Η VW ζήτησε από τους ερευνητές να αποκρύψουν το ελάττωμα ασφαλείας για δύο χρόνια

Διαφήμιση

Οι ευπάθειες ασφάλειας λογισμικού αναφέρονται συνεχώς. Γενικά, η απάντηση όταν αποκαλύπτεται μια ευπάθεια είναι να ευχαριστήσουμε (ή, σε πολλές περιπτώσεις, να πληρώσουμε) τον ερευνητή που το βρήκε και στη συνέχεια να διορθώσει το πρόβλημα. Αυτή είναι η τυπική απάντηση στον κλάδο.

Μια σαφώς μη τυπική απάντηση θα ήταν να μηνύσει τα άτομα που ανέφεραν την ευπάθεια να τους εμποδίσουν να μιλήσουν για αυτό και στη συνέχεια να περάσουν δύο χρόνια προσπαθώντας να κρύψουν το ζήτημα. Δυστυχώς, αυτό είναι ακριβώς τι έκανε η γερμανική αυτοκινητοβιομηχανία Volkswagen.

Κρυπτογραφικά Carjacking

Η εν λόγω ευπάθεια ήταν ένα ελάττωμα του συστήματος ανάφλεξης χωρίς κλειδιά ορισμένων αυτοκινήτων. Αυτά τα συστήματα, μια εναλλακτική λύση υψηλών προδιαγραφών για τα συμβατικά κλειδιά, υποτίθεται ότι εμποδίζουν το ξεκλείδωμα ή την εκκίνηση του αυτοκινήτου, εκτός εάν το πλήκτρο-κλειδί είναι κοντά. Το τσιπ ονομάζεται "Megamos Crypto" και αγοράζεται από τρίτο κατασκευαστή στην Ελβετία. Το τσιπ υποτίθεται ότι ανιχνεύει ένα σήμα από το αυτοκίνητο και αποκρίνεται με ένα

κρυπτογραφικά υπογεγραμμένο μήνυμα Μπορείτε να υπογράψετε ηλεκτρονικά έγγραφα και θα πρέπει;Ίσως έχετε ακούσει ότι οι τεχνολογικοί σας φίλοι ρίχνουν τόσο τους όρους ηλεκτρονικής υπογραφής όσο και την ψηφιακή υπογραφή. Ίσως τους έχετε ακούσει να χρησιμοποιούνται εναλλακτικά. Ωστόσο, πρέπει να γνωρίζετε ότι δεν είναι τα ίδια. Στην πραγματικότητα,... Διαβάστε περισσότερα διαβεβαιώνοντας το αυτοκίνητο ότι είναι εντάξει να ξεκλειδώσετε και να ξεκινήσετε.

Δυστυχώς, το τσιπ χρησιμοποιεί ένα ξεπερασμένο κρυπτογραφικό σχήμα. Όταν οι ερευνητές Roel Verdult και Baris Ege παρατήρησαν αυτό το γεγονός, μπόρεσαν να δημιουργήσουν ένα πρόγραμμα που διακόπτει την κρυπτογράφηση ακούγοντας τα μηνύματα μεταξύ του αυτοκινήτου και του key-fob. Αφού ακούσει δύο τέτοιες ανταλλαγές, το πρόγραμμα είναι σε θέση να περιορίσει το εύρος των πιθανών πλήκτρων σε περίπου 200.000 πιθανότητες - έναν αριθμό που μπορεί εύκολα να εξαναγκάζεται από έναν υπολογιστή.

Αυτή η διαδικασία επιτρέπει στο πρόγραμμα να δημιουργήσει ένα «ψηφιακό αντίγραφο» του key-fob και να ξεκλειδώσει ή να ξεκινήσει το αυτοκίνητο κατά βούληση. Όλα αυτά μπορούν να γίνουν από μια συσκευή (όπως φορητό υπολογιστή ή τηλέφωνο) που τυχαίνει να βρίσκεται κοντά στο εν λόγω αυτοκίνητο. Δεν απαιτεί φυσική πρόσβαση στο όχημα. Συνολικά, η επίθεση διαρκεί περίπου τριάντα λεπτά.

Εάν αυτή η επίθεση ακούγεται θεωρητική, δεν είναι. Σύμφωνα με τη Μητροπολιτική Αστυνομία του Λονδίνου, Το 42% των κλοπών αυτοκινήτων στο Λονδίνο πέρυσι πραγματοποιήθηκαν με επιθέσεις εναντίον κλειδωμένων συστημάτων χωρίς κλειδί. Αυτή είναι μια πρακτική ευπάθεια που θέτει σε κίνδυνο εκατομμύρια αυτοκίνητα.

