VW demandó a investigadores por ocultar falla de seguridad durante dos años

  • Edmund Richardson
  • 0
  • 2152
  • 497
Anuncio

Las vulnerabilidades de seguridad del software se informan todo el tiempo. En general, la respuesta cuando se descubre una vulnerabilidad es agradecer (o, en muchos casos, pagar) al investigador que la encontró y luego solucionar el problema. Esa es la respuesta estándar en la industria..

Una respuesta decididamente no estándar sería demandar a las personas que informaron la vulnerabilidad para evitar que hablen de ello, y luego pasar dos años tratando de ocultar el problema. Lamentablemente, eso es exactamente lo que hizo el fabricante de automóviles alemán Volkswagen.

Carjacking criptográfico

La vulnerabilidad en cuestión era un defecto en el sistema de encendido sin llave de algunos automóviles. Se supone que estos sistemas, una alternativa de alta gama a las llaves convencionales, evitan que el automóvil se desbloquee o arranque a menos que el llavero esté cerca. El chip se llama “Crypto Megamos,” y se compra a un fabricante externo en Suiza. Se supone que el chip detecta una señal del automóvil y responde con un mensaje firmado criptográficamente. ¿Puede firmar documentos electrónicamente y debería? ¿Puede firmar electrónicamente documentos y debería? Quizás haya escuchado a sus amigos expertos en tecnología lanzar los términos firma electrónica y firma digital. Tal vez incluso los haya escuchado usar indistintamente. Sin embargo, debes saber que no son lo mismo. De hecho, ... asegurando al automóvil que está bien desbloquear y arrancar.

Desafortunadamente, el chip utiliza un esquema criptográfico desactualizado. Cuando los investigadores Roel Verdult y Baris Ege notaron este hecho, pudieron crear un programa que rompe el cifrado al escuchar los mensajes entre el automóvil y el llavero. Después de escuchar dos de estos intercambios, el programa puede reducir el rango de claves posibles a unas 200,000 posibilidades, un número que puede ser fácilmente forzado por una computadora.

Este proceso permite que el programa cree un “duplicado digital” del llavero y desbloquee o encienda el automóvil a voluntad. Todo esto puede hacerse mediante un dispositivo (como una computadora portátil o un teléfono) que esté cerca del automóvil en cuestión. No requiere acceso físico al vehículo. En total, el ataque dura unos treinta minutos..

Si este ataque suena teórico, no lo es. Según la Policía Metropolitana de Londres, el 42% de los robos de automóviles en Londres el año pasado se realizaron mediante ataques contra sistemas desbloqueados sin llave. Esta es una vulnerabilidad práctica que pone en riesgo a millones de automóviles..

Todo esto es más trágico, porque los sistemas de desbloqueo sin llave pueden ser mucho más seguros que las llaves convencionales. La única razón por la que estos sistemas son vulnerables se debe a la incompetencia. Las herramientas subyacentes son mucho más poderosas de lo que podría ser cualquier bloqueo físico..

Divulgación responsable

Los investigadores revelaron originalmente la vulnerabilidad al creador del chip, dándoles nueve meses para solucionar la vulnerabilidad. Cuando el creador se negó a emitir un retiro, los investigadores fueron a Volkswagen en mayo de 2013. Originalmente planearon publicar el ataque en la conferencia USENIX en agosto de 2013, dándole a Volkswagen unos tres meses para comenzar un retiro / modificación, antes de que el ataque hacerse público.

En cambio, Volkswagen demandó para evitar que los investigadores publicaran el periódico. Un tribunal superior británico se puso del lado de Volkswagen, diciendo “Reconozco el alto valor de la libertad de expresión académica, pero hay otro alto valor, la seguridad de millones de automóviles Volkswagen..”

Han tomado dos años de negociaciones, pero finalmente se les permite a los investigadores publicar su artículo, menos una oración que contiene algunos detalles clave sobre la replicación del ataque. Volkswagen todavía no ha reparado los llaveros, y tampoco los otros fabricantes que usan el mismo chip.

