Výzkumníci společnosti VW žádali, aby na dva roky skrývali bezpečnostní chybu

  • Michael Fisher
  • 0
  • 3344
  • 969
reklama

Chyby zabezpečení softwaru jsou neustále hlášeny. Obecně je odpovědí, když je zranitelnost odhalena, poděkovat (nebo v mnoha případech zaplatit) výzkumnému pracovníkovi, který ji našel, a problém vyřešit. To je standardní odpověď v oboru.

Rozhodně nestandardní odpovědí by bylo žalovat lidi, kteří ohlásili zranitelnost, aby jim zabránili mluvit o tom, a pak strávit dva roky pokusem o skrytí problému. Bohužel přesně to udělal německý výrobce automobilů Volkswagen.

Kryptografický únos

Tato zranitelnost byla vadou systému bezklíčového zapalování některých aut. Tyto systémy, high-end alternativa k běžným klíčům, mají zabránit vozidlu v odemknutí nebo nastartování, pokud není klíčenka poblíž. Čip se nazývá “Megamos Crypto,” a je zakoupeno od výrobce třetí strany ve Švýcarsku. Čip má detekovat signál z auta a reagovat kryptograficky podepsanou zprávou. Můžete elektronicky podepisovat dokumenty a měli byste? Můžete elektronicky podepisovat dokumenty a měli byste? Možná jste slyšeli, jak vaši tech důvtipní přátelé házejí termíny elektronický podpis i digitální podpis. Možná jste je dokonce slyšeli, jak se používají zaměnitelně. Měli byste však vědět, že nejsou stejní. Ve skutečnosti… ujistit auto, že je v pořádku odemknout a nastartovat.

Bohužel čip používá zastaralé kryptografické schéma. Když si vědci Roel Verdult a Baris Ege všimli této skutečnosti, byli schopni vytvořit program, který přeruší šifrování posloucháním zpráv mezi autem a klíčenkou. Po vyslechnutí dvou takových výměn je program schopen zúžit rozsah možných kláves na asi 200 000 možností - číslo, které může počítač snadno vynutit hrubou cestou.

Tento proces umožňuje programu vytvořit “digitální duplikát” klíčenky a odemknout nebo nastartovat auto podle libosti. To vše lze provést pomocí zařízení (jako je notebook nebo telefon), které se nachází v blízkosti dotyčného automobilu. Nevyžaduje fyzický přístup k vozidlu. Celkově útok trvá asi třicet minut.

Pokud tento útok zní teoreticky, není. Podle londýnské metropolitní policie bylo loni v Londýně provedeno 42% krádeží automobilů pomocí útoků na odemknuté systémy bez klíčů. Toto je praktická zranitelnost, která ohrožuje miliony aut.

To vše je tragičtější, protože systémy bezklíčového odemykání mohou být mnohem bezpečnější než běžné klíče. Jediný důvod, proč jsou tyto systémy zranitelné, je kvůli nekompetentnosti. Základní nástroje jsou mnohem silnější, než jakýkoli fyzický zámek, jaký kdy mohl být.

Odpovědné zveřejnění

Vědci původně odhalili tuto chybu zabezpečení pro tvůrce čipu a dali jim devět měsíců na opravu této chyby. Když tvůrce odmítl vzpomenout, vědci šli do Volkswagenu v květnu 2013. Původně plánovali zveřejnit útok na konferenci USENIX v srpnu 2013, přičemž dali Volkswagenu asi tři měsíce na zahájení stahování / retrofitu, než by útok napadl stát se veřejným.

Místo toho Volkswagen žaloval, aby zastavil vědce v publikování papíru. Britský nejvyšší soud sousedil s Volkswagenem a řekl “Uznávám vysokou hodnotu akademické svobody projevu, ale je tu další vysoká hodnota, bezpečnost milionů automobilů Volkswagen.”

Trvalo to dva roky vyjednávání, ale vědci jsou konečně oprávněni publikovat svůj článek, mínus jedna věta, která obsahuje několik klíčových podrobností o replikaci útoku. Volkswagen stále neopravil přívěsky na klíče a nemá ani ostatní výrobce, kteří používají stejný čip.

