VW подала в суд на исследователей, чтобы скрыть уязвимость в течение двух лет

Реклама

Об уязвимостях программного обеспечения сообщают постоянно. Как правило, в случае обнаружения уязвимости необходимо поблагодарить (или, во многих случаях, заплатить) исследователя, который его обнаружил, и затем устранить проблему. Это стандартный ответ в отрасли.

Решительно нестандартным ответом было бы подать в суд на людей, которые сообщили об уязвимости, чтобы помешать им говорить об этом, а затем потратить два года, пытаясь скрыть проблему. К сожалению, это именно то, что сделал немецкий производитель автомобилей Volkswagen.

Криптографический угон

Рассматриваемая уязвимость была недостатком системы зажигания без ключа в некоторых автомобилях. Предполагается, что эти системы, альтернатива обычным ключам высокого класса, предотвращают разблокировку или запуск автомобиля, если брелок не находится рядом. Чип называется «Megamos Crypto» и приобретается у стороннего производителя в Швейцарии. Чип должен обнаружить сигнал от машины и ответить криптографически подписанное сообщение Можете ли вы подписать документы в электронном виде?

Возможно, вы слышали, как ваши технически подкованные друзья используют термины электронная подпись и цифровая подпись. Возможно, вы даже слышали, как они взаимозаменяемы. Однако вы должны знать, что они не одинаковы. По факту,... Читать далее заверяя машину, что все в порядке, чтобы разблокировать и запустить.

К сожалению, чип использует устаревшую криптографическую схему. Когда исследователи Роэль Вердулт и Барис Эге заметили этот факт, они смогли создать программу, которая нарушает шифрование, прослушивая сообщения между автомобилем и брелоком. Выслушав два таких обмена, программа может сузить диапазон возможных ключей до примерно 200 000 возможностей - число, которое может быть легко взломано компьютером.

Этот процесс позволяет программе создать «цифровую копию» брелка и разблокировать или запустить автомобиль по желанию. Все это может быть сделано с помощью устройства (например, ноутбука или телефона), которое находится рядом с рассматриваемой машиной. Не требует физического доступа к транспортному средству. В общей сложности атака занимает около тридцати минут.

Если эта атака звучит теоретически, это не так. По данным лондонской столичной полиции42% угонов автомобилей в Лондоне в прошлом году были совершены с использованием атак на системы без ключа. Это практическая уязвимость, которая подвергает риску миллионы автомобилей.

Все это более трагично, поскольку системы разблокировки без ключа могут быть намного более безопасными, чем обычные ключи. Единственная причина, по которой эти системы уязвимы, связана с некомпетентностью. Базовые инструменты намного мощнее, чем любая физическая блокировка.

Ответственное раскрытие

Первоначально исследователи раскрыли уязвимость создателю чипа, предоставив им девять месяцев для устранения уязвимости. Когда создатель отказался выдать отзыв, исследователи отправились на Volkswagen в мае 2013 года. Изначально они планировали опубликовать атаку на конференции USENIX в августе 2013 года, предоставив Volkswagen около трех месяцев, чтобы начать отзыв / модернизацию, прежде чем атака станет общедоступной.

Вместо этого Volkswagen подал в суд, чтобы помешать исследователям опубликовать статью. Британский верховный суд на стороне Фольксвагена, говоря: «Я признаю высокую ценность академической свободы слова, но есть и другая ценность - безопасность миллионов автомобилей Volkswagen».

Потребовались два года переговоров, но исследователям наконец разрешили опубликовать свою статью, минус одно предложение, которое содержит несколько ключевых деталей о репликации атаки. Volkswagen до сих пор не исправил брелки, как и другие производители, использующие тот же чип.

Безопасность с помощью судебного разбирательства

Очевидно, что поведение Volkswagen здесь крайне безответственно. Вместо того, чтобы пытаться решить проблему с их автомобилями, они вместо этого вылили бог-знает, сколько времени и денег пытаются помешать людям узнать об этом. Это предательство самых фундаментальных принципов хорошей безопасности. Их поведение здесь непростительно, постыдно и другие (более красочные) инвективы, которые я пощадил. Достаточно сказать, что ответственные компании не должны вести себя так.

К сожалению, это также не уникально. Автопроизводители сбрасывают мяч безопасности Могут ли хакеры ДЕЙСТВИТЕЛЬНО захватить ваш автомобиль? Читать далее очень много в последнее время. В прошлом месяце выяснилось, что конкретная модель Jeep может быть по беспроводной связи через систему развлечений Насколько безопасны подключенные к Интернету автомобили с автоматическим управлением?Безопасны ли авто вождения? Могут ли автомобили, подключенные к Интернету, использоваться для несчастных случаев или даже для убийства несогласных? Google надеется, что нет, но недавний эксперимент показывает, что предстоит еще долгий путь. Читать далее что-то, что было бы невозможно в любой заботящейся о безопасности конструкции автомобиля. К чести Fiat Chrysler, они отозвали более миллиона автомобилей после этого откровения, но только после того, как исследователи продемонстрировали взломать безответственно опасный и яркий способ.

Миллионы других подключенных к Интернету транспортных средств вероятно, уязвимы для подобных атак - но никто до сих пор не опрометчиво подверг опасности журналистов, поэтому отозваний не было. Вполне возможно, что мы не увидим изменений, пока кто-то не умрет.

Проблема в том, что автопроизводители никогда не были разработчиками программного обеспечения, но теперь они внезапно стали. У них нет заботящейся о безопасности корпоративной культуры. У них нет институционального опыта, чтобы правильно решать эти проблемы или создавать безопасные продукты. Когда они сталкиваются с ними, их первым ответом является паника и цензура, а не исправления.

Современным компаниям-разработчикам программного обеспечения потребовались десятилетия, чтобы разработать эффективные методы обеспечения безопасности. Некоторые, как Oracle, до сих пор застрял с устаревшей культурой безопасности Oracle хочет, чтобы вы прекратили отправлять сообщения об ошибках - вот почему это безумиеОракул находится в горячей воде из-за ошибочного сообщения в блоге начальника службы безопасности Мэри Дэвидсон. Эта демонстрация того, как философия безопасности Oracle отходит от мейнстрима, не была хорошо воспринята сообществом безопасности ... Читать далее . К сожалению, мы не можем позволить себе просто ждать, пока компании разовьют эту практику. Автомобили дорогие (и крайне опасные) машины. Они являются одной из наиболее важных областей компьютерной безопасности после базовой инфраструктуры, такой как электросеть. С рост самостоятельных автомобилей История нары: будущее транспорта не будет похоже на то, что вы видели раньшеЧерез несколько десятилетий фраза «автомобиль без водителя» будет звучать очень похоже на «карету без лошадей», и идея владения собственным автомобилем будет звучать так же странно, как копать собственный колодец. Читать далее в частности, эти компании должны работать лучше, и наша обязанность - поддерживать их на более высоком уровне.

Пока мы работаем над этим, самое меньшее, что мы можем сделать, - это заставить правительство прекратить разрешать это плохое поведение. Компании не должны даже пытаться использовать суды, чтобы скрыть проблемы со своими продуктами. Но, пока некоторые из них готовы попробовать, мы, конечно, не должны их допускать. Крайне важно, чтобы у нас были судьи, которые достаточно осведомлены о технологиях и методах индустрии программного обеспечения, которые заботятся о безопасности, чтобы знать, что такого рода приказ о клятве никогда не является правильным ответом.

Что вы думаете? Вы обеспокоены безопасностью своего автомобиля? Какой автопроизводитель лучше (или хуже) в безопасности?

Кредиты изображений:открывая свою машину Нито через Shutterstock