VW ha fatto causa ai ricercatori per nascondere il difetto di sicurezza per due anni

VW ha fatto causa ai ricercatori per nascondere il difetto di sicurezza per due anni / Sicurezza

Le vulnerabilità della sicurezza del software vengono segnalate continuamente. Generalmente, la risposta quando viene scoperta una vulnerabilità è di ringraziare (o, in molti casi, pagare) il ricercatore che l'ha trovata, e quindi risolvere il problema. Questa è la risposta standard nel settore.

Una risposta decisamente non standard sarebbe quella di citare in giudizio le persone che hanno segnalato la vulnerabilità per impedire loro di parlarne, e quindi trascorrere due anni cercando di nascondere il problema. Purtroppo, questo è esattamente ciò che ha fatto la casa automobilistica tedesca Volkswagen.

Carjacking crittografico

La vulnerabilità in questione era un difetto del sistema di accensione senza chiave di alcune auto. Questi sistemi, un'alternativa di fascia alta alle chiavi convenzionali, dovrebbero impedire all'auto di sbloccarsi o avviarsi a meno che il portachiavi non si trovi nelle vicinanze. Il chip è chiamato il “Megamos Crypto,” ed è acquistato da un produttore di terze parti in Svizzera. Il chip dovrebbe rilevare un segnale dall'automobile e rispondere con un messaggio firmato crittograficamente. Puoi firmare e documenti firmati elettronicamente? Puoi firmare elettronicamente i documenti e dovresti? Forse hai sentito i tuoi amici esperti di tecnologia gettare sia i termini firma elettronica che la firma digitale. Forse li hai persino sentiti usati in modo intercambiabile. Tuttavia, dovresti sapere che non sono la stessa cosa. In effetti, ... Leggi di più assicurando alla vettura che è possibile sbloccarlo e avviarlo.

Sfortunatamente, il chip utilizza uno schema crittografico obsoleto. Quando i ricercatori Roel Verdult e Baris Ege hanno notato questo fatto, sono stati in grado di creare un programma che rompe la crittografia ascoltando i messaggi tra la macchina e il portachiavi. Dopo aver ascoltato due di questi scambi, il programma è in grado di restringere la gamma di possibili chiavi fino a circa 200.000 possibilità: un numero che può essere facilmente forzato da un computer.

Questo processo consente al programma di creare a “duplicato digitale” del portachiavi, e sbloccare o avviare l'auto a volontà. Tutto ciò può essere fatto da un dispositivo (come un laptop o un telefono) che si trova vicino all'auto in questione. Non richiede l'accesso fisico al veicolo. In totale, l'attacco dura circa trenta minuti.

Se questo attacco suona teorico, non lo è. Secondo la Metropolitan Police di Londra, il 42% dei furti di auto avvenuti a Londra lo scorso anno sono stati eseguiti utilizzando attacchi contro i sistemi senza chiave sbloccati. Questa è una vulnerabilità pratica che mette a rischio milioni di automobili.

Tutto questo è più tragico, perché i sistemi di sblocco senza chiave possono essere molto più sicuri dei tasti convenzionali. L'unico motivo per cui questi sistemi sono vulnerabili è dovuto all'incompetenza. Gli strumenti sottostanti sono molto più potenti di qualsiasi blocco fisico possa mai essere.

Divulgazione responsabile

I ricercatori hanno inizialmente rivelato la vulnerabilità al creatore del chip, dando loro nove mesi per risolvere la vulnerabilità. Quando il creatore si è rifiutato di rilasciare un richiamo, i ricercatori sono andati a Volkswagen nel maggio del 2013. Inizialmente avevano pianificato di pubblicare l'attacco alla conferenza USENIX nell'agosto 2013, dando a Volkswagen circa tre mesi per iniziare un richiamo / retrofit, prima che l'attacco diventare pubblico.

Invece, Volkswagen ha fatto causa per impedire ai ricercatori di pubblicare la carta. Un tribunale britannico si schierò con Volkswagen, dicendo “Riconosco l'alto valore della libertà di parola accademica, ma c'è un altro grande valore, la sicurezza di milioni di auto Volkswagen.”

Ci sono voluti due anni di negoziati, ma ai ricercatori è stato finalmente concesso di pubblicare il loro documento, meno una frase che contiene alcuni dettagli chiave sulla replica dell'attacco. Volkswagen non ha ancora fissato i portachiavi e nemmeno gli altri produttori utilizzano lo stesso chip.

