Advertentie
Softwarebeveiligingsproblemen worden de hele tijd gerapporteerd. Over het algemeen is het antwoord wanneer een kwetsbaarheid wordt ontdekt, de onderzoeker te bedanken (of in veel gevallen te betalen) die hem heeft gevonden en vervolgens het probleem op te lossen. Dat is de standaardreactie in de branche.
Een beslist niet-standaard antwoord zou zijn om de mensen die de kwetsbaarheid hebben gemeld aan te klagen om hen ervan te weerhouden erover te praten, en vervolgens twee jaar te proberen het probleem te verbergen. Dat is helaas precies wat de Duitse autofabrikant Volkswagen deed.
Cryptografisch carjacking
De kwetsbaarheid in kwestie was een fout in het sleutelloze ontstekingssysteem van sommige auto's. Deze systemen, een hoogwaardig alternatief voor conventionele sleutels, moeten voorkomen dat de auto wordt ontgrendeld of gestart, tenzij de sleutelhanger in de buurt is. De chip wordt de "Megamos Crypto" genoemd en wordt gekocht bij een externe fabrikant in Zwitserland. De chip moet een signaal van de auto detecteren en reageren met een
cryptografisch ondertekend bericht Kunt u documenten elektronisch ondertekenen en moet u dat doen?Misschien heb je je technisch onderlegde vrienden gehoord over zowel de termen elektronische handtekening als digitale handtekening. Misschien heb je ze zelfs door elkaar horen gebruiken. Je moet echter weten dat ze niet hetzelfde zijn. Eigenlijk,... Lees verder de auto verzekeren dat het goed is om te ontgrendelen en te starten.Helaas gebruikt de chip een verouderd cryptografisch schema. Toen onderzoekers Roel Verdult en Baris Ege dit opmerkten, konden ze een programma maken dat de codering doorbreekt door te luisteren naar de berichten tussen de auto en de sleutelhanger. Na twee van dergelijke uitwisselingen te hebben gehoord, kan het programma het bereik van mogelijke sleutels verkleinen tot ongeveer 200.000 mogelijkheden - een aantal dat gemakkelijk door een computer kan worden gedwongen.
Met dit proces kan het programma een "digitaal duplicaat" van de sleutelhanger maken en de auto naar believen ontgrendelen of starten. Dit alles kan worden gedaan met een apparaat (zoals een laptop of een telefoon) dat zich in de buurt van de betreffende auto bevindt. Het heeft geen fysieke toegang tot het voertuig nodig. In totaal duurt de aanval ongeveer dertig minuten.
Als deze aanval theoretisch klinkt, is dat niet het geval. Volgens de Metropolitan Police van Londen, 42% van de autodiefstallen in Londen vorig jaar werden uitgevoerd met behulp van aanvallen op systemen zonder sleutel. Dit is een praktische kwetsbaarheid die miljoenen auto's in gevaar brengt.
Dit alles is tragischer, omdat sleutelloze ontgrendelingssystemen veel veiliger kunnen zijn dan conventionele sleutels. De enige reden dat deze systemen kwetsbaar zijn, is vanwege incompetentie. De onderliggende tools zijn veel krachtiger dan welk fysiek slot dan ook.
Verantwoordelijke openbaarmaking
De onderzoekers onthulden de kwetsbaarheid oorspronkelijk aan de maker van de chip, waardoor ze negen maanden de tijd hadden om de kwetsbaarheid op te lossen. Toen de maker weigerde een terugroepactie uit te voeren, gingen de onderzoekers in mei 2013 naar Volkswagen. Oorspronkelijk waren ze van plan de aanval te publiceren op de USENIX-conferentie in augustus 2013, waardoor Volkswagen ongeveer drie maanden de tijd kreeg om met een terugroepactie / retrofit te beginnen, voordat de aanval openbaar zou worden.
In plaats daarvan klaagde Volkswagen de onderzoekers aan om de publicatie ervan te stoppen. Een Brits hooggerechtshof koos voor Volkswagen, zeggende: "Ik herken de hoge waarde van academische vrije meningsuiting, maar er is nog een hoge waarde, de veiligheid van miljoenen Volkswagen-auto's."
Het heeft twee jaar onderhandelen gekost, maar de onderzoekers mogen eindelijk publiceren hun paper, min één zin die enkele belangrijke details bevat over het repliceren van de aanval. Volkswagen heeft de sleutelhangers nog steeds niet gerepareerd, en de andere fabrikanten die dezelfde chip gebruiken ook niet.
