Τα τρωτά σημεία ασφαλείας του λογισμικού εμφανίζονται συνεχώς. Γενικά, η απάντηση όταν αποκαλύπτεται μια ευπάθεια είναι να ευχαριστήσετε (ή, σε πολλές περιπτώσεις, να πληρώσετε) τον ερευνητή που το βρήκε και, στη συνέχεια, να διορθώσετε το πρόβλημα. Αυτή είναι η τυπική απάντηση στον κλάδο.
Μια αποφασιστικά μη τυποποιημένη απάντηση θα ήταν να μηνύσει τους ανθρώπους που ανέφεραν την ευπάθεια για να τους εμποδίσουν να μιλήσουν γι 'αυτό και μετά να περάσουν δύο χρόνια προσπαθώντας να κρύψουν το θέμα. Δυστυχώς, αυτό ακριβώς έκανε η γερμανική αυτοκινητοβιομηχανία Volkswagen.
Κρυπτογραφική περιστροφή
Η εν λόγω ευπάθεια ήταν ένα ελαφρύ σύστημα κλειδώματος ανάφλεξης ορισμένων αυτοκινήτων. Αυτά τα συστήματα, μια εναλλακτική λύση υψηλής τεχνολογίας από τα συμβατικά πλήκτρα, υποτίθεται ότι εμποδίζουν το ξεκλείδωμα ή την εκκίνηση του αυτοκινήτου, εκτός και αν το πληκτρολόγιο βρίσκεται κοντά. Το τσιπ ονομάζεται "Megamos Crypto" και αγοράζεται από τρίτο κατασκευαστή στην Ελβετία. Το τσιπ υποτίθεται ότι ανιχνεύει ένα σήμα από το αυτοκίνητο και απαντάει με κρυπτογραφικά υπογεγραμμένο μήνυμα Μπορείτε να υπογράψετε ηλεκτρονικά τα έγγραφα και πρέπει να το κάνετε; Μπορείτε να υπογράψετε ηλεκτρονικά έγγραφα και θα έπρεπε; Ίσως έχετε ακούσει τους φίλους σας από την τεχνολογία να ρίξουν τους δύο όρους της ηλεκτρονικής υπογραφής και της ψηφιακής υπογραφής. Ίσως να τους έχετε ακούσει να χρησιμοποιηθούν εναλλακτικά. Ωστόσο, πρέπει να γνωρίζετε ότι δεν είναι τα ίδια. Στην πραγματικότητα, ... Διαβάστε περισσότερα εξασφαλίζοντας το αυτοκίνητο ότι είναι εντάξει για να ξεκλειδώσετε και να ξεκινήσετε.
Δυστυχώς, το τσιπ χρησιμοποιεί ένα ξεπερασμένο κρυπτογραφικό σχήμα. Όταν οι ερευνητές Roel Verdult και Baris Ege παρατήρησαν αυτό το γεγονός, κατάφεραν να δημιουργήσουν ένα πρόγραμμα που σπάει την κρυπτογράφηση ακούγοντας τα μηνύματα μεταξύ του αυτοκινήτου και του key-fob. Αφού ακούσει δύο τέτοιες ανταλλαγές, το πρόγραμμα είναι σε θέση να περιορίσει το εύρος των πιθανών πλήκτρων σε περίπου 200.000 δυνατότητες - έναν αριθμό που μπορεί εύκολα να ωθηθεί από έναν υπολογιστή.
Αυτή η διαδικασία επιτρέπει στο πρόγραμμα να δημιουργήσει ένα "ψηφιακό αντίγραφο" του κλειδιού-fob και να ξεκλειδώσει ή να ξεκινήσει το αυτοκίνητο κατά βούληση. Όλα αυτά μπορούν να γίνουν με μια συσκευή (όπως ένα φορητό υπολογιστή ή ένα τηλέφωνο) που συμβαίνει να βρίσκεται κοντά στο εν λόγω αυτοκίνητο. Δεν απαιτεί φυσική πρόσβαση στο όχημα. Συνολικά, η επίθεση διαρκεί περίπου τριάντα λεπτά.
Εάν αυτή η επίθεση ακούγεται θεωρητικά, δεν είναι. Σύμφωνα με την Μητροπολιτική Αστυνομία του Λονδίνου, το 42% των κλοπών αυτοκινήτων στο Λονδίνο πέρυσι πραγματοποιήθηκαν με επιθέσεις κατά συστημάτων χωρίς κλειδιά χωρίς ξεκλείδωμα. Πρόκειται για πρακτική ευπάθεια που θέτει σε κίνδυνο εκατομμύρια αυτοκίνητα.
Όλα αυτά είναι πιο τραγικά, επειδή τα συστήματα κλειδιού ξεκλειδώματος μπορούν να είναι πολύ ασφαλέστερα από τα συμβατικά κλειδιά. Ο μόνος λόγος για τον οποίο τα συστήματα αυτά είναι ευάλωτα οφείλεται στην ανικανότητα. Τα υποκείμενα εργαλεία είναι πολύ πιο ισχυρά από οποιαδήποτε φυσική κλειδαριά θα μπορούσε ποτέ να είναι.
