VW kohtusse kaevanud teadlased kahe aasta jooksul turvapettusi varjavad

Reklaam

Tarkvara turvaaukudest teatatakse pidevalt. Üldiselt tuleb haavatavuse avastamise korral tänada (või paljudel juhtudel maksta) teadlast, kes selle leidis, ja seejärel probleem lahendada. See on tööstuses tavapärane vastus.

Otsustavalt ebastandardne vastus oleks haavatavusest teatanud inimeste kohtusse kaevamine, et nad ei räägiks sellest, ja veedavad kaks aastat selle probleemi varjamisel. Kahjuks see nii on täpselt see, mida Saksa autotootja Volkswagen tegi.

Krüptograafiline karjatamine

Kõnealune haavatavus oli puudulik mõnede autode võtmeta süütesüsteemis. Need süsteemid, mis on tavapäraste võtmete jaoks tipptasemel alternatiiv, peaksid väidetavalt takistama auto avamist või käivitamist, kui võtmehoidja pole läheduses. Kiibi nimi on “Megamos Crypto” ja see on ostetud Šveitsi tootjalt. Kiip peaks tuvastama autosignaali ja vastama a-ga krüptograafiliselt allkirjastatud teade Kas saate dokumentidele elektrooniliselt alla kirjutada ja kas peaksite?Võib-olla olete kuulnud, kuidas teie asjatundlikud sõbrad viskavad ringi nii termineid elektrooniline allkiri kui ka digitaalallkiri. Võib-olla olete isegi kuulnud, kuidas neid vaheldumisi kasutatakse. Peaksite siiski teadma, et need pole samad. Tegelikult,...

Loe rohkem kinnitades, et auto avamine ja käivitamine on sobilik.

Kahjuks kasutab kiip vananenud krüptograafilist skeemi. Kui teadlased Roel Verdult ja Baris Ege seda fakti märkasid, suutsid nad luua programmi, mis rikub krüptimist, kuulates auto ja võtmehoidja vahelisi sõnumeid. Pärast kahe sellise vahetuse ärakuulamist suudab programm võimalike klahvide ringi kitsendada umbes 200 000-ni - arvuni, mida arvuti abil saab hõlpsalt sundida.

See protsess võimaldab programmis luua võtmehoidja “digitaalse duplikaadi” ning avada või käivitada auto soovi korral. Kõike seda saab teha seadme (nt sülearvuti või telefoni) abil, mis juhtub olema kõnealuse auto lähedal. See ei nõua sõidukile füüsilist juurdepääsu. Kokku võtab rünnak umbes kolmkümmend minutit.

Kui see rünnak kõlab teoreetiliselt, siis see pole nii. Londoni Metropolitani politsei andmetel, Sooritati 42% möödunud aastal Londonis toimunud autovargustest rünnakutega võtmeta lukustamata süsteemide vastu. See on praktiline haavatavus, mis seab ohtu miljonid autod.

Kõik see on traagilisem, sest võtmeta avamissüsteemid võivad olla palju turvalisemad kui tavalised võtmed. Ainus põhjus, miks need süsteemid on haavatavad, on ebakompetentsus. Selle aluseks olevad tööriistad on palju võimsamad kui ükski füüsiline lukk kunagi olla võiks.

Vastutustundlik avalikustamine

Teadlased avaldasid algselt kiibi loojale haavatavuse, andes neile haavatavuse parandamiseks üheksa kuud. Kui looja keeldus meenutust väljastamast, läksid teadlased 2013. aasta mais Volkswageni juurde. Algselt plaanisid nad rünnaku avaldada USENIXi konverentsil 2013. aasta augustis, andes Volkswagenile umbes kolm kuud aega tagasivõtmise / moderniseerimise alustamiseks, enne kui rünnak avalikuks saab.

Selle asemel esitas Volkswagen kohtusse kaebuse, et teadlased paberit avaldama ei hakkaks. Suurbritannia kõrgem kohus külje all Volkswageniga, öeldes: "Tunnistan akadeemilise sõnavabaduse suurt väärtust, kuid on veel üks kõrge väärtus, miljonite Volkswageni autode turvalisus."

Läbirääkimised on võtnud kaks aastat, kuid teadlastel lubatakse seda lõpuks teha avaldavad oma paberi, millest lahutatakse üks lause, mis sisaldab mõnda peamist detaili rünnaku kordamise kohta. Volkswagen ei ole ikka veel võtmehoidjaid fikseerinud ega ka teised tootjad, kes kasutavad sama kiipi.

