VW Sued-onderzoekers verbergen beveiligingsgebreken gedurende twee jaar

Beveiligingsonderzoekers worden meestal bedankt (of zelfs beloond) wanneer kwetsbaarheden worden gevonden. Maar Volkswagen sloeg een gag-order op onderzoekers die ontdekten hoe gemakkelijk het was om een ​​keyless car-systeem te hacken.

Beveiligingsonderzoekers worden meestal bedankt (of zelfs beloond) wanneer kwetsbaarheden worden gevonden.  Maar Volkswagen sloeg een gag-order op onderzoekers die ontdekten hoe gemakkelijk het was om een ​​keyless car-systeem te hacken.
Advertentie

Softwarebeveiligingskwetsbaarheden worden de hele tijd gemeld. Over het algemeen is de reactie wanneer een kwetsbaarheid wordt ontdekt, het danken (of in veel gevallen betalen) van de onderzoeker die het heeft gevonden en lost het probleem vervolgens op. Dat is de standaardreactie in de branche.

Een beslist niet-standaard antwoord zou zijn om de mensen die de kwetsbaarheid hebben gemeld, aan te klagen om te voorkomen dat ze erover praten, en dan twee jaar proberen om het probleem te verbergen. Helaas is dat precies wat de Duitse autofabrikant Volkswagen deed.

Cryptografische carjacking

De kwetsbaarheid in kwestie was een fout in het keyless ontstekingssysteem van sommige auto's. Deze systemen, een high-end alternatief voor conventionele sleutels, moeten voorkomen dat de auto ontgrendeld of start tenzij de key-fob in de buurt is. De chip wordt "Megamos Crypto" genoemd en wordt gekocht bij een externe fabrikant in Zwitserland. De chip hoort een signaal van de auto te detecteren en reageert met een cryptografisch ondertekend bericht. Kan je elektronisch documenten ondertekenen en zou je dat moeten doen? Kun je documenten elektronisch ondertekenen en zou je dat moeten doen? Misschien heb je gehoord dat je technisch onderlegde vrienden zowel de termen elektronische handtekening als digitale handtekening omzeilen. Misschien heb je ze zelfs door elkaar gebruikt. U moet echter weten dat ze niet hetzelfde zijn. Sterker nog, ... Lees meer om de auto te verzekeren dat het goed is om te ontgrendelen en te starten.

Helaas maakt de chip gebruik van een verouderd cryptografisch schema. Toen onderzoekers Roel Verdult en Baris Ege dit feit opmerkten, waren ze in staat om een ​​programma te maken dat de versleuteling verbreekt door te luisteren naar de berichten tussen de auto en de sleutelhanger. Na twee dergelijke uitwisselingen te hebben gehoord, kan het programma het bereik van mogelijke toetsen verkleinen tot ongeveer 200.000 mogelijkheden - een getal dat gemakkelijk brute-geforceerd kan worden door een computer.

Met dit proces kan het programma een "digitaal duplicaat" van de sleutelhanger maken en de auto naar believen ontgrendelen of starten. Dit alles kan worden gedaan door een apparaat (zoals een laptop of een telefoon) dat toevallig in de buurt van de auto in kwestie is. Het vereist geen fysieke toegang tot het voertuig. In totaal duurt de aanval ongeveer dertig minuten.

Als deze aanval theoretisch klinkt, is dat niet zo. Volgens de Metropolitan Police van Londen werd 42% van de autodiefstallen vorig jaar in Londen uitgevoerd met behulp van aanvallen tegen keyless-ontgrendelde systemen. Dit is een praktische kwetsbaarheid die miljoenen auto's in gevaar brengt.

Dit alles is tragischer, omdat keyless unlock-systemen veel veiliger zijn dan conventionele sleutels. De enige reden waarom deze systemen kwetsbaar zijn, is te wijten aan incompetentie. De onderliggende tools zijn veel krachtiger dan welke fysieke lock ooit zou kunnen zijn.

Responsible Disclosure

De onderzoekers onthulden oorspronkelijk de kwetsbaarheid voor de maker van de chip, waardoor ze negen maanden de tijd kregen om de kwetsbaarheid op te lossen. Toen de maker weigerde een terugroepactie uit te brengen, gingen de onderzoekers in mei 2013 naar Volkswagen. Oorspronkelijk waren ze van plan om de aanslag op de USENIX-conferentie in augustus 2013 te publiceren, waardoor Volkswagen ongeveer drie maanden de tijd kreeg om met een recall / retrofit te beginnen. openbaar worden.

In plaats daarvan klaagde Volkswagen aan om de onderzoekers te beletten de krant te publiceren. Een Britse high court koos de zijde van Volkswagen en zei: "Ik erken de hoge waarde van academische vrijheid van meningsuiting, maar er is nog een hoge waarde, de veiligheid van miljoenen Volkswagen-auto's."

Het heeft twee jaar onderhandelen gekost, maar de onderzoekers mogen eindelijk hun paper publiceren, minus één zin die een paar belangrijke details bevat over het repliceren van de aanval. Volkswagen heeft de key-fobs nog steeds niet gerepareerd, en evenmin hebben de andere fabrikanten dezelfde chip gebruikt.