Υπεύθυνη γνωστοποίηση
Οι ερευνητές αποκάλυψαν αρχικά την ευπάθεια στον δημιουργό του τσιπ, δίνοντάς τους εννέα μήνες για να διορθώσουν την ευπάθεια. Όταν ο δημιουργός αρνήθηκε να προβεί σε ανάκληση, οι ερευνητές πήγαν στη Volkswagen τον Μάιο του 2013. Αρχικά σχεδίαζαν να δημοσιεύσουν την επίθεση στο συνέδριο USENIX τον Αύγουστο του 2013, δίνοντας στην Volkswagen περίπου τρεις μήνες για να ξεκινήσει μια ανάκληση / αναβάθμιση, να γίνουν δημόσιοι.
Αντ 'αυτού, η Volkswagen μήνυσε να σταματήσει τους ερευνητές να δημοσιεύσουν το χαρτί. Ένα βρετανικό ανώτατο δικαστήριο συμμετείχε με τη Volkswagen λέγοντας: "Αναγνωρίζω την υψηλή αξία της ακαδημαϊκής ελευθερίας του λόγου, αλλά υπάρχει και μια άλλη αξία, η ασφάλεια εκατομμυρίων αυτοκινήτων Volkswagen."
Χρειάστηκαν δύο χρόνια διαπραγματεύσεων, αλλά οι ερευνητές τελικά έχουν τη δυνατότητα να δημοσιεύσουν το έγγραφό τους, μείον μία πρόταση που περιέχει μερικές βασικές λεπτομέρειες σχετικά με την επανάληψη της επίθεσης. Η Volkswagen εξακολουθεί να μην έχει καθορίσει τα key-fobs, και ούτε οι άλλοι κατασκευαστές χρησιμοποιούν το ίδιο τσιπ.
Ασφάλεια με ασυμμετρία
Προφανώς, η συμπεριφορά της Volkswagen είναι εντελώς ανεύθυνη. Αντί να προσπαθήσουν να διορθώσουν το πρόβλημα με τα αυτοκίνητά τους, έριξαν το θεό - ξέρουν πόσο χρόνο και χρήμα προσπαθούν να σταματήσουν οι άνθρωποι να το μάθουν. Αυτή είναι μια προδοσία των πιο θεμελιωδών αρχών της καλής ασφάλειας. Η συμπεριφορά τους εδώ είναι ασυγχώρητη, επαίσχυντη και άλλα (πιο πολύχρωμα) invectives που θα σας αποζητήσω. Αρκεί να πούμε ότι δεν πρέπει να συμπεριφέρονται οι υπεύθυνες εταιρείες.
Δυστυχώς, δεν είναι επίσης μοναδικό. Οι αυτοκινητοβιομηχανίες έχουν πτώση της μπάλας ασφαλείας Μπορούν οι χάκερ ΠΡΑΓΜΑΤΙΚΑ να αναλάβουν το αυτοκίνητό σας; Μπορούν οι χάκερ ΠΡΑΓΜΑΤΙΚΑ να αναλάβουν το αυτοκίνητό σας; Διαβάστε περισσότερα ένα φοβερό πολύ τελευταία. Τον περασμένο μήνα, αποκαλύφθηκε ότι ένα συγκεκριμένο μοντέλο Jeep θα μπορούσε να πειραματιστεί ασύρματα μέσω του συστήματος ψυχαγωγίας του. Πώς είναι ασφαλή τα συνδεδεμένα με το Διαδίκτυο Αυτοκίνητα Αυτοκινήτου; Πόσο ασφαλείς συνδέονται με το Διαδίκτυο, Αυτοκίνητα Αυτοκινήτου; Είναι ασφαλή τα αυτοκίνητα αυτοκίνησης; Θα μπορούσαν τα αυτοκίνητα που συνδέονται με το Διαδίκτυο να χρησιμοποιηθούν για να προκαλέσουν ατυχήματα, ή ακόμη και να δολοφονήσουν διαφωνούντες; Η Google δεν ελπίζει, αλλά ένα πρόσφατο πείραμα δείχνει ότι υπάρχει ακόμη πολύς δρόμος. Διαβάστε περισσότερα, κάτι που θα ήταν αδύνατο σε οποιοδήποτε σχεδιασμό αυτοκινήτου που είναι συνείδηση της ασφάλειας. Για την πίστωση της Fiat Chrysler, υπενθύμισαν περισσότερα από ένα εκατομμύριο οχήματα μετά την αποκάλυψη, αλλά μόνο αφού οι εν λόγω ερευνητές αποτίμησαν την χαρά με έναν ανεύθυνα επικίνδυνο και έντονο τρόπο.
