Video: DEF CON 27: Car Hacking Deconstructed (Oktober 2024)
En gruppe af sikkerhedsforskere, der var fast besluttet på at gøre den fysiske verden til et mere sikkert sted, krævede bilproducenter til at bygge biler designet til at modstå cyberangreb.
Gruppen frigav med monikeren "Jeg er kavaleriet" et åbent brev til "Automotive CEOs" gennem Reuters, offentliggjorde en kopi på sin hjemmeside og lancerede en andragende petition for at opfordre ledere i bilindustrien til at implementere sin Five Star Automotive Cyber Safety Program. Søjlerne i programmet inkluderer sikkerhed ved design, tredjepartssamarbejde, bevisoptagelse, sikkerhedsopdateringer og segmentering og isolering.
"Den engang særskilte verden af biler og cybersikkerhed har kollideret, " læser brevet. "Nu er det tid for bilindustrien og sikkerhedssamfundet at oprette forbindelse og samarbejde."
Computere administrerer motorer, bremser, navigation, aircondition, forrudeviskere, underholdningssystemer og andre kritiske og ikke-kritiske komponenter i moderne biler. Der er ingen tvist om, at de skal låses for at forhindre manipulation eller uautoriseret adgang. Enhver, der har set videoen sidste år af forskere Charlie Miller og Chris Valasek, der kakler maniøst i baggrunden, mens de griber kontrollen over bilen, der køres af Forbes-forfatter Andy Greenberg, vil blive enige om, at hvis en modstander var motiveret nok, kunne denne person forårsage alvorlig, fysisk, skade på chauffører og potentielt passagererne. Miller og Valasek var på Black Hat i år og demonstrerede flere bilhacks, og dette års DEF CON har flere sessioner om hacking af forbrugerelektronik, medicinsk udstyr, trafikstyringssystemer og tingenes internet.
Køretøjer er "computere på hjul", Josh Corman, CTO for Sonatype og en medstifter af gruppen. Gruppens åbne brev er designet til at gøre disse computere mere sikre.
Femstjerneprogrammet
Sikkerhed ved design betyder blot, at bilproducenter skal designe og opbygge automatiseringsfunktioner med sikkerhed for øje. Bilproducenter skal også impelere til et sikkert softwareudviklingsprogram inden for deres virksomheder for at tilskynde til bedre kodning og designpraksis.
Tredjepartssamarbejde beder bilproducenterne om at etablere et formelt program til afsløring af sårbarheder for at angive klart, hvad dets politikker er, og hvem de skal kontakte. Bilproducenterne skal være villige til at samarbejde med forskere for at identificere mangler. Der er ingen måde, som bilproducenter kan finde og rette bugs på egen hånd - dette er grunden til at et sundt samarbejde med forskere er vigtigt. Der er mindre chance for, at ting går glip af.
"Tesla får allerede en stjerne, " sagde Corman og bemærkede, at den el-motoriske bilproducent for nylig har etableret en sådan politik.
Bevisoptagelse ønsker at tilføje en "sort kasse" til biler, ligesom hvad der allerede findes i fly. Når fly går ned, kan efterforskere analysere den sorte boks og forstå, hvad der skete i flyet, herunder samtaler, flyets hastighed, status for forskellige systemer og et utal af andre tekniske oplysninger. Når noget går galt i en bil, er der i de fleste tilfælde ingen oplysninger tilgængelige. Det er svært at lære af ulykker og arbejde på at forbedre produktet, når der ikke er nogen feedback, bemærkede Corman.
Sikkerhedsopdateringer betyder, at de problemer, der findes, løses rettidigt på de enkelte biler. Jeg vil ikke have at vide, at det var seks måneder efter at have købt en bil, at jeg havde brug for at købe de nyere versioner for at drage fordel af rettelserne. En sikkerhedsopdateringsmekanisme sikrer, at sårbarhederne løses effektivt.
Segmentering og isolering beder bilproducenter om at holde kritiske systemer - såsom bremser og styring - adskilt fra resten af bilens netværk, såsom underholdningssystemet. "Med segmentering og isolering vil vi sikre dig, at du indeholder fejl, så et hack til underholdningssystemet deaktiverer aldrig bremserne, " sagde Corman. Han bemærkede, at der allerede er markante forskelle mellem forskellige bilproducenter. Nogle er bedre til at segmentere end andre, men der er stadig meget tilbage at gøre.
Vi har ikke råd til at vente
Gruppen sigter mod at bringe sikkerhedsforskere sammen med repræsentanter fra ikke-sikkerhedsområder, såsom hjemmeautomation og forbrugerelektronik, medicinsk udstyr, transport og kritisk infrastruktur, for at forbedre sikkerheden. Målet er at begynde at arbejde sammen om at implementere sikkerhedsforanstaltninger, fordi "vi kan ikke vente på, at dårlige ting sker, " sagde Corman. Tiden til at starte er nu, så om nogle få år faktisk vil disse bestræbelser vise resultater, sagde han. ”Vi ved, at dette vil tage et stykke tid, ” sagde han.
"Vi gør ikke dette for sikkerhedsforskerne, " sagde Corman. "Vi gør dette for vores naboer, for alle, der kører en bil."
