Joseph Goodman
0 
3929
871
Stalno se prijavljuju ranjivosti softverske sigurnosti. Općenito, odgovor kada se otkrije ranjivost je zahvaliti (ili u mnogim slučajevima platiti) istraživaču koji ga je pronašao, a zatim riješiti problem. To je standardni odgovor u industriji.
Odlučno nestandardni odgovor bio bi tužiti ljude koji su prijavili ranjivost da ih zaustave u razgovoru o tome, a zatim provode dvije godine pokušavajući sakriti problem. Nažalost, upravo je to učinio njemački proizvođač automobila Volkswagen.
Kriptografsko carjacking
Predmetna ranjivost bila je nedostatak sustava paljenja bez ključa nekih automobila. Ovi sustavi, vrhunska alternativa konvencionalnim ključevima, trebali bi spriječiti otključavanje ili pokretanje automobila osim ako se ključ u blizini ne nalazi. Čip se zove “Megamos kripto,” i kupuje se od trećeg proizvođača u Švicarskoj. Čip bi trebao otkriti signal iz automobila i odgovoriti kriptografski potpisanom porukom Može li se elektronički potpisati dokumente i bi li trebali? Možete li elektronički potpisati dokumente i trebate li? Možda ste čuli kako se vaši prijatelji koji se bave tehnologijom bacaju oko termina elektronički i digitalni potpis. Možda ste čak čuli kako ih naizmjenično koriste. Međutim, trebali biste znati da oni nisu isti. U stvari,… uvjeravajući automobil da je u redu otključati i započeti.
Nažalost, čip koristi zastarjelu kriptografsku shemu. Kada su istraživači Roel Verdult i Baris Ege primijetili tu činjenicu, uspjeli su stvoriti program koji prekida šifriranje preslušavajući poruke između automobila i ključa. Nakon što čuje dvije takve razmjene, program je u mogućnosti smanjiti raspon mogućih tipki na oko 200.000 mogućnosti - broj koji računalo može lako prisiliti.
Ovaj postupak omogućuje programu da stvori “digitalni duplikat” ključa-ključa i otključajte ili pokrenite automobil po volji. Sve to može napraviti uređaj (poput prijenosnog računala ili telefona), koji se nalazi u blizini automobila. Ne zahtijeva fizički pristup vozilu. Ukupno, napad traje oko trideset minuta.
Ako ovaj napad zvuči teoretski, nije. Prema podacima londonske Metropolitan Police, 42% krađa automobila u Londonu prošle je godine izvršeno napadima protiv otključanih sustava bez ključa. Ovo je praktična ranjivost koja ugrožava milijune automobila.
Sve je to tragičnije, jer sustavi za otključavanje bez ključa mogu biti puno sigurniji od klasičnih ključeva. Jedini razlog zašto su ovi sustavi ranjivi je zbog nesposobnosti. Alat ispod toga daleko je moćniji od bilo kojeg fizičkog zaključavanja.
Odgovorno otkrivanje
Istraživači su izvorno otkrili ranjivost tvorcu čipa, dajući im devet mjeseci da isprave ranjivost. Kada je tvorac odbio izdati opoziv, istraživači su otišli u Volkswagen u svibnju 2013. Oni su prvotno planirali objaviti napad na konferenciji USENIX u kolovozu 2013., dajući Volkswagenu oko tri mjeseca da započne opoziv / preuređivanje, prije nego što je napad postati javna.
Umjesto toga, Volkswagen je tužio da zaustavi istraživače u objavljivanju rada. Britanski visoki sud zastupao je Folksvagen, rekavši “Prepoznajem visoku vrijednost akademskog slobodnog govora, ali postoji još jedna visoka vrijednost, sigurnost milijuna automobila Volkswagen.”
Potrebne su dvije godine pregovora, ali istraživačima je konačno dopušteno da objave svoj rad, minus jedna rečenica koja sadrži nekoliko ključnih detalja o ponavljanju napada. Volkswagen još uvijek nije popravio lukove za ključeve, a nemaju niti drugi proizvođači koji koriste isti čip.
