美國時間23號，也就是北京時間的昨天，一年一度的Blackhat正式開始了，到美國時間27日，Blackhat和Defcon將無縫轉接。

如果把時間倒退到2013年，汽車行業估計不會對這兩個黑客大會有過多關注。在2013年的Defcon上，Charlie Miller和Chris Valasek這對好基友發布了名為《汽車網絡和控制單元探秘（Adventures in Automotive Networks and Control Units）》的研究白皮書，曝光了攻擊普銳斯和翼虎的詳細攻略。

不過盡管這件事情算是拉開了汽車行業信息安全話題的序幕，但是因為攻擊的實現需要物理接觸，大大降低了發生的可能，最終效果并不如計劃得理想。

于是在兩年后，他們就放出了遠程控制的研究結果，最終導致了業內第一起因為信息安全而進行的召回事件。這件事情對于克萊斯勒來說應該算是絕對的「黑歷史」了，但是對于汽車行業來說卻有重大的意義：這些白帽黑客們終于讓車企們開始關注信息安全這個話題。隨后爆發出的一系列問題，汽車制造商們都在擔心被“點名”。

也是在這一年，信息安全事件大爆發，在Blackhat和Defcon上，黑客們組團對汽車行業發起沖擊。而這個爆發的時間點也很微妙。

自然有黑客們對汽車愈加關注的成分在，但是更深層次的原因還在于這個時間點上汽車發生的一些變化給了他們「可趁之機」。車聯網在2013年開始成為熱門，到了2015年，市場上已經有不少提供車載信息服務的量產車型，方式多種多樣，可以查看車輛狀態信息或者是遠程控制車輛的手機App在逐漸變為標配，車輛上開始提供Wi-Fi熱點，車載系統本身也可以聯網。

汽車的網聯化（圖片來自SAE）

聯網的汽車出現了，但是保護措施卻沒有跟上，一如互聯網剛剛出現的時候。這在黑客眼里，基本上就是空門大開，處處是漏洞：

• 1.云端，黑客可以從云端發出命令，遠程控制車輛或者讀取信息

• 2.車載端，在信息娛樂系統與車輛底層系統之間缺少保護措施，可以從信息娛樂系統進入到車輛底層系統，進而控制車輛，克萊斯勒的召回事件就是個典型事件

• 3.手機端，因為身份驗證或者加密方式的問題，手機端的安全隱患更大，也更容易被黑客們找到漏洞

• 4.通訊過程，如果這個過程沒有一些防護措施，那么很容易被盜取、篡改或者重放通訊的內容，從而獲得車輛上的信息數據或者控制權

細數2015年中過招的汽車制造商，出現的問題基本都涵蓋了以上四個方面，也就是說，在開發過程中，少有汽車制造商考慮到這些問題，或者說考慮得不夠全面，防護措施不到位。

不過，到了2016年，似乎信息安全的關注度在減少。Charlie和Chris被招安了，雖然再次對Jeep下手，但是這次的目的是為了給出一份詳盡的白皮書，全面介紹汽車上可能存在的漏洞。日產和三菱在這一年被點名，不過沒有再出現召回事件，表面上看上去，依然關注這個話題還是黑客們。

信息安全的話題在汽車行業真的沉寂了么？答案其實是否定的，如果說汽車行業不關注這個話題，那還真是小看了黑客們的努力。

其實早在2013年的普銳斯事件之后，就開始有咨詢公司接到汽車信息安全的咨詢業務訂單；2015年的一系列事件加快了這個步伐：能夠看到此前從事互聯網或移動互聯網安防的開始轉戰到汽車行業；出現了一些信息安全的初創企業；在各類車聯網論壇和展會上，OTA技術被提及的頻率在增加；行業機構也在研究信息安全的相關標準；到今年，一些傳統的汽車零部件供應商也正在準備提供信息安全的產品或者服務……

那么，信息安全防護措施開始出現在汽車上了么？不能完全說沒有，至少克萊斯勒召回的車里是增加了一些內容的，所有被黑客們曝光的問題也得到了修復，但是要說完善的防護體系與產品，答案也還是否定的。

汽車行業最為IT行業所詬病的一點，就是「慢」。導致慢的原因有很多，比如說標準的缺失，再比如說針對汽車的安防產品是否真的有效。其實已經有廠商提出安全架構、防火墻、入侵檢測的工具，但是問題在于，這類產品用到汽車上，必須要經過測試，一方面是測試產品是否真正可行，所需要的測試工具也是現在行業所缺失的，另一方面還要驗證可靠性、壽命等，需要花費時間。

除了時間成本之外，人力物力財力成本也在汽車制造商的考核范圍內。所以行業內在思考的一個問題是，究竟信息安全值得多少投入？是需要將現有的架構全部推翻從來，還是帶上一個OTA就可以了？從信息安全角度來說，沒有100%的安全，但是可以通過增加門檻讓黑客的投入產出比下降從而放棄攻擊活動。那么汽車上有哪些內容是存在風險的，這些內容值得多少投入？在現實生活中出現黑客攻擊的可能性有多大？ 

對于這些問題的回答，不同的企業可能會有不同的答案，而這些答案則會影響信息安全技術的最終部署過程。