VW ha citato in giudizio i ricercatori per nascondere un difetto di sicurezza per due anni

Annuncio pubblicitario

Le vulnerabilità di sicurezza del software vengono segnalate in ogni momento. Generalmente, la risposta quando viene scoperta una vulnerabilità è ringraziare (o, in molti casi, pagare) il ricercatore che l'ha trovata, e quindi risolvere il problema. Questa è la risposta standard nel settore.

Una risposta decisamente non standard sarebbe quella di citare in giudizio le persone che hanno segnalato la vulnerabilità per impedire loro di parlarne, e quindi passare due anni a cercare di nascondere il problema. Purtroppo, quello è esattamente quello che ha fatto la casa automobilistica tedesca Volkswagen.

Carjacking crittografico

La vulnerabilità in questione era un difetto del sistema di accensione senza chiave di alcune auto. Questi sistemi, un'alternativa di fascia alta alle chiavi convenzionali, dovrebbero impedire all'auto di sbloccarsi o avviarsi a meno che il telecomando non si trovi nelle vicinanze. Il chip si chiama "Megamos Crypto" e viene acquistato da un produttore di terze parti in Svizzera. Il chip dovrebbe rilevare un segnale dall'auto e rispondere con a

messaggio con firma crittografica Puoi firmare elettronicamente i documenti e dovresti?Forse hai sentito i tuoi amici esperti di tecnologia buttare in giro sia i termini firma elettronica che firma digitale. Forse li hai persino sentiti usati in modo intercambiabile. Tuttavia, dovresti sapere che non sono gli stessi. Infatti,... Leggi di più assicurando alla macchina che va bene sbloccare e iniziare.

Sfortunatamente, il chip utilizza uno schema crittografico obsoleto. Quando i ricercatori Roel Verdult e Baris Ege hanno notato questo fatto, sono stati in grado di creare un programma che rompe la crittografia ascoltando i messaggi tra l'auto e il telecomando. Dopo aver ascoltato due di questi scambi, il programma è in grado di restringere la gamma di possibili chiavi a circa 200.000 possibilità, un numero che può essere facilmente forzato da un computer.

Questo processo consente al programma di creare un "duplicato digitale" del telecomando e sbloccare o avviare la macchina a piacimento. Tutto ciò può essere fatto da un dispositivo (come un laptop o un telefono) che si trova vicino all'auto in questione. Non richiede l'accesso fisico al veicolo. In totale, l'attacco dura circa trenta minuti.

Se questo attacco sembra teorico, non lo è. Secondo la polizia metropolitana di Londra, Il 42% dei furti d'auto a Londra l'anno scorso è stato eseguito utilizzando attacchi contro sistemi sbloccati senza chiave. Questa è una vulnerabilità pratica che mette a rischio milioni di auto.

Tutto ciò è più tragico, perché i sistemi di sblocco senza chiave possono essere molto più sicuri delle chiavi convenzionali. L'unica ragione per cui questi sistemi sono vulnerabili è dovuta all'incompetenza. Gli strumenti sottostanti sono molto più potenti di quanto potrebbe mai essere un blocco fisico.

Divulgazione responsabile

I ricercatori hanno originariamente rivelato la vulnerabilità al creatore del chip, dando loro nove mesi per risolvere la vulnerabilità. Quando il creatore ha rifiutato di emettere un richiamo, i ricercatori sono andati alla Volkswagen nel maggio del 2013. Inizialmente avevano pianificato di pubblicare l'attacco alla conferenza USENIX nell'agosto 2013, dando alla Volkswagen circa tre mesi per iniziare un richiamo / retrofit, prima che l'attacco diventasse pubblico.

Invece, la Volkswagen ha fatto causa per impedire ai ricercatori di pubblicare l'articolo. Un'alta corte britannica schierato con la Volkswagen, dicendo "Riconosco l'alto valore della libertà di parola accademica, ma c'è un altro valore elevato, la sicurezza di milioni di automobili Volkswagen".

Ci sono voluti due anni di trattative, ma i ricercatori sono finalmente autorizzati a farlo pubblica il loro articolo, meno una frase che contiene alcuni dettagli chiave sulla replica dell'attacco. La Volkswagen non ha ancora riparato i telecomandi, e nemmeno gli altri produttori utilizzano lo stesso chip.