Seguridad por litigios

Obviamente, el comportamiento de Volkswagen aquí es extremadamente irresponsable. En lugar de tratar de solucionar el problema con sus automóviles, en lugar de eso, invirtieron Dios sabe cuánto tiempo y dinero tratan de evitar que la gente se entere. Esa es una traición de los principios más fundamentales de la buena seguridad. Su comportamiento aquí es inexcusable, vergonzoso y otras invectivas (más coloridas) que te ahorraré. Baste decir que no es así como deberían comportarse las empresas responsables.

Desafortunadamente, tampoco es único. Los fabricantes de automóviles han estado tirando la pelota de seguridad ¿Pueden los hackers REALMENTE hacerse cargo de su automóvil? ¿Pueden los hackers REALMENTE hacerse cargo de su automóvil? muchísimo últimamente El mes pasado, se reveló que un modelo particular de Jeep podría ser pirateado de forma inalámbrica a través de su sistema de entretenimiento ¿Cuán seguros son los autos autónomos conectados a Internet? ¿Qué tan seguros son los autos autónomos conectados a Internet? ¿Son seguros los autos sin conductor? ¿Podrían usarse automóviles conectados a Internet para causar accidentes, o incluso asesinar a disidentes? Google espera que no, pero un experimento reciente muestra que aún queda un largo camino por recorrer. , algo que sería imposible en cualquier diseño de automóvil consciente de la seguridad. Para crédito de Fiat Chrysler, recordaron más de un millón de vehículos a raíz de esa revelación, pero solo después de que los investigadores en cuestión demostraron el truco de una manera irresponsablemente peligrosa y vívida.

Es probable que millones de otros vehículos conectados a Internet sean vulnerables a ataques similares, pero nadie ha puesto en peligro imprudentemente a un periodista con ellos todavía, por lo que no se ha retirado del mercado. Es completamente posible que no veamos cambios en estos hasta que alguien realmente muera.

El problema aquí es que los fabricantes de automóviles nunca antes han sido fabricantes de software, pero ahora lo son de repente. No tienen una cultura corporativa consciente de la seguridad. No tienen la experiencia institucional para tratar estos problemas de la manera correcta o para construir productos seguros. Cuando se enfrentan a ellos, su primera respuesta es pánico y censura, no soluciones..

A las compañías de software modernas les llevó décadas desarrollar buenas prácticas de seguridad. Algunos, como Oracle, todavía están atrapados con culturas de seguridad obsoletas. Oracle quiere que dejes de enviarles errores: por eso está loco Oracle quiere que dejes de enviarles errores: aquí está por qué está loco Oracle está en apuros por una publicación de blog equivocada por seguridad jefe, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no fue bien recibida en la comunidad de seguridad ... Desafortunadamente, no tenemos el lujo de simplemente esperar a que las empresas desarrollen estas prácticas. Los automóviles son máquinas caras (y extremadamente peligrosas). Son una de las áreas más críticas de la seguridad informática, después de la infraestructura básica como la red eléctrica. Con el auge de los autos sin conductor La historia es una litera: el futuro del transporte será como nada que hayas visto antes La historia es una litera: el futuro del transporte será como nada que hayas visto antes En unas décadas, la frase ' un auto sin conductor 'va a sonar mucho como' carro sin caballos ', y la idea de ser dueño de su propio auto sonará tan pintoresca como cavar su propio pozo. en particular, estas compañías deben hacerlo mejor, y es nuestra responsabilidad mantenerlas a un nivel más alto.

Mientras trabajamos en eso, lo menos que podemos hacer es lograr que el gobierno deje de permitir este mal comportamiento. Las empresas ni siquiera deberían tratar de usar los tribunales para ocultar problemas con sus productos. Pero, mientras algunos de ellos estén dispuestos a intentarlo, ciertamente no debemos dejarlos. Es vital que tengamos jueces que sean lo suficientemente conscientes de la tecnología y las prácticas de la industria del software consciente de la seguridad para saber que este tipo de orden de mordaza nunca es la respuesta correcta.

¿Qué piensas? ¿Le preocupa la seguridad de su vehículo? ¿Qué fabricante de automóviles es mejor (o peor) en seguridad?

Créditos de imagen: abriendo su auto por nito a través de Shutterstock




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.