Index · Standard · In der Welt der automobilen Bug Bounties, GM und Tesla nehmen divergente Straßen

In der Welt der automobilen Bug Bounties, GM und Tesla nehmen divergente Straßen

2017-11-13 1
   
Advertisement
FortsetzenEs gab einen Weg, um die Schlagzeile zu dieser Geschichte ganz heilig zu machen. Zum Beispiel hätten wir sagen können: "GM hat kein Geld für Bug Bounties bezahlt, Tesla vielleicht $ 1,5 Millionen." Das ist alles technisch wahr, aber es ist super
Advertisement

In der Welt der automobilen Bug Bounties, GM und Tesla nehmen divergente Straßen
Es gab einen Weg, um die Schlagzeile zu dieser Geschichte ganz heilig zu machen. Zum Beispiel hätten wir sagen können: "GM hat kein Geld für Bug Bounties bezahlt, Tesla vielleicht $ 1,5 Millionen." Das ist alles technisch wahr, aber es ist super irreführend. In der aufstrebenden Welt der Bug Bounties in der Automobilindustrie bewegen sich die Dinge schnell und Details sind knapp.

Also, lassen Sie uns brechen die Überschrift, die wir nicht verwenden, um Bug Bounties zu beschreiben - ein Belohnungssystem für die Suche nach Fehlern in Programmcode. Alles , was wir sicher über Teslas Programm wissen ist , dass 159 Bugs gemeldet wurden . Und bei einem Maximum, könnte das zu $ ​​1,5 Millionen kommen. Natürlich ist die Chance, dass Tesla bezahlt, dass viel ist im Grunde Null (Tesla die niedrigste Auszahlung ist $ 100, so vielleicht der EV Autohersteller nur bezahlt $ 15.900.Das ist unwahrscheinlich, auch). Auch der Grund, warum General Motors kein Geld für seine Bug Bounty bezahlt hat, ist nicht, weil es keine Bugs in seinen Fahrzeugen gefunden hat, sondern weil es einfach arbeitet mit einer anderen Methode, eine, wo es keine Bug Bounties bezahlt . Unternehmen müssen ihre Autos so sicher wie möglich zu machen, weil die Bedrohungen für Fahrer und Besitzer könnte sowohl körperliche Schäden als auch finanzielle sein. Denken Sie an die Flut von Ransomware - Attacken auf Computern, sondern auch für Ihr Auto , zum Beispiel.

Weder Tesla noch GM wollte in irgendwelche Details über ihre Bug Bounty - Programme zu bekommen, aber es gibt eine andere Ressource: Bugcrowd . Bugcrowd eine Website, die Bounty - Programme verfolgt, die Belohnungen für Leute sind , die Software - Schwachstellen zu entdecken und dann sagen , das Unternehmen über sie eher Als sie für ruchlose Zwecke zu nutzen. Michelle Dailey, Bugcrowd 's Direktor für Kommunikation, sagte AutoMKGreen , dass:

Die 159 Bugs belohnt Zahl ist eine Anzahl von allen, die gemeldet wurden und auf unserer Plattform belohnt. Dies bedeutet, dass von allen von unseren Forschern geschaffenen Einsendungen 159 von ihnen eindeutig waren und den Anforderungen des Programmbeitrags (Ziele, Anwendungsbereich usw.) genügten. Während wir die spezifische Aufteilung von Bugs nicht durch Programm ohne Kundengenehmigung teilen können, können wir eine Aufschlüsselung von Bugs nach Typ über alle unsere Programme teilen. Dies wird in der mitgelieferten 2016 State of Bug Bounty Bericht, zusammen mit einer Reihe anderer Statistiken über Anzahl und Art der Verwundbarkeit.

Bugcrowd ruft Teslas Bug Bounty Programm ein "high profile Beispiel" einen Versuch zu verhindern , in das Internet der Dinge zu hacken. Bug Bounty - Programme von GM und Chrysler sind weitere Beispiele (auf Bugcrowd, FCA hat sich offenbar ausgezahlt 48 Fehler, zu einem Preis von zwischen $ 150 und $ 1.500 pro Bug ). Diese Programme sind ungewöhnlich für große Unternehmen, da Bugcrowd sagt , dass "94 Prozent der Unternehmen auf der Forbes - Liste 2000 derzeit nicht eine Offenlegung der Sicherheitsanfälligkeit oder Bug Bounty Programm haben." Der Durchschnitt für alle Bounties Fehler in Bugcrowd den Bericht bezahlt ist 294,70 $, im Vergleich zu $ 200,81 in ihrem ersten Jahresbericht im Jahr 2015 Tesla verwendet andere Bug Bounty - Tracking - Dienste, und Tesla Bugcrowd Behauptung widersprochen durch AutoMKGreen zu sagen , dass die 159 Fehler auf der Website sind nicht als Unbedingt einzigartig, und dass eine Gruppe von Forschern alle behaupten, dass der gleiche Fehler oder ein Fehler über verschiedene Plattformen bestehen könnte.

