Werbung

Sicherheitslücken in der Software werden ständig gemeldet. Im Allgemeinen besteht die Antwort, wenn eine Sicherheitsanfälligkeit aufgedeckt wird, darin, dem Forscher, der sie gefunden hat, zu danken (oder in vielen Fällen zu bezahlen) und das Problem dann zu beheben. Dies ist die Standardantwort in der Branche.

Eine entschieden nicht standardmäßige Antwort wäre, die Personen, die die Sicherheitsanfälligkeit gemeldet haben, zu verklagen, um sie davon abzuhalten, darüber zu sprechen, und dann zwei Jahre lang zu versuchen, das Problem zu verbergen. Leider ist das so genau das hat der deutsche Autohersteller Volkswagen getan.

Kryptografisches Carjacking

Die fragliche Sicherheitslücke war ein Fehler im schlüssellosen Zündsystem einiger Autos. Diese Systeme, eine High-End-Alternative zu herkömmlichen Schlüsseln, sollen verhindern, dass das Auto entriegelt oder startet, es sei denn, der Schlüsselanhänger befindet sich in der Nähe. Der Chip heißt „Megamos Crypto“ und wird von einem Dritthersteller in der Schweiz bezogen. Der Chip soll ein Signal vom Auto erkennen und mit einem antworten

kryptografisch signierte Nachricht Können Sie Dokumente elektronisch signieren und sollten Sie?Vielleicht haben Sie gehört, dass Ihre technisch versierten Freunde sowohl die Begriffe elektronische Signatur als auch digitale Signatur herumwerfen. Vielleicht haben Sie sogar gehört, dass sie austauschbar verwendet wurden. Sie sollten jedoch wissen, dass sie nicht gleich sind. Eigentlich,... Weiterlesen dem Auto versichern, dass das Entsperren und Starten in Ordnung ist.

Leider verwendet der Chip ein veraltetes kryptografisches Schema. Als die Forscher Roel Verdult und Baris Ege diese Tatsache bemerkten, konnten sie ein Programm erstellen, das die Verschlüsselung aufhebt, indem sie die Nachrichten zwischen dem Auto und dem Schlüsselanhänger abhören. Nach zwei solchen Austauschen kann das Programm den Bereich möglicher Schlüssel auf etwa 200.000 Möglichkeiten eingrenzen - eine Zahl, die von einem Computer leicht brutal erzwungen werden kann.

Dieser Vorgang ermöglicht es dem Programm, ein „digitales Duplikat“ des Schlüsselanhänger zu erstellen und das Auto nach Belieben zu entsperren oder zu starten. All dies kann von einem Gerät (wie einem Laptop oder einem Telefon) durchgeführt werden, das sich zufällig in der Nähe des betreffenden Autos befindet. Es ist kein physischer Zugang zum Fahrzeug erforderlich. Insgesamt dauert der Angriff etwa 30 Minuten.

Wenn dieser Angriff theoretisch klingt, ist dies nicht der Fall. Nach Angaben der Londoner Metropolitan Police42% der Autodiebstähle in London im letzten Jahr wurden mit Angriffen gegen schlüssellose, entsperrte Systeme durchgeführt. Dies ist eine praktische Sicherheitslücke, die Millionen von Autos gefährdet.

All dies ist tragischer, da schlüssellose Entriegelungssysteme viel sicherer sein können als herkömmliche Schlüssel. Der einzige Grund, warum diese Systeme anfällig sind, ist Inkompetenz. Die zugrunde liegenden Tools sind weitaus leistungsfähiger als jede physische Sperre jemals sein könnte.

Verantwortliche Offenlegung

Die Forscher haben die Schwachstelle ursprünglich dem Entwickler des Chips mitgeteilt und ihnen neun Monate Zeit gegeben, um die Schwachstelle zu beheben. Als sich der Urheber weigerte, einen Rückruf zu veranlassen, gingen die Forscher im Mai 2013 zu Volkswagen. Sie planten ursprünglich, den Angriff auf der USENIX-Konferenz im August 2013 zu veröffentlichen, damit Volkswagen etwa drei Monate Zeit hatte, um mit einem Rückruf / einer Nachrüstung zu beginnen, bevor der Angriff öffentlich werden sollte.

Stattdessen verklagte Volkswagen, um die Forscher daran zu hindern, das Papier zu veröffentlichen. Ein britisches Obergericht auf der Seite von Volkswagenund sagte: "Ich erkenne den hohen Wert der akademischen Redefreiheit an, aber es gibt noch einen anderen hohen Wert, die Sicherheit von Millionen von Volkswagen Autos."

Es hat zwei Jahre gedauert, aber die Forscher dürfen es endlich veröffentlichen ihre Arbeit, minus einem Satz, der einige wichtige Details zur Replikation des Angriffs enthält. Volkswagen hat die Schlüsselanhänger immer noch nicht repariert, und die anderen Hersteller, die denselben Chip verwenden, auch nicht.

