VW a cerut cercetătorilor să ascundă deficiențele de securitate timp de doi ani
Vulnerabilitățile de securitate ale software-ului sunt raportate tot timpul. În general, răspunsul atunci când o vulnerabilitate este descoperită este de a mulțumi (sau, în multe cazuri, de a plăti) cercetătorul care a găsit-o și apoi rezolva problema. Acesta este răspunsul standard din industrie.
Un răspuns decisiv ne-standard ar fi acela de a da în judecată persoanelor care au raportat vulnerabilitatea pentru a le împiedica să vorbească despre aceasta și apoi să petreacă doi ani încercând să ascundă problema. Din păcate, exact asta a făcut producătorul german de automobile Volkswagen.
Carjacking criptografic
Vulnerabilitatea în cauză a reprezentat o defecțiune a unui sistem de aprindere fără cheie. Aceste sisteme, o alternativă high-end la cheile convenționale, ar trebui să împiedice deblocarea sau pornirea autoturismului, cu excepția cazului în care cheia este în apropiere. Cipul este numit “Megamos Crypto,” și este achiziționat de la un producător terț în Elveția. Cipul ar trebui să detecteze un semnal din mașină și să răspundă cu un mesaj semnat criptografic. Poți să semnezi electronic documentele și ar trebui să le faci? Poți semna prin e-mail documentele și ar trebui să faci asta? Poate că ați auzit prietenii tăi în tehnologie aruncând atât semnătura electronică, cât și semnătura digitală. Poate că le-ați auzit chiar că au fost folosite interschimbabil. Totuși, trebuie să știți că nu sunt aceleași. De fapt, ... Citește mai mult asigurând mașina că este bine să o deblocați și să începeți.
Din păcate, cipul utilizează o schemă criptografică depășită. Când cercetătorii Roel Verdult și Baris Ege au observat acest lucru, au reușit să creeze un program care să spargă criptarea ascultând mesajele dintre mașină și tasta-fob. După audierea a două astfel de schimburi, programul poate restrânge gama de chei posibile până la aproximativ 200.000 de posibilități - un număr care poate fi ușor forțat de un computer.
Acest proces permite programului să creeze a “duplicat digital” de la tastatură-fob, și de a debloca sau de a porni mașina la voia. Toate acestea se pot face printr-un dispozitiv (cum ar fi un laptop sau un telefon) care se întâmplă să fie în apropierea mașinii în cauză. Nu necesită acces fizic la vehicul. În total, atacul durează aproximativ treizeci de minute.
Dacă acest atac suna teoretic, nu este. Potrivit poliției metropolitane din Londra, 42% din furturile de mașini de la Londra de anul trecut au fost efectuate folosind atacuri împotriva sistemelor fără cheie fără cheie. Aceasta este o vulnerabilitate practică care pune în pericol milioane de mașini.
Toate acestea sunt mai tragice, deoarece sistemele de deblocare fără cheie pot fi mult mai sigure decât cheile convenționale. Singurul motiv pentru care aceste sisteme sunt vulnerabile se datorează incompetenței. Instrumentele de bază sunt mult mai puternice decât orice blocare fizică ar putea fi vreodată.
Responsabilitatea prezentării
Cercetătorii au dezvăluit inițial vulnerabilitatea creatorului cipului, oferindu-i nouă luni pentru a remedia vulnerabilitatea. Când creatorul a refuzat să emită o rechemare, cercetătorii au mers la Volkswagen în mai 2013. Ei au planificat inițial să publice atacul la conferința USENIX în august 2013, oferind Volkswagen aproximativ trei luni pentru a începe o rechemare / retrofit, înainte de atacul deveni public.
În schimb, Volkswagen a dat în judecată pentru a opri cercetătorii de la publicarea lucrării. O instanță britanică înaltată cu Volkswagen a spus: “Recunosc valoarea înaltă a libertății de exprimare academică, însă există o mare valoare, securitatea a milioane de autoturisme Volkswagen.”
Au fost luate doi ani de negocieri, dar cercetătorilor i se permite în cele din urmă să-și publice hârtia, minus o propoziție care conține câteva detalii-cheie despre replicarea atacului. Volkswagen încă nu a fixat centurile de cheie și nici nu au ceilalți producători care folosesc același cip.
