Hirdetés
A szoftver biztonsági réseit folyamatosan jelentik. Általában a sebezhetőség feltárása esetén a megköszönni kell (vagy sok esetben fizetni kell) annak a kutatónak, aki megtalálta, majd kijavítani a problémát. Ez a szokásos válasz az iparban.
Határozottan nem szokásos válasz az lenne, ha a sérülékenységet bejelentő embereket perbe vonják, hogy megakadályozzák őket arról, hogy beszéljenek róla, majd két évet töltenek a probléma elrejtésével. Sajnos ez így van pontosan az, amit a német Volkswagen gyártó tett.
Kriptográfiai carjacking
A kérdéses sérülékenység hibája volt néhány autó kulcs nélküli gyújtórendszerének. Ezeknek a rendszereknek, amelyek a hagyományos kulcsok csúcsminőségű alternatívája, állítólag megakadályozzák az autó kinyitását vagy indítását, kivéve, ha a kulcsfontosságú kulcs a közelben van. A chipet „Megamos Crypto” -nak hívják, és egy harmadik gyártótól vásárolnak Svájcban. A chipnek feltételeznie kell, hogy észlelje az autó jeleit, és a gombbal válaszoljon kriptográfiailag aláírt üzenet
Tud elektronikus úton aláírni a dokumentumokat és kell?Talán már hallotta, hogy a technológiai hozzáértésű barátok mind az elektronikus aláírás, mind a digitális aláírás kifejezéseket körülveszik. Talán már hallotta, hogy felváltva használják őket. Tudnia kell azonban, hogy nem azonosak. Valójában,... Olvass tovább annak biztosítása, hogy az autó rendben van a kinyitással és az indítással.Sajnos a chip elavult kriptográfiai sémát használ. Amikor Roel Verdult és Baris Ege kutatók észrevették ezt a tényt, képesek voltak létrehozni egy programot, amely megszakítja a titkosítást az autó és a kulcsos közötti üzenetek meghallgatásával. Miután meghallott két ilyen cserét, a program képes a lehetséges kulcsok körét mintegy 200 000 lehetőségre szűkíteni - egy olyan számot, amelyet egy számítógép könnyen brutálisan kényszeríthet.
Ez a folyamat lehetővé teszi a program számára, hogy elkészítse a kulcsfontosságú elem „digitális másolatát”, és szabadon engedje el, vagy indítsa el az autót. Mindezt egy eszköz (például laptop vagy telefon) megteheti, amely a szóban forgó autó közelében található. Nem igényel fizikai hozzáférést a járműhöz. Összességében a támadás körülbelül harminc percig tart.
Ha ez a támadás elméletileg hangzik, nem az. A londoni nagyvárosi rendõrség szerint, A tavalyi londoni autólopások 42% -át kulcsfontosságú, nyitott rendszerek elleni támadásokkal hajtották végre. Ez egy gyakorlati sebezhetőség, amely autómilliókat veszélyeztet.
Mindez tragikusabb, mert a kulcs nélküli kinyitó rendszerek sokkal biztonságosabbak lehetnek, mint a hagyományos kulcsok. Ezeknek a rendszereknek sebezhetőségét csak az inkompetencia okozza. A mögöttes eszközök sokkal hatékonyabbak, mint bármilyen fizikai zár.
Felelős nyilvánosságra hozatal
A kutatók eredetileg a sérülékenységet nyilvánosságra hozták a chip készítője előtt, és kilenc hónapot hagytak számukra a sérülékenység kijavítására. Amikor az alkotó megtagadta a visszahívás kiadását, a kutatók 2013 májusában mentek a Volkswagenbe. Eredetileg azt tervezték, hogy a támadást 2013 augusztusában közzéteszik az USENIX konferencián. A Volkswagennek körülbelül három hónap áll rendelkezésére, hogy elindítsa a visszahívást / utólagos felszerelést, mielőtt a támadás nyilvánosságra kerülne.
Ehelyett a Volkswagen beperelte, hogy megakadályozza a kutatókat a papír közzétételében. Egy brit főbíróság oldalt a Volkswagenrel"Felismerem az akadémiai szabad beszéd magas értékét, de van egy másik nagy érték, a millió millió autó Volkswagen biztonsága."
Két évig tart a tárgyalás, de végül engedik meg a kutatóknak közzéteszik papírjukat, levonva egy mondatot, amely néhány kulcsfontosságú részletet tartalmaz a támadás megismétléséről. A Volkswagen még mindig nem rögzítette a kulcsot, és a többi gyártót sem, akik ugyanazt a chipet használják.
