„VW“ iškėlė tyrėjams dvejus metus paslėptą saugumo klaidą

Skelbimas

Apie programinės įrangos saugos spragas pranešama visą laiką. Paprastai atsakant, kai pažeidžiamumas aptinkamas, reikia padėkoti (arba, daugeliu atvejų, sumokėti) tyrėjui, kuris jį rado, ir išspręsti problemą. Tai yra standartinis atsakas pramonėje.

Neabejotinai nestandartinis atsakymas būtų kreiptis į teismą dėl pažeidžiamumo pranešusių žmonių, kad jie nekalbėtų apie tai, o po to dvejus metus praleis bandydami paslėpti šią problemą. Deja, taip yra būtent tai padarė vokiečių automobilių gamintojas „Volkswagen“.

Kriptografinis žygdarbis

Aptariamas pažeidžiamumas buvo ydinga kai kurių automobilių užrakto be raktų sistema. Manoma, kad šios sistemos, aukščiausios klasės alternatyva įprastiems raktams, užkirs kelią automobilio atrakinimui ar užvedimui, nebent šalia yra raktas. Lustas vadinamas „Megamos Crypto“ ir yra perkamas iš trečiosios šalies gamintojo Šveicarijoje. Lustas turėtų aptikti automobilio signalą ir reaguoti su a kriptografiškai pasirašytą pranešimą Ar galite elektroniniu būdu pasirašyti dokumentus ir ar turėtumėte?

Galbūt girdėjote, kaip jūsų draugai, patyrę technikos srityje, naudojasi ir elektroninio parašo, ir skaitmeninio parašo terminais. Gal net girdėjai, kaip jie naudojami pakaitomis. Tačiau turėtumėte žinoti, kad jie nėra tie patys. Faktiškai,... Skaityti daugiau patikinti automobilį, kad jį galima atrakinti ir užvesti.

Deja, lustas naudoja pasenusią kriptografinę schemą. Kai tyrėjai Roelis Verdultas ir Barisas Ege'as pastebėjo šį faktą, jie sugebėjo sukurti programą, kuri nutraukia šifravimą klausydamasi pranešimų tarp automobilio ir rakto fabulo. Išgirdusi du tokius mainus, programa sugeba susiaurinti galimų raktų diapazoną iki maždaug 200 000 galimybių - skaičių, kurį kompiuteris gali lengvai priversti brukti.

Šis procesas leidžia programai sukurti „skaitmeninį klaviatūros dublikatą“ ir atrakinti ar užvesti automobilį pagal norą. Visa tai gali padaryti prietaisas (pvz., Nešiojamasis kompiuteris ar telefonas), kuris yra šalia nagrinėjamo automobilio. Tam nereikia fizinės prieigos prie transporto priemonės. Iš viso ataka trunka apie trisdešimt minučių.

Jei ši ataka skamba teoriškai, taip nėra. Anot Londono metropolijos policijos, 42 proc. Automobilių vagysčių Londone praėjusiais metais buvo įvykdytos naudojant išpuolius prieš berakines atrakinamas sistemas. Tai yra praktinis pažeidžiamumas, keliantis pavojų milijonams automobilių.

Visa tai yra tragiškiau, nes be klavišų atrakinimo sistemos gali būti daug saugesnės nei įprastos. Vienintelė šių sistemų pažeidžiamumo priežastis yra nekompetencija. Pagrindiniai įrankiai yra daug galingesni nei bet koks fizinis užraktas.

Atsakingas informacijos atskleidimas

Iš pradžių tyrėjai atskleidė lusto kūrėjo pažeidžiamumą, suteikdami jiems devynis mėnesius pažeidimui pašalinti. Kūrėjui nesutikus išduoti atšaukimo, 2013 m. Gegužę tyrėjai nuvyko į „Volkswagen“. Iš pradžių jie planavo paskelbti išpuolį USENIX konferencijoje 2013 m. Rugpjūčio mėn., Per „Volkswagen“ suteikdami maždaug tris mėnesius laiko, kad jis galėtų pradėti atšaukimą / modifikavimą, kol išpuolis taps viešas.

Vietoj to, „Volkswagen“ kreipėsi į teismą, norėdamas sustabdyti tyrėjus leidinyje. Didžiosios Britanijos aukštasis teismas šonas su „Volkswagen“, sakydamas: „Aš pripažįstu didelę akademinio laisvo žodžio vertę, bet yra ir kita didelė vertė - milijonų„ Volkswagen “automobilių saugumas“.

Prireikė dvejų metų derybų, bet tyrėjams pagaliau buvo leista publikuoti jų darbą, atėmus vieną sakinį, kuriame yra keli pagrindiniai duomenys apie atakos atkartojimą. „Volkswagen“ vis dar nefiksuoja raktų pakabukų ir kitų gamintojų, naudojančių tą pačią mikroschemą.

