ビデオ: The Hardest Karaoke Song in the World (九月 2024)
物理的な世界をより安全な場所にすることを決定したセキュリティ研究者のグループは、自動車メーカーにサイバー攻撃に耐えるように設計された自動車の製造を要求しました。
このグループは、「I am the Cavalry」という名前で、ロイターを通じて「自動車CEO」に公開書簡を公開し、そのウェブサイトにコピーを投稿し、change.org請願を開始し、自動車産業の幹部に5スター自動車サイバー安全プログラム。 このプログラムの柱には、設計による安全性、サードパーティのコラボレーション、証拠の収集、セキュリティの更新、セグメンテーションと分離が含まれます。
「かつては明確な自動車とサイバーセキュリティの世界が衝突しました」と手紙を読みました。 「今こそ、自動車業界とセキュリティコミュニティがつながり、協力する時です。」
コンピューターは、現代の自動車のエンジン、ブレーキ、ナビゲーション、エアコン、フロントガラスのワイパー、エンターテイメントシステム、およびその他の重要なコンポーネントと重要でないコンポーネントを管理します。 改ざんや不正アクセスを防止するためにロックダウンする必要があるという論争はありません。 昨年、研究者チャーリー・ミラーとクリス・ヴァラセクのビデオをバックグラウンドで見ている間、彼らがフォーブスのライターであるアンディ・グリーンバーグによって運転されている車の制御を奪い取っている人は誰でも、敵が十分に動機付けられれば、その人が引き起こす可能性があることに同意しようとしている深刻な、身体的、ドライバー、そして潜在的に乗客への危害。 MillerとValasekは今年、Black Hatに参加し、より多くの車のハッキングを実証しました。今年のDEF CONは、家電、医療機器、交通制御システム、およびモノのインターネットのハッキングに関するいくつかのセッションを持っています。
車両は「車輪付きのコンピューター」であり、SonatypeのCTOでグループの共同設立者であるJosh Corman氏です。 グループの公開レターは、これらのコンピューターをより安全にするために設計されています。
ファイブスタープログラム
安全設計とは、自動車メーカーがセキュリティを考慮して自動化機能を設計および構築することを意味します。 自動車メーカーは、自社内で安全なソフトウェア開発プログラムを推進し、コーディングと設計の実践を改善する必要があります。
サードパーティのコラボレーションは、自動車メーカーに正式な脆弱性開示プログラムを確立し、そのポリシーが何であり、誰に連絡すればよいかを明確にするよう求めています。 自動車メーカーは、研究者と協力して欠陥を特定する必要があります。 自動車メーカーが自分でバグを見つけて修正する方法はありません。これが、研究者との健全なコラボレーションが不可欠である理由です。 物事を見逃す可能性が低くなります。
「テスラはすでに星を獲得している」とコーマンは述べ、電気自動車メーカーが最近そのような方針を確立したことに注目した。
エビデンスキャプチャでは、飛行機に既に存在するものと同様に、車に「ブラックボックス」を追加したいと考えています。 飛行機がcrash落すると、調査員はブラックボックスを分析し、会話、飛行機の速度、さまざまなシステムのステータス、その他の無数の技術情報など、飛行機で何が起こっていたかを理解できます。 車の中で何かがうまくいかない場合、ほとんどの場合、利用可能な情報はありません。 Corman氏は、事故から学び、フィードバックがなければ製品の改善に取り組むことは難しいと指摘しました。
セキュリティの更新は、見つかった問題が個々の車でタイムリーに修正されることを意味します。 車を購入してから6か月後に、修正版を利用するために新しいバージョンを購入する必要があることを知らせたくありません。 セキュリティ更新メカニズムにより、脆弱性が効果的に修正されます。
セグメンテーションと分離により、自動車メーカーは、ブレーキやステアリングなどの重要なシステムを、エンターテインメントシステムなどの車の他のネットワークから分離するように求められます。 「セグメンテーションと分離では、障害を確実に排除したいので、エンターテインメントシステムへのハックによってブレーキが無効になることはありません」とCorman氏は述べています。 彼は、さまざまな自動車メーカーの間にすでに大きな違いがあると指摘しました。 一部のセグメントは他のセグメントよりも優れていますが、まだ多くのことが残っています。
待つ余裕がない
このグループは、セキュリティを改善するために、ホームオートメーションや家電、医療機器、輸送、重要なインフラストラクチャなど、セキュリティ以外の分野の代表者とセキュリティ研究者を結びつけることを目指しています。 「目標は、「悪いことが起こるのを待つことができない」ため、セキュリティ保護策を実装するために協力することです。 開始する時が来たので、数年後にはこれらの努力が実際に結果を示すだろうと彼は言った。 「これにはしばらく時間がかかることがわかっている」と彼は言った。
「セキュリティ研究者のためにこれを行っているわけではない」とコーマンは言った。 「私たちはこれを隣人、車を運転する人のために行っています。」
