Video: DEF CON 27: Car Hacking Deconstructed (November 2024)
Een groep beveiligingsonderzoekers besloot de fysieke wereld veiliger te maken en eiste van autofabrikanten dat ze auto's bouwden die bestand waren tegen cyberaanvallen.
De groep, met de naam "I am the Cavalry", publiceerde een open brief aan "Automotive CEO's" via Reuters, plaatste een kopie op haar website en lanceerde een change.org-petitie om leidinggevenden in de auto-industrie op te roepen zijn Vijf te implementeren Star Automotive Cyber Safety Program. De pijlers van het programma omvatten veiligheid door ontwerp, samenwerking met derden, bewijsvoering, beveiligingsupdates en segmentatie en isolatie.
"De eens zo aparte wereld van auto's en cybersecurity zijn met elkaar in botsing gekomen", lees de brief. "Dit is het moment voor de auto-industrie en de beveiligingsgemeenschap om verbinding te maken en samen te werken."
Computers beheren motoren, remmen, navigatie, airconditioning, ruitenwissers, entertainmentsystemen en andere kritieke en niet-kritische componenten in moderne auto's. Er is geen twijfel over bestaan dat ze moeten worden vergrendeld om geknoei of onbevoegde toegang te voorkomen. Iedereen die de video van onderzoekers Charlie Miller en Chris Valasek vorig jaar maniacaal op de achtergrond heeft gezien terwijl ze de controle over de auto krijgen die wordt bestuurd door Forbes-schrijver Andy Greenberg, gaat ermee akkoord dat als een tegenstander gemotiveerd genoeg was, die persoon ernstig, lichamelijk, schade aan bestuurders en mogelijk aan passagiers. Miller en Valasek waren dit jaar bij Black Hat om meer auto-hacks te demonstreren, en de DEF CON heeft dit jaar verschillende sessies over het hacken van consumentenelektronica, medische apparaten, verkeersregelsystemen en het Internet of Things.
Voertuigen zijn "computers op wielen", Josh Corman, CTO van Sonatype en een mede-oprichter van de groep. De open brief van de groep is ontworpen om deze computers veiliger te maken.
Het vijfsterrenprogramma
Veiligheid door ontwerp betekent gewoon dat automakers automatiseringsfuncties moeten ontwerpen en bouwen met beveiliging in het achterhoofd. Automakers zouden ook een veilig softwareontwikkelingsprogramma binnen hun bedrijven moeten stimuleren om betere codering en ontwerppraktijken te stimuleren.
Samenwerking van derden vraagt automakers om een formeel programma voor het vrijgeven van kwetsbaarheden op te stellen, om duidelijk aan te geven wat het beleid is en met wie ze contact kunnen opnemen. De autofabrikanten moeten bereid zijn om met onderzoekers samen te werken om fouten te identificeren. Het is op geen enkele manier mogelijk dat autofabrikanten zelf fouten kunnen vinden en oplossen. Daarom is een gezonde samenwerking met onderzoekers essentieel. Er is minder kans dat dingen worden gemist.
"Tesla krijgt al een ster, " zei Corman en merkte op dat de elecotrnic autofabrikant onlangs een dergelijk beleid heeft opgesteld.
Bewijs vastleggen wil een "zwarte doos" toevoegen aan auto's, net zoals al bestaat in vliegtuigen. Wanneer vliegtuigen neerstorten, kunnen onderzoekers de zwarte doos analyseren en begrijpen wat er in het vliegtuig gebeurde, inclusief gesprekken, snelheid van het vliegtuig, status van verschillende systemen en talloze andere technische informatie. Wanneer er in een auto iets misgaat, is er in de meeste gevallen geen informatie beschikbaar. Corman merkte op dat het moeilijk is om te leren van ongevallen en om het product te verbeteren als er geen feedback is.
Beveiligingsupdates zorgen ervoor dat de gevonden problemen tijdig op de afzonderlijke auto's worden opgelost. Ik zou zes maanden na het kopen van een auto niet willen horen dat ik de nieuwere versies moest kopen om van de fixes te profiteren. Een beveiligingsupdate-mechanisme zorgt ervoor dat de kwetsbaarheden effectief worden verholpen.
Segmentatie en isolatie vraagt automakers om kritische systemen - zoals remmen en sturen - gescheiden te houden van de rest van de netwerken van de auto, zoals het entertainmentsysteem. "Met segmentatie en isolatie willen we ervoor zorgen dat u fouten bevat, dus een hack naar het entertainmentsysteem schakelt nooit de remmen uit", aldus Corman. Hij merkte op dat er al aanzienlijke verschillen zijn tussen verschillende autofabrikanten. Sommige zijn beter in segmenteren dan andere, maar er is nog veel te doen.
We kunnen het ons niet veroorloven om te wachten
De groep wil beveiligingsonderzoekers samenbrengen met vertegenwoordigers uit niet-beveiligingsgebieden, zoals huisautomatisering en consumentenelektronica, medische apparatuur, transport en kritieke infrastructuur, om de beveiliging te verbeteren. Het doel is om samen te werken om beveiligingsmaatregelen te implementeren, omdat "we niet kunnen wachten tot er slechte dingen gebeuren", zei Corman. De tijd om te beginnen is nu, zodat deze inspanningen over een paar jaar daadwerkelijk resultaten zullen opleveren, zei hij. "We weten dat dit een tijdje gaat duren, " zei hij.
"We doen dit niet voor de beveiligingsonderzoekers, " zei Corman. "We doen dit voor onze buren, voor iedereen die een auto bestuurt."