Sigurnost Paritivnošću
Očito je da je ovdje Folksvagenovo ponašanje krajnje neodgovorno. Umjesto da pokušaju riješiti problem svojim automobilima, umjesto toga uložili su pobogu - koliko vremena i novca pokušavaju spriječiti da ljudi saznaju za njega. To je izdaja najosnovnijih načela dobre sigurnosti. Njihovo je ponašanje ovdje neoprostivo, sramotno i druge (šarenije) inicijative kojima ću vas poštedjeti. Dovoljno je reći da se ne ponašaju odgovorne tvrtke.
Nažalost, također nije jedinstven. Automehaničari bacaju sigurnosnu kuglu Mogu li hakeri zaista preuzeti vaš automobil? Mogu li hakeri zaista preuzeti vaš automobil? u zadnje vrijeme jako grozno. Prošlog mjeseca otkriveno je da bi određeni model Jeepa mogao biti bežično hakiran putem zabavnog sustava Koliko su sigurni internetski povezani automobili sa automatskim upravljanjem? Koliko su sigurni internetski povezani automobili sa automatskim upravljanjem? Jesu li automobili za samostalnu vožnju sigurni? Mogu li se automobili povezani s Internetom koristiti za izazivanje nesreća ili čak za atentat na neistomišljenike? Google se nada da neće, ali nedavni eksperiment pokazuje da postoji još dug put. , nešto što bi bilo nemoguće u bilo kojem sigurnosnom dizajnu automobila. Čitajući Fiat Chrysler, prisjetili su se više od milijun vozila nakon te objave, ali tek nakon što su dotični istraživači demonirali hack na neodgovorno opasan i živopisan način.
Milijuni drugih vozila povezanih s Internetom vjerojatno su osjetljivi na slične napade - no nitko još nesretno nije ugrozio novinare s njima, tako da nema prisjećanja. Sasvim je moguće da na njima nećemo vidjeti promjene dok netko stvarno ne umre.
Ovdje je problem što proizvođači automobila nikad prije nisu bili proizvođači softvera - ali odjednom se jesu. Nemaju korporativnu kulturu koja se ne oslanja na sigurnost. Nemaju institucionalnu stručnost da se s tim problemima pozabave na pravi način ili ne izgrade sigurne proizvode. Kad se suoče s njima, njihov prvi odgovor je panika i cenzura, a ne popravci.
Modernim softverskim kompanijama trebalo je desetljeća da razviju dobre sigurnosne prakse. Neki su, poput Oraclea, još uvijek zaglavljeni sa zastarjelim sigurnosnim kulturama. Oracle želi da prestanete slati njihove bugove - evo zašto je taj Ludi Oracle želi da prestanete slati njihove bugove - evo zašto je to Crazy Oracle u vrućoj vodi zbog pogrešnog posta na blogu od strane sigurnosti poglavicu, Mary Davidson. Ova demonstracija načina na koji se Oracle sigurnosna filozofija udaljava od glavnog toka nije dobro primljena u sigurnosnoj zajednici…. Nažalost, nemamo luksuz jednostavno čekati da tvrtke razviju ove prakse. Automobili su skupi (i izuzetno opasni) strojevi. Oni su jedno od najvažnijih područja računalne sigurnosti, nakon osnovne infrastrukture poput električne mreže. S porastom osobnih automobila Povijest je bunk: Budućnost prijevoza bit će onakva kakvu niste vidjeli prije nego što je povijest pokorena: Budućnost prijevoza bit će onakva kakvoj niste vidjeli prije nekoliko desetljeća, izraz ' Automobil bez vozača "zvučit će grozno poput" kočija bez konja ", a ideja o posjedovanju vlastitog automobila zvučit će neozbiljno kao i kopanje vlastitog automobila. posebno se moraju raditi te tvrtke i naša je odgovornost da ih držimo na višem standardu.
Dok radimo na tome, najmanje što možemo učiniti je natjerati vladu da prestane omogućiti ovo loše ponašanje. Tvrtke ne bi trebale niti pokušati koristiti sudove da sakriju probleme sa svojim proizvodima. Ali, sve dok su neki od njih spremni probati, mi im to svakako ne bismo trebali dopustiti. Od vitalnog je značaja da imamo suce koji su dovoljno svjesni tehnologije i prakse sigurnosne softverske industrije da znaju da ovakav redoslijed nikada nije pravi odgovor.
Što misliš? Jeste li zabrinuti za sigurnost svog vozila? Koji je proizvođač automobila najbolji (ili najgori) kod sigurnosti?
Slikovni krediti: otvaranje automobila Nitom preko Shutterstocka