Autofabrikanten opgeroepen cybersecurity serieus te nemen
Een groep beveiligingsonderzoekers heeft autofabrikanten een open brief gestuurd waarin wordt oproepen om de cybersecurity van voertuigen serieus te nemen, aangezien auto's steeds vaker "computers op wielen" aan het worden zijn en het beschermen tegen aanvallen daarom belangrijk is.
De groep noemt zich "I Am The Cavalry" en stelt dat moderne auto's steeds vaker verbonden met en worden bestuurd door software. De afhankelijkheid van technologie in voertuigen is dan ook sneller gegroeid dan de middelen om ze te beveiligen. De groep wil dan ook dat fabrikanten erkennen dat veiligheidsproblemen met voertuigen door cybersecurityproblemen veroorzaakt kunnen worden. Ook roepen ze op tot betere samenwerking met beveiligingsonderzoekers.
Stappenplan
Om fabrikanten concreet op weg te helpen wordt er in de brief een 5-stappenplan beschreven. Zo moet er bij het ontwerp van auto' s al rekening met de IT-veiligheid worden gehouden, zoals het verminderen van aanvalsoppervlakken en het aantal fouten per duizend regels code. Het tweede punt gaat over de samenwerking tussen onderzoekers en de auto-industrie, zoals bijvoorbeeld het starten van beloningprogramma's voor het vinden van bugs, organiseren van hackathons en het opzetten van een 'hall of fame'.
Het derde punt waar fabrikanten mee aan de slag kunnen is ervoor zorgen dat de autosystemen in staat zijn om bewijs op een forensisch verantwoorde wijze te verzamelen. Het vierde punt lijkt misschien iets voor thuiscomputers, maar geldt inmiddels ook voor auto's. Namelijk het uitrollen van beveiligingsupdates. De onderzoekers vinden het belangrijk dat auto's op een veilige, snelle en eenvoudige manier kunnen worden geüpdatet als er beveiligingslekken worden gevonden.
Als laatste pleiten de onderzoekers voor segmentatie en isolatie, waarbij de kritieke autosystemen van de overige systemen zijn gescheiden. Het mag bijvoorbeeld niet voorkomen dat een kwaadaardige infotainment app of aanval via Bluetooth of wifi toegang tot bijvoorbeeld remsystemen of airbags krijgt. Op dit moment delen veel auto's echter hetzelfde geheugen, computing en elektronica voor alle systemen, wat een groot risico is. Om de oproep kracht bij te zetten zijn de onderzoekers ook een petitie gestart.
Die "beveiliging" zal zich vervolgens uiten in compleet dichttimmeren van de systemen zodat diagnoses alleen nog maar via gigantisch veel te dure apparaten te stellen zijn en het reverse engineeren van het protocol van de diagnosepoort met harde crypto bemoeilijkt gaat worden. En vervolgens blijken er nog stapels fouten en gaten in te zitten waar duistere Roemenen en Bulgaren prima slaatjes uit weten te slaan.
Leer mij de industrie kennen. Open standaarden? Kom nou.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
