פרסומת

מדווחים על פגיעות באבטחת תוכנה כל הזמן. באופן כללי, התגובה כאשר נחשפת פגיעות היא להודות (או במקרים רבים לשלם) לחוקר שמצא אותה ואז לפתור את הבעיה. זו התגובה הסטנדרטית בענף.

תשובה לא סטנדרטית בהחלט תהיה לתבוע את האנשים שדיווחו על הפגיעות כדי למנוע מהם לדבר על כך, ואז להקדיש שנתיים בניסיון להסתיר את הנושא. למרבה הצער, זה בדיוק מה שעשתה יצרנית הרכב הגרמנית פולקסווגן.

עילוף קריפטוגרפי

הפגיעות המדוברת הייתה פגם במערכת ההצתה ללא מפתח של מכוניות. מערכות אלה, אלטרנטיבה מתקדמת למפתחות קונבנציונליים, אמורות למנוע את נעילת המכונית או התנעה בה, אלא אם כן מפתח המפתח נמצא בקרבת מקום. השבב נקרא "Megamos Crypto", והוא נרכש מיצרן של צד שלישי בשוויץ. השבב אמור לגלות אות מהמכונית ולהגיב באמצעות הודעה חתומה קריפטוגרפית האם אתה יכול לחתום על מסמכים אלקטרונית והאם אתה צריך?אולי שמעת את חבריך המתמצא הטכנולוגי זורק גם את המונחים חתימה אלקטרונית וגם חתימה דיגיטלית. אולי שמעתם אפילו שהם משתמשים זה בזה. עם זאת, עליכם לדעת שהם אינם זהים. למעשה,... קרא עוד להבטיח למכונית שזה בסדר לפתוח ולהתחיל.

לרוע המזל, השבב משתמש בתכנית קריפטוגרפית מיושנת. כאשר החוקרים רוב ורדו ו באריס איג 'הבחינו בעובדה זו, הם הצליחו ליצור תוכנית ששוברת את ההצפנה על ידי האזנה להודעות בין המכונית לפוף המפתחות. לאחר שמיעת שני חילופי דברים כאלה, התוכנית מסוגלת לצמצם את טווח המפתחות האפשרי לכ -200,000 אפשרויות - מספר שניתן למחוק בקלות על ידי מחשב.

instagram viewer

תהליך זה מאפשר לתוכנית ליצור "כפילות דיגיטליות" של מפתח המפתח, ולפתוח את המכונית או להפעיל אותה כרצונם. כל זה יכול להיעשות על ידי מכשיר (כמו מחשב נייד או טלפון) שבמקרה נמצא בקרבת המכונית המדוברת. זה לא דורש גישה פיזית לרכב. בסך הכל, ההתקפה אורכת כשלושים דקות.

אם מתקפה זו נשמעת תיאורטית, היא לא. על פי משטרת המטרופוליטן בלונדון42% מגניבות הרכב בלונדון בשנה שעברה בוצעו בהתקפות נגד מערכות ללא נעילה ללא מפתח. זוהי פגיעות מעשית שמסכנת מיליוני מכוניות.

כל זה טרגי יותר, מכיוון שמערכות הנעילה ללא מפתח יכולות להיות הרבה יותר בטוחות מהמפתחות המקובלים. הסיבה היחידה שמערכות אלה פגיעות נובעת מחוסר יכולת. הכלים העומדים בבסיס הם חזקים בהרבה מכל מנעול פיזי שאי פעם יכול להיות.

חשיפה אחראית

החוקרים חשפו במקור את הפגיעות ליוצר השבב, והעניקו להם תשעה חודשים לתקן את הפגיעות. כאשר היוצר סירב לפרסם זיכרון, החוקרים נסעו לפולקסווגן במאי 2013. הם תכננו במקור לפרסם את הפיגוע בכנס USENIX באוגוסט 2013, והעניקו לפולקסווגן כשלושה חודשים להתחיל בהיזכרות / רטרוספיט, לפני שההתקפה תתפרסם.

במקום זאת, תבעה פולקסווגן לעצור את החוקרים מלפרסם את העיתון. בית משפט גבוה בבריטניה בצד עם פולקסווגןבאומרו "אני מכיר בערך הגבוה של הדיבור החופשי האקדמי, אך יש ערך גבוה נוסף, האבטחה של מיליוני מכוניות פולקסווגן."

נדרשו שנתיים של משא ומתן, אבל סוף סוף מותר לחוקרים לעשות זאת פרסם את העיתון שלהם, מינוס משפט אחד המכיל כמה פרטים מרכזיים על שכפול התקיפה. פולקסווגן עדיין לא תיקן את המפתחות, וגם את היצרניות האחרות המשתמשות באותו שבב.

