VW processou pesquisadores por ocultar falha de segurança por dois anos

Propaganda

As vulnerabilidades de segurança do software são relatadas o tempo todo. Geralmente, a resposta quando uma vulnerabilidade é descoberta é agradecer (ou, em muitos casos, pagar) ao pesquisador que a encontrou e, em seguida, corrigir o problema. Essa é a resposta padrão no setor.

Uma resposta decididamente não-padrão seria processar as pessoas que relataram a vulnerabilidade para impedi-las de falar sobre isso e passar dois anos tentando esconder o problema. Infelizmente, isso é exatamente o que a montadora alemã Volkswagen fez.

Roubo Criptográfico

A vulnerabilidade em questão era uma falha no sistema de ignição sem chave de alguns carros. Esses sistemas, uma alternativa sofisticada às chaves convencionais, devem impedir o carro de destrancar ou dar partida, a menos que o chaveiro esteja próximo. O chip é chamado de "Megamos Crypto" e é comprado de um fabricante terceirizado na Suíça. O chip deve detectar um sinal do carro e responder com um mensagem assinada criptograficamente Você pode assinar documentos eletronicamente?

Talvez você tenha ouvido seus amigos conhecedores de tecnologia usarem os termos assinatura eletrônica e assinatura digital. Talvez você tenha ouvido eles serem usados ​​de forma intercambiável. No entanto, você deve saber que eles não são os mesmos. De fato,... consulte Mais informação garantindo ao carro que está tudo bem para destrancar e dar partida.

Infelizmente, o chip usa um esquema criptográfico desatualizado. Quando os pesquisadores Roel Verdult e Baris Ege perceberam esse fato, eles foram capazes de criar um programa que quebra a criptografia ouvindo as mensagens entre o carro e o chaveiro. Depois de ouvir duas dessas trocas, o programa é capaz de reduzir o alcance de possíveis chaves para cerca de 200.000 possibilidades - um número que pode ser facilmente forçado por um computador.

Esse processo permite que o programa crie uma “duplicata digital” do chaveiro e desbloqueie ou ligue o carro à vontade. Tudo isso pode ser feito por um dispositivo (como um laptop ou um telefone) que esteja perto do carro em questão. Não requer acesso físico ao veículo. No total, o ataque leva cerca de trinta minutos.

Se esse ataque parece teórico, não é. De acordo com a Polícia Metropolitana de Londres, 42% dos roubos de carros em Londres no ano passado foram realizados usando ataques contra sistemas desbloqueados sem chave. Essa é uma vulnerabilidade prática que coloca milhões de carros em risco.

Tudo isso é mais trágico, porque os sistemas de desbloqueio sem chave podem ser muito mais seguros do que as chaves convencionais. A única razão pela qual esses sistemas são vulneráveis ​​é devido à incompetência. As ferramentas subjacentes são muito mais poderosas do que qualquer bloqueio físico jamais poderia ser.

Divulgação Responsável

Os pesquisadores divulgaram originalmente a vulnerabilidade ao criador do chip, dando a eles nove meses para corrigi-la. Quando o criador se recusou a emitir um recall, os pesquisadores foram à Volkswagen em maio de 2013. Eles originalmente planejavam publicar o ataque na conferência USENIX em agosto de 2013, dando à Volkswagen cerca de três meses para iniciar um recall / modernização, antes que o ataque se tornasse público.

Em vez disso, a Volkswagen processou para impedir que os pesquisadores publicassem o artigo. Um tribunal britânico ao lado da Volkswagen, dizendo: "Reconheço o alto valor da liberdade de expressão acadêmica, mas há outro alto valor, a segurança de milhões de carros da Volkswagen".

Foram necessários dois anos de negociações, mas finalmente os pesquisadores estão autorizados a publicar seu trabalho, menos uma frase que contém alguns detalhes importantes sobre a replicação do ataque. A Volkswagen ainda não consertou as chaves, e nem os outros fabricantes que usam o mesmo chip.

