车载导航提示“路上有枪战” 专业人士:可能是系统BUG或黑客攻击;美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业
2022-8-24 10:0:43 Author: 黑白之道(查看原文) 阅读量:17 收藏

车载导航提示“路上有枪战” 专业人士:

可能是系统BUG或黑客攻击

你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?

8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。
记者向上海市公安局求证获悉,本市没有发生枪战警情。
对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。
“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。
该技术人员说,目前依据只有部分网友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。
但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联网运行、是否及时升级有关。
部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。
同时,正规导航软件的推送信息都有权威信源,通常来自官方渠道,而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。
根据目前网传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

美国拟立法禁止采购有漏洞软件,

“引爆”网络安全行业

  • 处于立法进程中的《2023财年国防授权法案》提出,国土安全部新签和现有政府合同,软件供应商应保证产品中不存在已知漏洞;

  • 有安全专家担心,如果严格执行该项法案,美国政府后续将无法部署任何软件/服务;

  • 原因有多方面:任何代码都存在漏洞,美国漏洞库的部分漏洞并非安全风险,软件提供商可能隐瞒漏洞信息,竞争对手将极力挖掘对手产品漏洞以赢得合同等。

安全内参8月22日消息,美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件

这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险

总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell"Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

参考资料:theregister.com

文章来源:快科技、安全内参

精彩推荐

最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650549009&idx=1&sn=4424b94d3c250b1c2199c5d049793d55&chksm=83bd4ef5b4cac7e37f5ede51d8e746fae6352f839ce82e0216ae731ab485ab67965ba5563823#rd
如有侵权请联系:admin#unsafe.sh