文章
  • 文章
科技

对诉讼的恐惧使汽车黑客研究变冷

监管机构正试图利用版权法来打击对汽车电脑的危险篡改,引发人们担心它们会阻碍所需的网络安全研究。

随着互联网连接汽车在道路上的激增,黑客发现并可能利用软件安全漏洞的机会也是如此 - 好的和坏的。

今年夏天,当“白帽黑客”利用漏洞并控制吉普的转向,刹车和变速器时,对于谁应该和不应该使用车辆软件的担忧引起了关注。

广告

黑客在高速公路上现场演示特技,引发了对研究人员如何向制造商和公众披露漏洞的担忧。

批评者 - 包括汽车制造商 - 表示,公开研究他们的调查结果的研究人员不顾后果地向坏人揭露漏洞,并让制造商没有时间解决问题。

其他人说沉默研究人员对公共安全和国家安全都有危险的影响。

“安全的敌人不是想要报告错误的安全研究员,”漏洞管理公司Hacker One的首席政策官Katie Moussouris说。

“安全的敌人是不披露漏洞,因为那时你无能为力。”

在Jeep hack的情况下,研究人员与母公司克莱斯勒合作了九个月,直到在高速公路上进行特技表演。 制造商在那段时间内悄然发布了一个补丁,但批评了黑客宣传他们的工作。

“在任何情况下,[美国菲亚特克莱斯勒]都不会宽恕或认为披露可能会鼓励或帮助黑客获取未经授权和非法访问车辆系统的”操作方法信息“是合适的,”该公司在声明中表示。

“我们赞赏网络安全倡导者的贡献,以增强行业对潜在漏洞的理解。 但是,我们提醒倡导者,为了改善公共安全,他们实际上并没有损害公共安全。“

上个月,交通部加入了一系列机构,请求美国版权局阻止研究人员绕过受保护的技术。

“该部门担心,在某些情况下,安全研究人员可能无法完全理解其安全规避行为的潜在安全后果,并且可能无法完全理解与可能必要的潜在补救措施相关的后勤和实际限制,”DOT写道。在给版权局的一封信中。

批评家将这封信描述为对Jeep黑客的下意识反应。

版权局正在考虑豁免所谓的数字千年版权法案(DCMA),该法案禁止任何人规避控制对受版权保护的作品(如车辆软件)访问的技术措施。

该法律已经包含了对善意黑客的一项豁免:如果他们获得了供应商的许可,他们可以进行研究,但这不一定是给定的。

研究人员表示,一些制造商仍将安全漏洞视为公共关系风险,而非必然性。

一些公司已采取积极主动的方式应对白帽黑客,为发现和解决安全漏洞的研究人员提供了大量的“漏洞赏金”。

特斯拉在披露方面的报酬从25美元到10,000美元不等,但有几点需要注意。 制造商要求黑客在“公开任何信息之前”给出“合理的时间来纠正问题”。

DOT承认,善意研究“提出了促进协作识别安全漏洞的潜在好处。”该部门表示,可以通过限制公开披露安全漏洞来解决其担忧,而不是直接禁止任何研究。

根据DOT,一种可能的决议是,如果研究人员只向监管机构或可能受影响的各方披露他们的调查结果,他们将受到版权法的保护。

批评人士说,这种方法会使安全分析师陷入困境,有效地将其从社区协作中切除,这是学术研究的一部分,同时也无法阻止在法律之外运作的黑客分享他们的发现。

移动安全公司Lookout的首席技术官Kevin Mahaffey说:“任何禁止安全研究的问题在于,你只能阻止在一个国家遵守法律的优秀研究人员。” “这是世界上安全研究人员的一小部分。”

DOT的提议还将依赖制造商快速响应威胁披露,并非所有研究人员都信任它们。

“有些情况下,研究人员实际上告诉制造商,制造商没有解决这个漏洞,”民主与技术中心的总法律顾问Erik Stallman告诉The Hill。

汽车制造商表示他们对安全问题 。 主要行业组织汽车制造商联盟最近宣布,它已经建立了一个中心,允许公司交换有关网络威胁的数据。

该集团最终表示,电信和科技公司将有望参与该中心。

随着汽车行业在大众汽车的专有软件遭到抨击后,正在努力重建信任,因此进行了黑客辩论。

上个月,美国环保署指责这家德国汽车制造商在某些柴油车辆中加入了符合排放要求的软件,使其看起来好像是汽车符合联邦标准,而事实上并非如此。

DOT还建议,安全研究人员的任何版权法豁免都要求他们在供应商公开调查结果之前给予供应商足够的时间作出回应。

但安全专家表示,更好的方法是创建一个更好的报告系统,而不是限制披露。

在整个安全行业中,有一个公认的制造商披露标准,但它远未编纂成法,但仍然让研究人员不确定报告他们的工作是否会使他们诉诸诉讼。

专家说,害怕采取法律行动,可以让更多的恶意黑客继续寻找不受约束的软件漏洞。

“安全测试有法定豁免,但他们的确切限制尚不清楚,”Stallman说。

“对于所需的网络安全研究而言,正在形成的是对什么是允许的和不允许的不确定性。 这对研究人员,为研究提供资金的人以及雇用他们的机构来说都是一个大问题。“