Beveiliging door procesvoering
Het is duidelijk dat het gedrag van Volkswagen hier onverantwoordelijk is. In plaats van te proberen het probleem met hun auto's op te lossen, staken ze in plaats daarvan god-weet hoeveel tijd en geld in het proberen te voorkomen dat mensen erachter zouden komen. Dat is een verraad aan de meest fundamentele principes van goede beveiliging. Hun gedrag hier is onvergeeflijk, beschamend en andere (meer kleurrijke) scheldwoorden die ik je zal besparen. Het volstaat te zeggen dat dit niet is hoe verantwoordelijke bedrijven zich moeten gedragen.
Helaas is het ook niet uniek. Autofabrikanten laten de beveiligingsbal vallen Kunnen hackers uw auto ECHT overnemen? Lees verder heel veel de laatste tijd. Vorige maand werd onthuld dat een bepaald model Jeep zou kunnen zijn draadloos gehackt via zijn entertainmentsysteem Hoe veilig zijn zelfrijdende auto's met internetverbinding?Zijn zelfrijdende auto's veilig? Kunnen met internet verbonden auto's worden gebruikt om ongelukken te veroorzaken of zelfs andersdenkenden te vermoorden? Google hoopt van niet, maar een recent experiment laat zien dat er nog een lange weg te gaan is. Lees verder , iets dat onmogelijk zou zijn in elk veiligheidsbewust auto-ontwerp. Tot eer van Fiat Chrysler, ze herinnerden zich meer dan een miljoen voertuigen in het kielzog van die openbaring, maar pas nadat de onderzoekers in kwestie de hack in een onverantwoord gevaarlijke en levendige manier.
Miljoenen andere voertuigen met internetverbinding zijn dat wel waarschijnlijk kwetsbaar voor vergelijkbare aanvallen - maar niemand heeft een journalist nog roekeloos in gevaar gebracht, dus er is geen herinnering meer. Het is heel goed mogelijk dat we hierin geen verandering zien totdat iemand echt sterft.
Het probleem hier is dat autofabrikanten nog nooit softwaremakers zijn geweest, maar nu zijn ze dat ineens. Ze hebben geen veiligheidsbewuste bedrijfscultuur. Ze hebben niet de institutionele expertise om deze problemen op de juiste manier aan te pakken of veilige producten te bouwen. Als ze ermee worden geconfronteerd, is hun eerste reactie paniek en censuur, geen oplossingen.
Het duurde tientallen jaren voordat moderne softwarebedrijven goede beveiligingspraktijken ontwikkelden. Sommigen, zoals Oracle, zijn nog steeds zit vast met verouderde veiligheidsculturen Oracle wil dat u stopt met het verzenden van bugs - hier is waarom dat gek isOracle zit in de problemen met een misleidende blogpost van beveiligingschef Mary Davidson. Deze demonstratie van hoe Oracle's beveiligingsfilosofie afwijkt van de mainstream werd niet goed ontvangen in de beveiligingsgemeenschap ... Lees verder . Helaas hebben we niet de luxe om simpelweg te wachten tot bedrijven deze praktijken ontwikkelen. Auto's zijn dure (en extreem gevaarlijke) machines. Ze zijn een van de meest kritieke gebieden van computerbeveiliging, na basisinfrastructuur zoals het elektriciteitsnet. Met de opkomst van zelfrijdende auto's Geschiedenis is stapelbed: de toekomst van transport zal zijn als niets dat je eerder hebt gezienOver een paar decennia zal de uitdrukking 'zelfrijdende auto' heel erg klinken als 'paardloze koets', en het idee om je eigen auto te bezitten klinkt net zo vreemd als het graven van je eigen put. Lees verder in het bijzonder moeten deze bedrijven het beter doen, en het is onze verantwoordelijkheid om ze aan een hogere standaard te houden.
Terwijl we daaraan werken, is het minste wat we kunnen doen de regering ertoe brengen te stoppen met het inschakelen van dit slechte gedrag. Bedrijven mogen niet eens proberen de rechtbanken te gebruiken om problemen met hun producten te verbergen. Maar zolang sommigen van hen het willen proberen, mogen we dat zeker niet toestaan. Het is van vitaal belang dat we rechters hebben die voldoende op de hoogte zijn van de technologie en praktijken van de beveiligingsbewuste software-industrie om te weten dat dit soort gag-orde nooit het juiste antwoord is.
Wat denk je? Bent u bezorgd over de beveiliging van uw voertuig? Welke autofabrikant is het beste (of slechtste) bij beveiliging?
Afbeeldingscredits:zijn auto openend door nito via Shutterstock
Andre, een schrijver en journalist gevestigd in het zuidwesten, blijft gegarandeerd functioneel tot 50 graden Celcius en is waterdicht tot een diepte van twaalf voet.