וִידֵאוֹ: Campeonato Nacional de Trial 4x4 2014 - 1ª Prova St.ª M.ª da Feira (אוֹקְטוֹבֶּר 2024)
קבוצה של חוקרי אבטחה נחושה להפוך את העולם הפיזי למקום בטוח יותר דרשה מיצרני הרכב לבנות מכוניות שנועדו לעמוד בפני מתקפות סייבר.
הקבוצה, עם המוניקרן "אני הפרשים", פרסמה מכתב פתוח למנהלי הרכב "דרך רויטרס", פרסמה עותק באתר שלה והשיקה עתירה של שינוי.org, לקרוא למנהלי תעשיית הרכב ליישם את חמשת החמישה. תוכנית בטיחות סייבר לרכב של כוכב. עמודי התוכנית כוללים בטיחות על ידי תכנון, שיתוף פעולה של צד שלישי, לכידת עדויות, עדכוני אבטחה ופילוח ובידוד.
"עולמם המכובד של מכוניות ואבטחת סייבר בעבר התנגש, " קרא המכתב. "הגיע הזמן לתעשיית הרכב ולקהילת האבטחה להתחבר ולשתף פעולה."
מחשבים מנהלים מנועים, בלמים, ניווט, מיזוג אוויר, מגבים, מערכות בידור, ורכיבים קריטיים אחרים ולא קריטיים במכוניות מודרניות. אין חולק כי הם צריכים להיות כלואים בכדי למנוע פגיעה או גישה לא מורשית. כל מי שראה את הקליפ בשנה שעברה של החוקרים צ'רלי מילר וכריס וואלסק מכרסקים ברקע מניאקים בזמן שהם תופסים את השליטה במכונית המונעת על ידי סופר פורבס אנדי גרינברג, יסכים שאם יריב היה מונע מספיק, אותו אדם יכול לגרום פגיעה חמורה, פיזית, בנהגים ובאופן פוטנציאלי לנוסעים. מילר וואלאסק היו השנה ב- Black Hat והפגינו פריצות נוספות לרכבים, וה- DEF CON השנה קיימות מספר מפגשים בנושא פריצות לאלקטרוניקה צרכנית, מכשירים רפואיים, מערכות בקרת תנועה ואינטרנט של הדברים.
כלי רכב הם "מחשבים על גלגלים", ג'וש קורמן, סמנכ"ל טכנולוגיית סונטייפ ומייסד הקבוצה. המכתב הפתוח של הקבוצה נועד להפוך את המחשבים הללו לבטוחים יותר.
תוכנית חמישה כוכבים
בטיחות על ידי תכנון, פירושו של דבר, שיצרני רכב צריכים לתכנן ולבנות תכונות אוטומציה עם אבטחה בראש. יצרני רכב צריכים גם להאיץ תוכנית פיתוח תוכנה מאובטחת בחברותיהם כדי לעודד שיטות קידוד ועיצוב טובות יותר.
שיתוף פעולה של צד שלישי מבקש מיצרני הרכב להקים תוכנית רשמית לחשיפת פגיעות, לציין בבירור מה המדיניות שלה ולמי לפנות. יצרני הרכב צריכים להיות מוכנים לעבוד עם חוקרים בכדי לזהות פגמים. אין מצב שיצרני הרכב יוכלו למצוא ולתקן באגים בעצמם - זו הסיבה ששיתוף פעולה בריא עם חוקרים הוא חיוני. יש פחות סיכוי שדברים יתפספסו.
"טסלה כבר משיגה כוכב, " אמר קורמן וציין כי יצרנית המכוניות האלקטרוטניות קבעה לאחרונה מדיניות כזו.
לכידת ראיות רוצה להוסיף "קופסה שחורה" למכוניות, בדומה למה שקיים כבר במטוסים. כאשר מטוסים מתרסקים, החוקרים יכולים לנתח את הקופסה השחורה ולהבין מה קורה במטוס, כולל שיחות, מהירות המטוס, מצב מערכות שונות ושלל מידע טכני אחר. כאשר משהו משתבש ברכב, ברוב המקרים, שום מידע אינו זמין. קורמן ציין כי קשה ללמוד מתאונות ולעבוד על שיפור המוצר כשאין משוב.
פירושם של עדכוני אבטחה שהבעיות שנמצאות קבועות במכוניות הבודדות בזמן. לא הייתי רוצה שיספרו לי חצי שנה אחרי שקניתי מכונית שאני צריך לקנות את הגרסאות החדשות יותר כדי לנצל את התיקונים. מנגנון עדכון אבטחה מבטיח את הפגיעות בתוקף בצורה יעילה.
פילוח ובידוד מבקשים מיצרני הרכב לשמור על מערכות קריטיות - כמו בלמים והיגוי - משאר רשתות המכונית, כמו מערכת הבידור. "עם פילוח ובידוד, אנו רוצים לוודא שאתה מכיל כשלים, כך שפרוץ למערכת הבידור לעולם לא משבית את הבלמים", אמר קורמן. הוא ציין כי ישנם כבר הבדלים משמעותיים בין יצרני הרכב השונים. חלקם טובים יותר בפילוח מאחרים, אך עדיין נותר עוד הרבה לעשות.
אנחנו לא יכולים להרשות לעצמנו לחכות
הקבוצה שמה לה למטרה להפגיש חוקרי אבטחה עם נציגים מתחומים שאינם ביטחוניים, כמו אוטומציה ביתית ואלקטרוניקה צרכנית, מכשירים רפואיים, תחבורה ותשתיות קריטיות, לשיפור האבטחה. המטרה היא להתחיל לעבוד יחד ליישום אמצעי אבטחה מכיוון ש"אנחנו לא יכולים לחכות לדברים רעים שיקרה ", אמר קורמן. השעה להתחיל היא עכשיו, כך שבעוד כמה שנים המאמצים הללו יציגו תוצאות, הוא אמר. "אנחנו יודעים שזה ייקח זמן, " אמר.
"אנחנו לא עושים זאת למען חוקרי האבטחה, " אמר קורמן. "אנחנו עושים זאת למען שכנינו, לכל מי שנוהג במכונית."