Zabezpečení zbožnosti

Je zřejmé, že chování společnosti Volkswagen je zde hrubě nezodpovědné. Spíše než se pokusili problém vyřešit pomocí svých aut, místo toho nalili boha - ví, kolik času a peněz se snaží zabránit lidem v tom, aby se o tom dozvěděli. To je zrada nejzákladnějších principů dobré bezpečnosti. Jejich chování je zde neomluvitelné, ostudné a další (pestřejší) invektivy, které vám ušetřím. Stačí říci, že to není způsob, jakým by se odpovědné společnosti měly chovat.

Bohužel to také není jedinečné. Výrobci automobilů upouštějí bezpečnostní kouli Mohou hackeři opravdu převzít auto? Mohou hackeři opravdu převzít vaše auto? v poslední době strašně moc. Minulý měsíc bylo odhaleno, že konkrétní model Jeepu může být bezdrátově hacknut prostřednictvím jeho zábavního systému Jak bezpečné jsou internetová připojení, autosedačky? Jak bezpečné jsou autosedačky s připojením k internetu? Jsou vozy s vlastním pohonem bezpečné? Mohly by být automobily připojené k internetu použity k nehodám nebo dokonce zavraždit disidenty? Google doufá, že ne, ale nedávný experiment ukazuje, že je ještě dlouhá cesta. , něco, co by bylo nemožné v jakémkoli designu auta s vědomím bezpečnosti. K úvěru Fiata Chryslera vzpomněli na více než milion vozidel v návaznosti na toto odhalení, ale teprve poté, co dotyční vědci demolovali hack nezodpovědně nebezpečným a živým způsobem.

Miliony dalších vozidel připojených k internetu jsou pravděpodobně náchylné k podobným útokům - ale nikdo z nich bezohledně neohrožoval novináře, takže si jich nikdo nevzpomíná. Je zcela možné, že na nich neuvidíme změnu, dokud někdo skutečně neumře.

Problém je v tom, že výrobci automobilů nikdy nebyli výrobci softwaru - ale teď najednou jsou. Nemají žádnou firemní bezpečnostní kulturu. Nemají institucionální odborné znalosti, aby se s těmito problémy vypořádali správným způsobem, ani aby si nevytvářeli bezpečné produkty. Když se s nimi potýkají, jejich první odpovědí je panika a cenzura, ne opravy.

Trvalo desetiletí, než moderní softwarové společnosti vyvinuly správné bezpečnostní postupy. Někteří, stejně jako Oracle, jsou stále přilepeni s zastaralými kulturami zabezpečení, které Oracle chce, abyste přestali posílat jejich chyby - tady je důvod, proč je to šílené Oracle chce, aby jste přestali posílat jejich chyby - zde je důvod, proč je to šílené Oracle je v horké vodě přes zavádějící blogový příspěvek o zabezpečení náčelník, Mary Davidsonová. Tato demonstrace toho, jak se filozofie zabezpečení společnosti Oracle liší od hlavního proudu, nebyla v komunitě zabezpečení přijata dobře. Bohužel nemáme luxus jednoduše čekat, až společnosti tyto postupy vyvinou. Auta jsou drahé (a extrémně nebezpečné) stroje. Jsou jednou z nejdůležitějších oblastí počítačové bezpečnosti po základní infrastruktuře, jako je elektrická síť. Se vzestupem aut s vlastním pohonem Historie je Bunk: Budoucnost dopravy bude jako nic, co jste si nevšimli Před Dějiny je Bunk: Budoucnost dopravy bude jako nic, co jste neviděli Za pár desetiletí, věta ' vůz bez řidiče 'bude znít strašně hodně jako' bezsrstý kočár 'a myšlenka vlastnit si vlastní auto bude znít tak kuriózně jako kopat vlastní dobře. zejména tyto společnosti musí dělat lépe a je naší odpovědností je držet na vyšší úrovni.

Zatímco na tom pracujeme, nejmenší, co můžeme udělat, je přimět vládu, aby přestala toto špatné chování povolit. Společnosti by se neměly pokoušet používat soudy ke skrytí problémů s jejich produkty. Ale pokud jsou někteří z nich ochotni vyzkoušet, určitě bychom je neměli nechat. Je nezbytné, abychom měli soudce, kteří jsou dostatečně informováni o technologii a postupech bezpečnostně orientovaného softwarového průmyslu, aby věděli, že tento druh pořádku není nikdy tou správnou odpovědí.

Co myslíš? Zajímá vás bezpečnost vašeho vozidla? Který výrobce automobilů je z bezpečnostního hlediska nejlepší (nebo nejhorší)?

Image Credits: otevírá své auto nito přes Shutterstock




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.