VW Araştırmacılara İki Yıl Boyunca Güvenlik Kusurunu Gizleme Davası Açtı

İlan

Yazılım güvenlik açıkları her zaman bildirilir. Genel olarak, bir güvenlik açığının ortaya çıktığı yanıt, onu bulan araştırmacıya teşekkür etmek (veya çoğu durumda ödeme yapmak) ve ardından sorunu düzeltmektir. Endüstrideki standart yanıt budur.

Kesinlikle standart olmayan bir yanıt, güvenlik açığını bildiren kişilere bu konuda konuşmalarını durdurmak için dava açmak ve ardından sorunu gizlemeye çalışmak için iki yıl harcamak olacaktır. Ne yazık ki, bu Alman otomobil üreticisi Volkswagen tam olarak ne yaptı.

Kriptografik Taşınma

Söz konusu güvenlik açığı, bazı araçların anahtarsız ateşleme sistemindeki bir hataydı. Geleneksel anahtarlara yüksek kaliteli bir alternatif olan bu sistemlerin, anahtarlık yakında olmadığı sürece aracın kilidinin açılmasını veya çalışmasını önlediği varsayılır. Çip “Megamos Crypto” olarak adlandırılıyor ve İsviçre'deki üçüncü taraf bir üreticiden satın alınmış. Çipin arabadan bir sinyal algılaması ve bir şifreli olarak imzalanmış mesaj Belgeleri Elektronik Olarak İmzalayabilir misiniz?

Belki de teknoloji meraklı arkadaşlarınızın elektronik imza ve dijital imza terimlerini attığını duydunuz. Belki de birbirlerinin yerine kullanıldığını duymuşsunuzdur. Ancak, bunların aynı olmadığını bilmelisiniz. Aslında,... Daha fazla oku arabanın kilidini açmanın ve çalıştırmanın uygun olduğunu garanti etmek.

Ne yazık ki, çip eski bir kriptografik şema kullanıyor. Araştırmacılar Roel Verdult ve Barış Ege bu gerçeği fark ettiklerinde, araba ile anahtarlık arasındaki mesajları dinleyerek şifrelemeyi kıran bir program oluşturabildiler. Bu tür iki değiş tokuş duyduktan sonra, program olası anahtarların aralığını yaklaşık 200.000 olasılıkla daraltabilir - bir bilgisayar tarafından kolayca zorla zorlanabilen bir sayı.

Bu işlem, programın anahtarlığın "dijital bir kopyasını" oluşturmasına ve aracın kilidini açmasına veya istediği zaman çalıştırmasına izin verir. Tüm bunlar, söz konusu arabanın yakınında bulunan bir cihaz (dizüstü bilgisayar veya telefon gibi) tarafından yapılabilir. Araca fiziksel erişim gerektirmez. Toplamda, saldırı yaklaşık otuz dakika sürer.

Eğer bu saldırı teorik geliyorsa, öyle değil. Londra’nın Büyükşehir Polisine göre, Geçen yıl Londra'da araba hırsızlığının% 42'si anahtarsız kilit açma sistemlerine yönelik saldırılar kullanılarak gerçekleştirildi. Bu, milyonlarca aracı riske atan pratik bir güvenlik açığıdır.

Tüm bunlar daha trajiktir, çünkü anahtarsız kilit açma sistemleri geleneksel anahtarlardan çok daha güvenli olabilir. Bu sistemlerin savunmasız olmasının tek nedeni yetersizliktir. Altta yatan araçlar, herhangi bir fiziksel kilidin olabileceğinden çok daha güçlüdür.

Sorumlu Açıklama

Araştırmacılar başlangıçta bu güvenlik açığını çipin yaratıcısına açıkladı ve bu güvenlik açığını düzeltmeleri için dokuz ay verdi. Yaradan bir geri çağırma yapmayı reddettiğinde, araştırmacılar Mayıs 2013'te Volkswagen'e gitti. Başlangıçta, Ağustos 2013'te USENIX konferansında saldırıyı yayınlamayı planladılar ve Volkswagen, saldırı halka açılmadan önce geri çağırma / güçlendirme için yaklaşık üç ay verdi.

Volkswagen bunun yerine araştırmacıların makaleyi yayınlamasını durdurmak için dava açtı. İngiliz yüksek mahkemesi Volkswagen ile taraflı“Akademik konuşma özgürlüğünün yüksek değerini tanıyorum ama milyonlarca Volkswagen otomobillerinin güvenliği başka bir yüksek değer daha var” dedi.

İki yıllık müzakere sürdü, ancak araştırmacıların nihayet makalelerini yayınla, eksi bir cümle içerir ve bu da saldırıyı çoğaltma hakkında birkaç önemli ayrıntı içerir. Volkswagen hala anahtarlıkları düzeltmedi ve aynı çipi kullanan diğer üreticiler de yok.

