Annons
Mjukhetssäkerhetsproblem rapporteras hela tiden. Generellt sett är svaret när en sårbarhet upptäcks att tacka (eller i många fall betala) forskaren som hittade den och sedan fixa problemet. Det är standardsvaret i branschen.
Ett definitivt icke-standardiserat svar skulle vara att stämma de personer som rapporterade sårbarheten för att hindra dem från att prata om det och sedan spendera två år på att försöka dölja problemet. Det är tyvärr det exakt vad den tyska biltillverkaren Volkswagen gjorde.
Cryptographic Carjacking
Sårbarheten i fråga var en brist på vissa bilarnas nyckellösa tändningssystem. Dessa system, ett avancerat alternativ till konventionella nycklar, är tänkta att förhindra att bilen låses upp eller startar om inte nyckelhylsan är i närheten. Chipet kallas "Megamos Crypto" och köps från en tredje parts tillverkare i Schweiz. Chipet är tänkt att upptäcka en signal från bilen och svara med en kryptografiskt signerat meddelande Kan du skriva elektroniskt på dokument och bör du? Du kanske har hört dina tekniska kunniga vänner slänga både termen elektronisk signatur och digital signatur. Du kanske till och med har hört dem användas omväxlande. Du bör dock veta att de inte är desamma. Faktiskt,... Läs mer försäkrar bilen att det är okej att låsa upp och starta.
Tyvärr använder chipet ett föråldrat kryptografiskt schema. När forskarna Roel Verdult och Baris Ege märkte detta faktum, kunde de skapa ett program som bryter krypteringen genom att lyssna på meddelandena mellan bilen och nyckelfobben. Efter att ha hört två sådana utbyten kan programmet begränsa utbudet av möjliga tangenter till cirka 200 000 möjligheter - ett nummer som lätt kan brutdrivas av en dator.
Denna process gör det möjligt för programmet att skapa ett "digitalt duplikat" av nyckelhylsan och låsa upp eller starta bilen när som helst. Allt detta kan göras av en enhet (som en bärbar dator eller en telefon) som råkar vara nära bilen i fråga. Det kräver inte fysisk åtkomst till fordonet. Totalt tar attacken cirka trettio minuter.
Om den här attacken låter teoretiskt är det inte. Enligt Londons Metropolitan Police42% av bilstölder i London förra året utfördes med attacker mot nyckelfria låsta system. Detta är en praktisk sårbarhet som riskerar miljontals bilar.
Allt detta är mer tragiskt, eftersom nyckellösa upplåsningssystem kan vara mycket säkrare än konventionella tangenter. Det enda skälet till att dessa system är sårbara beror på inkompetens. De underliggande verktygen är mycket kraftfullare än något fysiskt lås någonsin kunde vara.
Ansvarig avslöjande
Forskarna avslöjade ursprungligen sårbarheten för skaparen av chipet och gav dem nio månader att fixa sårbarheten. När skaparen vägrade att ge ett återkallelse gick forskarna till Volkswagen i maj 2013. De planerade ursprungligen att publicera attacken på USENIX-konferensen i augusti 2013, vilket gav Volkswagen ungefär tre månader att påbörja en återkallelse / ombyggnad, innan attacken skulle bli offentlig.
I stället stämde Volkswagen för att hindra forskarna från att publicera tidningen. En brittisk högsta domstol sidor med Volkswagenoch säger "Jag känner igen det höga värdet av akademiskt fritt yttrande, men det finns ett annat högt värde, säkerheten för miljoner Volkswagen-bilar."
Det har tagits två års förhandlingar, men forskarna får äntligen göra det publicera sitt papper, minus en mening som innehåller några viktiga detaljer om replikering av attacken. Volkswagen har fortfarande inte fixat nycklarna, och inte heller har de andra tillverkarna som använder samma chip.
