VW saksøkte forskere å skjule sikkerhetsfeil i to år

VW saksøkte forskere å skjule sikkerhetsfeil i to år / Sikkerhet

Sikkerhetsproblemer i programvare blir rapportert hele tiden. Generelt, svaret når et sikkerhetsproblem blir avdekket, er å takke (eller i mange tilfeller betale) forskeren som fant den, og deretter fikse problemet. Det er standardresponsen i bransjen.

Et bestemt ikke-standard svar ville være å saksøke folkene som rapporterte sårbarheten for å stoppe dem fra å snakke om det, og deretter bruke to år på å forsøke å skjule problemet. Dessverre, det er akkurat det tyske bilprodusenten Volkswagen gjorde.

Kryptografisk Carjacking

Sårbarheten i spørsmålet var en feil i noen biler 'nøklens tennsystem. Disse systemene, et high-end-alternativ til konvensjonelle nøkler, skal forhindre at bilen låses opp eller starter med mindre nøkkelfob er i nærheten. Brikken kalles “Megamos Crypto,” og er kjøpt fra en tredjeparts produsent i Sveits. Chippen skal oppdage et signal fra bilen, og svare med en kryptografisk signert melding. Kan du elektronisk signere dokumenter og burde du? Kan du elektronisk signere dokumenter og burde du? Kanskje du har hørt dine tech-kunnskapsrike venner kaste rundt både vilkårene elektronisk signatur og digital signatur. Kanskje du selv har hørt dem brukt om hverandre. Du bør imidlertid vite at de ikke er de samme. Faktisk, ... Les mer forsikring av bilen at det er greit å låse opp og starte.

Dessverre bruker brikken et utdatert kryptografisk system. Når forskerne Roel Verdult og Baris Ege la merke til dette, kunne de lage et program som bryter krypteringen ved å lytte til meldingene mellom bilen og nøkkelfob. Etter å ha hørt to slike utvekslinger, er programmet i stand til å begrense rekkevidden av mulige nøkler ned til ca. 200 000 muligheter - et nummer som lett kan bruttes av en datamaskin.

Denne prosessen lar programmet lage en “digital duplikat” av nøkkelfob, og låse opp eller start bilen på vilje. Alt dette kan gjøres av en enhet (som en bærbar datamaskin eller en telefon) som er nær vedkommende bil. Det krever ikke fysisk tilgang til kjøretøyet. Totalt tar angrepet omtrent tretti minutter.

Hvis dette angrepet høres teoretisk, er det ikke. Ifølge Londons Metropolitan Police ble 42% av biltyver i London i fjor utført ved hjelp av angrep mot nøkkelløse låste systemer. Dette er et praktisk sårbarhet som setter millioner av biler i fare.

Alt dette er mer tragisk, fordi nøkkelfylte opplåsingssystemer kan være mye sikrere enn konvensjonelle nøkler. Den eneste grunnen til at disse systemene er sårbare skyldes inkompetanse. De underliggende verktøyene er langt kraftigere enn noen fysisk lås kunne være.

Ansvarlig avsløring

Forskerne opplyste opprinnelig sårbarheten til skaperen av brikken, og ga dem ni måneder til å fikse sårbarheten. Når skaperen nektet å gi tilbakekalling, gikk forskerne til Volkswagen i mai 2013. De opprinnelig planla å publisere angrepet på USENIX-konferansen i august 2013, og ga Volkswagen omtrent tre måneder for å starte en tilbakekalling / ettermontering før angrepet ville bli offentlig.

I stedet saksøkte Volkswagen å stoppe forskerne fra å publisere papiret. En britisk høyesterett sidde med Volkswagen, og sa “Jeg anerkjenner den høye verdien av akademisk frihet, men det er en annen høy verdi, sikkerheten til millioner av Volkswagen-biler.”

Det er tatt to års forhandlinger, men forskerne får endelig lov til å publisere sitt papir, minus en setning som inneholder noen få viktige detaljer om replikering av angrepet. Volkswagen har fortsatt ikke løst nøkkelfobene, og heller ikke de andre produsentene som bruker samme chip.

