Vw a poursuivi les chercheurs pour cacher une faille de sécurité pour deux ans
les failles de sécurité du logiciel se racontèrent tout le temps. En général, la réponse lorsqu`une vulnérabilité est découverte est à remercier (ou, dans de nombreux cas, payer) le chercheur qui l`a trouvé, puis résoudre le problème. C`est la réponse standard dans l`industrie.
Une réponse décidément non standard serait de poursuivre en justice les personnes qui ont déclaré la vulnérabilité pour les empêcher de parler, puis passer deux ans en essayant de cacher la question. Malheureusement, c`est exactement ce que le constructeur automobile allemand Volkswagen a fait.
Cryptographic Carjacking
La vulnérabilité en question était une faille du système d`allumage sans clé de certaines voitures. Ces systèmes, une alternative haut de gamme aux touches classiques, est censé empêcher la voiture de déverrouillage ou démarrer si le porte-clés se trouve à proximité. La puce est appelée « Megamos Crypto » et est acheté auprès d`un fabricant tiers en Suisse. La puce est censé détecter un signal de la voiture et de répondre avec un message signé cryptographiquement assurant la voiture qu`il est correct pour déverrouiller et démarrer.Pouvez-vous inscrire électronique de documents & Devrais-tu?Pouvez-vous inscrire électronique de documents & Devrais-tu?Peut-être que vous avez entendu vos amis technophiles jettent autour des deux termes signature électronique et la signature numérique. Peut-être vous avez même entendu les utilisés de manière interchangeable. Cependant, vous devez savoir qu`ils ne sont pas les mêmes. En réalité,...Lire la suite
Malheureusement, la puce utilise un système cryptographique obsolète. Lorsque les chercheurs Roel Verdult et Baris Ege remarqué ce fait, ils ont pu créer un programme qui rompt le cryptage en écoutant les messages entre la voiture et la clé-FAB. Après avoir entendu deux de ces échanges, le programme est en mesure de réduire la gamme de clés possibles jusqu`à environ 200 000 possibilités - un nombre qui peut être facilement brute forcée par un ordinateur.
Ce processus permet au programme de créer un « double numérique » de la clé-FAB et déverrouiller ou démarrer la voiture à volonté. Tout cela peut être fait par un dispositif (comme un ordinateur portable ou un téléphone) qui se trouve être près de la voiture en question. Il ne nécessite pas d`accès physique au véhicule. Au total, l`attaque prend environ trente minutes.
Si cette attaque semble théorique, ce n`est pas. Selon la police métropolitaine de Londres, 42% des vols de voiture à Londres l`année dernière ont été réalisées en utilisant des attaques contre les systèmes sans clé déverrouillés. Ceci est une vulnérabilité pratique qui met des millions de voitures à risque.
Tout cela est plus tragique, parce que les systèmes de déverrouillage sans clé peut être beaucoup plus sûr que les clés conventionnelles. La seule raison pour laquelle ces systèmes sont vulnérables est due à l`incompétence. Les outils sous-jacents sont beaucoup plus puissants que tout verrouillage physique jamais pu être.
Divulgation responsable
Les chercheurs ont divulgué à l`origine de la vulnérabilité au créateur de la puce, en leur donnant neuf mois pour corriger la vulnérabilité. Lorsque le créateur a refusé d`émettre un rappel, les chercheurs sont allés à Volkswagen en mai 2013. Ils ont initialement prévu de publier l`attaque lors de la conférence de USENIX en Août 2013, donnant Volkswagen environ trois mois pour commencer un rappel / rénovation, avant l`attaque devenir public.
Au lieu de cela, Volkswagen a poursuivi pour arrêter les chercheurs de publier le document. Un tribunal britannique tombereau avec Volkswagen, en disant: « Je reconnais la valeur élevée de la liberté d`expression académique, mais il y a une autre grande valeur, la sécurité de millions de voitures Volkswagen. »
Il a fallu deux ans de négociations, mais les chercheurs sont enfin autorisés à publier leur article, moins une phrase qui contient quelques détails clés sur la réplication de l`attaque. Volkswagen n`a pas encore fixé la clé goussets, et les autres ont ni les fabricants qui utilisent la même puce.
