VW, Araştırmacıları İki Yıl Güvenlik Kusurunu Gizlemek İçin Dava Açtı

  • Lesley Fowler
  • 0
  • 4765
  • 1398
reklâm

Yazılım güvenlik açıkları her zaman raporlanır. Genel olarak, bir güvenlik açığının açığa çıkarıldığındaki yanıt, bulan araştırmacıya teşekkür etmek (veya çoğu durumda ödeme yapmaktır) ve ardından sorunu düzeltmektir. Sektördeki standart cevap budur.

Kararlı bir şekilde standart dışı bir cevap, güvenlik açığı olduğunu bildirenleri, hakkında konuşmaktan alıkoyacak kişileri dava etmek ve ardından sorunu gizlemeye çalışmak için iki yıl harcamak olacaktır. Ne yazık ki, Alman otomobil üreticisi Volkswagen’in yaptığı tam da buydu..

Kriptografik Carjacking

Söz konusu güvenlik açığı, bazı araçların anahtarsız ateşleme sisteminin bir kusuruydu. Geleneksel anahtarlara üst düzey bir alternatif olan bu sistemlerin, anahtarlık yakında olmadıkça aracın kilidini açmasını veya çalışmaya başlamasını önlediği varsayılmaktadır. Çip denir “Megamos Kripto,” ve İsviçre'deki bir üçüncü taraf üreticiden satın alınmıştır. Çip, araçtan bir sinyal tespit etmeli ve şifreli olarak işaretlenmiş bir mesajla yanıt vermelidir. Belgeleri Elektronik Olarak İmzalayabilir misiniz? Belgeleri Elektronik Olarak İmzalayabilir misiniz? Belki teknoloji meraklısı arkadaşlarınızın hem elektronik imza hem de dijital imza terimlerini attığını duymuşsunuzdur. Belki de birbirlerinin yerine kullanıldığını duymuşsundur. Ancak, bunların aynı olmadığını bilmelisiniz. Aslında…… arabanın kilidini açıp çalışmaya başlamasının doğru olduğunu garanti etmek.

Ne yazık ki, çip eski bir şifreleme şeması kullanıyor. Araştırmacılar Roel Verdult ve Barış Ege bu gerçeğin farkına vardıklarında, araba ile anahtarlık arasındaki mesajları dinleyerek şifrelemeyi kıran bir program yaratabiliyorlardı. Bu iki değiş tokuşu duyduktan sonra, program olası tuşların aralığını yaklaşık 200.000 olasılığa indirgeyebilir - bir bilgisayar tarafından kolayca kaba bir şekilde zorlanabilen bir sayı.

Bu işlem programın oluşturmasına olanak sağlar. “dijital kopya” Anahtarlığı çıkartın ve aracın kilidini açın veya çalıştırın. Bunların hepsi, söz konusu arabanın yakınında olan bir cihazla (bir dizüstü bilgisayar veya telefon gibi) yapılabilir. Araca fiziksel erişim gerektirmez. Toplamda, saldırı yaklaşık otuz dakika sürer.

Bu saldırı teorik geliyorsa, öyle değil. Londra Büyükşehir Polisine göre, geçen yıl Londra'daki araba hırsızlıklarının% 42'si anahtarsız kilitsiz sistemlere yapılan saldırılarla gerçekleştirildi. Bu, milyonlarca aracı riske sokan pratik bir güvenlik açığıdır..

Bunların hepsi daha trajiktir, çünkü anahtarsız kilit açma sistemleri geleneksel anahtarlardan çok daha güvenli olabilir. Bu sistemlerin savunmasız olmasının tek nedeni yetersizlikten kaynaklanmaktadır. Temeldeki araçlar, herhangi bir fiziksel kilidin olabileceğinden çok daha güçlü.

Sorumlu Açıklama

Araştırmacılar başlangıçta, çipin yaratıcısına olan güvenlik açığını açıkladılar ve bu güvenlik açığını gidermeleri için dokuz ay verdiler. Yaratıcı bir geri çağırma yapmayı reddettiğinde, araştırmacılar 2013 yılının Mayıs ayında Volkswagen'e gittiler. Aslen Ağustos 2013'te USENIX konferansında düzenlenen saldırıyı yayınlamayı planladılar. halka açmak.

Bunun yerine, Volkswagen araştırmacıların makaleyi yayınlamasını engellemek için dava açtı. Bir İngiliz yüksek mahkemesi Volkswagen’in tarafını tuttu “Akademik konuşma özgürlüğünün yüksek değerinin farkındayım, ancak milyonlarca Volkswagen otomobilinin güvenliği gibi yüksek bir değer daha var..”

İki yıl süren müzakereler yapıldı, ancak araştırmacıların nihayet saldırılarını çoğaltmakla ilgili birkaç önemli ayrıntı içeren ek bir cümle kağıtlarını yayınlamalarına izin verildi. Volkswagen hala anahtarlıklarını sabitlemedi ve aynı çipi kullanan diğer üreticiler de yok..

