VW tužio istraživače da prikriju sigurnosne propuste na dvije godine

Oglas

Stalno se prijavljuju ranjivosti softverske sigurnosti. Općenito, odgovor kada se otkrije ranjivost je zahvaliti (ili u mnogim slučajevima platiti) istraživaču koji ga je pronašao, a zatim riješiti problem. To je standardni odgovor u industriji.

Odlučno nestandardni odgovor bio bi tužiti ljude koji su prijavili ranjivost da ih zaustave u razgovoru o tome, a zatim provode dvije godine pokušavajući sakriti problem. Nažalost, to je upravo ono što je učinio njemački proizvođač automobila Volkswagen.

Kriptografsko carjacking

Predmetna ranjivost bila je nedostatak sustava paljenja bez automobila bez automobila. Ovi sustavi, vrhunska alternativa konvencionalnim ključevima, trebali bi spriječiti otključavanje ili pokretanje automobila, osim ako se ključ nije u blizini. Čip se zove "Megamos kripto", a kupuje se od trećeg proizvođača u Švicarskoj. Čip bi trebao otkriti signal iz automobila i odgovoriti sa kriptografski potpisana poruka Možete li elektronički potpisati dokumente i trebate li?Možda ste čuli kako se vaši prijatelji koji se bave tehnologijom bacaju oko termina elektronički i digitalni potpis. Možda ste čak čuli kako ih naizmjenično koriste. Međutim, trebali biste znati da oni nisu isti. Zapravo,...

Čitaj više uvjeravajući automobil da je u redu otključati i pokrenuti.

Nažalost, čip koristi zastarjelu kriptografsku shemu. Kada su istraživači Roel Verdult i Baris Ege primijetili tu činjenicu, uspjeli su stvoriti program koji prekida šifriranje preslušavajući poruke između automobila i ključa. Nakon što je čuo dvije takve razmjene, program je u mogućnosti smanjiti raspon mogućih tipki na oko 200.000 mogućnosti - broj koji računalo može lako prisiliti.

Ovaj postupak omogućuje programu da stvori "digitalni duplikat" ključa i otključa ili pokrene automobil po volji. Sve to može učiniti uređaj (poput prijenosnog računala ili telefona), koji se nalazi u blizini automobila. Ne zahtijeva fizički pristup vozilu. Ukupno napad traje oko trideset minuta.

Ako ovaj napad zvuči teoretski, nije. Prema londonskoj Metropolitan Police, Prošle godine 42% krađa automobila u Londonu izvršeno je napadima protiv otključanih sustava bez ključa. Ovo je praktična ranjivost koja ugrožava milijune automobila.

Sve je to tragičnije, jer sustavi za otključavanje bez ključa mogu biti puno sigurniji od klasičnih ključeva. Jedini razlog zašto su ovi sustavi ranjivi je zbog nesposobnosti. Alat ispod toga daleko je moćniji od bilo kojeg fizičkog zaključavanja.

Odgovorno otkrivanje

Istraživači su izvorno otkrili ranjivost tvorcu čipa, dajući im devet mjeseci da isprave ranjivost. Kada je autor odbio izdati opoziv, istraživači su otišli u Volkswagen u svibnju 2013. godine. Prvobitno su planirali napad objaviti na konferenciji USENIX u kolovozu 2013., dajući Volkswagenu otprilike tri mjeseca da započne opoziv / preuređenje, prije nego što je napad postao javan.

Umjesto toga, Volkswagen je tužio da zaustavi istraživače u objavljivanju rada. Britanski visoki sud na stranu Volkswagena, rekavši da "prepoznajem visoku vrijednost akademskog slobodnog govora, ali postoji još jedna visoka vrijednost, sigurnost milijuna automobila marke Volkswagen."

Potrebne su dvije godine pregovora, ali istraživačima je to konačno dopušteno objavljuju svoj rad, minus jedna rečenica koja sadrži nekoliko ključnih detalja o ponavljanju napada. Volkswagen još uvijek nije popravio lukove za ključeve, a nemaju niti drugi proizvođači koji koriste isti čip.

