Video: Kuormuri Leo rakentaa autopesulan. Lasten autot ja rekat. Piirrettyjä lapsille. (Lokakuu 2024)
Ryhmä turvallisuustutkijoita päätti tehdä fyysisestä maailmasta turvallisemman paikan ja vaati autovalmistajia rakentamaan autoja, jotka on suunniteltu kestämään verkkohyökkäykset.
Ryhmä julkaisi Reutersin välityksellä "I am the Cavalry" -sovelluksen kanssa avoimen kirjeen "Automotive CEO -johtajille", julkaisi kopion verkkosivustolleen ja käynnisti muutos.org-vetoomuksen kehottaakseen autoteollisuuden johtajia panemaan täytäntöön viisi Star Automotive Cyber Safety -ohjelma. Ohjelman pilarit sisältävät suunnitellun turvallisuuden, kolmansien osapuolien yhteistyön, todisteiden keräämisen, tietoturvapäivitykset sekä segmentoinnin ja eristämisen.
"Kerran erillinen autojen maailma ja kyberturvallisuus ovat törmänneet", lue kirje. "Autoteollisuuden ja turvallisuusyhteisön on nyt aika muodostaa yhteydet ja tehdä yhteistyötä."
Tietokoneet hallitsevat nykyaikaisten autojen moottoreita, jarruja, navigointia, ilmastointia, tuulilasinpyyhkimiä, viihdejärjestelmiä ja muita kriittisiä ja ei-kriittisiä komponentteja. Ei ole kiistatonta, että ne on lukittava, jotta estetään luvattomat käyttöoikeudet. Jokainen, joka on nähnyt videon viime vuonna tutkijoiden Charlie Millerin ja Chris Valasekin kiusattelevan maniaksellisesti taustalla, kun he tarttuvat Forbes-kirjailijan Andy Greenbergin ajamaan autoon, ovat yhtä mieltä siitä, että jos vastustaja on riittävän motivoitunut, kyseinen henkilö voi aiheuttaa vakavia, fyysisiä haittoja kuljettajille ja mahdollisesti matkustajille. Miller ja Valasek olivat Black Hatissa tänä vuonna, osoittaen enemmän autojen hakkerointia, ja tämän vuoden DEF CON: lla on useita istuntoja kulutuselektroniikan, lääkinnällisten laitteiden, liikenteenohjausjärjestelmien ja esineiden Internetin hakkeroinnista.
Ajoneuvot ovat "pyörillä varustettuja tietokoneita", Josh Corman, Sonatypen tekninen johtaja ja ryhmän perustaja. Ryhmän avoimen kirjeen tarkoituksena on parantaa näiden tietokoneiden turvallisuutta.
Viiden tähden ohjelma
Suunnitteluvarmuus tarkoittaa yksinkertaisesti sitä, että autovalmistajien tulisi suunnitella ja rakentaa automaatioominaisuuksia turvallisuutta ajatellen. Autonvalmistajien on myös pakotettava turvallinen ohjelmistokehitysohjelma yrityksissään edistääkseen parempia koodaus- ja suunnittelukäytäntöjä.
Kolmannen osapuolen yhteistyö kehottaa autovalmistajia perustamaan muodollisen haavoittuvuuksien paljastamisohjelman, ilmoittamaan selvästi, mitkä ovat sen politiikat ja kenen puoleen ottaa yhteyttä. Autonvalmistajien on oltava valmiita työskentelemään tutkijoiden kanssa puutteiden tunnistamiseksi. Automaattorit eivät millään tavalla pysty löytämään ja korjaamaan virheitä yksin - siksi terveellinen yhteistyö tutkijoiden kanssa on välttämätöntä. On vähemmän mahdollisuuksia, että asiat katoavat.
"Teslalla on jo tähti, " Corman sanoi huomauttaensa, että sähköauton valmistaja on hiljattain laatinut tällaisen politiikan.
Todisteiden keruu haluaa lisätä "mustan laatikon" autoihin, aivan kuten lentokoneissa jo olemassa. Kun lentokoneet kaatuvat, tutkijat voivat analysoida mustan ruudun ja ymmärtää lentokoneessa tapahtuvaa, mukaan lukien keskustelut, lentokoneen nopeus, eri järjestelmien tila ja lukemattomia muita teknisiä tietoja. Kun jotain menee pieleen autossa, useimmissa tapauksissa tietoja ei ole käytettävissä. Onnettomuuksista on vaikea oppia ja parantaa tuotetta, kun ei ole palautetta, Corman totesi.
Turvapäivitykset tarkoittavat, että löydetyt ongelmat korjataan yksittäisiin autoihin ajoissa. En haluaisi sanoa kuuden kuukauden kuluttua auton ostamisesta, että minun piti ostaa uusia versioita hyödyntääksesi korjauksia. Suojauspäivitysmekanismi varmistaa, että haavoittuvuudet korjataan tehokkaasti.
Segmentointi ja eristäminen pyytävät autovalmistajia pitämään kriittiset järjestelmät - kuten jarrut ja ohjaus - erillään muista auton verkoista, kuten viihdejärjestelmä. "Segmentoimalla ja eristämällä haluamme varmistaa, että sisältyy vikoja, joten viihdejärjestelmän hakkerointi ei koskaan poista jarrutuksia", sanoi Corman. Hän totesi, että eri autovalmistajien välillä on jo merkittäviä eroja. Jotkut osaavat segmentoida paremmin kuin toiset, mutta tehtävää on vielä paljon.
Emme voi varautua odottamiseen
Ryhmän tavoitteena on tuoda turvallisuustutkijat yhdessä muiden kuin turvallisuuden alojen edustajien kanssa, kuten kodin automaatio ja kulutuselektroniikka, lääkinnälliset laitteet, kuljetus ja kriittinen infrastruktuuri turvallisuuden parantamiseksi. Tavoitteena on aloittaa yhteistyö turvatoimien toteuttamiseksi, koska "emme voi odottaa huonojen asioiden tapahtumista", Corman sanoi. Aika aloittaa on nyt, joten muutaman vuoden kuluttua nämä ponnistelut todella osoittavat tuloksia, hän sanoi. "Tiedämme, että tämä vie jonkin aikaa", hän sanoi.
"Emme tee tätä turvallisuustutkijoiden hyväksi", Corman sanoi. "Teemme tämän naapureidemme puolesta, jokaiselle, joka ajaa autoa."
