Owen Little
0 
2589
117
Przez cały czas zgłaszane są luki w zabezpieczeniach oprogramowania. Zasadniczo w przypadku wykrycia luki w zabezpieczeniach należy podziękować (lub w wielu przypadkach zapłacić) badaczowi, który ją znalazł, a następnie naprawić problem. To standardowa odpowiedź w branży.
Zdecydowanie niestandardową odpowiedzią byłoby pozwanie ludzi, którzy zgłosili lukę, aby powstrzymali ich od mówienia o tym, a następnie spędzili dwa lata próbując ukryć problem. Niestety tak właśnie zrobił niemiecki producent samochodów Volkswagen.
Kradzież kryptograficzna
Omawiana podatność była wadą systemu bezkluczykowego zapłonu niektórych samochodów. Systemy te, wysokiej klasy alternatywa dla konwencjonalnych kluczy, mają zapobiegać odblokowaniu lub uruchomieniu samochodu, chyba że w pobliżu znajduje się pilot. Układ nazywa się “Megamos Crypto,” i jest kupowany od zewnętrznego producenta w Szwajcarii. Chip ma wykrywać sygnał z samochodu i odpowiadać kryptograficznie podpisaną wiadomością Czy możesz elektronicznie podpisywać dokumenty i powinieneś? Czy możesz elektronicznie podpisywać dokumenty i powinieneś? Być może słyszałeś, jak twoi doświadczeni technicznie znajomi stosują zarówno podpis elektroniczny, jak i podpis cyfrowy. Może nawet słyszałeś, że są używane zamiennie. Powinieneś jednak wiedzieć, że to nie to samo. W rzeczywistości… zapewniając samochód, że można go odblokować i uruchomić.
Niestety układ wykorzystuje przestarzały schemat kryptograficzny. Kiedy badacze Roel Verdult i Baris Ege zauważyli ten fakt, byli w stanie stworzyć program, który łamie szyfrowanie, słuchając komunikatów między samochodem a pilotem. Po wysłuchaniu dwóch takich wymian program jest w stanie zawęzić zakres możliwych kluczy do około 200 000 możliwości - liczby, którą komputer może łatwo brutalnie wymusić.
Ten proces umożliwia programowi utworzenie pliku “duplikat cyfrowy” breloka i odblokuj lub uruchom samochód do woli. Wszystko to można zrobić za pomocą urządzenia (takiego jak laptop lub telefon), które znajduje się w pobliżu danego samochodu. Nie wymaga fizycznego dostępu do pojazdu. W sumie atak trwa około trzydziestu minut.
Jeśli ten atak brzmi teoretycznie, to nie jest. Według londyńskiej Metropolitan Police 42% kradzieży samochodów w Londynie w ubiegłym roku zostało dokonanych przy użyciu ataków na systemy bezkluczykowe. Jest to praktyczna luka, która zagraża milionom samochodów.
Wszystko to jest bardziej tragiczne, ponieważ systemy bezkluczykowe mogą być znacznie bezpieczniejsze niż tradycyjne klucze. Jedynym powodem, dla którego systemy te są podatne na zagrożenia, jest niekompetencja. Podstawowe narzędzia są znacznie potężniejsze niż jakikolwiek fizyczny zamek.
Odpowiedzialne ujawnianie informacji
Naukowcy pierwotnie ujawnili lukę twórcy układu, dając im dziewięć miesięcy na usunięcie tej usterki. Kiedy twórca odmówił wycofania, naukowcy udali się do Volkswagena w maju 2013 r. Pierwotnie planowali opublikować atak na konferencji USENIX w sierpniu 2013 r., Dając Volkswagenowi około trzech miesięcy na rozpoczęcie wycofania / modernizacji, zanim atak zostanie upublicznić.
Zamiast tego Volkswagen pozwał, by powstrzymać naukowców przed opublikowaniem tego artykułu. Brytyjski sąd najwyższy opowiedział się po stronie Volkswagena “Zdaję sobie sprawę z wysokiej wartości akademickiej wolności słowa, ale jest jeszcze jedna wysoka wartość, bezpieczeństwo milionów samochodów Volkswagena.”
Zajęło to dwa lata negocjacji, ale badacze mogą wreszcie opublikować swoją pracę, pomniejszoną o jedno zdanie, które zawiera kilka kluczowych szczegółów na temat powtórzenia ataku. Volkswagen nadal nie naprawił breloków, podobnie jak inni producenci używający tego samego układu.
Bezpieczeństwo przez lojalność
Oczywiście zachowanie Volkswagena tutaj jest rażąco nieodpowiedzialne. Zamiast próbować rozwiązać problem ze swoimi samochodami, zamiast tego nalali boskiej wiedzy, ile czasu i pieniędzy próbują powstrzymać ludzi od dowiedzenia się o tym. To zdrada najbardziej podstawowych zasad dobrego bezpieczeństwa. Ich zachowanie tutaj jest niewybaczalne, haniebne i inne (bardziej kolorowe) zachęty, które ci oszczędzę. Wystarczy powiedzieć, że nie tak powinny się zachowywać odpowiedzialne firmy.