Sicurezza per litigiosità

Ovviamente, il comportamento della Volkswagen qui è decisamente irresponsabile. Invece di cercare di risolvere il problema con le loro auto, hanno invece versato dio-sa quanto tempo e denaro nel tentativo di impedire alle persone di scoprirlo. Questo è un tradimento dei principi fondamentali della buona sicurezza. Il loro comportamento qui è ingiustificabile, vergognoso e altre invettive (più colorate) che ti risparmierò. Basti dire che non è così che dovrebbero comportarsi le aziende responsabili.

Sfortunatamente, non è nemmeno unico. Le case automobilistiche hanno lasciato cadere la palla di sicurezza Gli hacker possono davvero assumere la tua auto? Leggi di più moltissimo ultimamente. Il mese scorso, è stato rivelato che potrebbe essere un modello particolare di Jeep violato senza fili attraverso il suo sistema di intrattenimento Quanto sono sicure le auto a guida autonoma collegate a Internet?Le auto a guida autonoma sono sicure? Le automobili connesse a Internet potrebbero essere usate per provocare incidenti o addirittura assassinare dissidenti? Google spera di no, ma un recente esperimento mostra che c'è ancora molta strada da fare. Leggi di più , qualcosa che sarebbe impossibile in qualsiasi progetto di auto attento alla sicurezza. A credito di Fiat Chrysler, hanno ricordato più di un milione di veicoli sulla scia di quella rivelazione, ma solo dopo che i ricercatori in questione hanno dimostrato l'hack in un modo irresponsabilmente pericoloso e vivido.

Milioni di altri veicoli connessi a Internet lo sono probabilmente vulnerabile ad attacchi simili - ma nessuno ha incautamente messo in pericolo un giornalista con loro, quindi non c'è stato alcun ricordo. È del tutto possibile che non vedremo cambiamenti su questi fino a quando qualcuno non morirà davvero.

Il problema qui è che i produttori di automobili non sono mai stati produttori di software prima, ma ora lo sono improvvisamente. Non hanno una cultura aziendale attenta alla sicurezza. Non hanno le competenze istituzionali per affrontare questi problemi nel modo giusto o per costruire prodotti sicuri. Quando si trovano di fronte a loro, la loro prima risposta è panico e censura, non correzioni.

Ci sono voluti decenni per le moderne società di software per sviluppare buone pratiche di sicurezza. Alcuni, come Oracle, sono ancora bloccato con culture della sicurezza obsolete Oracle vuole smettere di inviarli bug: ecco perché è pazzescoOracle è in acqua calda su un post errato del blog del capo della sicurezza, Mary Davidson. Questa dimostrazione di come la filosofia di sicurezza di Oracle si discosti dal mainstream non è stata accolta bene nella comunità della sicurezza ... Leggi di più . Sfortunatamente, non abbiamo il lusso di aspettare semplicemente che le aziende sviluppino queste pratiche. Le auto sono macchine costose (ed estremamente pericolose). Sono una delle aree più critiche della sicurezza informatica, dopo l'infrastruttura di base come la rete elettrica. Con il aumento delle auto a guida autonoma La storia è a castello: il futuro dei trasporti sarà come niente che tu abbia mai visto primaTra qualche decennio, la frase "auto senza conducente" suonerà in modo molto simile a "carrozza senza cavalli" e l'idea di possedere la tua auto suonerà tanto bizzarra quanto scavare il tuo pozzo. Leggi di più in particolare, queste aziende devono fare di meglio ed è nostra responsabilità mantenerle a uno standard più elevato.

Mentre ci stiamo lavorando, il minimo che possiamo fare è convincere il governo a smettere di abilitare questo cattivo comportamento. Le aziende non dovrebbero nemmeno provare a usare i tribunali per nascondere problemi con i loro prodotti. Ma, fintanto che alcuni di loro sono disposti a provare, non dovremmo certo lasciarli. È fondamentale che i giudici siano sufficientemente consapevoli della tecnologia e delle pratiche dell'industria del software attenti alla sicurezza da sapere che questo tipo di ordine di bavaglio non è mai la risposta giusta.

Cosa ne pensi? Sei preoccupato per la sicurezza del tuo veicolo? Quale produttore automobilistico è il migliore (o il peggio) in sicurezza?

Crediti immagine:aprendo la sua macchina di nito via Shutterstock