Oglas
Proti varnosti programske opreme se ves čas poroča. Na splošno se odziv, ko je odkrita ranljivost, zahvali (ali v mnogih primerih plača) raziskovalcu, ki ga je našel, in nato odpravi težavo. To je standarden odziv v panogi.
Odločen nestandardni odgovor bi bil tožiti ljudi, ki so poročali o ranljivosti, da jim preprečijo, da bi spregovorili o tem, in nato dve leti poskušati skriti težavo. Na žalost je to točno tisto, kar je naredil nemški proizvajalec avtomobilov Volkswagen.
Kriptografske kraje
Zadevna ranljivost je bila napaka sistema za vžig brez ključev nekaterih avtomobilov. Ti sistemi, nadstandardna alternativa običajnim ključem, naj bi preprečili odklepanje ali zagon avtomobila, razen če je ključavnica v bližini. Čip se imenuje "Megamos Crypto" in je kupljen pri proizvajalcu drugih proizvajalcev v Švici. Čip naj bi zaznal signal iz avtomobila in se odzval z a kriptografsko podpisano sporočilo Ali lahko elektronsko podpišete dokumente in bi morali?Morda ste že slišali, da se vaši prijatelji, ki se ukvarjajo s tehnologijo, vrtijo okoli izrazov elektronski in digitalni podpis. Mogoče ste že slišali, da jih uporabljajo zamenljivo. Vendar morate vedeti, da niso enaki. Pravzaprav,... Preberi več zagotovilo avtomobilu, da je v redu, da se odklene in zažene.
Na žalost čip uporablja zastarelo kriptografsko shemo. Ko sta raziskovalca Roel Verdult in Baris Ege to dejstvo opazila, sta lahko ustvarila program, ki širi šifriranje s poslušanjem sporočil med avtomobilom in ključem. Po zaslišanju dveh takšnih izmenjav lahko program zmanjša obseg možnih tipk na približno 200.000 možnosti - število, ki ga računalnik zlahka prisili.
Ta postopek omogoča programu, da ustvari "digitalni dvojnik" ključavnice in odklene ali zažene avtomobil po lastni volji. Vse to lahko stori naprava (na primer prenosni računalnik ali telefon), ki je blizu zadevnega avtomobila. Ne potrebuje fizičnega dostopa do vozila. Skupno napad traja približno trideset minut.
Če se ta napad sliši teoretično, ni. Po podatkih londonske Metropolitan Police, Lani je bilo 42% tatvin v Londonu opravljenih z napadi na odklenjene sisteme brez ključev. To je praktična ranljivost, ki ogroža milijone avtomobilov.
Vse to je bolj tragično, saj so sistemi za odklepanje brez ključev lahko veliko bolj varni kot običajni ključi. Edini razlog, da so ti sistemi ranljivi, je posledica nekompetentnosti. Osnovna orodja so veliko močnejša kot kadar koli fizična ključavnica.
Odgovorno razkritje
Raziskovalci so prvotno razkrili ranljivost ustvarjalcu čipa in jim dali devet mesecev, da odpravijo ranljivost. Ko ustvarjalec ni hotel izdati odpoklica, so se raziskovalci maja 2013 odpravili v Volkswagen. Prvotno so nameravali napad objaviti na konferenci USENIX avgusta 2013, Volkswagen pa je dal tri mesece, da začne odpoklic / naknadno vgradnjo, preden bo napad postal javen.
Namesto tega je Volkswagen tožil, da je raziskovalcem ustavil objavo prispevka. Britansko visoko sodišče na stran Volkswagen, rekoč "Priznam visoko vrednost akademskega svobode, vendar obstaja še ena velika vrednost, varnost milijonov avtomobilov Volkswagen."
Dve leti pogajanj sta trajala, toda raziskovalci so končno dovoljeni objavijo svoj prispevek, minus en stavek, ki vsebuje nekaj ključnih podrobnosti o ponovitvi napada. Volkswagen še vedno ni fiksiral ključnic, prav tako nimajo drugih proizvajalcev, ki uporabljajo isti čip.