Εκατομμύρια άλλα οχήματα που συνδέονται με το Ίντερνετ είναι πιθανώς ευάλωτα σε παρόμοιες επιθέσεις - αλλά κανείς δεν απειλεί απερίσκεπτα έναν δημοσιογράφο μαζί τους, οπότε δεν υπάρχει ανάκληση. Είναι απολύτως πιθανό ότι δεν θα δούμε αλλαγή σε αυτά μέχρι κάποιος να πεθάνει πραγματικά.
Το πρόβλημα είναι ότι οι κατασκευαστές αυτοκινήτων δεν ήταν ποτέ κατασκευαστές λογισμικού πριν - αλλά τώρα είναι ξαφνικά. Δεν έχουν καθόλου συνειδητή εταιρική κουλτούρα. Δεν διαθέτουν την θεσμική εμπειρογνωμοσύνη για να αντιμετωπίσουν αυτά τα προβλήματα με τους σωστούς τρόπους ή να κατασκευάσουν ασφαλή προϊόντα. Όταν τα αντιμετωπίζουν, η πρώτη τους απάντηση είναι ο πανικός και η λογοκρισία, όχι οι διορθώσεις.
Χρειάστηκαν δεκαετίες για τις σύγχρονες εταιρείες λογισμικού να αναπτύξουν καλές πρακτικές ασφαλείας. Ορισμένοι, όπως η Oracle, εξακολουθούν να έχουν κολλήσει με ξεπερασμένες πολιτικές ασφαλείας Oracle θέλει να σταματήσετε να τους στείλετε σφάλματα - Εδώ είναι γιατί αυτό είναι τρελό Oracle θέλει να σταματήσετε να τους στείλετε σφάλματα - Εδώ είναι γιατί αυτό είναι τρελό Oracle είναι σε ζεστό νερό πάνω από μια λανθασμένη θέση blog από την ασφάλεια επικεφαλής, Mary Davidson. Αυτή η επίδειξη του τρόπου με τον οποίο η φιλοσοφία ασφαλείας της Oracle απομακρύνεται από την επικρατούσα τάση δεν έγινε καλά στην κοινότητα ασφαλείας ... Διαβάστε περισσότερα. Δυστυχώς, δεν έχουμε την πολυτέλεια απλά να περιμένουμε τις εταιρείες να αναπτύξουν αυτές τις πρακτικές. Τα αυτοκίνητα είναι ακριβά (και εξαιρετικά επικίνδυνα) μηχανήματα. Είναι ένας από τους πιο κρίσιμους τομείς της ασφάλειας υπολογιστών, μετά από βασική υποδομή όπως το ηλεκτρικό δίκτυο. Με την άνοδο των αυτοκινήτων με αυτο-οδήγηση Η ιστορία είναι Bunk: Το μέλλον της μεταφοράς θα είναι σαν τίποτα που έχετε δει πριν η ιστορία είναι κουκέτα: Το μέλλον της μεταφοράς θα είναι σαν τίποτα που δεν έχετε δει Πριν από λίγες δεκαετίες, η φράση ' οδηγό αυτοκίνητο »πρόκειται να ακούγεται μια φοβερή παρτίδα σαν« άλογο μεταφοράς », και η ιδέα της ιδιοκτησίας του δικού σας αυτοκινήτου θα ακούγεται τόσο περίεργη όσο σκάβετε το δικό σας πηγάδι. Διαβάστε πιο συγκεκριμένα, αυτές οι εταιρείες πρέπει να κάνουν καλύτερα και είναι δική μας ευθύνη να τους κρατάμε σε υψηλότερο επίπεδο.
Ενώ εργαζόμαστε σε αυτό, το ελάχιστο που μπορούμε να κάνουμε είναι να κάνουμε την κυβέρνηση να σταματήσει να επιτρέπει αυτή την κακή συμπεριφορά. Οι εταιρείες δεν πρέπει ούτε καν να προσπαθήσουν να χρησιμοποιήσουν τα δικαστήρια για να κρύψουν τα προβλήματα με τα προϊόντα τους. Όμως, εφόσον ορισμένοι από αυτούς είναι πρόθυμοι να προσπαθήσουν, σίγουρα δεν πρέπει να τους αφήσουμε. Είναι ζωτικής σημασίας να έχουμε δικαστές που γνωρίζουν αρκετά την τεχνολογία και τις πρακτικές της βιομηχανίας λογισμικού που έχει συνείδηση της ασφάλειας να γνωρίζουν ότι αυτό το είδος παραγγελίας gag δεν είναι ποτέ η σωστή απάντηση.
Τι νομίζετε; Ανησυχείτε για την ασφάλεια του οχήματός σας; Ποιος κατασκευαστής αυτοκινήτων είναι καλύτερος (ή χειρότερος) στην ασφάλεια;
Image Credits: ανοίγοντας το αυτοκίνητό του από το nito μέσω του Shutterstock