VW demandó a investigadores por ocultar falla de seguridad durante dos años

Anuncio

Las vulnerabilidades de seguridad del software se informan todo el tiempo. En general, la respuesta cuando se descubre una vulnerabilidad es agradecer (o, en muchos casos, pagar) al investigador que la encontró y luego solucionar el problema. Esa es la respuesta estándar en la industria.

Una respuesta decididamente no estándar sería demandar a las personas que reportaron la vulnerabilidad para evitar que hablen de ello, y luego pasar dos años tratando de ocultar el problema. Tristemente, eso es exactamente lo que hizo el fabricante de automóviles alemán Volkswagen.

Carjacking criptográfico

La vulnerabilidad en cuestión era un defecto en el sistema de encendido sin llave de algunos automóviles. Se supone que estos sistemas, una alternativa de alta gama a las llaves convencionales, evitan que el automóvil se desbloquee o arranque a menos que el llavero esté cerca. El chip se llama "Megamos Crypto" y se compra a un fabricante externo en Suiza. Se supone que el chip detecta una señal del automóvil y responde con un

mensaje firmado criptográficamente ¿Puede firmar electrónicamente documentos y debería?Quizás haya escuchado a sus amigos expertos en tecnología lanzar los términos firma electrónica y firma digital. Tal vez incluso los haya escuchado usar indistintamente. Sin embargo, debes saber que no son lo mismo. De hecho,... Lee mas asegurando al automóvil que está bien desbloquear y arrancar.

Desafortunadamente, el chip utiliza un esquema criptográfico desactualizado. Cuando los investigadores Roel Verdult y Baris Ege notaron este hecho, pudieron crear un programa que rompe el cifrado al escuchar los mensajes entre el automóvil y el llavero. Después de escuchar dos de estos intercambios, el programa puede reducir el rango de claves posibles a unas 200,000 posibilidades, un número que puede ser fácilmente forzado por una computadora.

Este proceso permite que el programa cree un "duplicado digital" del llavero y desbloquee o arranque el automóvil a voluntad. Todo esto puede hacerse mediante un dispositivo (como una computadora portátil o un teléfono) que esté cerca del automóvil en cuestión. No requiere acceso físico al vehículo. En total, el ataque lleva unos treinta minutos.

Si este ataque suena teórico, no lo es. Según la policía metropolitana de Londres, El 42% de los robos de automóviles en Londres el año pasado se realizaron mediante ataques contra sistemas desbloqueados sin llave. Esta es una vulnerabilidad práctica que pone en riesgo a millones de automóviles.

Todo esto es más trágico, porque los sistemas de desbloqueo sin llave pueden ser mucho más seguros que las llaves convencionales. La única razón por la que estos sistemas son vulnerables se debe a la incompetencia. Las herramientas subyacentes son mucho más poderosas que cualquier bloqueo físico.

Divulgación responsable

Los investigadores revelaron originalmente la vulnerabilidad al creador del chip, dándoles nueve meses para solucionar la vulnerabilidad. Cuando el creador se negó a emitir un retiro, los investigadores fueron a Volkswagen en mayo de 2013. Originalmente planearon publicar el ataque en la conferencia USENIX en agosto de 2013, dando a Volkswagen unos tres meses para comenzar un retiro / modificación, antes de que el ataque se hiciera público.

En cambio, Volkswagen demandó para evitar que los investigadores publicaran el periódico. Un tribunal superior británico del lado de Volkswagen, diciendo "Reconozco el alto valor de la libertad de expresión académica, pero hay otro alto valor, la seguridad de millones de automóviles Volkswagen".

Han tomado dos años de negociaciones, pero finalmente se les permite a los investigadores publicar su artículo, menos una oración que contiene algunos detalles clave sobre la replicación del ataque. Volkswagen todavía no ha reparado los llaveros, y tampoco los otros fabricantes que usan el mismo chip.