Varnost z zaupnostjo
Očitno je, da je tu Volkswagen vestno. Namesto da bi poskušali odpraviti težavo s svojimi avtomobili, so namesto tega vložili boga vedeti, koliko časa in denarja poskušajo preprečiti, da bi ljudje izvedeli za to. To je izdaja najbolj temeljnih načel dobre varnosti. Njihovo vedenje tukaj je neopravičljivo, sramotno in druge (bolj barvite) pobude, ki vam jih bom prihranil. Dovolj je reči, da tako odgovorna podjetja ne bi smela ravnati.
Žal tudi ni edinstven. Avtomobilizatorji spustijo varnostno žogo Ali lahko hekerji res prevzamejo vaš avto? Preberi več v zadnjem času zelo veliko. Prejšnji mesec so razkrili, da bi lahko bil določen model Jeepa brezžično vdrli skozi svoj zabavni sistem Kako varni so internetni osebni avtomobili?Ali so samovozna vozila varna? Ali se lahko avtomobili, povezani z internetom, uporabljajo za povzročitev nesreč ali celo za atentat na razsodnike? Google upa, da ne, vendar nedavni eksperiment kaže, da je pred nami še dolga pot. Preberi več , nekaj, kar bi bilo nemogoče v nobeni varnostno zasnovan avtomobilski zasnovi. Če želite zaslužiti Fiat Chrysler, odpoklicali so več kot milijon vozil po odkritju tega razodetja, vendar šele potem, ko so zadevni raziskovalci demonizirali kramp v neodgovorno nevaren in živ način.
Milijoni drugih vozil, povezanih z internetom, so verjetno ranljiv za podobne napade - vendar nihče še zoprno ni ogrožal novinarja z njimi, zato ni bilo nobenega odpoklica. Povsem mogoče je, da na teh ne bomo videli sprememb, dokler nekdo dejansko ne umre.
Težava je v tem, da proizvajalci avtomobilov še nikoli niso bili izdelovalci programske opreme - zdaj pa se nenadoma pojavijo. Korporativne kulture nimajo varnosti. Nimajo institucionalnega strokovnega znanja, da bi se s temi težavami spopadli na pravi način ali zgradili varne izdelke. Ko se soočajo z njimi, je njihov prvi odziv panika in cenzura, ne popravki.
Sodobna programska podjetja so potrebovala desetletja, da so razvila dobre varnostne prakse. Nekateri, kot je Oracle, so še vedno obtičala z zastarelimi varnostnimi kulturami Oracle želi, da jim nehate pošiljati hrošče - tukaj je to noroOracle je v vroči vodi zaradi zmotne objave na spletnem dnevniku Mary Davidson. Ta demonstracija, kako se Oralova varnostna filozofija oddaljuje od mainstreama, v varnostni skupnosti ni bila dobro sprejeta ... Preberi več . Na žalost nimamo luksuza, da podjetja preprosto čakamo, da razvije te prakse. Avtomobili so dragi (in izredno nevarni) stroji. So eno najbolj kritičnih področij računalniške varnosti po osnovni infrastrukturi, kot je električno omrežje. Z porast samovozečih avtomobilov Zgodovina je pokopana: prihodnost prevoza bo kot nič, kar ste že videliČez nekaj desetletij bo fraza "avtomobil brez voznikov" zvenela grozno, kot "konji brez konja", in ideja o lastnem avtomobilu se bo slišala tako pretirano, kot kopati svoje dobro. Preberi več zlasti ta podjetja morajo delovati bolje, naša odgovornost pa je, da jih dosežemo na višji ravni.
Medtem ko delamo na tem, je najmanj, kar lahko naredimo, da vlada preneha omogočati to slabo vedenje. Podjetja sploh ne bi smela uporabljati sodišč, da bi prikrila težave s svojimi izdelki. Toda dokler so nekateri pripravljeni poskusiti, jim zagotovo ne smemo dovoliti. Ključnega pomena je, da imamo sodnike, ki se dovolj zavedajo tehnologije in prakse varnostne programske industrije, ki vedo, da takšen vrstni red nikoli ni pravi odgovor.
Kaj misliš? Vas skrbi varnost vašega vozila? Kateri proizvajalec avtomobilov je najboljši (ali najslabši) pri varnosti?
Slikovni krediti:odpira svoj avto avtor: nito prek Shutterstock
Andre je pisatelj in novinar s jugozahoda, ki zagotavlja, da bo ostal funkcionalen do 50 stopinj Celzija in je vodoodporen do globine dvanajst metrov.