Cercetătorii VW au acționat în judecată pentru a ascunde defectul de securitate timp de doi ani

Publicitate

Vulnerabilitățile de securitate software sunt raportate tot timpul. În general, răspunsul când este descoperită o vulnerabilitate este să mulțumească (sau, în multe cazuri, să plătească) cercetătorului care a găsit-o, apoi să remedieze problema. Acesta este răspunsul standard în industrie.

Un răspuns decisiv non-standard ar fi să dea în judecată persoanele care au raportat vulnerabilitatea pentru a le opri să vorbească despre aceasta, iar apoi să petreacă doi ani încercând să ascundă problema. Din păcate, asta este exact ceea ce a făcut producătorul auto german Volkswagen.

Carjacking criptografic

Vulnerabilitatea în cauză a fost un defect al sistemului de aprindere fără cheie al mașinilor. Aceste sisteme, o alternativă înaltă la cheile convenționale, ar trebui să împiedice deblocarea sau pornirea mașinii, cu excepția cazului în care fob-ul cheie este în apropiere. Cipul se numește „Megamos Crypto” și este achiziționat de la un producător terț din Elveția. Cipul trebuie să detecteze un semnal din mașină și să răspundă cu un

mesaj semnat criptografic Puteți semna electronic documente și ar trebui?Poate că i-ai auzit pe prietenii tăi tehnologi aruncând atât termenii semnătură electronică cât și semnătură digitală. Poate chiar le-ați auzit folosite în mod interschimbabil. Cu toate acestea, ar trebui să știți că nu sunt aceleași. De fapt,... Citeste mai mult asigurând mașina că este în regulă să deblocheze și să pornească.

Din păcate, cipul folosește o schemă criptografică învechită. Când cercetătorii Roel Verdult și Baris Ege au observat acest fapt, au reușit să creeze un program care să rupă criptarea ascultând mesajele dintre mașină și fob-cheie. După ce a auzit două astfel de schimburi, programul este în măsură să restrângă gama de taste posibile până la aproximativ 200.000 de posibilități - un număr care poate fi ușor forțat de un computer.

Acest proces permite programului să creeze un „duplicat digital” al cheii-cheie și să deblocheze sau să pornească mașina în voie. Toate acestea pot fi realizate de un dispozitiv (cum ar fi un laptop sau un telefon) care se întâmplă să fie aproape de mașina în cauză. Nu necesită acces fizic la vehicul. În total, atacul durează aproximativ treizeci de minute.

Dacă acest atac sună teoretic, nu este. Conform Poliției Metropolitane din Londra42% din furturile de mașini din Londra anul trecut au fost efectuate folosind atacuri împotriva sistemelor deblocate fără cheie. Aceasta este o vulnerabilitate practică care pune în pericol milioane de mașini.

Toate acestea sunt mai tragice, deoarece sistemele de deblocare fără cheie pot fi mult mai sigure decât tastele convenționale. Singurul motiv pentru care aceste sisteme sunt vulnerabile se datorează incompetenței. Instrumentele de bază sunt mult mai puternice decât ar putea fi vreo blocare fizică.

Dezvăluirea responsabilă

Cercetătorii au dezvăluit inițial vulnerabilitatea creatorului cipului, oferindu-le nouă luni pentru a remedia vulnerabilitatea. Când creatorul a refuzat să emită o rechemare, cercetătorii au mers la Volkswagen în mai 2013. Inițial, au plănuit să publice atacul în cadrul conferinței USENIX din august 2013, oferindu-i lui Volkswagen aproximativ trei luni pentru a începe o rechemare / reamenajare, înainte ca atacul să devină public.

În schimb, Volkswagen a dat în judecată să-i oprească pe cercetători să publice publicația. Un tribunal înalt britanic față cu Volkswagen, spunând că „recunosc valoarea ridicată a discursurilor libere academice, dar există o altă valoare ridicată, securitatea a milioane de automobile Volkswagen.”

Au fost duși doi ani de negocieri, dar cercetătorilor li se permite în sfârșit publică lucrarea lor, minus o propoziție care conține câteva detalii cheie despre reproducerea atacului. Volkswagen nu a rezolvat încă cheile-cheie și nici ceilalți producători care nu folosesc același cip.

