Спустя год после того, как исследователи продемонстрировали, что они могут удаленно контролировать Jeep Cherokee, используя уязвимость в кибербезопасности, Fiat Chrysler Automobiles наращивает свои усилия по предотвращению угроз взлома автомобилей.
На этой неделе автопроизводитель заявил, что учредил программу вознаграждения за обнаружение ошибок, с помощью которой независимые исследователи могут сообщать о недостатках безопасности и получать выплаты в размере от 150 до 1500 долларов, в зависимости от серьезности обнаруженной проблемы.
«Мы хотим, чтобы независимые исследователи безопасности связались с нами и поделились тем, что они обнаружили, чтобы мы могли устранить потенциальные уязвимости до того, как они станут проблемой для наших потребителей», — сказал Титус Мельник, старший менеджер по архитектуре безопасности FCA.
Но платежи идут с большим уловом. Исследователи, которые принимают компенсацию, должны подписать соглашение о неразглашении, которое запрещает им раскрывать результаты кому-либо за пределами компании. Сохранение права раскрывать уязвимости было спорным моментом в часто непростых отношениях между автомобильными компаниями и независимыми исследователями кибербезопасности. Если последний согласится подписать это, это станет серьезным изменением в том, как обрабатываются недостатки, и потенциально может оставить владельцев автомобилей в неведении относительно киберугроз в их автомобилях.
Все зависит от того, чего вы хотите больше. От нашего
точки зрения, мы хотели изменить отрасль и поднять
информирование общественности. — Крис Валасек
В прошлом многие исследователи транспортных средств были разочарованы тем, что их открытия были проигнорированы автопроизводителями и компаниями, связанными с автомобилем, а уязвимости остались неустраненными, пока они не поделились своими выводами с общественностью.
«Некоторые OEM-производители были более зрелыми, чем другие, в своих отношениях с исследователями в этой области», — сказал Джон Аллен, исполнительный директор Центра обмена и анализа автомобильной информации (Auto-ISAC), центра оценки угроз, созданного автопроизводителями для борьбы с автомобилями. хакеры.
Нет более яркого примера таких трений, чем само FCA. В прошлом году исследователи Крис Валасек и Чарли Миллер обнаружили ряд брешей в системе безопасности, в том числе уязвимость в сотовой связи, которая позволяла им управлять функциями рулевого управления, торможения и трансмиссии Jeep Cherokee, находясь на другом конце страны. Они начали делиться результатами с Chrysler в октябре 2014 года; затем они стали достоянием общественности 21 июля 2015 года. Два дня спустя Chrysler отозвал 1.4 миллиона пострадавших автомобилей. Несколько членов Сената США заявили, что были ошеломлены тем, что компания месяцами ждала, чтобы раскрыть проблемы безопасности.
Теплый ответ
Валасек, который присоединился к Центру передовых технологий Uber в Питтсбурге вместе с Миллером после того, как прошлым летом эксплойт застал отрасль врасплох, в среду узнал о новой программе вознаграждений Chrysler. Он предложил умеренную поддержку усилиям компании, но признал потенциальные недостатки для исследователей.
«Я думаю, что это хорошо, когда компании платят за обнаружение ошибок», — сказал он. «Я почти уверен, что почти у всех из них есть некоторые условия, в которых говорится, что вам не платят, если вы не придерживаетесь их правил, так что это компромисс между вашим желанием поговорить на эту тему и желанием получить вознаграждение. Все зависит от того, чего вы хотите больше. С нашей точки зрения, мы хотели изменить отрасль и повысить осведомленность общественности. Таким образом, награда в размере, скажем, 1500 долларов не была бы привлекательной. Но это может быть для некоторых.
Некоторые программы вознаграждений платят значительно больше. Microsoft и Google предлагают платежи до 100,000 10,000 долларов за информацию о критических уязвимостях. Uber платит XNUMX XNUMX долларов. По словам Chrysler, в рамках программы вознаграждений заявки проверяются Bugcrowd, третьей стороной. Как только исследователь кибербезопасности соглашается с соглашением о неразглашении, он может получить свою награду. Chrysler заявляет, что решит, следует ли обнародовать результаты.
