Reklama
Chyby zabezpečenia softvéru sú neustále hlásené. Všeobecne platí, že reakciou, keď sa odhalí zraniteľnosť, je poďakovať (alebo v mnohých prípadoch zaplatiť) výskumnému pracovníkovi, ktorý ju našiel, a potom problém vyriešiť. Toto je štandardná reakcia v priemysle.
Rozhodne neštandardnou reakciou by bolo podať žalobu proti ľuďom, ktorí ohlásili zraniteľnosť, aby im zabránili hovoriť o tom, a potom by strávili dva roky pokusom skryť tento problém. Je smutné, že je presne to, čo urobil nemecký výrobca automobilov Volkswagen.
Kryptografické únosy
Uvedenou zraniteľnosťou bola chyba systému bezkľúčového zapaľovania niektorých automobilov. Tieto systémy, high-end alternatíva k tradičným kľúčom, majú zabrániť vozidlu v odomknutí alebo naštartovaní, pokiaľ nie je kľúč v blízkosti. Čip sa nazýva „Megamos Crypto“ a je zakúpený od výrobcu tretej strany vo Švajčiarsku. Čip má detekovať signál z auta a reagovať pomocou a kryptograficky podpísaná správa Môžete elektronicky podpisovať dokumenty a mali by ste? Možno ste počuli, že vaši technicky zdatní priatelia hádajú pojmy elektronický podpis aj digitálny podpis. Možno ste ich dokonca počuli zamieňať. Mali by ste však vedieť, že nie sú rovnaké. V skutočnosti,... Čítaj viac uistiť auto, že je v poriadku odomknúť a naštartovať.
Nanešťastie čip používa zastaranú kryptografickú schému. Keď si vedci Roel Verdult a Baris Ege všimli túto skutočnosť, boli schopní vytvoriť program, ktorý prerušuje šifrovanie počúvaním správ medzi autom a príveskom na kľúče. Po vypočutí dvoch takýchto výmen je program schopný zúžiť rozsah možných klávesov na približne 200 000 možností - číslo, ktoré môže počítač ľahko vynútiť hrubou silou.
Tento proces umožňuje programu vytvoriť „digitálny duplikát“ ovládača a odomknúť alebo naštartovať vozidlo podľa vlastného výberu. To všetko sa dá dosiahnuť pomocou zariadenia (napríklad notebooku alebo telefónu), ktoré sa nachádza blízko príslušného automobilu. Nevyžaduje sa fyzický prístup k vozidlu. Celkovo útok trvá asi tridsať minút.
Ak tento útok znie teoreticky, nie je. Podľa londýnskej metropolitnej polície, 42% krádeží automobilov v Londýne minulý rok bolo vykonaných pomocou útokov proti bezkľúčovým odomknutým systémom. Toto je praktická zraniteľnosť, ktorá ohrozuje milióny automobilov.
To všetko je tragickejšie, pretože systémy bezkľúčového odomykania môžu byť oveľa bezpečnejšie ako bežné kľúče. Jediným dôvodom, prečo sú tieto systémy zraniteľné, je nekompetentnosť. Podkladové nástroje sú omnoho výkonnejšie ako akýkoľvek fyzický zámok, aký kedy mohol byť.
Zodpovedné zverejnenie
Vedci pôvodne odhalili túto chybu pre tvorcu čipu, ktorý im dal deväť mesiacov na nápravu tejto chyby. Keď tvorca odmietol odvolať, vedci odišli do spoločnosti Volkswagen v máji 2013. Pôvodne plánovali zverejniť útok na konferencii USENIX v auguste 2013, čo Volkswagenu poskytlo približne tri mesiace na začatie stiahnutia alebo dodatočného vybavenia skôr, ako sa útok stane verejným.
Namiesto toho Volkswagen žaloval, aby výskumníkom zabránil vydávať noviny. Britský vrchný súd na boku s Volkswagen, ktorý hovorí: „Uznávam vysokú hodnotu akademickej slobody prejavu, existuje však ďalšia vysoká hodnota, bezpečnosť miliónov automobilov Volkswagen.“
Trvalo to dva roky rokovaní, ale vedci sa konečne môžu dovoliť publikovať svoj príspevok, mínus jedna veta, ktorá obsahuje niekoľko kľúčových podrobností o replikácii útoku. Spoločnosť Volkswagen stále nemontovala prívesky na kľúče a nemá ani ostatných výrobcov, ktorí používajú rovnaký čip.