Saugumas pagal teismingumą

Akivaizdu, kad „Volkswagen“ elgesys čia yra labai neatsakingas. Užuot bandę išspręsti problemą savo automobiliais, jie užliejo dievui - žino, kiek laiko ir pinigų turi bandydami sustabdyti žmones apie tai sužinoję. Tai yra pagrindinių gero saugumo principų išdavystė. Jų elgesys čia yra nepateisinamas, gėdingas ir kitų (spalvingesnių) įžvalgų, kurių aš tau gailiuosi. Pakanka pasakyti, kad ne taip turėtų elgtis atsakingos įmonės.

Deja, ji taip pat nėra unikali. Automobilių pardavėjai numetė saugos rutulį Ar piratai tikrai gali perimti jūsų automobilį? Skaityti daugiau pastaruoju metu labai daug. Praėjusį mėnesį buvo atskleista, kad gali būti konkretus „Jeep“ modelis belaidžiu būdu nulaužta per savo pramogų sistemą Ar saugūs yra internetai, savarankiškai vairuojantys automobiliai?Ar saugu vairuoti automobilius? Ar automobiliai, prijungti prie interneto, gali būti naudojami avarijoms sukelti ar net nužudyti disidentus? „Google“ tikisi ne, tačiau neseniai atliktas eksperimentas rodo, kad dar reikia dar daug ką nuveikti. Skaityti daugiau , to neįmanoma padaryti bet kuriame saugiai suplanuoto automobilio dizaine. Norėdami gauti „Fiat Chrysler“ kreditą, jie priminė daugiau nei milijoną transporto priemonių po šio apreiškimo, tačiau tik po to, kai minėti tyrėjai demonstravo įsilaužimą į neatsakingai pavojingas ir ryškus būdas.

Milijonai kitų prie interneto prijungtų transporto priemonių yra greičiausiai pažeidžiami panašių išpuolių - bet dar niekas su jais nesąmoningai kelia pavojų žurnalistui, todėl to nebuvo. Visiškai įmanoma, kad nematysime pakeitimų, kol kas nors iš tikrųjų nemiršta.

Bėda ta, kad automobilių gamintojai niekada anksčiau nebuvo programinės įrangos gamintojai, bet dabar jie staiga yra. Jie neturi saugaus verslo korporacijos kultūros. Jie neturi institucinės kompetencijos, kad galėtų tinkamai išspręsti šias problemas ar sukurti saugius produktus. Kai jie susiduria su jais, pirmasis atsakymas yra panika ir cenzūra, o ne pataisymai.

Geros saugos praktikos sukūrimas šiuolaikinėms programinės įrangos įmonėms užtruko dešimtmečius. Kai kurie, pavyzdžiui, „Oracle“, vis dar yra pakimba su pasenusiomis saugumo kultūromis „Oracle“ nori nebenorėti siųsti jų klaidų - štai kodėl tai yra pamišimas„Oracle“ yra karštame vandenyje per klaidingą saugumo vadovės Mary Davidson tinklaraščio įrašą. Šis įrodymas, kaip „Oracle“ saugumo filosofija skiriasi nuo įprastų aspektų, saugumo bendruomenėje nebuvo gerai įvertintas ... Skaityti daugiau . Deja, mes neturime prabangos tiesiog laukti, kol įmonės parengs šią praktiką. Automobiliai yra brangios (ir ypač pavojingos) mašinos. Po pagrindinės infrastruktūros, tokios kaip elektros tinklas, jos yra viena kritiškiausių kompiuterių saugos sričių. Su savarankiškai važiuojančių automobilių kilimas Istorija nėra svarbi: Transporto ateitis bus tokia, kaip nieko anksčiau matytoPo kelių dešimtmečių frazė „be vairuotojo neturintis automobilis“ skambės siaubingai, pavyzdžiui, „arklys be vežimo“, o idėja turėti nuosavą automobilį skambės taip keistai, kaip kasti savo šulinį. Skaityti daugiau visų pirma, šios įmonės turi daryti geriau, ir mes esame atsakingi už tai, kad jos atitiktų aukštesnius standartus.

Kol mes dirbame prie to, mažiausiai ką galime padaryti, tai priversti vyriausybę nustoti leisti vykdyti šį blogą elgesį. Įmonės neturėtų net bandyti kreiptis į teismus, kad paslėptų savo produktų problemas. Tačiau tol, kol kai kurie iš jų nori išbandyti, mes tikrai neturėtume jų leisti. Labai svarbu, kad turėtume teisėjų, pakankamai išmanančių apie saugumą užtikrinančios programinės įrangos pramonės technologijas ir praktiką, kad žinotume, kad tokio pobūdžio gag tvarka niekada nėra teisingas atsakymas.

Ką tu manai? Ar jums rūpi jūsų transporto priemonės saugumas? Kuris automobilių gamintojas yra geriausias (ar blogiausias) saugumas?

Vaizdo kreditai:atidaręs savo mašiną pateikė Nito per Shutterstock