Барри Горовиц, профессор систем и информационной инженерии Университета Вирджинии, который ведет исследования уязвимостей кибербезопасности, сказал, что программы вознаграждений могут иметь некоторые преимущества. Но когда речь идет о проблемах жизни и смерти, таких как уязвимые автомобили, необходима более последовательная национальная политика, устанавливающая стандарты раскрытия информации и анализа.
«Награды — это потенциальное решение, которое может помочь, и они используются в других кругах», — сказал он. «Но быть полным решением или центральной вещью, которой мы доверяем, — это другой вопрос. . . Это очень отличается от того, чтобы говорить людям, которые находятся в исполнении. Это самоинформация, и они делятся тем, что считают нужным. Когда люди говорят, что хотят посмотреть, как устроены эти системы, они не дают вам никаких данных. Это не очень симметричный вид».
После прошлогоднего взлома Jeep автопроизводители стали более серьезно относиться к угрозам кибербезопасности. Пятнадцать OEM-производителей и девять поставщиков объединились в отраслевую группу Auto-ISAC, которая недавно расширилась за счет поставщиков, среди которых Delphi, AT&T и Magna International. Создание FCA программы вознаграждения за обнаружение ошибок является первой действующей программой среди автопроизводителей, которая платит исследователям безопасности за их усилия, хотя Tesla Motors выплатила компенсацию исследователям, обнаружившим уязвимости прошлым летом. General Motors запустила программу раскрытия информации в январе, но ничего не платит исследователям за их отчеты.
Оттаивание морозных отношений
Начиная с 2010 года, почти все обнаруженные недостатки безопасности в транспортных средствах, по крайней мере те, которые были обнародованы, были сделаны независимыми исследователями. Программа Chrysler представляет собой признание того, что компания хочет быть более открытой для этой внешней работы, и Аллен сказал, что хочет, чтобы Auto-ISAC, членом которой является Chrysler, включал вклад внешних экспертов, которые работают вместе с компаниями для скоординированного раскрытия информации. .
«Раньше эти ребята могли кричать в глубинке и не получать ответа», — сказал он. — Если какой-нибудь исследователь обнаружит что-то сейчас, мы будем работать с ним, чтобы вместе составить разведывательный отчет. Это будет своевременно и актуально. Это не недели. Это дни. . . Я не думаю, что они будут сидеть за столом во время заседания правления. Но если вести с ними более открытый диалог, прежде чем он появится в журнальной статье, это обязательно произойдет. Они действительно хотят помочь отрасли».
«Как такие вещи обычно решаются? Ответ таков: происходит что-то плохое, и тогда мы реагируем на это. — Барри Горовиц
Включение означало бы значительное изменение отношения автопроизводителей к независимым исследователям. Только в прошлом году автомобильные компании и их главный лоббистский орган, Альянс автопроизводителей, утверждали, что независимые исследователи не имеют законного права исследовать программное обеспечение, которое теперь запускает десятки критически важных компонентов автомобилей, поскольку доступ к этому программному обеспечению защищен авторским правом. закон. Хотя Бюро авторского права США подтвердило права исследователей в решении от октября 2015 года, эти права ненадежны. Решение вступает в силу только в октябре этого года, и оно должно быть продлено через еще один раунд спорных слушаний через два года.
Тем временем программа Chrysler может рассматриваться как альтернативный способ для автомобильных компаний заставить замолчать исследователей, обнаруживших проблемы. Инсайдеры отрасли и независимые исследователи могут обсуждать достоинства этого, но Горовиц опасается, что люди, наиболее затронутые уязвимостями — автомобилисты — не поймут, что дебаты о том, кто узнает об уязвимостях безопасности в их автомобиле, имели место до тех пор, пока не произошел кризис.
«Как такие вещи обычно решаются? Ответ таков: случается что-то плохое, и тогда мы реагируем на это», — сказал он. «Это все очень специально. И программа поощрений предлагает идею о том, что мы можем использовать специальные методы, не зная всех обстоятельств, и это просто неправильный способ что-то делать, когда затрагиваются жизни людей».
Этот контент импортируется из OpenWeb. Вы можете найти тот же контент в другом формате или найти дополнительную информацию на их веб-сайте.