Okuryazarlığa Göre Güvenlik

Açıkçası, Volkswagen’in buradaki davranışı büyük ölçüde sorumsuzdur. Sorunu arabalarıyla çözmeye çalışmak yerine, tanrı-bilirler, insanların bu konuyu öğrenmesini engellemeye ne kadar zaman ve para harcadıklarını biliyorlardı. Bu, iyi güvenliğin en temel ilkelerine ihanettir. Buradaki davranışları, sizi koruyacağım, affedilemez, utanç verici ve diğer (daha renkli) istilalardır. Sorumlu şirketlerin böyle davranması gerektiğini söylemek yeterli.

Ne yazık ki, benzersiz de değil. Otomobil üreticileri güvenlik topunu düşürüyor Hackerlar GERÇEKTEN Arabanızı Devralabilir mi? Daha fazla oku son zamanlarda çok fazla. Geçen ay, belirli bir Jeep modelinin eğlence sistemi sayesinde kablosuz olarak hacklendi İnternet Bağlantılı, Kendinden Sürüşlü Arabalar Ne Kadar Güvenli?Kendi kendine giden arabalar güvenli midir? İnternet bağlantılı otomobiller kazalara, hatta muhaliflere suikast düzenlemek için kullanılabilir mi? Google ummuyor, ancak yakın zamanda yapılan bir deneyde daha yapılacak çok yol var. Daha fazla oku , güvenlik bilincine sahip herhangi bir otomobil tasarımında imkansız olacak bir şey. Fiat Chrysler’in kredisine, bir milyondan fazla aracı hatırladılar bu vahiyin ardından, ancak söz konusu araştırmacılar sorumsuzca tehlikeli ve canlı bir şekilde.

İnternete bağlı diğer milyonlarca araç muhtemelen benzer saldırılara karşı savunmasız - ama kimse onlarla bir gazeteciyi umursamaz bir şekilde tehlikeye atmadı, bu yüzden hatırlanmadı. Birisi gerçekten ölene kadar bunlar üzerinde değişiklik görmeyeceğiz.

Buradaki sorun, araba üreticilerinin daha önce hiç yazılım üreticisi olmamış olması - ama şimdi aniden. Güvenlik bilincine sahip kurum kültürleri yoktur. Bu sorunlarla doğru şekilde ilgilenmek veya güvenli ürünler oluşturmak için kurumsal uzmanlığa sahip değiller. Onlarla karşı karşıya kaldıklarında, ilk tepkileri düzeltmeler değil panik ve sansürdür.

Modern yazılım şirketlerinin iyi güvenlik uygulamaları geliştirmeleri onlarca yıl aldı. Oracle gibi bazıları hala eski güvenlik kültürleri ile sıkışmış Oracle Onları Hata Göndermeyi Durdurmak İstiyor - İşte Bu Neden ÇılgınOracle, güvenlik şefi Mary Davidson tarafından yanlış yönlendirilmiş bir blog yazısı üzerinden sıcak suda. Oracle'ın güvenlik felsefesinin ana akımdan nasıl ayrıldığına dair bu gösteri, güvenlik topluluğunda iyi karşılanmadı ... Daha fazla oku . Ne yazık ki, şirketlerin bu uygulamaları geliştirmesini beklemek gibi bir lüksümüz yok. Arabalar pahalı (ve son derece tehlikeli) makinelerdir. Elektrik şebekesi gibi temel altyapıdan sonra bilgisayar güvenliğinin en kritik alanlarından biridir. İle kendi kendine giden arabaların yükselişi Tarih Ranza: Ulaştırmanın Geleceği Daha Önce Gördüğünüz Hiçbir Şey DeğilBirkaç on yıl içinde, 'sürücüsüz araba' ifadesi 'horseless carriage' gibi korkunç bir ses çıkaracak ve kendi arabanıza sahip olma fikri, kendi kuyunuzu kazmak kadar tuhaf gelecektir. Daha fazla oku özellikle, bu şirketler daha iyisini yapmak zorundadır ve onları daha yüksek bir standartta tutmak bizim sorumluluğumuzdur.

Biz bunun üzerinde çalışırken, yapabileceğimiz en az şey hükümetin bu kötü davranışı etkinleştirmeyi bırakmasını sağlamak. Şirketler, ürünleri ile ilgili sorunları gizlemek için mahkemeleri kullanmaya bile çalışmamalıdır. Ancak, bazıları denemeye istekli oldukları sürece, kesinlikle onlara izin vermemeliyiz. Güvenlik bilincine sahip yazılım endüstrisinin teknoloji ve uygulamalarından yeterince haberdar olan hâkimlerimizin bu tür tıkaç düzeninin asla doğru cevap olmadığını bilmesi hayati önem taşımaktadır.

Ne düşünüyorsun? Aracınızın güvenliğinden endişe duyuyor musunuz? Hangi otomobil üreticisi güvenlik açısından en iyi (veya en kötü)?

Resim Kredileri:arabasını açmak yazan nito aracılığıyla Shutterstock