Seguridad

VW demandó a los investigadores para ocultar la falla de seguridad durante dos años

VW demandó a los investigadores para ocultar la falla de seguridad durante dos años / Seguridad

Las vulnerabilidades de seguridad del software se informan todo el tiempo. En general, la respuesta cuando se descubre una vulnerabilidad es agradecer (o, en muchos casos, pagar) al investigador que la encontró y luego solucionar el problema. Esa es la respuesta estándar en la industria..

Una respuesta decididamente no estándar sería demandar a las personas que informaron sobre la vulnerabilidad para evitar que hablen de ello y luego pasar dos años tratando de ocultar el problema. Lamentablemente, eso es exactamente lo que hizo el fabricante de automóviles alemán Volkswagen..

Robo de auto criptográfico

La vulnerabilidad en cuestión era una falla en el sistema de encendido sin llave de algunos autos. Se supone que estos sistemas, una alternativa de alto nivel a las llaves convencionales, impiden que el automóvil se desbloquee o arranque a menos que el llavero esté cerca. El chip se llama “Megamos Crypto,” y se compra a un fabricante de terceros en Suiza. Se supone que el chip detecta una señal del automóvil y responde con un mensaje firmado criptográficamente. ¿Puede usted firmar electrónicamente documentos y debe hacerlo? ¿Puede usted firmar documentos electrónicamente y debería hacerlo? Quizás haya escuchado a sus amigos expertos en tecnología compartir los términos firma electrónica y firma digital. Tal vez incluso los hayas escuchado indistintamente. Sin embargo, debes saber que no son lo mismo. De hecho,… Leer más asegurando al auto que está bien desbloquear y arrancar.

Desafortunadamente, el chip utiliza un esquema criptográfico obsoleto. Cuando los investigadores Roel Verdult y Baris Ege notaron este hecho, pudieron crear un programa que rompe el cifrado al escuchar los mensajes entre el automóvil y el llavero. Después de escuchar dos de estos intercambios, el programa puede reducir el rango de las posibles teclas a unas 200,000 posibilidades, un número que puede ser fácilmente forzado por la computadora.

Este proceso permite al programa crear una “duplicado digital” del llavero, y desbloquear o arrancar el coche a voluntad. Todo esto se puede hacer con un dispositivo (como una computadora portátil o un teléfono) que esté cerca del automóvil en cuestión. No requiere acceso físico al vehículo. En total, el ataque dura unos treinta minutos..

Si este ataque suena teórico, no lo es. Según la Policía Metropolitana de Londres, el 42% de los robos de autos en Londres el año pasado se realizaron mediante ataques contra sistemas desbloqueados sin llave. Esta es una vulnerabilidad práctica que pone a millones de autos en riesgo..

Todo esto es más trágico, porque los sistemas de desbloqueo sin llave pueden ser mucho más seguros que las claves convencionales. La única razón por la que estos sistemas son vulnerables se debe a la incompetencia. Las herramientas subyacentes son mucho más poderosas de lo que cualquier cerradura física podría ser.

Divulgación Responsable

Los investigadores revelaron originalmente la vulnerabilidad al creador del chip, dándoles nueve meses para corregir la vulnerabilidad. Cuando el creador se negó a emitir un retiro, los investigadores fueron a Volkswagen en mayo de 2013. Originalmente planearon publicar el ataque en la conferencia de USENIX en agosto de 2013, lo que le dio a Volkswagen aproximadamente tres meses para comenzar un retiro / adaptación, antes del ataque. volverse público.

En cambio, Volkswagen presentó una demanda para impedir que los investigadores publicaran el artículo. Un alto tribunal británico se puso del lado de Volkswagen, diciendo: “Reconozco el alto valor de la libertad de expresión académica, pero hay otro alto valor, la seguridad de millones de automóviles Volkswagen.”

Han transcurrido dos años de negociaciones, pero a los investigadores finalmente se les permite publicar su artículo, menos una frase que contiene algunos detalles clave sobre la replicación del ataque. Volkswagen aún no ha arreglado los llaveros, y ninguno de los otros fabricantes ha usado el mismo chip..