Güvenliğiyle Güvenlik

Açıkçası, Volkswagen'in buradaki davranışları fevkalade sorumsuz. Sorunu arabalarıyla çözmeye çalışmak yerine, bunun yerine tanrı bilirler; insanların bunu öğrenmelerini engellemek için ne kadar zaman ve para harcadıklarını bilirler. Bu, iyi güvenliğin en temel prensiplerine ihanet etmek. Buradaki davranışları affedilmez, utanç verici ve sizi ayıracağım diğer (daha renkli) yaratıcılardır. Bunun sorumlu şirketlerin nasıl davranması gerektiği olmadığını söylemek yeterli.

Ne yazık ki, aynı zamanda benzersiz değil. Otomobil üreticileri güvenlik topunu atıyorlar Hacker'lar Gerçekten Aracınızı Devralabilir mi? Hacker'lar Gerçekten Arabanızı Devralabilir mi? Son zamanlarda çok fazla. Geçen ay, belirli bir Jeep modelinin eğlence sistemi üzerinden kablosuz olarak saldırıya uğradığı ortaya çıktı. İnternete Bağlı, Kendi Kendini Süren Arabalar Ne Kadar Güvenli? İnternet Bağlantılı, Kendi Kendini Süren Arabalar Ne Kadar Güvenli? Kendi kendine sürüş arabaları güvenli midir? İnternete bağlı otomobiller kazalara neden olmak, hatta muhalifleri suikast yapmak için kullanılabilir mi? Google umut etmiyor, ancak son zamanlarda yapılan bir deney hala devam etmenin uzun bir yolu olduğunu gösteriyor. Güvenlik bilincine sahip herhangi bir otomobil tasarımında imkansız olacak bir şey. Fiat Chrysler'in kredisine göre, vahiyden sonra bir milyondan fazla aracı hatırlattılar, ancak sadece söz konusu araştırmacılar sorumsuzca tehlikeli ve canlı bir şekilde saldırdı.

Milyonlarca başka İnternet bağlantılı araç da benzer saldırılara karşı savunmasız - ancak hiç kimse dikkatsizce onlarla birlikte bir gazeteciyi tehlikeye atmadı, bu yüzden geri çağırma olmadı. Biri gerçekten ölene kadar bunlarda değişiklik görmeyeceğimiz tamamen mümkün..

Buradaki sorun, araba üreticilerinin daha önce hiç yazılım üreticisi olmadıklarıdır - ama şimdi aniden oldu. Güvenlik bilincine sahip bir şirket kültürüne sahip değiller. Bu sorunların doğru şekilde ele alınması veya güvenli ürünler oluşturulması için kurumsal uzmanlığa sahip değiller. Onlarla karşılaştıklarında ilk tepkisi panik ve sansürdür, düzeltmeler değil.

Modern yazılım şirketlerinin iyi güvenlik uygulamaları geliştirmesi onlarca yıl aldı. Bazıları, Oracle gibi, hala eski güvenlik kültürleri ile sıkışık durumdalar. Oracle, Onları Göndermeyi Durdurmak İstiyor - İşte Bu Neden Çılgın. Oracle Onları Bu Göndermeyi Durdurmak İstiyor. şef Mary Davidson. Oracle'ın güvenlik felsefesinin ana akımdan nasıl ayrıldığına dair bu gösteri güvenlik topluluğunda iyi karşılanamadı…. Ne yazık ki, şirketlerin bu uygulamaları geliştirmelerini basit bir şekilde beklemenin lüksüne sahip değiliz. Arabalar pahalı (ve son derece tehlikeli) makinelerdir. Elektrik şebekesi gibi temel altyapılardan sonra, bilgisayar güvenliğinin en kritik alanlarından biridir. Kendi kendini süren otomobillerin yükselişi ile Tarihçe Ranza: Ulaşmanın Geleceği Tarihten Önce Gördüğünüz Hiçbir Şey Gibi Olacak Tarihçe Ranza: Ulaşmanın Geleceği Birkaç Yıl Sonra Gördüğünüz Hiçbir Şey Gibi Olacak sürücüsüz otomobil 'gerçekte olmayan araba' gibi korkunç bir ses çıkarıyor ve kendi aracınıza sahip olma fikri kendi kuyunuzu kazmak kadar tuhaf gelecektir. Özellikle, bu şirketler daha iyisini yapmak zorundadır ve onları daha yüksek standartlarda tutmak bizim sorumluluğumuzdur..

Bunun üzerinde çalışırken, yapabileceğimiz en azından hükümetin bu kötü davranışa izin vermemesidir. Şirketler mahkeme, ürünlerini sorunlarıyla gizlemek için kullanmayı denememelidir. Ancak, bazıları denemeye istekli oldukları sürece, kesinlikle onlara izin vermemeliyiz. Güvenlik bilincine sahip yazılım endüstrisinin teknolojisini ve uygulamalarını yeterince bilen ve bu tür bir tıkama emrinin asla doğru cevap olmadığını bilmek, hakimlerimiz için hayati önem taşır..

Ne düşünüyorsun? Aracınızın güvenliğinden endişe duyuyor musunuz? Hangi araç üreticisi güvenlik açısından en iyisi (veya en kötüsü)?

Image Credits: Shutterstock ile arabasını nito tarafından açma




Henüz no comments

Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.