Securitate prin litigiozitate

Evident, comportamentul Volkswagen aici este extrem de iresponsabil. În loc să încerce să rezolve problema cu mașinile lor, în schimb au turnat zeu-știe cât timp și bani pentru a încerca să împiedice oamenii să afle despre asta. Aceasta este o trădare a celor mai fundamentale principii de bună securitate. Comportamentul lor aici este inexcusabil, rușinos și alte (mai colorate) invective care te voi scuti. Este suficient să spunem că nu trebuie să se comporte companiile responsabile.

Din păcate, nu este, de asemenea, unic. Producătorii au renunțat la balul de securitate Pot hackerii să preia într-adevăr mașina dvs.? Citeste mai mult mult în ultimul timp. Luna trecută, a fost dezvăluit că ar putea fi un model special de Jeep hacked wireless prin sistemul său de divertisment Cât de sigure sunt automobilele cu autovehicule conectate la Internet?Sunt autovehiculele în siguranță? Ar putea fi utilizate automobilele conectate la Internet pentru a produce accidente sau chiar asasina dizidenții? Google speră că nu, dar un experiment recent arată că mai este mult de parcurs. Citeste mai mult , ceva ce ar fi imposibil în orice proiectare a autovehiculului conștient de securitate. Pentru creditul Fiat Chrysler, au amintit mai mult de un milion de vehicule în urma acestei revelații, dar numai după ce cercetătorii în cauză au demonstrat hackul într-un an mod iresponsabil de periculos și viu.

Milioane de alte vehicule conectate la Internet sunt probabil vulnerabil la atacuri similare - dar nimeni nu i-a pus în pericol un jurnalist în pericol, așa că nu a existat nicio reamintire. Este complet posibil să nu vedem schimbări până când cineva moare de fapt.

Problema este că producătorii de mașini nu au fost niciodată producători de software până acum, dar acum sunt brusc. Nu au o cultură corporativă conștientă de securitate. Nu au expertiza instituțională pentru a rezolva aceste probleme în moduri corecte sau pentru a construi produse sigure. Când se confruntă cu ei, primul lor răspuns este panica și cenzura, nu rezolvările.

Companiile moderne de software au necesitat zeci de ani pentru a dezvolta bune practici de securitate. Unele, precum Oracle, sunt încă blocat cu culturi de securitate învechite Oracle dorește să nu mai trimiteți bug-uri - Iată de ce asta este nebunOracle se află în apă fierbinte peste un post de blog greșit de către șefa de securitate, Mary Davidson. Această demonstrație a modului în care filosofia de securitate Oracle se îndepărtează de mainstream nu a fost bine primită în comunitatea de securitate ... Citeste mai mult . Din păcate, nu avem luxul de a aștepta pur și simplu companiile să dezvolte aceste practici. Mașinile sunt mașini scumpe (și extrem de periculoase). Sunt una dintre cele mai critice zone de securitate a computerului, după infrastructura de bază, precum rețeaua electrică. Cu creșterea mașinilor cu autovehicul Istoria este Bunk: Viitorul transportului nu va fi ca nimic ce ai văzut anteriorÎn câteva decenii, sintagma „mașină fără șofer” va suna foarte mult ca „trăsură fără cai”, iar ideea de a deține propria mașină va suna la fel de ciudat ca să-ți sapi propria fântână. Citeste mai mult în special, aceste companii trebuie să se descurce mai bine și este responsabilitatea noastră de a le păstra la un standard mai ridicat.

În timp ce lucrăm la asta, cel mai puțin putem face este să cerem guvernului să nu mai permită acest comportament rău. Companiile nu ar trebui nici măcar să încerce să folosească instanțele pentru a ascunde problemele cu produsele lor. Dar, atât timp cât unii dintre ei sunt dispuși să încerce, cu siguranță nu ar trebui să le lăsăm. Este esențial să avem judecători care sunt suficient de conștienți de tehnologia și practicile industriei de software conștiente de securitate pentru a ști că acest tip de comandă de tip gag nu este niciodată un răspuns corect.

Tu ce crezi? Ești preocupat de securitatea vehiculului tău? Care producător auto este cel mai bun (sau cel mai rău) la securitate?

Credite imagine:deschizându-și mașina de nito via Shutterstock