reklama
Chyby zabezpečení softwaru jsou neustále hlášeny. Obecně je odpovědí, když je zranitelnost odhalena, poděkovat (nebo v mnoha případech platit) výzkumnému pracovníkovi, který ji našel, a problém vyřešit. To je standardní odpověď v oboru.
Rozhodně nestandardní odpovědí by bylo žalovat lidi, kteří ohlásili zranitelnost, aby jim zabránili mluvit o tom, a pak strávit dva roky pokusem o skrytí problému. Je smutné, že přesně to, co udělal německý výrobce automobilů Volkswagen.
Kryptografický únos
Dotčenou zranitelností byla chyba systému bezklíčového zapalování některých aut. Tyto systémy, high-end alternativa k běžným klíčům, mají zabránit vozidlu v odemknutí nebo nastartování, pokud není klíčenka poblíž. Čip se nazývá „Megamos Crypto“ a je zakoupen od výrobce třetí strany ve Švýcarsku. Čip má detekovat signál z auta a reagovat pomocí kryptograficky podepsaná zpráva Můžete elektronicky podepisovat dokumenty a měli byste?Možná jste slyšeli, jak vaši technologicky důvtipní přátelé házejí termíny elektronický podpis i digitální podpis. Možná jste je dokonce slyšeli, jak se používají zaměnitelně. Měli byste však vědět, že nejsou stejní. Ve skutečnosti,... Přečtěte si více ujistit auto, že je v pořádku odemknout a nastartovat.
Bohužel čip používá zastaralé kryptografické schéma. Když si vědci Roel Verdult a Baris Ege všimli této skutečnosti, byli schopni vytvořit program, který přeruší šifrování posloucháním zpráv mezi autem a klíčenkou. Po vyslechnutí dvou takových výměn je program schopen zúžit rozsah možných klíčů na asi 200 000 možností - číslo, které může počítač snadno přenést na hrubou sílu.
Tento proces umožňuje programu vytvořit „digitální duplikát“ klíčenky a odemknout nebo nastartovat auto podle libosti. To vše lze provést pomocí zařízení (jako je notebook nebo telefon), které se nachází v blízkosti dotyčného automobilu. Nevyžaduje fyzický přístup k vozidlu. Celkově útok trvá asi třicet minut.
Pokud tento útok zní teoreticky, není. Podle londýnské městské policie, 42% krádeží automobilů v loňském roce bylo provedeno pomocí útoků proti bezklíčovým odemčeným systémům. Toto je praktická zranitelnost, která ohrožuje miliony aut.
To vše je tragičtější, protože systémy bezklíčového odemykání mohou být mnohem bezpečnější než běžné klíče. Jediný důvod, proč jsou tyto systémy zranitelné, je kvůli nekompetentnosti. Základní nástroje jsou mnohem silnější, než jakýkoli fyzický zámek, jaký kdy mohl být.
Odpovědné zveřejnění
Vědci původně odhalili tuto chybu zabezpečení pro tvůrce čipu a dali jim devět měsíců na opravu této chyby. Když tvůrce odmítl vzpomenout, odešli vědci do společnosti Volkswagen v květnu 2013. Původně plánovali zveřejnit útok na konferenci USENIX v srpnu 2013, což Volkswagenu poskytlo asi tři měsíce na zahájení stahování / retrofitu, než se útok stane veřejným.
Místo toho Volkswagen žaloval, aby zastavil vědce v publikování papíru. Britský nejvyšší soud sousedil s Volkswagenem, řekl: „Uznávám vysokou hodnotu akademické svobody projevu, ale je tu další vysoká hodnota, bezpečnost milionů automobilů Volkswagen.“
Trvalo to dva roky vyjednávání, ale vědci jsou konečně dovoleni publikovat svůj příspěvek, mínus jedna věta, která obsahuje několik klíčových podrobností o replikaci útoku. Volkswagen stále neopravil klíčenky a nemá ani ostatní výrobce, kteří používají stejný čip.
Zabezpečení zbožnosti
Je zřejmé, že chování společnosti Volkswagen je zde hrubě nezodpovědné. Spíše než se pokusili problém vyřešit pomocí svých aut, místo toho nalili boha - ví, kolik času a peněz se snaží zabránit lidem v tom, aby se o tom dozvěděli. To je zrada nejzákladnějších principů dobré bezpečnosti. Jejich chování je zde neomluvitelné, ostudné a další (pestřejší) invektivy, které vám ušetřím. Stačí říci, že to není způsob, jakým by se odpovědné společnosti měly chovat.