Turvalisus kohtualluvuse järgi

Ilmselt on Volkswageni käitumine siin äärmiselt vastutustundetu. Selle asemel, et proovida probleemi oma autodega lahendada, kallasid nad jumalakartliku teadmise asemel, kui palju aega ja raha üritavad inimesi sellest teada saada. See on hea turvalisuse kõige põhilisemate põhimõtete reetmine. Nende käitumine siin on vabandamatu, häbiväärne ja muude (värvikamate) sissejuhatustega, mida ma teile säästan. Piisab, kui öelda, et vastutustundlikud ettevõtted ei peaks käituma.

Kahjuks pole see ka ainulaadne. Autotootjad on turvapalli maha visanud Kas häkkerid saavad teie auto tõesti üle võtta? Loe rohkem kohutavalt palju viimasel ajal. Eelmisel kuul selgus, et konkreetne Jeepi mudel võiks olla juhtmevabalt häkkinud läbi oma meelelahutussüsteemi Kui turvalised on Interneti-ühendusega isesõitvad autod?Kas isesõitvad autod on ohutud? Kas Interneti-ühendusega autosid saaks kasutada õnnetuste tekitamiseks või isegi teisitimõtlejate mõrvamiseks? Google loodab mitte, kuid hiljutine eksperiment näitab, et selleni on veel pikk tee minna. Loe rohkem , midagi sellist, mis oleks võimatu ükskõik millises turvateadlikus autodisainis. Fiat Chrysleri krediidi saamiseks nad tuletasid meelde enam kui miljonit sõidukit pärast seda ilmutust, kuid alles pärast seda, kui kõnealused teadlased demodeerisid häkkerit vastutustundetult ohtlik ja ilmekas viis.

Miljonid muud Interneti-ühendusega sõidukid on tõenäoliselt haavatav sarnaste rünnakute suhtes - aga keegi pole ajakirjanikku veel kergemeelselt koos nendega ohtu seadnud, nii et tagasikutsumist pole olnud. On täiesti võimalik, et me ei näe neis muudatusi enne, kui keegi tegelikult sureb.

Siin on häda selles, et autotootjad pole kunagi varem tarkvaratootjad olnud - kuid nüüd on nad äkki. Neil puudub turvateadlik ärikultuur. Neil puudub institutsionaalne kompetents nende probleemidega õigel viisil tegelemiseks või turvaliste toodete loomiseks. Nendega silmitsi seistes on nende esimene vastus paanika ja tsensuur, mitte parandused.

Heade turbetavade väljatöötamiseks kulus tänapäevastel tarkvarafirmadel aastakümneid. Mõni, nagu Oracle, on endiselt ummikus vananenud turvakultuuridega Oracle soovib, et te nende vigade saatmise lõpetaksite - see on põhjus, miks see on hullOracle viibib kuumas vees turvaülema Mary Davidsoni eksliku blogipostituse kohal. Seda demonstreerimist, kuidas Oracle'i turvafilosoofia tavapärasest erineb, ei võetud julgeolekukogukonnas hästi vastu ... Loe rohkem . Kahjuks pole meil luksust lihtsalt oodata, et ettevõtted neid tavasid välja töötaksid. Autod on kallid (ja äärmiselt ohtlikud) masinad. Pärast põhiinfrastruktuuri, näiteks elektrivõrgu, on need üks arvutiturbe kõige kriitilisemaid valdkondi. Koos isesõitvate autode tõus Ajalugu on nariv: Transpordi tulevik saab olema selline, nagu oleksite varem näinudMõne aastakümne pärast kõlab fraas "juhita auto" kohutavalt palju nagu "hobusteta vedu" ja mõte oma autot omada kõlab sama huvitavalt kui kaevu kaevamine. Loe rohkem Eelkõige peavad need ettevõtted tegema paremini ja meie kohustus on hoida neid kõrgemal tasemel.

Kuni me selle nimel töötame, on kõige vähem võimalik, et me anname valitsusele lõpu selle halva käitumise lubamisele. Ettevõtted ei peaks isegi proovima kohtute abil oma toodetega seotud probleeme varjata. Kuid seni, kuni mõned neist on valmis proovima, ei tohiks me neid kindlasti lasta. On ülioluline, et meil oleks kohtunikke, kes on piisavalt teadlikud turvateadlike tarkvaratööstuste tehnoloogiast ja tavadest, et teada, et selline hasartmängude kord pole kunagi õige vastus.

Mida sa arvad? Kas olete mures oma sõiduki turvalisuse pärast? Milline autotootja on turvalisuse osas parim (või halvim)?

Pildikrediidid:tema auto avamine autor Nito Shutterstocki kaudu