Хакеры на автоответчиках: создавайте безопасные автомобили!

Группа исследователей в области безопасности, решившая сделать физический мир более безопасным, требовала от производителей автомобилей создавать автомобили, предназначенные для противостояния кибератакам.

Группа под прозвищем «Я - кавалерия» через Reuters опубликовала открытое письмо «Генеральным директорам автомобильной промышленности», разместила копию на своем веб-сайте и запустила петицию change.org с призывом к руководителям автомобильной промышленности реализовать свою пятерку. Программа Star Automotive Cyber ​​Safety. Основными элементами программы являются безопасность по проекту, совместная работа со сторонними организациями, сбор доказательств, обновления безопасности, а также сегментация и изоляция.

«Некогда отдельный мир автомобилей и кибербезопасности столкнулся», - говорится в письме. «Сейчас самое время для автомобильной промышленности и сообщества безопасности соединиться и сотрудничать».

Компьютеры управляют двигателями, тормозами, навигацией, кондиционерами, стеклоочистителями, развлекательными системами и другими важными и некритическими компонентами в современных автомобилях. Нет никаких сомнений в том, что они должны быть заблокированы, чтобы предотвратить несанкционированный доступ или несанкционированный доступ. Любой, кто видел видео в прошлом году, исследователи Чарли Миллер и Крис Валасек маниакально дребезжали на заднем плане, когда они захватывали контроль над машиной, управляемой писателем Forbes Энди Гринбергом, согласится, что, если противник был достаточно мотивирован, этот человек мог вызвать серьезный, физический, вред водителям и, возможно, пассажирам. Миллер и Валасек были в Black Hat в этом году, демонстрируя больше взломов автомобилей, и в этом году DEF CON проводит несколько сессий по взлому бытовой электроники, медицинских устройств, систем управления движением и Интернета вещей.

Транспортными средствами являются «компьютеры на колесах», Джош Корман, технический директор Sonatype и соучредитель группы. Открытое письмо группы призвано сделать эти компьютеры более безопасными.

Пятизвездочная программа

Безопасность - это просто означает, что автопроизводители должны проектировать и создавать функции автоматизации с учетом безопасности. Автопроизводители должны также стимулировать безопасную программу разработки программного обеспечения в своих компаниях, чтобы поощрять лучшие практики кодирования и проектирования.

Сотрудничество третьих сторон требует, чтобы автопроизводители разработали официальную программу раскрытия уязвимостей, чтобы четко указать, какова ее политика и к кому обращаться. Автопроизводители должны быть готовы сотрудничать с исследователями для выявления недостатков. Автопроизводители не смогут самостоятельно находить и исправлять ошибки - вот почему важно здоровое сотрудничество с исследователями. Меньше шансов пропустить что-то.

«Тесла уже получает звезду», - сказал Корман, отметив, что производитель электромобилей недавно разработал такую ​​политику.

Сбор доказательств хочет добавить «черный ящик» к автомобилям, очень похожий на то, что уже существует в самолетах. При падении самолетов следователи могут проанализировать черный ящик и понять, что происходило в самолете, включая разговоры, скорость самолета, состояние различных систем и множество другой технической информации. Когда в машине что-то идет не так, в большинстве случаев информация недоступна. Корман отметил, что трудно учиться на несчастных случаях и работать над улучшением продукта, когда нет обратной связи.

Обновления безопасности означают, что обнаруженные проблемы своевременно устраняются на отдельных автомобилях. Я бы не хотел, чтобы через шесть месяцев после покупки автомобиля мне сказали, что мне нужно покупать более новые версии, чтобы воспользоваться исправлениями. Механизм обновления безопасности обеспечивает эффективное устранение уязвимостей.

Сегментация и изоляция требуют, чтобы автопроизводители держали важные системы, такие как тормоза и рулевое управление, отдельно от остальных сетей автомобиля, таких как развлекательная система. «Сегментируя и изолируя, мы хотим убедиться, что вы обнаружите сбои, поэтому взлом системы развлечений никогда не отключит тормоза», - сказал Корман. Он отметил, что между разными автопроизводителями уже есть существенные различия. Некоторые лучше разбивают на сегменты, чем другие, но многое еще предстоит сделать.

Мы не можем позволить себе ждать

Цель группы - объединить исследователей в области безопасности вместе с представителями других областей, не связанных с безопасностью, таких как домашняя автоматизация и бытовая электроника, медицинские приборы, транспорт и критическая инфраструктура, для повышения безопасности. Цель состоит в том, чтобы начать совместную работу по внедрению мер безопасности, потому что «мы не можем ждать, когда случится что-то плохое», сказал Корман. Настало время начать, так что через несколько лет эти усилия действительно дадут результаты, сказал он. «Мы знаем, что это займет некоторое время», - сказал он.

«Мы делаем это не для исследователей безопасности», - сказал Корман. «Мы делаем это для наших соседей, для всех, кто водит машину».