Sikkerhet Av Litigiousness

Åpenbart er Volkswagens oppførsel her grovt uansvarlig. I stedet for å forsøke å fikse problemet med bilene, hellede de i stedet gud - vet hvor mye tid og penger de prøver å hindre folk i å finne ut om det. Det er en svik av de mest grunnleggende prinsippene for god sikkerhet. Deres oppførsel her er unexcusable, skammelig og andre (mer fargerike) invektiver som jeg vil spare deg for. Nok til å si dette er ikke hvordan ansvarlige selskaper skal oppføre seg.

Dessverre er det heller ikke unikt. Bilprodusenter har droppet sikkerhetskulen Kan Hackers virkelig ta over bilen din? Kan hackere virkelig ta over bilen din? Les mer forferdelig mye i det siste. I forrige måned ble det avslørt at en bestemt Jeepmodell kunne bli hacket trådløst gjennom sitt underholdningssystem. Hvor sikker er Internett-tilkoblet, selvkjørende biler? Hvor sikker er Internett-tilkoblet, selvkjørende biler? Er selvkjørende biler trygge? Kan Internett-tilkoblede biler brukes til å forårsake ulykker, eller til og med myrde dissentere? Google håper ikke, men et nylig eksperiment viser at det fortsatt er en lang vei å gå. Les mer, noe som ville være umulig i enhver sikkerhetsbevisst bildesign. Til Fiat Chrysler kreditt, tilbakekalte de mer enn en million kjøretøy i kjølvannet som åpenbaring, men først etter at de aktuelle forskerne døde hacken på en uansvarlig farlig og levende måte.

Millioner av andre Internett-tilkoblede biler er sannsynligvis sårbare for lignende angrep - men ingen har utilsiktet truet en journalist med dem ennå, så det har ikke vært noen tilbakekalling. Det er helt mulig at vi ikke vil se endring på disse før noen faktisk dør.

Problemet her er at bilprodusenter aldri har vært programvareprodusenter før - men nå er de plutselig. De har ingen sikkerhetsbevisst bedriftskultur. De har ikke den institusjonelle kompetansen til å håndtere disse problemene på riktige måter, eller bygge sikre produkter. Når de står overfor dem, er deres første svar panikk og censur, ikke rettelser.

Det tok tiår for moderne programvarefirmaer å utvikle gode sikkerhetspraksis. Noen, som Oracle, står fortsatt fast med utdaterte sikkerhetskulturer. Oracle ønsker å slutte å sende dem feil. Her er hvorfor det er gal Oracle vil stoppe med å sende dem feil. Her er hvorfor det er gal. Oracle er i varmt vann over et misforstått blogginnlegg av sikkerhet sjef, mary Davidson. Denne demonstrasjonen av hvordan Oracles sikkerhetsfilosofi avviker fra det vanlige ble ikke godt mottatt i sikkerhetssamfunnet ... Les mer. Dessverre har vi ikke luksusen til å bare vente på at selskapene skal utvikle disse praksiser. Biler er dyre (og ekstremt farlige) maskiner. De er et av de mest kritiske områdene av datasikkerhet, etter grunnleggende infrastruktur som elnettet. Med oppgangen til selvkjørende biler Historien er Bunk: Transportens fremtid vil være som ingenting du har sett før Historien er Bunk: Transportens fremtid vil bli som ingenting du har sett før I noen få tiår er uttrykket " førerløse bil 'kommer til å høres en forferdelig masse som' horseless carriage ', og ideen om å eie din egen bil vil høres like sjarmerende som å grave din egen brønn. Les mer spesielt, disse selskapene må gjøre det bedre, og det er vårt ansvar å holde dem til en høyere standard.

Mens vi jobber med det, er det minste vi kan gjøre, å få regjeringen til å slutte å aktivere denne dårlige oppførselen. Bedrifter bør ikke engang prøve å bruke domstolene til å skjule problemer med sine produkter. Men så lenge noen av dem er villige til å prøve, må vi absolutt ikke la dem. Det er viktig at vi har dommere som er klar over nok av teknologien og praksisene til den sikkerhetsbevisste programvareindustrien for å vite at denne typen gag-ordre aldri er det rette svaret.

Hva tror du? Er du bekymret for sikkerheten til kjøretøyet ditt? Hvilken bilprodusent er best (eller verste) ved sikkerhet?

Image Credits: åpner sin bil med nito via Shutterstock

Utforsk mer om: Automotive Technology, Hacking.