Sécurité Par Judiciarisation
De toute évidence, le comportement de Volkswagen est grossièrement irresponsable ici. Plutôt que d`essayer de résoudre le problème avec leurs voitures, ils ont versé à la place de Dieu sait combien de temps et d`argent à essayer d`empêcher les gens de savoir à ce sujet. C`est une trahison des principes les plus fondamentaux de la bonne sécurité. Leur comportement ici est inexcusable, honteux, et d`autres (plus coloré) que j`Invectives vais vous épargner. Qu`il suffise de dire que ce n`est pas comment les entreprises responsables doivent se comporter.
Malheureusement, il est aussi pas unique. Les constructeurs automobiles ont été en baisse la balle de sécurité énormément ces derniers temps. Le mois dernier, il a été révélé qu`un modèle particulier de Jeep pourrait être sans fil piraté grâce à son système de divertissement, quelque chose qui serait impossible dans toute conception de voiture soucieux de la sécurité. Au crédit de Fiat Chrysler, ils ont rappelé plus d`un million de véhicules à la suite cette révélation, mais seulement après que les chercheurs en question demoed le hack d`une manière irresponsable dangereux et vive.Peut-Hackers vraiment prendre en charge votre voiture?Peut-Hackers vraiment prendre en charge votre voiture?Lire la suite
Des millions d`autres véhicules connectés à Internet sont susceptibles vulnérables à des attaques similaires - mais personne ne imprudemment mis en danger un journaliste avec eux encore, donc il n`y a pas eu de rappel. Il est tout à fait possible que nous ne verrons pas sur ces changements jusqu`à ce que quelqu`un meure.
Le problème est ici que les constructeurs automobiles ont jamais été les fabricants de logiciels avant - mais maintenant, ils sont tout à coup. Ils ont pas la culture d`entreprise soucieux de la sécurité. Ils ne disposent pas de l`expertise institutionnelle pour faire face à ces problèmes de la bonne façon, ou construire des produits sécurisés. Quand ils sont confrontés à eux, leur première réponse est la panique et la censure, pas des solutions.
Il a fallu des décennies pour les entreprises de logiciels modernes pour développer de bonnes pratiques de sécurité. Certains, comme Oracle, sont encore coincé avec des cultures de sécurité obsolètes. Malheureusement, nous n`avons pas le luxe d`attendre simplement pour les entreprises de développer ces pratiques. Les voitures sont des machines coûteuses (et extrêmement dangereuses). Ils sont l`un des domaines les plus critiques de la sécurité informatique, après l`infrastructure de base comme le réseau électrique. Avec le montée des voitures d`auto-entraînement en particulier, ces entreprises doivent faire mieux, et il est de notre responsabilité de les tenir à un niveau supérieur.Oracle veut que vous arrêter de les Envoi Bugs - Voici pourquoi est fouOracle veut que vous arrêter de les Envoi Bugs - Voici pourquoi est fouOracle est dans l`eau chaude sur un billet de blog égaré par le chef de la sécurité, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d`Oracle part du courant principal n`a pas été bien reçue dans la communauté de la sécurité ...Lire la suite
Alors que nous travaillons là-dessus, le moins que nous puissions faire est d`obtenir que le gouvernement cesse permettant ce mauvais comportement. Les entreprises devraient même pas essayer d`utiliser les tribunaux pour cacher des problèmes avec leurs produits. Mais, tant que certains d`entre eux sont prêts à essayer, nous les laisser ne devrions certainement pas. Il est vital que nous avons des juges qui sont suffisamment conscients de la technologie et des pratiques de l`industrie du logiciel soucieux de la sécurité de savoir que ce genre d`ordre gag est jamais la bonne réponse.
Qu`est-ce que tu penses? Êtes-vous préoccupé par la sécurité de votre véhicule? Ce qui est le meilleur fabricant automobile (ou pire) à la sécurité?