漏洞边界与汽车防火墙应对汽车黑客威胁

正如我们在过去几年看到的那样,汽车黑客正在成为越来越大的威胁。我们车辆中的许多系统——以及它们所设计的标准——早于互联汽车时代。因此,计算机化的车辆系统缺乏一些基本的安全性,而这些安全性本来是我们在黑客攻击的影响下所期望的。2015年7月,黑客们披露140万辆克莱斯勒和道奇汽车容易受到利用——通过汽车信息娱乐系统——这可能让恶意黑客接管对汽车油门、刹车甚至转向的控制,汽车黑客问题引起了广泛关注。

周三上午,菲亚特克莱斯勒汽车公司( FCA )宣布,它已经创建了一个bug bounting程序,利用bug group的平台让安全社区向它通报可能存在的漏洞。FCA安全体系结构高级经理Titus Melnyk说:「我们希望鼓励独立的安全研究人员与我们接触,分享他们发现的问题,以便我们能够在潜在的漏洞成为消费者的问题之前修复它们。」为了获取头条新闻或名声而暴露或宣传漏洞无助于保护消费者。相反,我们想奖励安全研究人员的时间和努力,这最终使我们大家受益。

FCA正在跟随特斯拉的脚步;2015年,电动汽车制造商在bughought上设立了自己的奖励计划。通用汽车公司也在今年1月(通过哈克龙)制定了类似的计划,并认为福特和其他汽车原始设备制造商(原始设备制造商)在工作中也有类似的努力。

不过,仅Bug bound不足以保护我们的汽车免受恶意软件攻击。毕竟,为了让OEM采取行动,一个错误需要被发现并被一顶白帽子揭露出来。有些人认为FCA的程序是一个开始,但仅此而已。他们特别远离汽车平台,也就是汽车本身。Cigital的Art Dahnert解释说,范围内的领域是一些车辆部件的辅助集成服务。我确实注意到他们给出了一个定义明确的漏洞类型的列表,这有助于保持低信噪比。臭虫奖励是一个好的第一步,我希望他们能从中找到价值。这应该是涉及设计分析和威胁模型以及内部安全评估的更全面计划的一部分。在产品周期中,漏洞发现得越早,修复起来就越容易,也越便宜。

值得庆幸的是,汽车业似乎开始采用这种整体式的安全带和背带式的安全方法,这一努力正得到一批技术公司的帮助,这些公司将他们的技能用于解决这个问题。

上个月,我们向您介绍了Symantec的汽车安全方法,包括一个运行在我们汽车中普遍使用的多个嵌入式电子控制单元( ECU )中任何一个上的异常检测系统。Symantec s系统使用启发式方法检测运行在车辆控制器局域网总线上的恶意软件,提醒原始设备制造商注意此问题。但这可能只是拼图的一部分——毕竟知道你有恶意软件问题没关系,但你难道不想阻止它继续前进吗?联合创始人大卫·巴兹莱说,卡拉巴安全公司的卡沃尔就是从这个角度来解决这个问题的。Carwall并入ECU (无论它们包含丰富的操作系统还是基于调度程序的控制器),Barzilai告诉我们,Carwall 自动学习ECU的工厂设置,作为软件构建过程的一部分。基于此,它创建一个实时工作的策略,以便在控制器上执行的操作是工厂设置的一部分。如果某个操作不是工厂设置之一,它将被检测为恶意软件并被阻止执行。此外,只允许工厂设置运行,没有假阳性问题可处理。

Carwall的动力来自OEM的要求,该OEM希望为动力传动系控制器增加安全性,而不是信息娱乐或远程信息处理系统(其本质上连接到互联网)。这项技术源于移动设备的端点安全工作。不过,Barzilai告诉我们,它更适合汽车应用: 这对于企业和移动来说是不现实的,因为用户改变了这些环境。但在车里,如果有人想改变环境,他们可能是恶意的。这是增强ECU抵御黑客攻击的最佳方式,因为您不需要开发人员的干预。