Beveiliging door litigiousness

Vanzelfsprekend is het gedrag van Volkswagen hier enorm onverantwoordelijk. In plaats van te proberen het probleem met hun auto's op te lossen, stortten ze in plaats daarvan god-weet hoeveel tijd en geld in het proberen om mensen ervan te weerhouden om erachter te komen. Dat is een verraad aan de meest fundamentele principes van goede beveiliging. Hun gedrag hier is onvergeeflijke, schandelijke en andere (kleurrijkere) scheldwoorden die ik je zal besparen. Het volstaat om te zeggen dat dit niet is hoe verantwoordelijke bedrijven zich zouden moeten gedragen.

Helaas is het ook niet uniek. Automakers hebben de beveiligingsbal laten vallen Kunnen hackers ECHT je auto overnemen? Kunnen hackers ECHT uw auto overnemen? Lees meer een heleboel de laatste tijd. Vorige maand werd onthuld dat een bepaald model van Jeep draadloos kan worden gehackt via zijn entertainmentsysteem. Hoe veilig zijn internet-verbonden, zelfrijdende auto's? Hoe veilig zijn internet-verbonden, zelfrijdende auto's? Zijn zelfrijdende auto's veilig? Kunnen op het internet aangesloten auto's worden gebruikt om ongelukken te veroorzaken of zelfs andersdenkenden te vermoorden? Google hoopt niet, maar een recent experiment laat zien dat er nog een lange weg te gaan is. Read More, iets dat onmogelijk zou zijn in enig veiligheidsbewust autoontwerp. Met dank aan Fiat Chrysler, ze herinnerden meer dan een miljoen voertuigen in het kielzog van die openbaring, maar pas nadat de onderzoekers in kwestie de hack op een onverantwoordelijke gevaarlijke en levendige manier hadden gedemonstreerd.

Miljoenen andere op het internet aangesloten voertuigen zijn waarschijnlijk kwetsbaar voor soortgelijke aanvallen - maar niemand heeft een journalist roekeloos met hem in gevaar gebracht, dus er is geen terugroepactie geweest. Het is heel goed mogelijk dat we hier geen verandering in zien totdat iemand daadwerkelijk sterft.

Het probleem hier is dat autoconstructeurs nooit eerder softwaremakers zijn geweest, maar nu zijn ze dat ineens. Ze hebben geen veiligheidsbewuste bedrijfscultuur. Ze hebben niet de institutionele expertise om deze problemen op de juiste manier aan te pakken of om veilige producten te bouwen. Wanneer ze met hen worden geconfronteerd, is hun eerste reactie paniek en censuur, geen oplossingen.

Het duurde decennia voor moderne softwarebedrijven om goede beveiligingspraktijken te ontwikkelen. Sommige, zoals Oracle, zitten nog steeds vast met verouderde veiligheidsculturen. Oracle wil dat je stopt met het verzenden van die bugs - hier is waarom dat gek is Oracle wil dat je stopt met het verzenden van die bugs - hier is waarom dat gekke Oracle in warm water is over een misplaatste blogpost door beveiliging chef, Mary Davidson. Deze demonstratie van hoe de beveiligingsfilosofie van Oracle afwijkt van de mainstream, werd niet goed ontvangen in de beveiligingsgemeenschap ... Lees meer. Helaas hebben we niet de luxe om gewoon te wachten tot bedrijven deze praktijken ontwikkelen. Auto's zijn dure (en extreem gevaarlijke) machines. Ze zijn een van de meest cruciale gebieden van computerbeveiliging, na basisinfrastructuur zoals het elektriciteitsnet. Met de opkomst van zelfrijdende auto's is History Bunk: de toekomst van het vervoer zal als niets zijn wat je gezien hebt voordat geschiedenis de bunk is: de toekomst van het transport zal als niets zijn wat je eerder hebt gezien In een paar decennia staat de uitdrukking ' driverless car 'zal heel veel klinken als' paardloze koets 'en het idee om je eigen auto te bezitten klinkt net zo apart als het graven van je eigen waterput. Lees meer in het bijzonder, deze bedrijven moeten het beter doen, en het is onze verantwoordelijkheid om ze op een hoger niveau te houden.

Terwijl we daaraan werken, kunnen we op zijn minst ervoor zorgen dat de overheid stopt met het inschakelen van dit slechte gedrag. Bedrijven zouden niet eens moeten proberen om de rechtbank te gebruiken om problemen met hun producten te verbergen. Maar, zolang sommigen van hen bereid zijn het te proberen, moeten we dat zeker niet toestaan. Het is essentieel dat we rechters hebben die zich voldoende bewust zijn van de technologie en praktijken van de beveiligingsbewuste software-industrie om te weten dat dit soort gag-orders nooit het juiste antwoord is.

Wat denk je? Maakt u zich zorgen over de veiligheid van uw voertuig? Welke autofabrikant is de beste (of slechtste) beveiliging?

Image Credits: open zijn auto via nito via Shutterstock

In this article