Mainos
Ohjelmistoturvallisuuden haavoittuvuuksista ilmoitetaan jatkuvasti. Yleensä vastaus haavoittuvuuden paljastamiseen on kiittää (tai monissa tapauksissa maksaa) tutkijalle, joka löysi sen, ja korjata sitten ongelma. Se on alan tavanomainen vastaus.
Päättäväisesti epästandardi vastaus olisi haastaa haavoittuvuudesta ilmoittaneet ihmiset estämään heitä puhumasta asiasta ja viettää sitten kaksi vuotta yrittämällä piilottaa asian. Valitettavasti se on mitä saksalainen autonvalmistaja Volkswagen teki.
Salaus Carjacking
Kyseessä oleva haavoittuvuus oli virhe joidenkin autojen avaimeton sytytysjärjestelmä. Näiden järjestelmien, jotka ovat huippuluokan vaihtoehto tavanomaisille avaimille, on tarkoitus estää auton lukituksen avaamista tai käynnistymistä, ellei avaimenperää ole lähellä. Sirun nimi on “Megamos Crypto”, ja se ostetaan kolmannelta valmistajalta Sveitsistä. Sirun on tarkoitus havaita autosta tuleva signaali ja vastata näppäimellä salattu viesti Voitko allekirjoittaa asiakirjat sähköisesti ja pitäisikö sinun? Ehkä olet kuullut teknisesti taitava ystäväsi heittävän sekä sähköisen allekirjoituksen että digitaalisen allekirjoituksen termejä. Ehkä olet jopa kuullut heidän käyttävän vuorottelevasti. Sinun tulisi kuitenkin tietää, että ne eivät ole samoja. Itse asiassa,... Lue lisää vakuuttamalla autolle, että lukituksen avaaminen ja käynnistäminen on kunnossa.
Valitettavasti siru käyttää vanhentunutta salaustekniikkaa. Kun tutkijat Roel Verdult ja Baris Ege huomasivat tämän tosiasian, he pystyivät luomaan ohjelman, joka katkaisee salauksen kuuntelemalla viestejä auton ja näppäimistön välillä. Kuultuaan kaksi tällaista vaihtoa ohjelma pystyy kaventamaan mahdollisten näppäimien lukumäärän noin 200 000 mahdollisuuteen - numeroon, jonka tietokone voi helposti raa'asti pakottaa.
Tämän prosessin avulla ohjelma voi luoda avaimenperän ”digitaalisen kopion” ja avata tai käynnistää auton haluamallaan tavalla. Kaikki tämä voidaan tehdä laitteella (kuten kannettava tietokone tai puhelin), joka sattuu olemaan lähellä kyseistä autoa. Se ei vaadi fyysistä pääsyä ajoneuvoon. Hyökkäys kestää yhteensä noin 30 minuuttia.
Jos tämä hyökkäys kuulostaa teoreettiselta, niin ei ole. Lontoon metropolitan poliisin mukaan, Lontoon autonvarkauksista 42% viime vuonna tehtiin hyökkäyksillä avaimetonta lukitsematonta järjestelmää vastaan. Tämä on käytännöllinen haavoittuvuus, joka vaarantaa miljoonat autot.
Kaikki tämä on traagisempaa, koska avaimeton avausjärjestelmä voi olla paljon turvallisempi kuin perinteiset avaimet. Ainoa syy, jonka vuoksi nämä järjestelmät ovat haavoittuvia, johtuu epäpätevyydestä. Taustalla olevat työkalut ovat paljon tehokkaampia kuin mikään fyysinen lukitus koskaan voisi olla.
Vastuullinen ilmoittaminen
Tutkijat alun perin paljastivat haavoittuvuuden sirun luojalle antaen heille yhdeksän kuukautta haavoittuvuuden korjaamiseksi. Kun luoja kieltäytyi myöntämästä muistiota, tutkijat menivät Volkswageniin toukokuussa 2013. He aikoivat alun perin julkaista hyökkäyksen elokuussa 2013 pidetyssä USENIX-konferenssissa, jolloin Volkswagenille annettiin noin kolme kuukautta aikaa aloittaa palauttaminen / uudelleenjärjestely, ennen kuin hyökkäys tulee julkiseksi.
Sen sijaan Volkswagen haastoi tutkijat estämään julkaisemasta paperia. Ison-Britannian korkein oikeus sivussa Volkswagenin kanssa, sanoen "tunnustan akateemisen sanan korkean arvon, mutta miljoonien Volkswagen-autojen turvallisuus on myös toinen korkea arvo".
Neuvottelut vievät kaksi vuotta, mutta tutkijoille annetaan lopulta mahdollisuus julkaisee heidän paperinsa, miinus yksi lause, joka sisältää muutamia keskeisiä tietoja hyökkäyksen toistamisesta. Volkswagen ei ole vieläkään kiinnittänyt avainnipuja, eikä myöskään muita valmistajia, jotka käyttävät samaa sirua.
