车辆风险很高。这可能是很多人不愿意听到的事实。

如何修复有漏洞的软件？

未来，汽车会出现安全漏洞。从统计意义上讲，这几乎是必然发生的事情。那么如何修复它们？现在，汽车厂商正对消费者宣传自家产品搭载的4G天线，通用汽车会使用天线自动推送更新？你是不是需要把车停到车库里，再用一条网线尴尬地连接到服务器？还是未来汽车进行更新的方式与这些完全不同？

马希米拉的回应很有趣。如果可能，通用汽车将使用后台更新应用程序，在远程禁用老版本应用之后向用户推送新版本，这和智能手机应用的更新流程很相似。通用汽车已经与 AT &T 达成了一项协议，如果漏洞需要通信运营商协助修复，过程也会很流畅。然而，马希米拉补充说：“问题取决于漏洞存在于车辆的哪里。我们可以将更新版本推送到车辆，也可以请求客户拜访经销商获取解决。”

特斯拉也在努力应对这一问题。

底特律为什么会吃黑客这一套?

为了确保汽车没有安全漏洞，黑客不能对驾驶员造成伤害，或者造成尴尬的媒体丑闻，通用汽车等大型汽车厂商被迫与独立寻找漏洞的“白帽子”黑客协同合作。这群黑客中的两位：查理·米勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）去年黑进了一辆吉普切诺基长达九十分钟，并在汽车行驶状态下远程获取控制权，吸引了大量媒体的关注。两位黑客现在已经被 Uber 聘用。

通用汽车的安全漏洞计划努力与安全研究人员和白帽子之间保持开放的关系。这里存在挑战。无法无天的黑客文化并不总是与汽车行业的保守方式合得来。在与媒体的沟通过程中，马希米拉多次赞扬了通用汽车和漏洞披露平台 HackerOne 的合作，因为，它有效地扮演了通用汽车和黑客社群之间的中间人。（注：HackerOne 的投资人包括 Salesforce 创始人兼 CEO 马克·本尼霍夫（Marc Benioff）、俄罗斯科技大亨尤里·米尔纳（Yuri Milner）、Dropbox 公司 CEO 德鲁·休斯顿（Drew Houston））

通用汽车让 HackerOne 成为了外部人士上报安全漏洞的首选平台，这能够缓解高管对不可预知的黑客亚文化的精神紧张。

网络安全问题也迫使激烈竞争的汽车制造商彼此合作。马希米拉是汽车信息分享分析中心（Auto ISAC）的副主席，该机构由两大贸易团体共同组建：全球汽车制造商协会（ASSOciation of Global Automakers）、汽车制造商联盟（Association of Global Automakers），它是网络安全信息交换平台，旨在帮助汽车厂商识别并应对安全问题，其董事会几乎涵盖所有主要汽车制造商的高管。

与此同时，汽车制造商正在准备迎接一个软件比零件对汽车更加重要的时代。

本文转自d1net（转载）