Bezpečnosť na základe náboženstva
Správanie spoločnosti Volkswagen je samozrejme úplne nezodpovedné. Namiesto toho, aby sa pokúsili vyriešiť problém svojimi automobilmi, namiesto toho naliali bohom viete, koľko času a peňazí sa snažili zabrániť ľuďom, aby sa o tom dozvedeli. Je to zrada najzákladnejších zásad dobrej bezpečnosti. Ich správanie je tu neospravedlniteľné, hanebné a iné (farebnejšie) invektíva, ktoré vám ušetrím. Stačí povedať, že to nie je spôsob, akým by sa mali zodpovedné spoločnosti správať.
Bohužiaľ to tiež nie je jedinečné. Automobilky upúšťajú bezpečnostnú loptu Môžu hackeri skutočne prevziať auto? Čítaj viac v poslednej dobe hrozne veľa. Minulý mesiac sa zistilo, že konkrétnym modelom Jeepu môže byť bezdrôtovo hacknutý prostredníctvom svojho zábavného systému Ako bezpečné sú samohybné autá s pripojením na internet?Sú vozidlá s vlastným riadením bezpečné? Mohli by byť automobily s pripojením na internet použité na spôsobenie nehôd alebo dokonca na zavraždenie disidentov? Google dúfa, že nie, ale nedávny experiment ukazuje, že je ešte pred nami ešte dlhá cesta. Čítaj viac , niečo, čo by nebolo možné v akomkoľvek dizajne automobilov so zvýšenou bezpečnosťou. K úveru spoločnosti Fiat Chrysler pripomenuli si viac ako milión vozidiel v nadväznosti na toto odhalenie, ale až potom, ako príslušní vedci demonštrovali hack v nezodpovedne nebezpečným a živým spôsobom.
Milióny ďalších vozidiel pripojených na internet sú pravdepodobne zraniteľné podobnými útokmi - ale nikto s nimi bezohľadne neohrozil novinárov, takže nedošlo k žiadnemu stiahnutiu. Je úplne možné, že sa k nim nedozvieme, kým niekto skutočne nezomrie.
Problém je v tom, že výrobcovia automobilov nikdy predtým neboli výrobcami softvéru - ale teraz sú náhle. Nemajú žiadnu firemnú kultúru zameranú na bezpečnosť. Nemajú inštitucionálne skúsenosti na to, aby sa s týmito problémami vyrovnali správnym spôsobom, ani aby nevytvárali bezpečné produkty. Keď sa s nimi stretnú, ich prvou reakciou je panika a cenzúra, nie ich oprava.
Moderným softvérovým spoločnostiam trvalo desaťročia, kým vypracovali osvedčené postupy zabezpečenia. Niektorí, ako napríklad Oracle, sú stále prilepené na zastarané bezpečnostné kultúry Oracle si želá, aby ste ich prestali posielať - tu je dôvod, prečo je to šialenéOracle je v horúcej vode kvôli zavádzajúcemu blogovému príspevku vedúceho bezpečnosti Mary Davidsonovej. Táto ukážka toho, ako sa filozofia bezpečnosti spoločnosti Oracle odchyľuje od hlavného prúdu, nebola v komunite bezpečnosti prijatá dobre ... Čítaj viac . Bohužiaľ nemáme luxus len čakať, až spoločnosti vyvinú tieto postupy. Autá sú drahé (a mimoriadne nebezpečné) stroje. Sú jednou z najdôležitejších oblastí počítačovej bezpečnosti po základnej infraštruktúre, ako je elektrická sieť. S vzostup vozidiel s vlastným riadením História je Bunk: Budúcnosť dopravy nebude ako nič, čo ste predtým videliZa pár desaťročí bude fráza „auto bez vodiča“ znieť strašne podobne ako „jazda bez jazdca“ a myšlienka vlastniť vlastné auto bude znieť rovnako kuriózne ako kopanie vlastnej. Čítaj viac najmä tieto spoločnosti musia konať lepšie a je našou zodpovednosťou držať ich na vyššej úrovni.
Keď na tom pracujeme, musíme prinajmenšom urobiť to, aby vláda zastavila toto zlé správanie. Spoločnosti by sa nemali snažiť používať súdy na zakrytie problémov so svojimi výrobkami. Ale pokiaľ sú niektorí z nich ochotní vyskúšať, určite by sme ich im nemali dovoliť. Je nevyhnutné, aby sme mali sudcov, ktorí sú dostatočne informovaní o technológiách a postupoch softvérového priemyslu zameraného na bezpečnosť, aby vedeli, že tento druh poradia roubíka nie je nikdy tou správnou odpoveďou.
Co si myslis? Máte obavy o bezpečnosť vášho vozidla? Ktorý výrobca automobilov je z hľadiska bezpečnosti najlepší (alebo najhorší)?
Kredity obrázkov:otvoril svoje auto od nito cez Shutterstock
Andrej, spisovateľ a novinár so sídlom na juhozápade, má zaručenú funkčnosť do 50 stupňov Celzia a je vodotesný do hĺbky 12 stôp.