Όλα αυτά είναι πιο τραγικά, επειδή τα συστήματα ξεκλειδώματος χωρίς κλειδί μπορούν να είναι πολύ πιο ασφαλή από τα συμβατικά κλειδιά. Ο μόνος λόγος για τον οποίο αυτά τα συστήματα είναι ευάλωτα είναι η ανικανότητα. Τα υποκείμενα εργαλεία είναι πολύ πιο ισχυρά από οποιαδήποτε φυσική κλειδαριά ποτέ.

Υπεύθυνη αποκάλυψη

Οι ερευνητές αποκάλυψαν αρχικά την ευπάθεια στον δημιουργό του chip, δίνοντάς τους εννέα μήνες για να διορθώσουν την ευπάθεια. Όταν ο δημιουργός αρνήθηκε να κάνει ανάκληση, οι ερευνητές πήγαν στο Volkswagen τον Μάιο του 2013. Αρχικά σχεδίαζαν να δημοσιεύσουν την επίθεση στο συνέδριο USENIX τον Αύγουστο του 2013, δίνοντας στη Volkswagen περίπου τρεις μήνες για να ξεκινήσει μια ανάκληση / μετασκευή, πριν η επίθεση γίνει δημόσια.

Αντ 'αυτού, η Volkswagen μήνυσε για να εμποδίσει τους ερευνητές να δημοσιεύσουν την εφημερίδα. Ένα βρετανικό υψηλό δικαστήριο με την Volkswagen, λέγοντας «Αναγνωρίζω την υψηλή αξία της ακαδημαϊκής ελεύθερης ομιλίας, αλλά υπάρχει μια άλλη υψηλή αξία, η ασφάλεια εκατομμυρίων αυτοκινήτων Volkswagen.»

Χρειάστηκαν δύο χρόνια διαπραγματεύσεων, αλλά επιτέλους επιτρέπεται στους ερευνητές δημοσιεύστε την εφημερίδα τους, μείον μία πρόταση που περιέχει μερικές βασικές λεπτομέρειες σχετικά με την αναπαραγωγή της επίθεσης. Η Volkswagen δεν έχει ακόμη διορθώσει τα πλήκτρα και ούτε οι άλλοι κατασκευαστές που χρησιμοποιούν το ίδιο τσιπ.

Ασφάλεια με επιδεξιότητα

Προφανώς, η συμπεριφορά της Volkswagen εδώ είναι εξαιρετικά ανεύθυνη. Αντί να προσπαθούν να επιλύσουν το πρόβλημα με τα αυτοκίνητά τους, αντίθετα έδωσαν θεό-ξέρει πόση ώρα και χρήματα προσπαθούν να εμποδίσουν τους ανθρώπους να το ανακαλύψουν. Αυτή είναι μια προδοσία των πιο θεμελιωδών αρχών της καλής ασφάλειας. Η συμπεριφορά τους εδώ είναι απαράδεκτη, ντροπιαστική και άλλες (πιο πολύχρωμες) έρευνες που θα σας ελευθερώσω. Αρκεί να πούμε ότι δεν πρέπει να συμπεριφέρονται οι υπεύθυνες εταιρείες.

Δυστυχώς, δεν είναι επίσης μοναδικό. Οι αυτοκινητοβιομηχανίες ρίχνουν την μπάλα ασφαλείας Μπορούν οι χάκερ να πάρουν πραγματικά το αυτοκίνητό σας; Διαβάστε περισσότερα πάρα πολλά τελευταία. Τον περασμένο μήνα, αποκαλύφθηκε ότι ένα συγκεκριμένο μοντέλο του Jeep θα μπορούσε να είναι χάθηκε ασύρματα μέσω του συστήματος ψυχαγωγίας του Πόσο ασφαλή είναι τα αυτοκίνητα που συνδέονται με το Διαδίκτυο και αυτοκινούνται;Είναι ασφαλή τα αυτοκίνητα; Θα μπορούσαν τα αυτοκίνητα που συνδέονται στο Διαδίκτυο να χρησιμοποιηθούν για να προκαλέσουν ατυχήματα ή ακόμα και να δολοφονήσουν τους διαφωνούντες; Η Google ελπίζει όχι, αλλά ένα πρόσφατο πείραμα δείχνει ότι υπάρχει ακόμη πολύς δρόμος. Διαβάστε περισσότερα , κάτι που θα ήταν αδύνατο σε οποιαδήποτε σχεδίαση αυτοκινήτου με γνώμονα την ασφάλεια. Προς πίστωση της Fiat Chrysler, υπενθύμισαν περισσότερα από ένα εκατομμύριο οχήματα μετά την αποκάλυψη, αλλά μόνο αφού οι εν λόγω ερευνητές επίδειξαν το hack σε ένα ανεύθυνα επικίνδυνο και ζωντανό τρόπο.

