一群安全研究人员决心使物理世界变得更安全,要求汽车制造商制造旨在抵御网络攻击的汽车。
该组织以“我是骑兵”的名字,通过路透社向“汽车首席执行官”发表了公开信,在其网站上发布了一份副本,并发起了change.org请愿书,呼吁汽车行业高管实施其“五个”明星汽车网络安全计划。 该计划的支柱包括设计安全,第三方协作,证据收集,安全更新以及分段和隔离。
信中写道:“曾经与众不同的汽车和网络安全世界相撞了。” “现在是汽车行业和安全界建立联系和协作的时候了。”
计算机管理着现代汽车中的引擎,制动器,导航,空调,雨刷,娱乐系统以及其他关键和非关键组件。 毫无疑问,需要将它们锁定以防止篡改或未经授权的访问。 去年看过研究人员查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)的视频的任何人都在后台抓狂,而他们却抓住了福布斯作家安迪·格林伯格(Andy Greenberg)驾驶的汽车的控制权,他们都会同意,如果对手有足够的动力,那个人可能会导致严重伤害,身体伤害驾驶员和乘客。 Miller和Valasek今年参加了Black Hat,展示了更多的汽车黑客行为,而今年的DEF CON举办了几场关于黑客攻击消费电子产品,医疗设备,交通控制系统和物联网的会议。
车辆是“带轮计算机”,Sonatype的首席技术官,该小组的联合创始人乔什·科曼(Josh Corman)。 该小组的公开信旨在使这些计算机更安全。
五星级计划
设计安全性仅意味着汽车制造商在设计和构建自动化功能时应牢记安全性。 汽车制造商还应该在其公司内推行安全的软件开发计划,以鼓励更好的编码和设计实践。
第三方合作要求汽车制造商建立正式的漏洞披露程序,以明确说明其政策以及与谁联系。 汽车制造商必须愿意与研究人员一起找出缺陷。 汽车制造商无法自行找到并修复错误,这就是与研究人员进行健康合作至关重要的原因。 错过事情的机会更少。
科尔曼说:“特斯拉已经成为明星了。”他指出,电动汽车制造商最近制定了这样的政策。
证据收集想要在汽车上增加一个“黑匣子”,就像飞机上已经存在的一样。 当飞机坠毁时,调查人员可以分析黑匣子,了解飞机上发生的事情,包括对话,飞机的速度,各种系统的状态以及许多其他技术信息。 在大多数情况下,当汽车出现故障时,将无法获得任何信息。 Corman指出,在没有反馈的情况下,很难从事故中学习和改进产品。
安全更新意味着发现的问题会及时修复在各个汽车上。 买车六个月后,我不想被告知我需要购买较新的版本才能利用这些修复程序。 安全更新机制可确保漏洞得到有效修复。
分段和隔离要求汽车制造商将关键系统(例如刹车和转向系统)与汽车其他网络(例如娱乐系统)分开。 “通过分段和隔离,我们希望确保您包含故障,因此对娱乐系统的入侵永远不会使刹车失效。” Corman说。 他指出,不同的汽车制造商之间已经存在重大差异。 有些在细分方面比其他的要好,但是还有很多工作要做。
我们负担不起等待
该小组的目标是将安全研究人员与来自非安全领域的代表(例如家庭自动化和消费电子产品,医疗设备,运输和关键基础设施)聚集在一起,以提高安全性。 Corman说,目标是开始共同努力实施安全防护措施,因为“我们不能等待坏事情发生。” 他说,现在是时候开始了,以便在几年内,这些努力实际上将会取得成果。 他说:“我们知道这将需要一段时间。”
“我们不会为安全研究人员这样做,”科曼说。 “我们正在为邻居,为开车的任何人这样做。”