Sigurnost Paritivnošću

Očito je da je ovdje Folksvagenovo ponašanje krajnje neodgovorno. Umjesto da pokušaju riješiti problem svojim automobilima, umjesto toga uložili su pobogu - koliko vremena i novca pokušavaju spriječiti da ljudi saznaju za njega. To je izdaja najosnovnijih načela dobre sigurnosti. Njihovo je ponašanje ovdje neoprostivo, sramotno i druge (šarenije) inicijative zbog kojih ću vas poštedjeti. Dovoljno je reći da se ne ponašaju odgovorne tvrtke.

Nažalost, također nije jedinstven. Automatičari bacaju sigurnosnu loptu Mogu li hakeri zaista preuzeti vaš automobil? Čitaj više u zadnje vrijeme jako grozno. Prošlog mjeseca otkriveno je da bi to mogao biti određeni model Jeepa bežično hakirani kroz svoj zabavni sustav Koliko su sigurni internetski povezani automobili sa automatskim upravljanjem?Jesu li automobili za samostalnu vožnju sigurni? Mogu li se automobili povezani s Internetom koristiti za izazivanje nesreća ili čak za atentat na neistomišljenike? Google se nada da neće, ali nedavni eksperiment pokazuje da postoji još dug put. Čitaj više , nešto što bi bilo nemoguće u bilo kojem sigurnosnom dizajnu automobila. Za zaslugu Fiat Chryslera, prisjetili su se više od milijun vozila nakon buđenja te objave, ali tek nakon što su dotični istraživači demonirali hack u an neodgovorno opasan i živopisan način.

Milijuni drugih vozila povezanih s Internetom jesu vjerojatno osjetljiv na slične napade - ali nitko još nije nesretno ugrozio novinare s njima, tako da nema prisjećanja. Sasvim je moguće da na njima nećemo vidjeti promjene dok netko stvarno ne umre.

Ovdje je problem što proizvođači automobila nikad prije nisu bili proizvođači softvera - ali odjednom se jesu. Nemaju korporativnu kulturu koja se ne oslanja na sigurnost. Nemaju institucionalnu stručnost da se s tim problemima pozabave na pravi način ili ne grade sigurne proizvode. Kad se suoče sa njima, njihov prvi odgovor je panika i cenzura, a ne popravci.

Modernim softverskim kompanijama trebalo je desetljeća da razviju dobre sigurnosne prakse. Neki su, poput Oraclea, još uvijek zaokupljeni zastarjelim sigurnosnim kulturama Oracle želi da im prestanete slati bugove - evo zašto je to ludoOracle je u vrućoj vodi zbog pogrešno postavljenog bloga šefa osiguranja, Mary Davidson. Ova demonstracija načina na koji se Oracle sigurnosna filozofija udaljava od glavnog toka nije dobro primljena u sigurnosnoj zajednici ... Čitaj više . Nažalost, nemamo luksuz jednostavno čekati da kompanije razviju ove prakse. Automobili su skupi (i izuzetno opasni) strojevi. Oni su jedno od najkritičnijih područja računalne sigurnosti, nakon osnovne infrastrukture poput električne mreže. Sa porast osobnih automobila Povijest je bunk: Budućnost prijevoza bit će poput onoga što ste prije vidjeliZa nekoliko desetljeća, fraza "automobil bez vozača" zvučit će grozno poput "kočija bez konja", a ideja o posjedovanju vlastitog automobila zvučit će jednako čudno kao i kopanje vlastitog bunara. Čitaj više te tvrtke moraju osobito raditi, a naša je odgovornost da ih pridržavamo viših standarda.

Dok radimo na tome, najmanje što možemo učiniti je da vlada prestane omogućavati ovo loše ponašanje. Tvrtke ne bi trebale ni pokušavati koristiti sudove da sakriju probleme sa svojim proizvodima. Ali, sve dok su neki od njih spremni probati, to im svakako ne bismo trebali dopustiti. Od vitalnog je značaja da imamo suce koji su dovoljno svjesni tehnologije i prakse sigurnosne softverske industrije da znaju da ovakav redoslijed nikada nije pravi odgovor.

Što misliš? Jeste li zabrinuti za sigurnost svog vozila? Koji je proizvođač automobila najbolji (ili najgori) kod sigurnosti?

Slikovni krediti:otvarajući svoj automobil autor nito preko Shutterstock