VW pozwał badaczy, by ukryli lukę w zabezpieczeniach przez dwa lata

Reklama

Przez cały czas zgłaszane są luki w zabezpieczeniach oprogramowania. Zasadniczo w przypadku wykrycia luki w zabezpieczeniach należy podziękować (lub w wielu przypadkach zapłacić) badaczowi, który ją znalazł, a następnie naprawić problem. To standardowa odpowiedź w branży.

Zdecydowanie niestandardową odpowiedzią byłoby pozwanie ludzi, którzy zgłosili lukę, aby powstrzymali ich od mówienia o tym, a następnie spędzili dwa lata próbując ukryć problem. Niestety tak jest dokładnie to, co zrobił niemiecki producent samochodów Volkswagen.

Kradzież kryptograficzna

Omawiana luka była wadą bezkluczykowego układu zapłonowego niektórych samochodów. Systemy te, wysokiej klasy alternatywa dla konwencjonalnych kluczy, mają zapobiegać odblokowaniu lub uruchomieniu samochodu, chyba że pilot znajduje się w pobliżu. Układ nazywa się „Megamos Crypto” i jest kupowany od zewnętrznego producenta w Szwajcarii. Układ ma wykryć sygnał z samochodu i odpowiedzieć za pomocą wiadomość podpisana kryptograficznie Czy możesz elektronicznie podpisywać dokumenty i powinieneś?

Być może słyszałeś, jak twoi doświadczeni znajomi techniczni omijają zarówno warunki podpisu elektronicznego, jak i podpisu cyfrowego. Może nawet słyszałeś, że są używane zamiennie. Powinieneś jednak wiedzieć, że nie są takie same. W rzeczywistości,... Czytaj więcej zapewniając samochód, że można odblokować i uruchomić.

Niestety układ wykorzystuje przestarzały schemat kryptograficzny. Kiedy badacze Roel Verdult i Baris Ege zauważyli ten fakt, byli w stanie stworzyć program, który łamie szyfrowanie, słuchając komunikatów między samochodem a pilotem. Po wysłuchaniu dwóch takich wymian program jest w stanie zawęzić zakres możliwych kluczy do około 200 000 możliwości - liczby, którą komputer może z łatwością brutalnie wymusić.

Ten proces pozwala programowi utworzyć „cyfrowy duplikat” pilota i odblokować lub uruchomić samochód do woli. Wszystko to można zrobić za pomocą urządzenia (takiego jak laptop lub telefon), które znajduje się w pobliżu danego samochodu. Nie wymaga fizycznego dostępu do pojazdu. W sumie atak trwa około trzydziestu minut.

Jeśli ten atak brzmi teoretycznie, nie jest. Według londyńskiej policji stołecznej42% kradzieży samochodów w Londynie w ubiegłym roku miało miejsce przy użyciu ataków na systemy bezkluczykowe. Jest to praktyczna luka, która zagraża milionom samochodów.

Wszystko to jest bardziej tragiczne, ponieważ systemy bezkluczykowego odblokowywania mogą być znacznie bezpieczniejsze niż tradycyjne klucze. Jedynym powodem, dla którego systemy te są podatne na zagrożenia, jest niekompetencja. Podstawowe narzędzia są znacznie potężniejsze niż jakikolwiek fizyczny zamek.

Odpowiedzialne ujawnianie informacji

Naukowcy pierwotnie ujawnili lukę twórcy układu, dając im dziewięć miesięcy na usunięcie tej usterki. Kiedy twórca odmówił wycofania, naukowcy pojechali do Volkswagena w maju 2013 r. Pierwotnie planowali opublikować atak na konferencji USENIX w sierpniu 2013 r., Dając Volkswagenowi około trzech miesięcy na rozpoczęcie wycofania / modernizacji, zanim atak zostanie upubliczniony.

Zamiast tego Volkswagen pozwał, by powstrzymać naukowców przed publikacją tego artykułu. Brytyjski sąd najwyższy jednostronnie z Volkswagenem, mówiąc: „Uznałem wysoką wartość akademickiej wolności słowa, ale jest jeszcze jedna wysoka wartość, bezpieczeństwo milionów samochodów Volkswagena”.

Minęły dwa lata negocjacji, ale naukowcy w końcu mają na to pozwolenie opublikować swój artykuł, minus jedno zdanie, które zawiera kilka kluczowych szczegółów dotyczących replikacji ataku. Volkswagen wciąż nie naprawił breloków, podobnie jak inni producenci używający tego samego układu.