Biztonság jogvita útján
Nyilvánvaló, hogy a Volkswagen viselkedése itt rendkívül felelőtlen. Ahelyett, hogy megpróbálnák megoldani a problémát az autóikkal, inkább istenüket öntötték - tudja, mennyi idő és pénz vesz igénybe az emberek tudomására jutni. Ez a jó biztonság legfontosabb alapelveinek elárulása. Itt viselkedésük megbocsáthatatlan, szégyenteljes és egyéb (színesebb) beavatkozással bír, amit megkíméllek. Elegendő azt mondani, hogy nem a felelősségteljes vállalatoknak kell viselkedniük.
Sajnos ez sem egyedi. Az autógyártók dobják a biztonsági labdát A hackerek valóban átvehetik az autódat? Olvass tovább szörnyű sok az utóbbi időben. A múlt hónapban kiderült, hogy a Jeep adott modellje lehet vezeték nélkül csapkodott át szórakoztató rendszerén keresztül Mennyire biztonságosak az internetkapcsolatú, önjáró autók?Biztonságosak az önvezető autók? Használhatók-e az internethez csatlakoztatott autók balesetek előidézésére, vagy akár az utasok meggyilkolására? A Google nem reméli, de egy nemrégiben végzett kísérlet azt mutatja, hogy még hosszú utat kell megtenni. Olvass tovább , ami lehetetlen lenne minden biztonsági szempontból tudatos autótervezésnél. A Fiat Chrysler hitellel, visszahívtak több mint egy millió járművet ezt a kinyilatkoztatást nyomán, de csak azután, hogy a kérdéses kutatók egy hamburgert demonstráltak felelőtlenül veszélyes és élénk módon.
Milliók más, internethez csatlakoztatott járművek valószínűleg érzékenyek a hasonló támadásokra - de senki még mindig gondatlanul veszélyeztette az újságírót velük, tehát visszaemlékezés nem történt. Teljesen lehetséges, hogy addig nem látunk változást, amíg valaki meghal.
A probléma az, hogy az autógyártók még soha nem voltak szoftvergyártók - de most hirtelen vannak. Nincs biztonságtudatos vállalati kultúra. Nincsenek intézményi tapasztalataik ahhoz, hogy ezeket a problémákat helyesen kezeljék, vagy biztonságos termékeket készítsenek. Amikor velük szembesülnek, első reakciójuk pánik és cenzúra, nem pedig javítás.
A modern szoftvergyártók évtizedekbe telt, hogy kidolgozzák a helyes biztonsági gyakorlatokat. Néhányan, mint például az Oracle, még mindig vannak megragadt az elavult biztonsági kultúrákkal Az Oracle azt akarja, hogy hagyja abba a hibák küldését - ezért van ez őrültAz Oracle forró vízben van egy biztonsági vezető, Mary Davidson téves blogbejegyzésén keresztül. Az Oracle biztonsági filozófiájának eltérését a mainstreamtől ezt a demonstrációt nem fogadták jól a biztonsági közösségben ... Olvass tovább . Sajnos nincs luxus, hogy egyszerűen csak arra várunk, hogy a vállalatok kifejlesszék ezeket a gyakorlatokat. Az autók drága (és rendkívül veszélyes) gépek. Az alapvető infrastruktúra, például az elektromos hálózat után, a számítógépes biztonság egyik legkritikusabb területe. A... val önjáró autók száma A történelem emeletes: A szállítás jövője olyan lesz, mint amilyet korábban láttálNéhány évtized alatt a „sofőr nélküli autó” kifejezés olyan szörnyű hangon fog hangzódni, mint a „ló nélküli kocsi”, és a saját autó birtoklásának gondolata ugyanolyan furcsa, mint a saját kutak ásása. Olvass tovább Különösen ezeknek a vállalatoknak kell jobban teljesíteniük, és a mi felelősségünk, hogy magasabb színvonalon tartsuk őket.
Miközben ezen dolgozunk, a legkevésbé tehetjük a kormányt arra, hogy hagyja abba ezt a rossz viselkedést. A vállalatoknak nem is szabad megkísérelniük igénybe venni a bíróságokat, hogy elrejtsék termékeikkel kapcsolatos problémáikat. De amíg néhányan hajlandóak megpróbálni, akkor biztosan nem szabad megengednünk nekik. Rendkívül fontos, hogy olyan bírókkal rendelkezzünk, akik elég jól tisztában vannak a biztonságtudatos szoftveripar technológiájával és gyakorlatával, hogy tudják, hogy az ilyen fajta sorrend soha nem megfelelő válasz.
Mit gondolsz? Aggódik a jármű biztonsága miatt? Melyik autógyártó a legjobb (vagy legrosszabb) a biztonságnál?
Kép kreditek:kinyitotta autóját Nito készítette Shutterstockon keresztül
A délnyugati székhelyű író és újságíró garantáltan 50 Celsius-fokig képes működni, és tizenkét láb mélységig vízálló.