Video: Aprire cancelli, sbarre e macchine via radio (senza telecomando) (Novembre 2024)
Un gruppo di ricercatori sulla sicurezza ha deciso di rendere il mondo fisico un posto più sicuro e ha chiesto ai produttori di automobili di costruire automobili progettate per resistere agli attacchi informatici.
Il gruppo, con il moniker "I am the Cavalry", ha pubblicato una lettera aperta a "CEO di Automotive" attraverso Reuters, ha pubblicato una copia sul suo sito Web e ha lanciato una petizione change.org per invitare i dirigenti del settore automobilistico a implementare i suoi Five Star Automotive Cyber Safety Program. I pilastri del programma includono sicurezza in base alla progettazione, collaborazione di terze parti, acquisizione di prove, aggiornamenti di sicurezza, segmentazione e isolamento.
"Il mondo un tempo distinto di automobili e sicurezza informatica si è scontrato", leggi la lettera. "Ora è il momento per l'industria automobilistica e la comunità della sicurezza di connettersi e collaborare".
I computer gestiscono motori, freni, navigazione, aria condizionata, tergicristalli, sistemi di intrattenimento e altri componenti critici e non critici nelle auto moderne. Non c'è dubbio che debbano essere bloccati per prevenire manomissioni o accessi non autorizzati. Chiunque abbia visto il video dello scorso anno dei ricercatori Charlie Miller e Chris Valasek che ridacchiano maniacalmente in background mentre prendono il controllo dell'auto guidata dallo scrittore di Forbes Andy Greenberg acconsentiranno che se un avversario fosse abbastanza motivato, quella persona potrebbe causare gravi, fisici, danni ai conducenti e potenzialmente ai passeggeri. Miller e Valasek sono stati al Black Hat quest'anno, a dimostrazione di ulteriori attacchi di auto, e il DEF CON di quest'anno ha diverse sessioni sull'hacking dell'elettronica di consumo, dei dispositivi medici, dei sistemi di controllo del traffico e dell'Internet of Things.
I veicoli sono "computer su ruote", Josh Corman, CTO di Sonatype e co-fondatore del gruppo. La lettera aperta del gruppo è progettata per rendere più sicuri questi computer.
Il programma a cinque stelle
Sicurezza in base alla progettazione, significa semplicemente che le case automobilistiche dovrebbero progettare e costruire funzionalità di automazione tenendo presente la sicurezza. Le case automobilistiche dovrebbero anche impelentare un programma di sviluppo software sicuro all'interno delle loro aziende per incoraggiare migliori pratiche di codifica e progettazione.
La collaborazione di terze parti chiede alle case automobilistiche di stabilire un programma formale di divulgazione delle vulnerabilità, di indicare chiaramente quali sono le sue politiche e chi contattare. Le case automobilistiche devono essere disponibili a collaborare con i ricercatori per identificare i difetti. Non è possibile che i produttori di automobili siano in grado di trovare e correggere i bug da soli, per questo è essenziale una sana collaborazione con i ricercatori. Ci sono meno possibilità di perdere qualcosa.
"Tesla ha già una stella", ha detto Corman, notando che il produttore di auto elecotrnic ha recentemente stabilito una tale politica.
La cattura delle prove vuole aggiungere una "scatola nera" alle auto, proprio come quello che già esiste negli aeroplani. Quando gli aerei si schiantano, gli investigatori possono analizzare la scatola nera e capire cosa stava accadendo nell'aereo, tra cui conversazioni, velocità dell'aereo, stato di vari sistemi e una miriade di altre informazioni tecniche. Quando qualcosa va storto in un'auto, nella maggior parte dei casi, non sono disponibili informazioni. È difficile imparare dagli incidenti e lavorare per migliorare il prodotto in assenza di feedback, ha osservato Corman.
Gli aggiornamenti di sicurezza indicano che i problemi rilevati vengono risolti tempestivamente sulle singole auto. Non vorrei che mi dicessero sei mesi dopo l'acquisto di un'auto che avevo bisogno di acquistare le versioni più recenti per trarre vantaggio dalle correzioni. Un meccanismo di aggiornamento della sicurezza garantisce che le vulnerabilità vengano risolte in modo efficace.
La segmentazione e l'isolamento chiedono alle case automobilistiche di tenere separati i sistemi critici, come freni e sterzo, dal resto delle reti dell'auto, come il sistema di intrattenimento. "Con la segmentazione e l'isolamento, vogliamo assicurarci di contenere i guasti, quindi un attacco al sistema di intrattenimento non disabilita mai i freni", ha detto Corman. Ha osservato che esistono già differenze significative tra le diverse case automobilistiche. Alcuni sono migliori nel segmentare rispetto ad altri, ma c'è ancora molto da fare.
Non possiamo permetterci di aspettare
Il gruppo mira a riunire i ricercatori della sicurezza con i rappresentanti di settori non di sicurezza, come l'automazione domestica e l'elettronica di consumo, i dispositivi medici, i trasporti e le infrastrutture critiche, per migliorare la sicurezza. L'obiettivo è iniziare a lavorare insieme per implementare le misure di sicurezza perché "non possiamo aspettare che accadano cose brutte", ha detto Corman. Il momento di iniziare è ora, in modo che in pochi anni, questi sforzi mostrino effettivamente risultati, ha detto. "Sappiamo che ci vorrà del tempo", ha detto.
"Non stiamo facendo questo per i ricercatori di sicurezza", ha detto Corman. "Lo stiamo facendo per i nostri vicini, per chiunque guidi una macchina."