Bezpieczeństwo przez lojalność

Oczywiście zachowanie Volkswagena tutaj jest rażąco nieodpowiedzialne. Zamiast próbować rozwiązać problem ze swoimi samochodami, zamiast tego nalali bogu, wiedząc, ile czasu i pieniędzy próbują powstrzymać ludzi od dowiedzenia się o tym. To zdrada najbardziej podstawowych zasad dobrego bezpieczeństwa. Ich zachowanie tutaj jest niewybaczalne, haniebne i inne (bardziej kolorowe) zachęty, które ci oszczędzę. Wystarczy powiedzieć, że nie tak powinny się zachowywać odpowiedzialne firmy.

Niestety nie jest też wyjątkowy. Producenci samochodów upuszczają piłkę bezpieczeństwa Czy hakerzy NAPRAWDĘ mogą przejąć Twój samochód? Czytaj więcej ostatnio bardzo dużo. W ubiegłym miesiącu ujawniono, że może być konkretny model Jeepa bezprzewodowo zhakowany przez system rozrywki Jak bezpieczne są samochody z własnym dostępem do Internetu?Czy samochody samojezdne są bezpieczne? Czy samochody podłączone do Internetu mogą być używane do powodowania wypadków, a nawet zabijania dysydentów? Google ma nadzieję, że nie, ale ostatni eksperyment pokazuje, że przed nami jeszcze długa droga. Czytaj więcej , coś, co byłoby niemożliwe w projektach samochodów dbających o bezpieczeństwo. Na kredyt Fiata Chryslera, przywołali ponad milion pojazdów w następstwie tego odkrycia, ale dopiero po tym, jak badacze o tym zademonstrowali hack w nieodpowiedzialnie niebezpieczny i żywy sposób.

Są miliony innych pojazdów podłączonych do Internetu prawdopodobnie podatny na podobne ataki - ale nikt nie lekkomyślnie naraził na nich dziennikarza, więc nie było wycofania. Jest całkiem możliwe, że nie zobaczymy zmian, dopóki ktoś nie umrze.

Problem polega na tym, że producenci samochodów nigdy wcześniej nie byli producentami oprogramowania - ale teraz są tacy. Nie mają kultury korporacyjnej dbającej o bezpieczeństwo. Nie mają instytucjonalnej wiedzy fachowej, aby odpowiednio rozwiązywać te problemy ani tworzyć bezpiecznych produktów. Kiedy stają wobec nich, ich pierwszą reakcją jest panika i cenzura, a nie poprawki.

Opracowanie dobrych praktyk bezpieczeństwa zajęło dziesięcioleciom nowoczesnym firmom programistycznym. Niektóre, jak Oracle, nadal są utknął z przestarzałymi kulturami bezpieczeństwa Oracle chce, abyś przestał wysyłać im błędy - oto dlaczego to szaloneOracle jest w gorącej wodzie nad błędnym postem na blogu szefa bezpieczeństwa Mary Davidson. Ta demonstracja tego, jak filozofia bezpieczeństwa Oracle odchodzi od głównego nurtu, nie została dobrze przyjęta w społeczności bezpieczeństwa ... Czytaj więcej . Niestety nie możemy sobie pozwolić na luksus czekania, aż firmy opracują takie praktyki. Samochody to drogie (i niezwykle niebezpieczne) maszyny. Są jednym z najbardziej krytycznych obszarów bezpieczeństwa komputerowego, po podstawowej infrastrukturze, takiej jak sieć elektryczna. Z wzrost liczby samochodów samojezdnych Historia jest piętrowa: przyszłość transportu będzie jak nic, co widziałeś wcześniejZa kilka dziesięcioleci wyrażenie „samochód bez kierowcy” zabrzmi okropnie jak „powóz bez konia”, a pomysł posiadania własnego samochodu zabrzmi równie dziwnie, jak kopanie własnej studni. Czytaj więcej w szczególności firmy te muszą radzić sobie lepiej, a naszym obowiązkiem jest utrzymanie ich na wyższym poziomie.

Podczas gdy nad tym pracujemy, możemy co najmniej zrobić, aby rząd przestał umożliwiać takie złe zachowanie. Firmy nie powinny nawet próbować wykorzystywać sądów do ukrywania problemów ze swoimi produktami. Ale dopóki niektórzy z nich są gotowi spróbować, na pewno nie powinniśmy im na to pozwolić. Bardzo ważne jest, abyśmy mieli sędziów, którzy są wystarczająco świadomi technologii i praktyk branży oprogramowania dbającego o bezpieczeństwo, aby wiedzieć, że tego rodzaju zamówienie na knebel nigdy nie jest właściwą odpowiedzią.

Co myślisz? Czy obawiasz się o bezpieczeństwo swojego pojazdu? Który producent samochodów jest najlepszy (lub najgorszy) pod względem bezpieczeństwa?

Kredyty obrazkowe:otwierając swój samochód przez nito przez Shutterstock