Ein Tesla - Sprecher sagte AutoMKGreen , dass:

Wir entwickelten Modell S und Modell X mit höchsten Sicherheitsstandards in jeder Hinsicht. Durch unser verantwortliches Berichtswesen arbeitet ein engagiertes Team von hochkarätigen Tesla-Sicherheitsexperten eng mit der Forschergemeinschaft zusammen, um sicherzustellen, dass wir unsere Systeme weiterhin gegen Schwachstellen schützen, indem wir unsere Schutzmaßnahmen ständig prüfen, validieren und aktualisieren. Angesichts des innovativen Charakters unserer Technologie prüft und identifiziert das Sicherheitsteam ständig neue Methoden, um unsere Systeme zu schützen und unsere Kunden zu schützen.

Tesla nimmt Sicherheit und Datenschutz sehr ernst und wir hatten eine öffentlich gerichtete Sicherheitsanfälligkeit Programm an Ort und Stelle, die die Sicherheitsgemeinschaft fördert in dem Prozess zu beteiligen. Das Programm Bug Bounty im Jahr 2014 gestartet und enthält unsere Produkte zusätzlich zu unserer Website.

Mit unseren Over-the-Air-Software-Updates fügen Sie dem Modell S neue Funktionen und Funktionen hinzu. Ähnlich wie Sie Updates für Ihr Smartphone erhalten, laden Tesla-Eigentümer diese Updates von Tesla über Wi-Fi oder eine Mobilfunkverbindung herunter. Ein Knopf knallt oben auf Modell S und Modell X 17 "Touchscreen und ein Inhaber kann eine Zeit wählen, um die späteste Softwareversion zu downloaden. Die Fähigkeit, diese Eigenschaften und Befestigungen zu empfangen ist für die Lebenszeit des Trägers frei und ist eine weitere Weise Dass Tesla die Eigenbesitzung neu definiert.

Wie auf Bugcrowd angegeben, sind die legitimen Ziele sind für Tesla "Hacker":

  • * .teslamotors.com
  • Jeder Host, der von Tesla Motors Inc. (Domains / IP Space / etc.
  • Mobile Anwendungen ( "Tesla Model S" auf iOS und Android)
  • Ein Hardwareprodukt, das Sie besitzen oder zum Testen geeignet sind (Fahrzeug / PowerWall / etc.)
  • * .tesla.com

Tesla schätzt die weißen Hut Hacking seiner Fahrzeuge - wie eine aktuelle Demonstration aus China zeigt - aber es hat die öffentliche Liste der Hacker nicht aktualisiert Hall of Fame seit 2014.

Bei GM, die Bug Bounty-Programm geht langsam voran. GM hat im Januar sein Security Vulnerability Disclosure Programm gestartet. Rebecca Weiß, von GM Cyber -Sicherheit und Sicherheitskommunikation Büro, sagte AutoMKGreen , dass es ein "wichtiger" Teil von GM Sicherheitsbemühungen ist, aber das Unternehmen ist immer noch ein wenig zögerlich. "Als der erste große Autohersteller, um ein Programm wie dieses zu starten, haben wir eine sehr strategische Crawl, Walk, Run Ansatz", sagte sie. "Wir haben bisher keine finanzielle Komponente für das Programm implementiert, aber dieses Programm weiterhin beurteilt und angepasst und werden zukünftig Anerkennungs- und Anreizchancen in Betracht ziehen."

Dies ist sicherlich ein sich entwickelnder Raum. Für einen noch tieferen Blick auf , wo wir heute sind, lesen Sie Bugcrowd 's The State of Bug Bounty Bericht vom Juni 2016 hier (PDF).

TOP

  • Day/
  • Week/
  • Original/
  • Recommand

Updated