Securitate Prin litigiozitate
Evident, comportamentul lui Volkswagen este extrem de iresponsabil. Mai degrabă decât să încerce să remedieze problema cu mașinile lor, ei, în schimb, au turnat zeul - știe cât de mult timp și bani încearcă să împiedice oamenii să afle despre asta. Aceasta este o trădare a principiilor fundamentale ale unei bune securități. Comportamentul lor aici este inexplicabil, rușinos și alte invective (mai colorate) pe care le voi cruța. Este suficient să spunem că nu este modul în care companiile responsabile ar trebui să se comporte.
Din păcate, de asemenea, nu este unic. Automakerii au renunțat la balanța de securitate Pot hackerii să-ți ia cu adevărat mașina? Poate Hackerii îți vor prelua cu adevărat mașina? Citește mai mult o mulțime în ultima vreme. Luna trecuta, sa aratat ca un model particular de Jeep ar putea fi hackat wireless prin intermediul sistemului sau de divertisment Cum sunt asigurate conexiunile la Internet, autoturismele? Cum sunt securizate autoturismele conectate la Internet? Sunt autoturismele în siguranță? Ar putea fi utilizate autoturisme conectate la Internet pentru a provoca accidente sau chiar a asasina disidenții? Google speră că nu, dar un experiment recent arată că există încă un drum lung de parcurs. Citește mai mult, ceva care ar fi imposibil în orice design de mașină cu siguranță. Pentru creditul Fiat Chrysler, ei au reamintit mai mult de un milion de vehicule în urma revelației, dar numai după ce cercetătorii în cauză au demonstrat hack-ul într-un mod iresponsabil de periculos și viu.
Milioane de alte vehicule conectate la Internet sunt probabil vulnerabile la atacuri similare - dar nimeni nu a pus în pericol un jurnalist cu ei încă, deci nu a existat nicio rechemare. Este foarte posibil ca noi să nu vedem schimbări în acestea până când cineva moare.
Problema este că producătorii de mașini nu au fost niciodată producători de software înainte - dar acum ei sunt brusc. Ei nu au o cultură corporatistă în deplină siguranță. Ei nu dispun de expertiza instituțională pentru a face față acestor probleme în mod corect sau pentru a construi produse sigure. Când se confruntă cu ei, primul lor răspuns este panica și cenzura, nu se rezolvă.
S-au făcut decenii pentru companiile moderne de software să dezvolte bune practici de securitate. Unele, cum ar fi Oracle, sunt încă blocate de culturile de securitate depășite Oracle vrea să nu le mai trimiteți Bugs - Iată de ce este nebun Oracle vrea să nu mai trimiteți-le Bugs - Iată ce este nebun Oracle este în apă fierbinte pe un post de blog greșit de securitate șef, Mary Davidson. Această demonstrație a modului în care filozofia de securitate a Oracle se îndepărtează de la principalele nu a fost recepționată în comunitatea de securitate ... Citește mai mult. Din păcate, nu avem luxul de a aștepta pur și simplu ca firmele să dezvolte aceste practici. Mașinile sunt mașini scumpe (și extrem de periculoase). Acestea sunt una dintre cele mai importante domenii ale securității computerelor, după o infrastructură de bază, cum ar fi rețeaua electrică. Odată cu apariția autoturismelor Istoria este Bunk: Viitorul transportului va fi ca și cum n-ai văzut înainte ca istoria să fie cumplită: viitorul transportului va fi ca și cum n-ai mai văzut înainte În câteva decenii, expresia " șoferul fără șofer "va suna foarte groaznic ca" căruța fără cai ", iar ideea de a avea propria mașină va suna la fel de ciudat ca și săpăturile proprii. Citește mai mult, în special, aceste companii trebuie să facă mai bine și este responsabilitatea noastră să le menținem la un standard mai înalt.
În timp ce lucrăm la asta, cel puțin putem face este ca guvernul să nu mai permită acest comportament rău. Companiile nu ar trebui să încerce nici măcar să utilizeze instanțele pentru a ascunde problemele cu produsele lor. Dar, atâta timp cât unii dintre ei sunt dispuși să încerce, cu siguranță nu ar trebui să-i lăsăm. Este vital ca judecătorii care sunt suficient de conștienți de tehnologia și practicile industriei de software conștiente de securitate să știe că acest tip de ordine gag nu este niciodată răspunsul potrivit.
Tu ce crezi? Ești preocupat de siguranța vehiculului tău? Ce producător auto este cel mai bun (sau cel mai rău) la securitate?
Image Credits: deschiderea masinii sale de catre nito prin Shutterstock
Explorați mai multe despre: Tehnologia auto, Hacking.