VW съди изследователите да прикрият провала на сигурността в продължение на две години

реклама

Уязвимостите на софтуерната сигурност се отчитат непрекъснато. По принцип отговорът, когато се открие уязвимост, е да благодарите (или в много случаи да платите) на изследователя, който го е намерил, и след това да отстраните проблема. Това е стандартният отговор в бранша.

Решителен нестандартен отговор би бил да се предяви иск срещу хората, които съобщиха за уязвимостта, за да им попречат да говорят за това и след това да прекарат две години в опит да скрият проблема. За съжаление, това е точно това, което направи немският производител на автомобили Volkswagen.

Криптографска кражба

Въпросната уязвимост беше недостатък на системата за запалване без ключове на някои автомобили. Тези системи, алтернатива от висок клас на конвенционалните ключове, трябва да попречат на автомобила да се отключи или стартира, освен ако ключалката не е наблизо. Чипът се нарича „Megamos Crypto“ и се закупува от трети производител в Швейцария. Предполага се, че чипът ще открие сигнал от колата и ще отговори с a

криптографско подписано съобщение Можете ли да подписвате документи по електронен път и трябва ли?Може би сте чували вашите приятелски познати приятели да се хвърлят около термините електронен подпис и цифров подпис. Може би дори сте чували как ги използват взаимозаменяемо. Трябва обаче да знаете, че те не са еднакви. Всъщност,... Прочетете още уверявайки колата, че е добре да отключите и започнете.

За съжаление чипът използва остаряла криптографска схема. Когато изследователите Роел Вердулт и Барис Еге забелязаха този факт, те успяха да създадат програма, която нарушава криптирането, като слуша съобщенията между колата и ключалката. След като чуе две такива размени, програмата е в състояние да стесни обхвата на възможните клавиши до около 200 000 възможности - число, което лесно може да бъде насилвано от компютър.

Този процес позволява на програмата да създаде „цифров дубликат“ на ключалката и да отключи или стартира автомобила по желание. Всичко това може да се направи от устройство (като лаптоп или телефон), което се намира близо до въпросната кола. Не изисква физически достъп до превозното средство. Общо атаката отнема около тридесет минути.

Ако тази атака звучи теоретично, не е. Според лондонската столична полиция, 42% от кражбите на автомобили в Лондон миналата година са извършени с атаки срещу отключени безключови системи. Това е практическа уязвимост, която излага на риск милиони автомобили.

Всичко това е по-трагично, тъй като системите за отключване на ключове могат да бъдат много по-сигурни от конвенционалните ключове. Единствената причина тези системи да са уязвими се дължи на некомпетентност. Основните инструменти са много по-мощни от всяко физическо заключване, което някога би могло да бъде.

Отговорно разкриване

Първоначално изследователите разкриха уязвимостта на създателя на чипа, като им дадоха девет месеца за отстраняване на уязвимостта. Когато създателят отказа да издаде отзоваване, изследователите отидоха във Volkswagen през май 2013 г. Първоначално те планираха да публикуват атаката на конференцията на USENIX през август 2013 г., като на Фолксваген дават около три месеца, за да започне изтегляне / модернизация, преди нападението да стане публично достояние.

Вместо това Volkswagen подаде иск, за да спре изследователите да публикуват вестника. Британски висш съд на страната на Volkswagen, казвайки: „Признавам високата стойност на академичната свобода на словото, но има и друга висока стойност, сигурността на милиони автомобили„ Фолксваген “.

Минаха две години на преговори, но най-накрая се разрешава на изследователите публикуват своите документи, минус едно изречение, което съдържа няколко ключови подробности за репликирането на атаката. Фолксваген все още не е фиксирал ключалките, както и останалите производители, които използват същия чип.

Сигурност чрез разбираемост

Очевидно поведението на Volkswagen тук е грубо безотговорно. Вместо да се опитват да отстранят проблема с колите си, те вместо това изляха бог-знае колко време и пари се опитват да спрат хората да разберат за това. Това е предателство на най-основните принципи на добра сигурност. Поведението им тук е непростимо, срамно и други (по-цветни) цели, които ще ви пощадя. Достатъчно е да се каже, че не така трябва да се държат отговорните компании.

За съжаление, той също не е уникален. Автомобилните производители изпускат топката за сигурност Могат ли хакерите наистина да ви завладеят колата? Прочетете още напоследък много. Миналия месец бе разкрито, че конкретен модел на джип може да бъде безжично хакна чрез своята система за забавление Колко сигурни са свързаните с Интернет автомобили със самостоятелно управление?Безопасни ли са самоуправляващите се автомобили? Могат ли автомобилите, свързани с интернет, да се използват за причиняване на злополуки или дори за убийство на неприятели? Google се надява, че не, но скорошен експеримент показва, че има още дълъг път. Прочетете още , нещо, което би било невъзможно при всеки дизайн на автомобили, съобразени със сигурността. За кредита на Fiat Chrysler, те припомниха повече от милион превозни средства след откровението, но само след като въпросните изследователи демодираха хака в безотговорно опасен и ярък начин.

Милиони други превозни средства, свързани с интернет вероятно уязвими за подобни атаки - но все още никой не е застрашил журналист с тях, така че няма припомняне. Напълно възможно е да не виждаме промяна в тях, докато някой действително не умре.

Проблемът тук е, че производителите на автомобили никога досега не са били производители на софтуер - но сега изведнъж са. Те нямат корпоративна култура, съобразена със сигурността. Те нямат институционална експертиза за справяне с тези проблеми по правилните начини или за изграждане на сигурни продукти. Когато се сблъскат с тях, първият им отговор е паника и цензура, а не поправки.

Отнемаха десетилетия на съвременните софтуерни компании да разработят добри практики за сигурност. Някои, като Oracle, все още са залепени с остарели култури за сигурност Oracle иска да спрете да им изпращате бъгове - Ето защо това е лудоOracle е в гореща вода заради заблуден пост в блога от шефа на сигурността Мери Дейвидсън. Тази демонстрация на това как философията за сигурност на Oracle се отдалечава от основния поток не беше добре приета в общността на сигурността ... Прочетете още . За съжаление нямаме лукса просто да чакаме компаниите да развият тези практики. Автомобилите са скъпи (и изключително опасни) машини. Те са една от най-критичните области на компютърната сигурност, след основна инфраструктура като електрическата мрежа. С възход на самоуправляващи се автомобили Историята е двуетажна: Бъдещето на транспорта ще бъде като нищо, което сте виждали предиСлед няколко десетилетия фразата „кола без шофьор“ ще звучи страшно много като „превоз без коне“ и идеята да притежавате собствена кола ще звучи толкова странно, колкото да копаете собствения си кладенец. Прочетете още по-специално, тези компании трябва да се справят по-добре и наша отговорност е да ги поддържаме на по-висок стандарт.

Докато работим върху това, най-малкото, което можем да направим, е да накараме правителството да спре да допуска това лошо поведение. Компаниите не трябва дори да се опитват да използват съдилищата, за да укриват проблеми със своите продукти. Но докато някои от тях са готови да опитат, със сигурност не бива да ги допускаме. От жизненоважно значение е да имаме съдии, които са достатъчно наясно с технологиите и практиките на софтуерната индустрия, съобразена със сигурността, за да знаят, че този вид ред за гафове никога не е правилният отговор.

Какво мислиш? Загрижени ли сте за сигурността на вашия автомобил? Кой автопроизводител е най-добрият (или най-лошият) при сигурността?

Кредити за изображения:отваряйки колата си от nito чрез Shutterstock