Bohužel to také není jedinečné. Výrobci automobilů upouštěli bezpečnostní kouli Mohou hackeři opravdu převzít vaše auto? Přečtěte si více v poslední době strašně moc. Minulý měsíc se ukázalo, že konkrétní model Jeepu může být bezdrátově pronikl do svého zábavního systému Jak bezpečné jsou autosedačky s připojením k internetu?Jsou vozy s vlastním pohonem bezpečné? Mohly by být automobily připojené k internetu použity k nehodě nebo dokonce k zavraždění disidentů? Google doufá, že ne, ale nedávný experiment ukazuje, že je ještě dlouhá cesta. Přečtěte si více , něco, co by bylo nemožné v jakémkoli designu auta s vědomím bezpečnosti. K úvěru Fiat Chrysler, vzpomněli si na více než milion vozidel v důsledku toho zjevení, ale teprve poté, co dotyční vědci demolovali hack v nezodpovědně nebezpečný a živý způsob.
Miliony dalších vozidel připojených k internetu jsou pravděpodobně náchylný k podobným útokům - ale nikdo s nimi bezohledně neohrožoval novináře, takže si nevzpomínáme. Je zcela možné, že se u nich neuvidíme změny, dokud někdo skutečně neumře.
Problém je v tom, že výrobci automobilů nikdy nebyli výrobci softwaru - ale teď najednou jsou. Nemají žádnou firemní kulturu s vědomím bezpečnosti. Nemají institucionální odborné znalosti, aby se s těmito problémy mohli vypořádat správným způsobem, ani aby nestavěli bezpečné produkty. Když se s nimi potýkají, jejich první odpovědí je panika a cenzura, ne opravy.
Trvalo desetiletí, než moderní softwarové společnosti vyvinuly správné bezpečnostní postupy. Někteří, stejně jako Oracle, jsou stále přilepená na zastaralé bezpečnostní kultury Oracle si přeje, abyste přestali posílat jejich chyby - tady je důvod, proč je to šílenéOracle je v horké vodě nad zavádějícím blogovým příspěvkem vedoucí bezpečnosti Mary Davidson. Tato demonstrace toho, jak se filozofie zabezpečení společnosti Oracle liší od hlavního proudu, nebyla v komunitě zabezpečení přijata dobře ... Přečtěte si více . Bohužel nemáme luxus jednoduše čekat, až společnosti tyto postupy vyvinou. Auta jsou drahé (a extrémně nebezpečné) stroje. Po základní infrastruktuře, jako je elektrická síť, jsou jednou z nejdůležitějších oblastí počítačové bezpečnosti. S vzestup autovláken Historie je Bunk: Budoucnost dopravy bude jako nic, co jste předtím neviděliZa několik desetiletí bude frázi „auto bez řidiče“ znít strašně podobně jako „bezsrstý kočár“ a myšlenka vlastnit si vlastní auto bude znít tak kuriózně, jako když si budete kopat vlastní dobře. Přečtěte si více zejména tyto společnosti musí dělat lépe a je naší povinností udržet je na vyšší úrovni.
Zatímco na tom pracujeme, nejmenší, co můžeme udělat, je přimět vládu, aby přestala toto špatné chování povolit. Společnosti by se neměly pokoušet používat soudy ke skrytí problémů se svými produkty. Ale pokud jsou někteří z nich ochotni vyzkoušet, určitě bychom je neměli nechat. Je nezbytné, abychom měli soudce, kteří jsou dostatečně informováni o technologii a postupech bezpečnostně orientovaného softwarového průmyslu, aby věděli, že tento druh pořádku není nikdy tou správnou odpovědí.
Co myslíš? Máte obavy o bezpečnost vašeho vozidla? Který výrobce automobilů je z bezpečnostního hlediska nejlepší (nebo nejhorší)?
Obrazové kredity:otevírá jeho auto od nito prostřednictvím Shutterstock
Andrej je spisovatelem a novinářem se sídlem na jihozápadě, přičemž je zaručeno, že zůstane funkční až do 50 stupňů Celcius, a je vodotěsný do hloubky dvanácti stop.