Segurança por litígio

Obviamente, o comportamento da Volkswagen aqui é grosseiramente irresponsável. Em vez de tentar consertar o problema com seus carros, eles investiram muito tempo e dinheiro na tentativa de impedir as pessoas de descobrirem isso. Isso é uma traição aos princípios mais fundamentais de boa segurança. O comportamento deles aqui é indesculpável, vergonhoso e outros (mais coloridos) invectivos que eu vou poupar. Basta dizer que não é assim que as empresas responsáveis ​​devem se comportar.

Infelizmente, também não é único. Montadoras têm deixado cair a bola de segurança Os hackers podem realmente assumir o controle do seu carro? consulte Mais informação muita coisa ultimamente. No mês passado, foi revelado que um modelo específico de Jeep poderia ser hackeado sem fio através de seu sistema de entretenimento Quão seguros são os carros autônomos conectados à Internet?Os carros autônomos são seguros? Os automóveis conectados à Internet poderiam ser usados ​​para causar acidentes ou até assassinar dissidentes? O Google espera que não, mas um experimento recente mostra que ainda há um longo caminho a percorrer. consulte Mais informação , algo que seria impossível em qualquer projeto de carro com consciência de segurança. Para crédito da Fiat Chrysler, eles lembraram mais de um milhão de veículos logo após essa revelação, mas somente depois que os pesquisadores em questão demonstraram o hack em um maneira irresponsável perigosa e vívida.

Milhões de outros veículos conectados à Internet são provavelmente vulnerável a ataques semelhantes - mas ninguém colocou em risco um jornalista de forma imprudente ainda, então não houve recall. É perfeitamente possível que não vejamos alterações até que alguém realmente morra.

O problema aqui é que os fabricantes de automóveis nunca foram fabricantes de software antes - mas agora eles são de repente. Eles não têm cultura corporativa preocupada com a segurança. Eles não têm o conhecimento institucional para lidar com esses problemas da maneira correta ou criar produtos seguros. Quando eles se deparam com eles, sua primeira resposta é pânico e censura, não correções.

Demorou décadas para as empresas de software modernas desenvolverem boas práticas de segurança. Alguns, como o Oracle, ainda estão preso a culturas de segurança desatualizadas Oracle quer que você pare de enviá-los erros - eis por que isso é loucuraA Oracle está na água quente por causa de um post equivocado da chefe de segurança, Mary Davidson. Esta demonstração de como a filosofia de segurança da Oracle se afasta do mainstream não foi bem recebida na comunidade de segurança ... consulte Mais informação . Infelizmente, não temos o luxo de simplesmente esperar que as empresas desenvolvam essas práticas. Os carros são máquinas caras (e extremamente perigosas). Eles são uma das áreas mais críticas da segurança de computadores, depois de infraestrutura básica como a rede elétrica. Com o ascensão de carros autônomos A história é beliche: o futuro do transporte será como nada que você já viu antesEm algumas décadas, a frase 'carro sem motorista' vai soar muito como 'carruagem sem cavalo', e a idéia de possuir seu próprio carro parecerá tão singular quanto cavar seu próprio poço. consulte Mais informação em particular, essas empresas precisam fazer melhor, e é nossa responsabilidade mantê-las em um padrão mais alto.

Enquanto estamos trabalhando nisso, o mínimo que podemos fazer é fazer com que o governo pare de permitir esse mau comportamento. As empresas nem deveriam tentar usar os tribunais para ocultar problemas com seus produtos. Mas, desde que alguns deles estejam dispostos a tentar, certamente não devemos deixá-los. É vital que tenhamos juízes que estejam cientes o suficiente da tecnologia e práticas da indústria de software preocupada com a segurança para saber que esse tipo de ordem de mordaça nunca é a resposta certa.

O que você acha? Você está preocupado com a segurança do seu veículo? Qual fabricante de automóveis é melhor (ou pior) em segurança?

Créditos da imagem:abrindo seu carro por nito via Shutterstock