Sicurezza per litigiosità

Ovviamente, il comportamento di Volkswagen qui è grossolanamente irresponsabile. Piuttosto che cercare di risolvere il problema con le loro auto, hanno invece versato dio - sa quanto tempo e denaro nel tentativo di impedire alla gente di scoprirlo. Questo è un tradimento dei principi fondamentali di buona sicurezza. Il loro comportamento qui è imperdonabile, vergognoso e altre (più colorate) invettive che ti risparmierò. Basti dire che questo non è il modo in cui le aziende responsabili dovrebbero comportarsi.

Sfortunatamente, non è nemmeno unico. I produttori di automobili hanno abbandonato la sfera di sicurezza. Gli hacker possono davvero prendere il controllo della tua auto? Gli hacker possono davvero prendere il controllo della tua auto? Leggi di più un sacco di cose ultimamente. Il mese scorso, è stato rivelato che un particolare modello di Jeep poteva essere hackerato in modalità wireless attraverso il suo sistema di intrattenimento. Quanto sono sicure le auto a guida di Internet connesse? Quanto sono sicure le auto autonome connesse a Internet? Le auto che guidano da soli sono al sicuro? Le automobili connesse a Internet potrebbero essere utilizzate per causare incidenti o addirittura assassinare i dissidenti? Google non spera, ma un recente esperimento mostra che c'è ancora molta strada da fare. Per saperne di più, qualcosa che sarebbe impossibile in qualsiasi progettazione automobilistica attenta alla sicurezza. A credito di Fiat Chrysler, hanno ricordato più di un milione di veicoli sulla scia di quella rivelazione, ma solo dopo che i ricercatori in questione hanno provato l'hack in modo irresponsabilmente pericoloso e vivido.

Milioni di altri veicoli connessi a Internet sono probabilmente vulnerabili a simili attacchi - ma nessuno ha incautamente minacciato un giornalista con loro, quindi non c'è stato alcun richiamo. È del tutto possibile che non vedremo cambiamenti su questi fino a quando qualcuno non muore realmente.

Il problema qui è che i produttori di automobili non sono mai stati produttori di software prima - ma ora lo sono all'improvviso. Non hanno una cultura aziendale attenta alla sicurezza. Non hanno le competenze istituzionali per affrontare questi problemi nel modo giusto o per creare prodotti sicuri. Quando sono di fronte a loro, la loro prima risposta è il panico e la censura, non le correzioni.

Ci vollero decenni perché le moderne società di software sviluppassero buone pratiche di sicurezza. Alcuni, come Oracle, sono ancora bloccati da culture di sicurezza obsolete Oracle vuole smetterla di inviarli - Ecco perché è pazzesco Oracle vuole smetterla di inviarli - Ecco perché è pazzo Oracle è in acqua calda su un post sul blog sbagliato dalla sicurezza capo, Mary Davidson. Questa dimostrazione di come la filosofia della sicurezza di Oracle si allontani dal mainstream non è stata accolta bene nella comunità della sicurezza ... Per saperne di più. Sfortunatamente, non abbiamo il lusso di aspettare semplicemente che le aziende sviluppino queste pratiche. Le macchine sono macchine costose (ed estremamente pericolose). Sono una delle aree più critiche della sicurezza informatica, dopo un'infrastruttura di base come la rete elettrica. Con l'ascesa delle auto a guida autonoma La storia è cuccetta: il futuro dei trasporti sarà come nulla che non hai visto prima che la storia diventi una cuccagna: il futuro dei trasporti sarà come nulla che non hai visto prima In pochi decenni, la frase ' la macchina senza conducente "suonerà molto come" una carrozza senza cavalli ", e l'idea di possedere la propria auto sembrerà strana come scavare nel proprio pozzo. Per saperne di più, in particolare, queste aziende devono fare meglio, ed è nostra responsabilità tenerle ad un livello più alto.

Mentre ci stiamo lavorando, il minimo che possiamo fare è convincere il governo a smettere di abilitare questo cattivo comportamento. Le aziende non dovrebbero nemmeno provare a usare i tribunali per nascondere i problemi con i loro prodotti. Ma, fino a quando alcuni di loro sono disposti a provare, non dovremmo certamente lasciarli. È fondamentale avere giudici abbastanza consapevoli della tecnologia e delle pratiche del settore del software attento alla sicurezza per sapere che questo tipo di ordine bavaglio non è mai la risposta giusta.

Cosa pensi? Sei preoccupato per la sicurezza del tuo veicolo? Quale produttore automatico è il migliore (o il peggiore) per la sicurezza?

Crediti immagine: apre la sua auto da Nito tramite Shutterstock

Scopri di più su: Automotive Technology, Hacking.