Εκατομμύρια άλλα οχήματα που συνδέονται στο Διαδίκτυο είναι πιθανώς ευάλωτο σε παρόμοιες επιθέσεις - αλλά κανείς δεν απειλούσε απερίσκεπτα έναν δημοσιογράφο μαζί τους, οπότε δεν υπήρχε ανάκληση. Είναι απολύτως πιθανό να μην δούμε αλλαγή σε αυτά μέχρι να πεθάνει κάποιος.

Το πρόβλημα εδώ είναι ότι οι κατασκευαστές αυτοκινήτων δεν ήταν ποτέ κατασκευαστές λογισμικού - αλλά τώρα ξαφνικά είναι. Δεν έχουν εταιρική κουλτούρα με γνώμονα την ασφάλεια. Δεν έχουν τη θεσμική εμπειρογνωμοσύνη για την αντιμετώπιση αυτών των προβλημάτων με τους σωστούς τρόπους ή για την κατασκευή ασφαλών προϊόντων. Όταν έρχονται αντιμέτωποι με αυτούς, η πρώτη τους απάντηση είναι ο πανικός και η λογοκρισία, όχι οι διορθώσεις.

Χρειάστηκαν δεκαετίες για τις σύγχρονες εταιρείες λογισμικού να αναπτύξουν καλές πρακτικές ασφάλειας. Κάποια, όπως η Oracle, είναι ακόμα κολλημένοι με ξεπερασμένες κουλτούρες ασφάλειας Η Oracle θέλει να σταματήσετε να τους στέλνετε σφάλματα - Εδώ είναι γιατί είναι τρελόΗ Oracle βρίσκεται σε ζεστό νερό πάνω από μια εσφαλμένη ανάρτηση ιστολογίου από την επικεφαλής ασφαλείας, Mary Davidson. Αυτή η επίδειξη για το πώς η φιλοσοφία ασφάλειας της Oracle απομακρύνεται από το mainstream δεν έγινε δεκτή στην κοινότητα ασφαλείας ... Διαβάστε περισσότερα . Δυστυχώς, δεν έχουμε την πολυτέλεια να περιμένουμε απλώς τις εταιρείες να αναπτύξουν αυτές τις πρακτικές. Τα αυτοκίνητα είναι ακριβά (και εξαιρετικά επικίνδυνα) μηχανήματα. Είναι ένας από τους πιο κρίσιμους τομείς της ασφάλειας των υπολογιστών, μετά από βασικές υποδομές όπως το ηλεκτρικό δίκτυο. Με το αύξηση των αυτοκινούμενων αυτοκινήτων Η ιστορία είναι κουκέτα: Το μέλλον των μεταφορών δεν θα μοιάζει με τίποτα που έχετε δει στο παρελθόνΣε μερικές δεκαετίες, η φράση «αυτοκίνητο χωρίς οδηγό» θα ακούγεται πάρα πολύ σαν «άμαξα» και η ιδέα της κατοχής του δικού σας αυτοκινήτου θα ακούγεται τόσο περίεργη όσο σκάβετε το δικό σας καλά. Διαβάστε περισσότερα Συγκεκριμένα, αυτές οι εταιρείες πρέπει να κάνουν καλύτερα και είναι δική μας ευθύνη να τις διατηρήσουμε σε υψηλότερα πρότυπα.

Ενώ εργαζόμαστε για αυτό, το λιγότερο που μπορούμε να κάνουμε είναι να κάνουμε την κυβέρνηση να σταματήσει να επιτρέπει αυτήν την κακή συμπεριφορά. Οι εταιρείες δεν πρέπει καν να προσπαθούν να χρησιμοποιήσουν τα δικαστήρια για να κρύψουν προβλήματα με τα προϊόντα τους. Όμως, εφόσον ορισμένοι από αυτούς είναι πρόθυμοι να δοκιμάσουν, σίγουρα δεν πρέπει να τους αφήσουμε. Είναι ζωτικής σημασίας να έχουμε κριτές που γνωρίζουν αρκετά για την τεχνολογία και τις πρακτικές της βιομηχανίας λογισμικού με γνώμονα την ασφάλεια για να γνωρίζουν ότι αυτό το είδος παραγγελίας δεν είναι ποτέ η σωστή απάντηση.

Τι νομίζετε; Ανησυχείτε για την ασφάλεια του οχήματός σας; Ποιος κατασκευαστής αυτοκινήτων είναι ο καλύτερος (ή ο χειρότερος) με ασφάλεια;

Συντελεστές εικόνας:ανοίγοντας το αυτοκίνητό του από το nito μέσω του Shutterstock