Vídeo: Jaha Tum Rahoge | Maheruh | Amit Dolawat & Drisha More | Altamash Faridi | Kalyan Bhardhan (Setembre 2024)
Un grup d’investigadors en seguretat decidits a fer del món físic un lloc més segur van exigir als fabricants d’automòbils que construissin cotxes dissenyats per suportar els atacs cibernètics.
El grup, amb el moniker "Jo sóc la cavalleria", va publicar una carta oberta als "CEOs d'Automòbils" a través de Reuters, va publicar una còpia al seu lloc web i va llançar una petició change.org, per demanar als executius de la indústria automobilística que implementessin els seus cinc. Programa de seguretat cibernètica Star Automotive. Els pilars del programa inclouen seguretat per disseny, col·laboració de tercers, captació d’evidències, actualitzacions de seguretat i segmentació i aïllament.
"El món de l'automòbil i la ciberseguretat antigament diferents han xocat", va llegir la carta. "Ara és el moment perquè la indústria de l'automòbil i la comunitat de seguretat es connectin i col·laborin".
Els ordinadors gestionen motors, frens, navegació, climatització, eixugaparabrises, sistemes d'entreteniment i altres components crítics i no crítics en els cotxes moderns. No hi ha cap disputa que s'hagin de bloquejar per evitar la seva alteració o intrusions no autoritzades. Qualsevol que hagi vist el vídeo l'any passat dels investigadors Charlie Miller i Chris Valasek, caquejant-se de forma maníaca en un segon pla mentre prenen el control del cotxe conduït per l'escriptor de Forbes, Andy Greenberg, estarà d'acord que si un adversari era prou motivat, aquesta persona podria causar danys greus, físics, per als conductors i potencialment als passatgers. Miller i Valasek van estar a Black Hat aquest any, demostrant més accidents de cotxes, i el DEF CON d’enguany té diverses sessions sobre pirateria d’electrònica de consum, dispositius mèdics, sistemes de control de trànsit i Internet de les coses.
Els vehicles són "ordinadors sobre rodes", Josh Corman, CTO de Sonatype i cofundador del grup. La carta oberta del grup està dissenyada perquè aquests ordinadors siguin més segurs.
Programa de cinc estrelles
La seguretat pel disseny, simplement significa que els fabricants d'automòbils han de dissenyar i construir característiques d'automatització tenint en compte la seguretat. Els fabricants automobilístics també haurien d’impulsar un programa de desenvolupament de programari segur dins de les seves empreses per fomentar les millors pràctiques de codificació i disseny.
La col·laboració de tercers demana als fabricants automobilístics que estableixin un programa formal de divulgació de la vulnerabilitat, que indiqui clarament quines són les seves polítiques i amb quins contactes. Els fabricants d'automòbils han d'estar disposats a treballar amb investigadors per identificar defectes. No hi ha cap manera que els fabricants de vehicles siguin capaços de trobar i arreglar errors per si mateixos, és per això que és imprescindible una col·laboració saludable amb els investigadors. Hi ha menys possibilitats que les coses es perdin.
"Tesla ja té una estrella", va dir Corman, assenyalant que el fabricant de cotxes elecotrnic va establir recentment aquesta política.
La captació de proves vol afegir una "caixa negra" als cotxes, com el que ja existeix als avions. Quan els avions s'estavellen, els investigadors poden analitzar la caixa negra i comprendre què passava en l'avió, incloses les converses, la velocitat de l'avió, l'estat de diversos sistemes i una infinitat d'informació tècnica. Quan alguna cosa va malament en un cotxe, en la majoria dels casos, no hi ha informació disponible. Corman va saber aprendre dels accidents i treballar per millorar el producte quan no hi ha comentaris.
Les actualitzacions de seguretat signifiquen que els problemes que es troben es resolen en els cotxes de manera puntual. No voldria dir-me-ho sis mesos després de comprar un cotxe que necessitava comprar les versions més noves per aprofitar les solucions. Un mecanisme d’actualització de seguretat assegura que les vulnerabilitats s’arreglen de manera eficaç.
La segmentació i l’aïllament demana als fabricants automobilístics que mantinguin els sistemes crítics -com ara els frens i la direcció- separats de la resta de xarxes del cotxe, com el sistema d’entreteniment. "Amb la segmentació i l'aïllament, volem assegurar-nos que continguis fallades, de manera que un hack al sistema d'entreteniment no inhabilita mai els frens", va dir Corman. Va assenyalar que ja hi ha diferències importants entre els diferents fabricants de vehicles. Alguns són millors per segmentar-los que d'altres, però encara hi ha molt per fer.
No podem permetre’ns esperar
El grup pretén unir els investigadors en seguretat amb representants d’àmbits no de seguretat, com ara domòtica i electrònica de consum, dispositius mèdics, transport i infraestructures crítiques, per millorar la seguretat. L’objectiu és començar a treballar junts per implementar salvaguardes de seguretat perquè "no podem esperar que passin coses dolentes", va dir Corman. Ha arribat el moment de començar, de manera que d’aquí a uns anys, aquests esforços mostrarien resultats en realitat. "Sabem que això trigarà un temps", va dir.
"No ho fem per als investigadors en seguretat", va dir Corman. "Això ho fem per als nostres veïns i per a qualsevol que condueixi un cotxe".
