Annonse

Sikkerhetsproblemer i programvaren rapporteres hele tiden. Generelt sett er svaret når en sårbarhet blir avdekket å takke (eller i mange tilfeller betale) forskeren som fant det, og deretter fikse problemet. Det er standardresponsen i bransjen.

Et absolutt ikke-standard svar ville være å saksøke menneskene som rapporterte sårbarheten for å hindre dem i å snakke om det, og deretter bruke to år på å prøve å skjule problemet. Det er dessverre nøyaktig hva den tyske bilprodusenten Volkswagen gjorde.

Cryptographic Carjacking

Sårbarheten det dreide seg om, var en mangel på noen bilers nøkkelfrie tenningssystem. Disse systemene, et avansert alternativ til konvensjonelle nøkler, er ment å forhindre at bilen låses opp eller starter med mindre nøkkelbolten er i nærheten. Brikken kalles “Megamos Crypto,” og er kjøpt fra en tredjepart produsent i Sveits. Brikken er ment å oppdage et signal fra bilen, og svare med en kryptografisk signert melding Kan du signere dokumenter elektronisk og bør du?Kanskje har du hørt dine teknisk kyndige venner kaste rundt både begrepene elektronisk signatur og digital signatur. Kanskje har du til og med hørt dem brukes om hverandre. Du bør imidlertid vite at de ikke er de samme. Faktisk,...

Les mer forsikre bilen om at det er greit å låse opp og starte.

Dessverre bruker brikken et utdatert kryptografisk opplegg. Da forskerne Roel Verdult og Baris Ege la merke til dette, kunne de lage et program som bryter krypteringen ved å lytte til meldingene mellom bilen og tastaturet. Etter å ha hørt to slike utvekslinger, er programmet i stand til å begrense utvalget av mulige taster ned til omtrent 200 000 muligheter - et tall som lett kan brute-tvunges av en datamaskin.

Denne prosessen gjør det mulig for programmet å lage et "digitalt duplikat" av tastaturet og låse opp eller starte bilen når du vil. Alt dette kan gjøres av en enhet (som en bærbar PC eller en telefon) som tilfeldigvis befinner seg i nærheten av den aktuelle bilen. Det krever ikke fysisk tilgang til kjøretøyet. Totalt tar angrepet omtrent tretti minutter.

Hvis dette angrepet høres teoretisk ut, er det ikke det. I følge Londons Metropolitan Police, 42% av tyveriene i London i fjor ble utført ved bruk av angrep mot nøyløse ulåste systemer. Dette er en praktisk sårbarhet som setter millioner av biler i fare.

Alt dette er mer tragisk, fordi nøkkelfrie opplåsingssystemer kan være mye sikrere enn vanlige taster. Den eneste grunnen til at disse systemene er sårbare skyldes inkompetanse. De underliggende verktøyene er langt kraftigere enn noen fysisk lås noen gang kunne være.

Ansvarlig avsløring

Forskerne avslørte opprinnelig sårbarheten for skaperen av brikken, og ga dem ni måneder til å fikse sårbarheten. Da skaperen nektet å tilbakekalle, dro forskerne til Volkswagen i mai 2013. De planla opprinnelig å publisere angrepet på USENIX-konferansen i august 2013, og ga Volkswagen omtrent tre måneder til å starte en tilbakekalling / ettermontering, før angrepet skulle bli offentlig.

I stedet saksøkte Volkswagen å forhindre forskerne i å publisere papiret. En britisk høyesterett sidet med Volkswagenog sa "Jeg anerkjenner den høye verdien av akademisk ytringsfrihet, men det er en annen høy verdi, sikkerheten til millioner av Volkswagen-biler."

Det har tatt to års forhandlinger, men forskerne får endelig lov til det publiser papiret, minus en setning som inneholder noen viktige detaljer om replikering av angrepet. Volkswagen har fremdeles ikke fikset nøkkelringene, og har heller ikke de andre produsentene som bruker samme brikke.