Seguridad por litigios

Obviamente, el comportamiento de Volkswagen aquí es extremadamente irresponsable. En lugar de tratar de solucionar el problema con sus autos, en lugar de eso, invirtieron Dios sabe cuánto tiempo y dinero tratan de evitar que la gente se entere. Esa es una traición de los principios más fundamentales de la buena seguridad. Su comportamiento aquí es inexcusable, vergonzoso y otras invectivas (más coloridas) que te perdonaré. Baste decir que no es así como deberían comportarse las empresas responsables.

Lamentablemente, tampoco es único. Los fabricantes de automóviles han estado dejando caer la pelota de seguridad ¿Pueden los hackers REALMENTE hacerse cargo de su automóvil? Lee mas muchísimo últimamente El mes pasado, se reveló que un modelo particular de Jeep podría ser pirateado de forma inalámbrica a través de su sistema de entretenimiento ¿Qué tan seguros son los autos autónomos conectados a Internet?¿Son seguros los autos sin conductor? ¿Podrían usarse automóviles conectados a Internet para causar accidentes, o incluso asesinar a disidentes? Google espera que no, pero un experimento reciente muestra que aún queda un largo camino por recorrer. Lee mas , algo que sería imposible en cualquier diseño de automóvil consciente de la seguridad. Para crédito de Fiat Chrysler, recordaron más de un millón de vehículos a raíz de esa revelación, pero solo después de que los investigadores en cuestión demostraron el hack en un irresponsablemente peligroso y vívido.

Millones de otros vehículos conectados a Internet son probablemente vulnerable a ataques similares - pero nadie ha puesto en peligro imprudentemente a un periodista con ellos todavía, por lo que no ha habido ningún recuerdo. Es completamente posible que no veamos cambios en estos hasta que alguien realmente muera.

El problema aquí es que los fabricantes de automóviles nunca antes han sido fabricantes de software, pero ahora lo son de repente. No tienen una cultura corporativa consciente de la seguridad. No tienen la experiencia institucional para tratar estos problemas de la manera correcta o para crear productos seguros. Cuando se enfrentan a ellos, su primera respuesta es pánico y censura, no soluciones.

A las compañías de software modernas les llevó décadas desarrollar buenas prácticas de seguridad. Algunos, como Oracle, todavía están atrapado con culturas de seguridad obsoletas Oracle quiere que dejes de enviarles errores: he aquí por qué es una locuraOracle está en apuros por una publicación de blog equivocada de la jefa de seguridad, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no fue bien recibida en la comunidad de seguridad ... Lee mas . Desafortunadamente, no podemos darnos el lujo de esperar a que las empresas desarrollen estas prácticas. Los automóviles son máquinas caras (y extremadamente peligrosas). Son una de las áreas más críticas de la seguridad informática, después de la infraestructura básica como la red eléctrica. Con el ascenso de autos sin conductor La historia es una litera: el futuro del transporte será como nada que hayas visto antesEn unas pocas décadas, la frase 'auto sin conductor' va a sonar mucho como 'carro sin caballo', y la idea de ser dueño de su propio auto sonará tan pintoresca como cavar su propio pozo. Lee mas en particular, estas compañías deben hacerlo mejor, y es nuestra responsabilidad mantenerlas en un nivel más alto.

Mientras trabajamos en eso, lo menos que podemos hacer es lograr que el gobierno deje de permitir este mal comportamiento. Las empresas ni siquiera deberían intentar utilizar los tribunales para ocultar problemas con sus productos. Pero, mientras algunos de ellos estén dispuestos a intentarlo, ciertamente no debemos dejarlos. Es vital que tengamos jueces que sean lo suficientemente conscientes de la tecnología y las prácticas de la industria del software consciente de la seguridad para saber que este tipo de orden de mordaza nunca es la respuesta correcta.

¿Qué piensas? ¿Le preocupa la seguridad de su vehículo? ¿Qué fabricante de automóviles es el mejor (o el peor) en seguridad?

Créditos de imagen:abriendo su auto por nito a través de Shutterstock