Säkerhet genom litigiousness
Naturligtvis är Volkswagens beteende här grovt ansvarslös. I stället för att försöka lösa problemet med sina bilar, hällde de istället gud - vet hur mycket tid och pengar för att försöka hindra människor från att ta reda på det. Det är ett svik mot de mest grundläggande principerna för god säkerhet. Deras beteende här är oförlåtligt, skamligt och andra (mer färgstarka) invektiv som jag kommer att skona dig. Det räcker med att säga att detta inte är hur ansvarsfulla företag ska bete sig.
Tyvärr är det inte heller unikt. Biltillverkare har tappat säkerhetsbollen Kan hackare verkligen ta över din bil? Läs mer mycket hemskt på sistone. Förra månaden avslöjades det att en viss modell av Jeep kunde vara trådlöst hackat genom sitt underhållningssystem Hur säkra är internetkopplade, självkörande bilar?Är självkörande bilar säkra? Kan internet-anslutna bilar användas för att orsaka olyckor eller till och med mörda dissenter? Google hoppas inte, men ett senaste experiment visar att det fortfarande finns en lång väg att gå. Läs mer , något som skulle vara omöjligt i någon säkerhetsmedveten bildesign. Till Fiat Chryslers kredit, de minns mer än en miljon fordon i kölvattnet den uppenbarelsen, men först efter att forskarna i fråga demoade hacket i en ansvarsfullt farligt och livligt sätt.
Miljoner andra internetanslutna fordon är troligen sårbara för liknande attacker - men ingen har försiktigt hotat en journalist med dem ännu, så det har inte funnits något återkallande. Det är helt möjligt att vi inte ser förändringar på dessa förrän någon faktiskt dör.
Problemet här är att biltillverkare aldrig har varit programvaruproducenter förut - men nu är de plötsligt. De har ingen säkerhetsmedveten företagskultur. De har inte den institutionella expertisen för att hantera dessa problem på rätt sätt eller bygga säkra produkter. När de möter dem är deras första svar panik och censur, inte fixar.
Det tog decennier för moderna mjukvaruföretag att utveckla god säkerhetspraxis. Några, som Oracle, är fortfarande fastnat i föråldrade säkerhetskulturer Oracle vill att du ska sluta skicka dem buggar - varför det är galetOracle är i varmt vatten över ett felaktigt blogginlägg av säkerhetschef Mary Davidson. Denna demonstration av hur Orakles säkerhetsfilosofi avgår från mainstream mottogs inte bra i säkerhetssamhället ... Läs mer . Tyvärr har vi inte lyxen att bara vänta på att företag ska utveckla dessa metoder. Bilar är dyra (och extremt farliga) maskiner. De är ett av de mest kritiska områdena inom datasäkerhet, efter grundläggande infrastruktur som elnätet. Med ökningen av självkörande bilar Historia är bunk: Transportens framtid kommer att vara som ingenting du har sett tidigareOm några decennier kommer uttrycket "förarlös bil" att låta mycket hemligt som "hästlös vagn", och idén att äga din egen bil kommer att låta lika pittoreskt som att gräva din egen brunn. Läs mer i synnerhet måste dessa företag göra bättre och det är vårt ansvar att hålla dem till en högre standard.
Medan vi arbetar med det, är det allra minsta att vi får regeringen att sluta aktivera detta dåliga beteende. Företag bör inte ens försöka använda domstolarna för att dölja problem med sina produkter. Men så länge som några av dem är villiga att prova, borde vi verkligen inte låta dem. Det är viktigt att vi har domare som är tillräckligt medvetna om tekniken och praxis inom den säkerhetsmedvetna mjukvaruindustrin för att veta att den här typen av gagorder aldrig är det rätta svaret.
Vad tror du? Är du orolig för säkerheten i ditt fordon? Vilken biltillverkare är bäst (eller värst) på säkerheten?
Bildkrediter:öppnar sin bil av nito via Shutterstock
En författare och journalist baserad på sydväst, garanteras Andre att vara funktionell upp till 50 grader Celcius och är vattentät till ett djup av tolv meter.