Новая программа поиска уязвимостей концерна General Motors, объявленная вслед за аналогичной программой Tesla, позиционируется как «единственная инициатива поиска программных уязвимостей от крупного автоконцерна». В отличие от программы Tesla, программа GM не предполагает материального вознаграждения.

GM запустил инициативу на прошлой неделе через платформу HackerOne; хотя в условиях ничего не говорится о выплатах, автомобильный гигант рассматривает альтернативу — исследователям, которые найдут баги в ПО и доложат о них в соответствии с требованиями программы, не будут предъявлены обвинения.

GM также требует, чтобы отчеты включали достаточно подробную информацию, позволяющую воспроизвести атаку, а также чтобы выполняемые с целью исследования действия не вредили концерну, не нарушали закон, не подвергали опасности приватность и безопасность пользователей. Участники не имеют права публиковать информацию о найденных уязвимостях, пока GM не исправит баг. В программе не могут участвовать граждане Кубы, Ирана, Северной Кореи, Судана, Сирии, а также жители Крыма и лица, включенные в санкционный список граждан особых категорий и запрещенных лиц Казначейства США.

Tesla запустила программу Bug Bounty в июне. Участники могут получить до $1 тыс. за найденные в ПО уязвимости. Однако действие программы распространяется только на веб-ресурсы компании и не включает автомобили.

Хотя GM не стал вдаваться в подробности о рамках своей инициативы, это значительный прогресс для всей автомобильной отрасли, которая все чаще попадает под прицел хакеров.

На ежегодной конференции Black Hat исследователи Uber Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) подогрели интерес ИБ-отрасли к возможности взлома автомобилей, представив концепт атаки на последнюю модель Jeep Cherokee. Эксперты смогли удаленно эксплуатировать систему UConnect и получить контроль над критически важными системами машины, в том числе рулевым колесом, тормозной системой и трансмиссией.

Исследование Миллера — Валасека заставило концерн Fiat Chrysler отозвать более 1,4 млн автомобилей, хотя патч был выпущен за несколько дней до этого.

В октябре минувшего года бюро регистрации авторских прав при библиотеке Конгресса США внесло временные исключения в секцию 1201 закона о защите авторских прав Digital Copyright Millennium Act (DCMA). Согласно послаблениям, действующим в течение трех лет, модификация автомобильного ПО с легальными целями, в том числе с целью исследования на наличие уязвимостей, не преследуется по закону.

Валасек в своем Twitter выразил благодарность директору по информационной безопасности GM Джеффу Массимилье (Jeff Massimilla) за предоставление технической возможности докладывать о найденных уязвимостях, что до сих пор редкость в мире традиционных отраслей.

Авиакомпания United Airlines также запустила программу Bug Bounty прошлой весной. За баг удаленного исполнения кода исследователю полагается миллион бонусных миль, за баги более низкой степени критичности — от 50 тыс. до 250 тыс. миль. В прошлом июле джекпот сорвал исследователь Джордан Уайанс.

Категории: Кибероборона, Уязвимости