汽车的综合软件安全需要数年
汽车的软件安全性是改进,但它将再次需要三到四年,直到制造商能够将总体安全架构放置到位,2015年ACM-Infosys基金会奖得主在计算科学奖得主。
“我们在行业必须认识到这是对他们来说是一个真正的问题,”UC San Diego Jacobs工程学院的计算机科学与工程系教授萨维奇说。
+更多汽车安全:汽车黑客敦促您修补您的克莱斯勒,RAM,Durango或Jeep +
他说,需要常规更新软件以更新软件,以修补新发现的漏洞,类似于微软Windows Update的工作方式,他说。
此外,单个团队需要监督在汽车中运行的所有软件,以确保它们及其与其他设备的接口是安全的。“几乎所有我们发现的漏洞都在不同方面的代码的界面,”他说。
通常使用尚未剥离以消除攻击向量的货架代码来编写软件。例如,需要蓝牙支持的汽车中的设备可以包含具有更多特征的Linux蓝牙堆栈,该堆栈可以表示对汽车系统的漏洞。
如果没有对软件的总体审查,漏洞可以与市场之后的部分泄漏。例如,可以使用特殊格式格式的CD更新一个售后标记CD播放器,该CD使设备能够覆盖汽车中的其他软件系统。“这些问题比比皆是,”他说。
短期,汽车制造商可以改进他们的修补程序。他们可以采用今天的PC安全常见的策略,但这并未适用于汽车。他说,他们可以生产具有全车软件安全方案的汽车。
自动驾驶汽车构成了不同的问题。鉴于他们拥有的功能范围依赖于软件,难以以传统方式保持无论漏洞和漏洞。暂停或隔离软件在车辆行驶70英里/小时的同时表现出异常的软件是一种明显的风险。也许,他说,这些汽车将有一个跛行的家庭模式,在出现问题时安全地让它们远离道路。
可能的汽车制造商将在巷道更换和停车时引入自治功能,看看他们收到的程度以及它们有多可靠。如果越来越好,将增加更多,导致自驾驶车辆。
萨维奇的其他工作包括在伟哥垃圾邮件发送者之后,而不是通过击败他们的僵尸网络或阻止他们的电子邮件,而是通过瘫痪他们的财务后端。他分析了他们的商业模式,并发现其用于收集信用卡付款的商家银行账户易受攻击。随着签证,万事达卡及其成员银行的合作,该团队关闭了这些账户,使他们难以获得其利润。
野蛮人表示,他希望ACM-Infosys基金会奖的臭名昭着,让他有助于传播关于持续研究的一词来衡量各种战斗网络攻击手段的有效性。
该研究正在测量inpidual安全工具和实践实际影响安全性的方法。例如,是否使用防病毒软件,修补和转向清除恶意网站实际上减少了被丢失的设备或凭证的设备的实例?这将有助于安全专业人士将其努力集中在他们将尽最多的努力。
今天,大部分常见做法是由销售安全产品的供应商营销索赔驱动的。“我认为你可以在行为更多地看待更多的行为,”他说。
这个故事,“汽车的综合软件安全将花费数年”最初由网络世界出版。