ביטחון על ידי ליטיגיות

ברור שהתנהגותה של פולקסווגן כאן אינה אחראית באופן גס. במקום לנסות לתקן את הבעיה עם המכוניות שלהם, הם במקום זאת שפכו אלוהים - יודע כמה זמן וכסף לנסות למנוע מאנשים לגלות זאת. זו בגידה בעקרונות הבסיסיים ביותר של ביטחון טוב. ההתנהגות שלהם כאן היא בלתי מוסתרת, מבישה ואינקטיבציות אחרות (צבעוניות יותר) שאחסוך ממך. די לומר שלא כך חברות צריכות להתנהג.

למרבה הצער זה גם לא ייחודי. יצרניות רכב הטילו את כדור האבטחה האם האקרים יכולים באמת להשתלט על המכונית שלך? קרא עוד הרבה מאוד לא מזמן. בחודש שעבר נחשף כי יכול להיות דגם מסוים של ג'יפ פריצה אלחוטית דרך מערכת הבידור שלה כמה מאובטחים מכוניות המחוברות לאינטרנט ונהגות עצמית?האם מכוניות בנהיגה עצמית בטוחות? האם ניתן להשתמש במכוניות המחוברות לאינטרנט כדי לגרום לתאונות, או אפילו להתנקש בחיי מריעים? גוגל מקווה שלא, אך ניסוי שנערך לאחרונה מראה כי יש עוד דרך ארוכה. קרא עוד , דבר בלתי אפשרי בעיצוב מכוניות מודע לאבטחה. לזכותה של פיאט קרייזלר, הם נזכרו ביותר ממיליון כלי רכב בעקבות אותה התגלות, אך רק לאחר שהחוקרים המדוברים הדהו את הגרזן דרך מסוכנת וחסרת אחריות.

מיליוני רכבים אחרים המחוברים לאינטרנט הם ככל הנראה פגיע להתקפות דומות - אבל אף אחד עדיין לא סכן את עיתונם בפזיזות, ולכן לא היה זכר. ייתכן בהחלט שלא נראה שינוי באלה עד שמישהו באמת נפטר.

הבעיה כאן היא שמייצרי מכוניות מעולם לא היו יצרני תוכנה לפני כן - אבל עכשיו הם פתאום. אין להם תרבות ארגונית מודעת לאבטחה. אין להם את המומחיות המוסדית להתמודד עם בעיות אלה בדרכים הנכונות, או לבנות מוצרים מאובטחים. כאשר הם מתמודדים איתם, התגובה הראשונה שלהם היא פאניקה וצנזורה, לא תיקונים.

חברות תוכנה מודרניות לקח עשרות שנים לפתח נוהלי אבטחה טובים. חלקם, כמו אורקל, עדיין תקוע עם תרבויות ביטחון מיושנות אורקל רוצה שתפסיקו לשלוח את החרקים - הנה הסיבה שזה משוגעאורקל נמצאת במים חמים בגלל פוסט בבלוג שגוי של ראש הביטחון, מרי דוידסון. ההדגמה הזו כיצד פילוסופיית האבטחה של אורקל יוצאת מהמיינסטרים לא התקבלה טוב בקהילת האבטחה ... קרא עוד . למרבה הצער, אין לנו את המותרות פשוט לחכות לחברות שיפתחו שיטות אלה. מכוניות הן מכונות יקרות (ומסוכנות ביותר). הם אחד התחומים הקריטיים ביותר בתחום אבטחת המחשבים, לאחר תשתית בסיסית כמו רשת החשמל. עם ה עליית מכוניות בנהיגה עצמית ההיסטוריה היא דרגש: עתיד התחבורה יהיה כמו שום דבר שלא ראית בעברבעוד כמה עשורים הביטוי 'מכונית נטולת נהג' יישמע הרבה כמו "עגלה חסרת סוסים", והרעיון של בעלות על מכונית משלך יישמע מוזר כמו לחפור היטב בעצמך. קרא עוד בפרט, על חברות אלה לעשות טוב יותר, ובאחריותנו להחזיק אותן בסטנדרט גבוה יותר.

בזמן שאנחנו עובדים על זה, המעט שאנחנו יכולים לעשות זה לגרום לממשלה להפסיק לאפשר התנהגות רעה זו. חברות לא צריכות אפילו לנסות להשתמש בבתי המשפט כדי להסתיר בעיות במוצרים שלהן. אבל כל עוד חלקם מוכנים לנסות, אנו בהחלט לא צריכים לאפשר להם. חיוני שיש לנו שופטים המודעים מספיק לטכנולוגיה ולפרקטיקות בתעשיית התוכנה המודעת לאבטחה כדי לדעת שסדר איסור פרסום כזה הוא לעולם לא התשובה הנכונה.

מה אתה חושב? האם אתה מודאג מאבטחת הרכב שלך? איזו יצרנית רכב היא הטובה ביותר (או הגרועה ביותר) בביטחון?

זיכויים לתמונה:פותח את מכוניתו על ידי ניטו דרך Shutterstock

אנדר מוביל להישאר פונקציונלי עד 50 מעלות צלזיוס, הוא סופר ועיתונאי שבסיסו בדרום מערב. הוא אטום למים בעומק של מטר וחצי.