Security By Litigiousness

Åpenbart er Volkswagens oppførsel grovt uansvarlig. I stedet for å prøve å ordne problemet med bilene sine, skjenket de i stedet gud - vet hvor mye tid og penger på å prøve å stoppe folk fra å finne ut om det. Det er et svik mot de mest grunnleggende prinsippene for god sikkerhet. Oppførselen deres her er unnskyldelig, skammelig og andre (mer fargerike) påfunn som jeg vil skåne deg. Det er nok å si at dette ikke er hvordan ansvarlige selskaper skal oppføre seg.

Dessverre er det heller ikke unikt. Bilprodusenter har droppet sikkerhetsballen Kan hackere virkelig overta bilen din? Les mer utrolig mye i det siste. Forrige måned ble det avslørt at en bestemt modell av Jeep kunne være trådløst hacket gjennom underholdningssystemet Hvor sikre er Internett-tilkoblede, selvkjørende biler?Er selvkjørende biler trygge? Kan Internett-tilkoblede biler brukes til å forårsake ulykker, eller til og med myrde dissenter? Google håper ikke, men et fersk eksperiment viser at det fortsatt er en lang vei å gå. Les mer , noe som ville være umulig i noen sikkerhetsbevisst bildesign. Til Fiat Chryslers kreditt, de husket mer enn en million kjøretøy i kjølvannet av denne avsløringen, men først etter at de aktuelle forskerne demoert hacket i en uforsvarlig farlig og sprek måte.

Millioner av andre Internett-tilkoblede kjøretøyer er sannsynligvis sårbare for lignende angrep - men ingen har uforsvarlig truet en journalist med dem ennå, så det har ikke vært noen tilbakekalling. Det er fullt mulig at vi ikke ser endringer på disse før noen faktisk dør.

Problemet her er at bilprodusenter aldri har vært programvareprodusenter før - men nå er de plutselig. De har ingen sikkerhetsbevisst bedriftskultur. De har ikke den institusjonelle ekspertisen for å håndtere disse problemene på de riktige måtene, eller bygge sikre produkter. Når de blir møtt med dem, er deres første respons panikk og sensur, ikke rettelser.

Det tok tiår for moderne programvareselskaper å utvikle god sikkerhetspraksis. Noen, som Oracle, er det fortsatt fast med utdaterte sikkerhetskulturer Oracle ønsker at du skal slutte å sende dem feil - her er hvorfor det er sprøttOracle er i varmt vann over et feilaktig blogginnlegg av sikkerhetssjef, Mary Davidson. Denne demonstrasjonen av hvordan Orakles sikkerhetsfilosofi avviker fra mainstream ble ikke mottatt godt i sikkerhetssamfunnet ... Les mer . Dessverre har vi ikke luksusen av å bare vente på at selskaper skal utvikle denne praksis. Biler er dyre (og ekstremt farlige) maskiner. De er et av de mest kritiske områdene innen datasikkerhet, etter grunnleggende infrastruktur som det elektriske nettet. Med økning av selvkjørende biler Historien er køyeseng: Fremtiden for transport vil være som ingenting du har sett førOm noen tiår vil uttrykket 'førerløs bil' høres veldig ut som 'hesteløs vogn', og ideen om å eie din egen bil vil høres så sjarmerende ut som å grave din egen brønn. Les mer spesielt disse selskapene må gjøre det bedre, og det er vårt ansvar å holde dem til en høyere standard.

Mens vi jobber med det, er det minste vi kan gjøre å få regjeringen til å slutte å aktivere denne dårlige oppførselen. Bedrifter skal ikke engang prøve å bruke domstolene for å skjule problemer med produktene sine. Men så lenge noen av dem er villige til å prøve, burde vi absolutt ikke la dem være. Det er viktig at vi har dommere som er klar nok om teknologien og praksisene i den sikkerhetsbevisste programvarebransjen til å vite at denne typen knebleordre aldri er det riktige svaret.

Hva tror du? Er du bekymret for sikkerheten til bilen din? Hvilken bilprodusent er best (eller dårligst) med sikkerhet?

Bildetillegg:åpner bilen sin av nito via Shutterstock

Andre er en skribent og journalist med base i Sørvest, og garantert å være funksjonell opptil 50 grader Celcius, og er vanntett til en dybde på tolv meter.