Seguridad por litigiosidad

Obviamente, el comportamiento de Volkswagen aquí es sumamente irresponsable. En lugar de tratar de solucionar el problema con sus autos, en lugar de eso vertieron un dios sabe cuánto tiempo y dinero intentan evitar que la gente se entere. Esa es una traición a los principios más fundamentales de la buena seguridad. Su comportamiento aquí es inexcusable, vergonzoso, y otras invectivas (más coloridas) que te ahorraré. Basta con decir que no es así como deben comportarse las empresas responsables..

Desafortunadamente, tampoco es único. Los fabricantes de automóviles han estado dejando caer la bola de seguridad ¿Pueden los hackers REALMENTE hacerse cargo de su automóvil? ¿Pueden los hackers REALMENTE hacerse cargo de tu auto? Leer más una gran cantidad últimamente. El mes pasado, se reveló que un modelo particular de Jeep podría ser hackeado de forma inalámbrica a través de su sistema de entretenimiento. ¿Qué tan seguros están conectados a Internet, los autos que conducen por sí mismos? ¿Qué tan seguros están los autos autocontrolados y conectados a Internet? ¿Son seguros los autos que conducen solos? ¿Se podrían utilizar los automóviles conectados a Internet para causar accidentes, o incluso asesinar a los disidentes? Google espera que no, pero un experimento reciente muestra que todavía hay un largo camino por recorrer. Lea más, algo que sería imposible en cualquier diseño de automóvil preocupado por la seguridad. Para crédito de Fiat Chrysler, recordaron más de un millón de vehículos después de esa revelación, pero solo después de que los investigadores en cuestión demostraran el ataque de manera irresponsablemente peligrosa y vívida..

Es probable que millones de otros vehículos conectados a Internet sean vulnerables a ataques similares, pero nadie ha puesto en peligro imprudentemente a un periodista con ellos todavía, por lo que no ha habido ningún retiro. Es totalmente posible que no veamos cambios en esto hasta que alguien realmente muera..

El problema aquí es que los fabricantes de automóviles nunca han sido fabricantes de software antes, pero ahora lo son de repente. No tienen una cultura corporativa consciente de la seguridad. No tienen la experiencia institucional para enfrentar estos problemas de la manera correcta, o crear productos seguros. Cuando se enfrentan a ellos, su primera respuesta es pánico y censura, no arreglos..

Las empresas modernas de software tardaron décadas en desarrollar buenas prácticas de seguridad. Algunos, como Oracle, todavía están atrapados en culturas de seguridad obsoletas. Oracle quiere que dejes de enviarlos. Este es el motivo por el que Oracle está loco. Quiere que dejes de enviarlos por error. Este es el motivo por el que Oracle está loco por una publicación maliciosa del blog por seguridad. jefe, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aleja de la corriente principal no se recibió bien en la comunidad de seguridad ... Leer más. Desafortunadamente, no tenemos el lujo de simplemente esperar a que las compañías desarrollen estas prácticas. Los autos son máquinas caras (y extremadamente peligrosas). Son una de las áreas más críticas de la seguridad informática, después de una infraestructura básica como la red eléctrica. Con el auge de los autos que conducen por cuenta propia, la historia es una litera: el futuro del transporte será como nada que hayas visto antes de que la historia sea una litera: el futuro del transporte será como nada que hayas visto antes. El auto sin conductor "va a sonar muy parecido al de" carro sin caballos ", y la idea de ser dueño de su propio automóvil parecerá tan extraña como cavar su propio pozo. Lea más en particular, estas compañías deben mejorar, y es nuestra responsabilidad mantenerlas en un estándar más alto..

Mientras trabajamos en eso, lo menos que podemos hacer es lograr que el gobierno deje de permitir este mal comportamiento. Las empresas ni siquiera deberían tratar de usar los tribunales para ocultar problemas con sus productos. Pero, mientras algunos de ellos estén dispuestos a intentarlo, ciertamente no deberíamos dejarlos. Es vital que tengamos jueces que conozcan la tecnología y las prácticas de la industria de software preocupada por la seguridad para saber que este tipo de orden de broma nunca es la respuesta correcta..

¿Qué piensas? ¿Está preocupado por la seguridad de su vehículo? ¿Qué fabricante de automóviles es mejor (o peor) en seguridad??

Créditos de imagen: abriendo su auto por nito a través de Shutterstock

Explorar más sobre: ​​Tecnología Automotriz, Hacking..