Реклама
О угрожењима софтверске безбедности стално се извештава. Генерално, одговор када се открије рањивост је захвалити (или у многим случајевима платити) истраживачу који га је пронашао, а затим решити проблем. То је стандардни одговор у индустрији.
Одлучно нестандардни одговор био би тужити људе који су пријавили рањивост како би их спречили да разговарају о томе, а затим провести две године покушавајући да сакрију проблем. Нажалост, то је то тачно оно што је радио немачки произвођач аутомобила Волксваген.
Цриптограпхиц Царјацкинг
Предметна рањивост била је недостатак система паљења без кључа неких аутомобила. Ови системи, врхунска алтернатива конвенционалним кључевима, требало би да спрече да се аутомобил откључа или покрене, осим ако се кључа не налази у близини. Чип се зове „Мегамос Црипто“, а купује се од трећег произвођача у Швајцарској. Чип треба да детектује сигнал из аутомобила и да одговори с криптографски потписана порука Можете ли електронски потписати документе и да ли би требали? Можда сте чули ваше пријатеље који се баве технологијом бацају се око термина електронски и дигитални потпис. Можда сте чак чули да их замењује. Међутим, требали бисте знати да они нису исти. Заправо,... Опширније увјеравајући аутомобил да је у реду откључати и стартати.
Нажалост, чип користи застарелу криптографску шему. Када су истраживачи Роел Вердулт и Барис Еге приметили ту чињеницу, успели су да направе програм који разбија шифровање слушајући поруке између аутомобила и кључа. Након што је чуо две такве размене, програм је у стању да сузи распон могућих тастера на око 200.000 могућности - број који рачунар може лако присилити.
Овај поступак омогућава програму да створи "дигитални дупликат" кључа и откључа или покрене аутомобил по вољи. Све ово може да уради уређај (попут лаптопа или телефона) који се налази у близини аутомобила. Не захтева физички приступ возилу. Укупно напад траје око тридесет минута.
Ако овај напад звучи теоретски, није. Према лондонској метрополитанској полицији, Прошле године 42% крађа аутомобила у Лондону извршено је нападима против откључаних система без кључа. Ово је практична рањивост која угрожава милионе аутомобила.
Све је то трагичније, јер системи за откључавање без кључа могу бити много сигурнији од класичних кључева. Једини разлог зашто су ови системи рањиви је због некомпетентности. Основни алати су далеко моћнији од било којег физичког закључавања икада.
Одговорно обелодањивање
Истраживачи су првотно открили рањивост творцу чипа, дајући им девет месеци да исправе рањивост. Када је творац одбио да повуче опозив, истраживачи су отишли у Фолксваген у мају 2013. године. Првобитно су планирали да напад нападну на УСЕНИКС конференцији у августу 2013. године, чиме је Волксваген дао око три месеца да започне опозив / накнаду, пре него што је напад постао јаван.
Уместо тога, Волксваген је тужио да заустави истраживаче у објављивању рада. Британски високи суд на страну Волксваген, рекавши: „Препознајем високу вредност академског слободног говора, али постоји још једна велика вредност, сигурност милиона аутомобила Волксваген“.
Требале су две године преговора, али истраживачима је то коначно дозвољено објављују свој рад, минус једна реченица која садржи неколико кључних детаља о понављању напада. Волксваген још увек није поправио кључеве, а немају и остали произвођачи који користе исти чип.
Сигурност Лакошћу
Очигледно је да је понашање Фолксвагена овде крајње неодговорно. Уместо да покушавају да реше проблем својим аутомобилима, уместо тога уливали су побогу колико времена и новца покушавају да спрече људе да сазнају за то. То је издаја најосновнијих принципа добре безбедности. Њихово понашање овде је неопростиво, срамотно и друге (шареније) инвестиције које ћу вам поштедјети. Довољно је рећи да ово није начин понашања одговорних компанија.
Нажалост, такође није јединствен. Аутомеханичари бацају сигурносну лопту Могу ли хакери заиста преузети ваш аутомобил? Опширније у последње време. Прошлог месеца откривено је да би одређени модел џипа могао да буде бежично хакован кроз свој забавни систем Колико су сигурни интернетски повезани аутомобили са аутоматским управљањем?Да ли су самовозна возила сигурна? Да ли се аутомобили повезани са Интернетом могу користити за изазивање несрећа или чак за убиства неистомишљеника? Гоогле се нада да неће, али недавни експеримент показује да постоји још дуг пут. Опширније , нешто што би било немогуће у било којем безбедносном дизајну аутомобила. За заслугу Фиат Цхрислера, присјетили су се више од милион возила у јеку тог открића, али тек након што су дотични истраживачи демонирали хацк у ан неодговорно опасан и живописан начин.
Милиони других возила повезаних са Интернетом су вероватно рањиви на сличне нападе - али нико још није безобзирно угрозио новинаре са њима, тако да није било опозива. Сасвим је могуће да на њима нећемо видети промену док неко стварно не умре.
Проблем је у томе што произвођачи аутомобила никада раније нису били произвођачи софтвера - али сада се одједном појављују. Немају корпоративну културу која није свесна безбедности. Они немају институционалну стручност да се са тим проблемима носе на прави начин или не граде сигурне производе. Кад се суоче са њима, њихов први одговор је паника и цензура, а не поправке.
Модерним софтверским компанијама биле су потребне деценије да развију добре безбедносне праксе. Неки су, попут Орацле-а, још увек заглављен са застарелим безбедносним културама Орацле жели да престанете да им шаљете грешке - ево зашто је то лудоОрацле је у врућој води због погрешно постављеног блога шефа осигурања, Мари Давидсон. Ова демонстрација како се Орацле-ова сигурносна филозофија удаљава од главног тока није добро примљена у безбедносној заједници ... Опширније . Нажалост, немамо луксуз да једноставно чекамо компаније да развију ове праксе. Аутомобили су скупе (и изузетно опасне) машине. Они су једно од најкритичнијих подручја рачунарске сигурности, након основне инфраструктуре попут електричне мреже. Са пораст аутомобила који се возе Историја је бунк: Будућност транспорта биће као ништа што сте раније виделиЗа неколико деценија фраза „аутомобил без возача“ звучиће грозно попут „кочија без коња“, а идеја о поседовању сопственог аутомобила звучиће чудно као и копање сопственог бунара. Опширније посебно ове компаније морају да раде боље, а наша је одговорност да их држимо на вишим стандардима.
Док радимо на томе, најмање што можемо да учинимо јесте да влада престане да омогућава ово лоше понашање. Компаније не би требале чак ни да покушавају да користе судове да сакрију проблеме са својим производима. Али, све док су неки од њих вољни пробати, ми им то свакако не бисмо смели дозволити. Од виталног је значаја да имамо судије које су довољно свесне технологије и праксе безбедносне софтверске индустрије да знају да овакав редослед никада није прави одговор.
Шта мислиш? Да ли сте забринути за сигурност свог возила? Који је произвођач аутомобила најбољи (или најгори) у погледу сигурности?
Имаге Цредитс:отварајући свој аутомобил аутор: нито преко Схуттерстоцк
Писац и новинар са северозапада, Андре је загарантовано да ће остати функционалан до 50 степени Целзијуса, а водоотпоран је до дубине од дванаест стопа.