Turvallisuus oikeudenkäynnin kautta
On selvää, että Volkswagenin käyttäytyminen täällä on erittäin vastuutonta. Sen sijaan, että yrittäisivät korjata ongelmaa autoillaan, he kaatoivat sen sijaan jumalaa - tietää kuinka paljon aikaa ja rahaa yrittää estää ihmisiä selvittämästä sitä. Se on hyvän turvallisuuden keskeisimpien periaatteiden pettäminen. Heidän käyttäytymisensä täällä on anteeksiantamatonta, häpeällistä ja muita (värikkäitä) houkutuksia, jotka säästän sinulle. Riittää, kun sanotaan, että vastuullisten yritysten ei tulisi toimia.
Valitettavasti se ei ole myöskään ainutlaatuinen. Autonvalmistajat ovat pudottaneet turvapalloa Voivatko hakkerit todella ottaa autoosi? Lue lisää hirveä paljon viime aikoina. Viime kuussa paljastettiin, että tietty Jeep-malli voisi olla langattomasti hakkeroitu viihdejärjestelmänsä kautta Kuinka turvallisia internetyhteydet ovat, itse ajavat autot?Ovatko itse ajavat autot turvallisia? Voisiko Internet-yhteydellä varustettuja autoja aiheuttaa onnettomuuksia tai jopa tappaa toisinajattelijoita? Google toivoo, että ei, mutta äskettäinen kokeilu osoittaa, että tiellä on vielä pitkä matka. Lue lisää , mikä olisi mahdotonta turvallisuustietoisessa autosuunnittelussa. Fiat Chryslerin luottoon, he muistuttivat yli miljoona ajoneuvoa tämän ilmoituksen jälkeen, mutta vasta sen jälkeen kun kyseiset tutkijat esittivät hakkeroinnin vastuuttomasti vaarallinen ja elävä tapa.
Miljoonat muut Internet-yhteyteen kytketyt ajoneuvot ovat todennäköisesti alttiita vastaaville hyökkäyksille - mutta kukaan ei ole vielä huolestuttamatta vaarannut toimittajaa heidän mukanaan, joten muistamista ei ole tapahtunut. On täysin mahdollista, että emme näe muutosta näissä ennen kuin joku todella kuolee.
Ongelmana on se, että autonvalmistajat eivät ole koskaan olleet ohjelmistojen valmistajia aiemmin - mutta nyt he yhtäkkiä ovat. Heillä ei ole turvallisuustietoista yrityskulttuuria. Heillä ei ole institutionaalista asiantuntemusta käsitellä näitä ongelmia oikeilla tavoilla tai rakentaa turvallisia tuotteita. Kun he joutuvat kohtaamaan heitä, heidän ensimmäinen vastauksensa on paniikki ja sensuuri, ei korjaukset.
Hyvien tietoturvakäytäntöjen kehittäminen kesti vuosikymmenien ajan nykyaikaisten ohjelmistoyritysten toimesta. Jotkut, kuten Oracle, ovat edelleen jumissa vanhentuneista turvallisuuskulttuurista Oracle toivoo sinun lopettavan virheiden lähettämisen - tästä syystä se on hulluaOracle on kuumassa vedessä turvapäällikkö Mary Davidsonin väärin kirjoitetun blogiviestin yli. Tätä osoitusta siitä, kuinka Oraclen turvallisuusfilosofia poikkeaa valtavirrasta, ei otettu hyvin vastaan turvallisuusyhteisössä ... Lue lisää . Valitettavasti meillä ei ole ylellisyyttä vain odottaa yritysten kehittävän näitä käytäntöjä. Autot ovat kalliita (ja erittäin vaarallisia) koneita. Ne ovat yksi kriittisimmistä tietoturvan aloista perusinfrastruktuurin, kuten sähköverkon, jälkeen. Kanssa itsenäisten autojen nousu Historia on kerrossänky: Kuljetusten tulevaisuus tulee olemaan kuin mikään aiemmin nähnytMuutamassa vuosikymmenessä ilmaus ”kuljettajaton auto” kuulostaa kauhealta paljon kuin ”hevoseton kuljetus”, ja ajatus omistaa oma auto kuulostaa yhtä viehättävältä kuin oman kaivon kaivaminen. Lue lisää erityisesti näiden yritysten on tehtävä paremmin, ja meidän velvollisuutemme on pitää ne korkeammalla tasolla.
Kun työskentelemme sen parissa, ainakin mitä voimme tehdä, on saada hallitus lopettamaan tämän pahan käytöksen salliminen. Yritysten ei pitäisi edes yrittää käyttää tuomioistuimia piilottaakseen tuotteisiin liittyviä ongelmia. Mutta niin kauan kuin jotkut heistä ovat halukkaita yrittämään, meidän ei todellakaan pitäisi antaa heidän päästää. On elintärkeää, että meillä on tuomareita, jotka tietävät tarpeeksi tietoturvatietoisen ohjelmistoteollisuuden tekniikat ja käytännöt tietääkseen, että tällainen gag-järjestys ei ole koskaan oikea vastaus.
Mitä mieltä sinä olet? Oletko huolissasi ajoneuvosi turvallisuudesta? Mikä autovalmistaja on paras (tai huonoin) turvassa?
Kuvapisteet:avaamalla hänen autonsa lähettäjä nito Shutterstockin kautta
Kirjailija ja toimittaja, joka sijaitsee Lounaisosassa, Andre takuuvarmasti pysyy toiminnassa jopa 50 celsiusasteeseen saakka ja on vesitiivis kahdentoista jalkan syvyyteen asti.
