Содержание
Об уязвимостях программного обеспечения сообщают постоянно. Как правило, в случае обнаружения уязвимости необходимо поблагодарить (или, во многих случаях, заплатить) исследователя, который его обнаружил, и затем устранить проблему. Это стандартный ответ в отрасли.
Решительно нестандартным ответом было бы подать в суд на людей, которые сообщили об уязвимости, чтобы помешать им говорить об этом, а затем потратить два года, пытаясь скрыть проблему. К сожалению, это именно то, что сделал немецкий производитель автомобилей Volkswagen.
Криптографический угон
Рассматриваемая уязвимость была недостатком системы зажигания без ключа в некоторых автомобилях. Предполагается, что эти системы, альтернатива обычным ключам высокого класса, предотвращают разблокировку или запуск автомобиля, если брелок не находится рядом. Чип называется «Megamos Crypto» и приобретается у стороннего производителя в Швейцарии. Предполагается, что чип обнаружит сигнал от автомобиля и ответит криптографически подписанным сообщением.
заверяя машину, что все в порядке, чтобы разблокировать и запустить.
К сожалению, чип использует устаревшую криптографическую схему. Когда исследователи Роэль Вердулт и Барис Эге заметили этот факт, они смогли создать программу, которая нарушает шифрование, прослушивая сообщения между автомобилем и брелоком. Выслушав два таких обмена, программа может сузить диапазон возможных ключей до примерно 200 000 возможностей — число, которое может быть легко взломано компьютером.
Этот процесс позволяет программе создать «цифровую копию» брелка и разблокировать или запустить автомобиль по желанию. Все это может быть сделано с помощью устройства (например, ноутбука или телефона), которое находится рядом с рассматриваемой машиной. Не требует физического доступа к автомобилю. В общей сложности атака занимает около тридцати минут.
Если эта атака звучит теоретически, это не так. По данным столичной полиции Лондона, 42% угонов автомобилей в Лондоне в прошлом году были совершены с использованием атак на системы без ключа. Это практическая уязвимость, которая подвергает риску миллионы автомобилей.
Все это более трагично, поскольку системы разблокировки без ключа могут быть намного более безопасными, чем обычные ключи. Единственная причина, по которой эти системы уязвимы, связана с некомпетентностью. Базовые инструменты гораздо мощнее, чем любая физическая блокировка.
Ответственное раскрытие
Первоначально исследователи раскрыли уязвимость создателю чипа, предоставив им девять месяцев для устранения уязвимости. Когда создатель отказался отозвать отзыв, исследователи отправились на Volkswagen в мае 2013 года. Первоначально они планировали опубликовать атаку на конференции USENIX в августе 2013 года, предоставив Volkswagen около трех месяцев для начала отзыва / модернизации, прежде чем атака будет стать публичным.
Вместо этого Volkswagen подал в суд, чтобы помешать исследователям опубликовать статью. Британский верховный суд встал на сторону Volkswagen, заявив: «Я признаю высокую ценность академической свободы слова, но есть и другая важная ценность — безопасность миллионов автомобилей Volkswagen».
На переговоры ушло два года, но исследователям наконец-то разрешили опубликовать свой документ, за исключением одного предложения, в котором содержится несколько ключевых деталей о повторении атаки. Volkswagen до сих пор не исправил брелки, как и другие производители, использующие тот же чип.
Безопасность с помощью судебного разбирательства
Очевидно, что поведение Volkswagen здесь крайне безответственно. Вместо того, чтобы пытаться решить проблему с их автомобилями, они вместо этого вылили бог-знает, сколько времени и денег пытаются помешать людям узнать об этом. Это предательство самых основополагающих принципов хорошей безопасности. Их поведение здесь непростительно, постыдно и другие (более красочные) инвективы, которые я вам пощадил. Достаточно сказать, что ответственные компании не должны вести себя так.
К сожалению, это также не уникально. Автопроизводители сбрасывают мяч безопасности
очень много в последнее время. В прошлом месяце выяснилось, что конкретная модель Jeep может быть взломана по беспроводной сети через систему развлечений.
что-то, что было бы невозможно в любой заботливой о безопасности конструкции автомобиля. К чести Fiat Chrysler, после этого откровения они вспомнили более миллиона автомобилей, но только после того, как исследователи, о которых идет речь, продемонстрировали взлом безответственно опасным и ярким способом.
Миллионы других транспортных средств, подключенных к Интернету, вероятно, уязвимы для подобных атак, но никто пока не опрометчиво подверг их опасности, так что об этом никто не вспомнил. Вполне возможно, что мы не увидим изменений, пока кто-то не умрет.
Проблема в том, что автопроизводители никогда не были разработчиками программного обеспечения, но теперь они внезапно стали. У них нет заботящейся о безопасности корпоративной культуры. У них нет институционального опыта, чтобы правильно решать эти проблемы или создавать безопасные продукты. Когда они сталкиваются с ними, их первым ответом является паника и цензура, а не исправления.
Современным компаниям-разработчикам потребовались десятилетия, чтобы разработать эффективные методы обеспечения безопасности. Некоторые, как Oracle, все еще придерживаются устаревшей культуры безопасности
, К сожалению, мы не можем позволить себе просто ждать, пока компании разовьют эту практику. Автомобили дорогие (и крайне опасные) машины. Это одна из наиболее важных областей компьютерной безопасности после базовой инфраструктуры, такой как электросеть. С ростом самостоятельного вождения автомобилей
в частности, эти компании должны работать лучше, и наша обязанность — поддерживать их на более высоком уровне.
Пока мы работаем над этим, самое меньшее, что мы можем сделать, — это заставить правительство прекратить разрешать это плохое поведение. Компании не должны даже пытаться использовать суды, чтобы скрыть проблемы со своими продуктами. Но, пока некоторые из них готовы попробовать, мы, конечно, не должны их допускать. Крайне важно, чтобы у нас были судьи, которые достаточно осведомлены о технологиях и методах индустрии программного обеспечения, которые заботятся о безопасности, чтобы знать, что такого рода приказ о клятве никогда не является правильным ответом.
Как вы думаете? Вы обеспокоены безопасностью своего автомобиля? Какой автопроизводитель лучше (или хуже) в безопасности?
Кредиты изображения: открытие его автомобиля нито через Shutterstock