Niestety nie jest też wyjątkowy. Producenci samochodów upuszczają piłkę ochronną. Czy hakerzy NAPRAWDĘ mogą przejąć twój samochód? Czy hakerzy NAPRAWDĘ mogą przejąć Twój samochód? ostatnio bardzo dużo. W zeszłym miesiącu ujawniono, że konkretny model Jeepa można bezprzewodowo zhakować za pośrednictwem jego systemu rozrywki. Jak bezpieczne są samochody z własnym dostępem do Internetu? Jak bezpieczne są samochody z własnym dostępem do Internetu? Czy samochody samojezdne są bezpieczne? Czy samochody podłączone do Internetu mogą być używane do powodowania wypadków, a nawet zabijania dysydentów? Google ma nadzieję, że nie, ale ostatni eksperyment pokazuje, że przed nami jeszcze długa droga. , coś, co byłoby niemożliwe w projektach samochodów dbających o bezpieczeństwo. Trzeba przyznać, że Fiat Chrysler przywołał ponad milion pojazdów po tym odkryciu, ale dopiero po tym, jak badacze przedstawili hack w nieodpowiedzialnie niebezpieczny i żywy sposób.
Miliony innych pojazdów podłączonych do Internetu są prawdopodobnie narażone na podobne ataki - ale nikt nie lekkomyślnie naraził ich na niebezpieczeństwo dziennikarza, więc nie było wycofania. Jest całkiem możliwe, że nie zobaczymy zmian, dopóki ktoś nie umrze.
Problem polega na tym, że producenci samochodów nigdy wcześniej nie byli producentami oprogramowania - ale teraz są tacy. Nie mają kultury korporacyjnej dbającej o bezpieczeństwo. Nie mają oni instytucjonalnej wiedzy fachowej, aby poradzić sobie z tymi problemami we właściwy sposób ani tworzyć bezpiecznych produktów. Kiedy stają wobec nich, ich pierwszą reakcją jest panika i cenzura, a nie poprawki.
Współczesne firmy produkujące oprogramowanie zajęły dziesięciolecia, aby opracować dobre praktyki bezpieczeństwa. Niektórzy, jak Oracle, wciąż tkwią w przestarzałych kulturach bezpieczeństwa Oracle chce, abyś przestał wysyłać im błędy - oto dlaczego to szalony Oracle chce, abyś przestał wysyłać im błędy - oto dlaczego to jest szalony Oracle jest w gorącej wodzie nad błędnym postem na blogu przez zabezpieczenia szefowa, Mary Davidson. Ta demonstracja tego, jak filozofia bezpieczeństwa Oracle odchodzi od głównego nurtu, nie została dobrze przyjęta w społeczności bezpieczeństwa… Niestety nie mamy luksusu po prostu czekania, aż firmy rozwiną te praktyki. Samochody to drogie (i niezwykle niebezpieczne) maszyny. Są jednym z najbardziej krytycznych obszarów bezpieczeństwa komputerowego, po podstawowej infrastrukturze, takiej jak sieć elektryczna. Wraz ze wzrostem liczby samochodów, które jeżdżą samotnie Historia jest piętrowa: przyszłość transportu będzie jak nic, co widziałeś, zanim historia się skończy: przyszłość transportu będzie jak nic, co widziałeś wcześniej Za kilka dziesięcioleci, wyrażenie „ samochód bez kierowcy będzie brzmiał okropnie jak „powóz bez konia”, a pomysł posiadania własnego samochodu zabrzmi równie dziwnie, jak kopanie własnej studni. w szczególności firmy te muszą radzić sobie lepiej, a naszym obowiązkiem jest utrzymanie ich na wyższym poziomie.
Podczas gdy nad tym pracujemy, możemy co najmniej zrobić, aby rząd przestał umożliwiać takie złe zachowanie. Firmy nie powinny nawet próbować wykorzystywać sądów do ukrywania problemów ze swoimi produktami. Ale dopóki niektórzy z nich są gotowi spróbować, na pewno nie powinniśmy im na to pozwolić. Bardzo ważne jest, abyśmy mieli sędziów, którzy są wystarczająco świadomi technologii i praktyk branży oprogramowania dbającego o bezpieczeństwo, aby wiedzieć, że ten rodzaj rozkazu kneblowania nigdy nie jest właściwą odpowiedzią.
Co myślisz? Czy obawiasz się o bezpieczeństwo swojego pojazdu? Który producent samochodów jest najlepszy (lub najgorszy) pod względem bezpieczeństwa?
Kredyty obrazkowe: otwieranie samochodu przez nito przez Shutterstock