Sicherheit durch Rechtsstreitigkeiten

Offensichtlich ist das Verhalten von Volkswagen hier grob unverantwortlich. Anstatt zu versuchen, das Problem mit ihren Autos zu beheben, haben sie stattdessen Gott weiß, wie viel Zeit und Geld in den Versuch gesteckt haben, die Leute davon abzuhalten, es herauszufinden. Das ist ein Verrat an den grundlegendsten Prinzipien guter Sicherheit. Ihr Verhalten hier ist unentschuldbar, beschämend und andere (farbenfrohere) Beschimpfungen, die ich Ihnen ersparen werde. Es genügt zu sagen, dass sich verantwortungsbewusste Unternehmen nicht so verhalten sollten.

Leider ist es auch nicht einzigartig. Autohersteller haben den Sicherheitsball fallen lassen Können Hacker Ihr Auto WIRKLICH übernehmen? Weiterlesen in letzter Zeit sehr viel. Letzten Monat wurde bekannt, dass es sich um ein bestimmtes Jeep-Modell handeln könnte drahtlos durch sein Unterhaltungssystem gehackt Wie sicher sind selbstfahrende Autos mit Internetverbindung?Sind selbstfahrende Autos sicher? Könnten mit dem Internet verbundene Autos verwendet werden, um Unfälle zu verursachen oder sogar Andersdenkende zu ermorden? Google hofft nicht, aber ein kürzlich durchgeführtes Experiment zeigt, dass noch ein langer Weg vor uns liegt. Weiterlesen , etwas, das in jedem sicherheitsbewussten Autodesign unmöglich wäre. Zu Fiat Chryslers Gunsten, Sie erinnerten sich an mehr als eine Million Fahrzeuge im Anschluss an diese Enthüllung, aber erst nachdem die fraglichen Forscher den Hack in einem demonstriert hatten unverantwortlich gefährlich und lebendig.

Millionen anderer Fahrzeuge mit Internetanschluss sind wahrscheinlich anfällig für ähnliche Angriffe - aber noch hat niemand einen Journalisten mit ihnen rücksichtslos gefährdet, daher gab es keinen Rückruf. Es ist durchaus möglich, dass sich daran nichts ändert, bis tatsächlich jemand stirbt.

Das Problem dabei ist, dass Autohersteller noch nie zuvor Softwarehersteller waren - aber jetzt sind sie es plötzlich. Sie haben keine sicherheitsbewusste Unternehmenskultur. Sie verfügen nicht über das institutionelle Fachwissen, um diese Probleme richtig zu lösen oder sichere Produkte zu entwickeln. Wenn sie mit ihnen konfrontiert werden, ist ihre erste Antwort Panik und Zensur, keine Korrekturen.

Es dauerte Jahrzehnte, bis moderne Softwareunternehmen gute Sicherheitspraktiken entwickelten. Einige, wie Oracle, sind es noch mit veralteten Sicherheitskulturen stecken Oracle möchte, dass Sie keine Fehler mehr senden - hier ist, warum das verrückt istOracle ist wegen eines fehlgeleiteten Blogposts der Sicherheitschefin Mary Davidson in heißem Wasser. Diese Demonstration, wie die Sicherheitsphilosophie von Oracle vom Mainstream abweicht, wurde in der Sicherheitsgemeinschaft nicht gut aufgenommen ... Weiterlesen . Leider haben wir nicht den Luxus, einfach darauf zu warten, dass Unternehmen diese Praktiken entwickeln. Autos sind teure (und äußerst gefährliche) Maschinen. Sie sind nach der Basisinfrastruktur wie dem Stromnetz einer der kritischsten Bereiche der Computersicherheit. Mit dem Aufstieg selbstfahrender Autos Die Geschichte ist eine Koje: Die Zukunft des Transportwesens wird wie nichts sein, was Sie zuvor gesehen habenIn ein paar Jahrzehnten wird der Ausdruck "fahrerloses Auto" sehr viel nach "pferdeloser Wagen" klingen, und die Idee, ein eigenes Auto zu besitzen, wird so kurios klingen wie das Graben eines eigenen Brunnens. Weiterlesen Insbesondere müssen diese Unternehmen bessere Ergebnisse erzielen, und es liegt in unserer Verantwortung, sie auf einem höheren Standard zu halten.

Während wir daran arbeiten, können wir die Regierung zumindest dazu bringen, dieses schlechte Verhalten nicht mehr zuzulassen. Unternehmen sollten nicht einmal versuchen, die Gerichte zu nutzen, um Probleme mit ihren Produkten zu verbergen. Aber solange einige von ihnen bereit sind, es zu versuchen, sollten wir sie auf keinen Fall zulassen. Es ist wichtig, dass wir Richter haben, die sich der Technologie und Praktiken der sicherheitsbewussten Softwareindustrie ausreichend bewusst sind, um zu wissen, dass diese Art von Gag-Reihenfolge niemals die richtige Antwort ist.

Was denken Sie? Sorgen Sie sich um die Sicherheit Ihres Fahrzeugs? Welcher Autohersteller ist bei der Sicherheit am besten (oder am schlechtesten)?

Bildnachweis:sein Auto öffnen von nito über Shutterstock

Andre ist ein im Südwesten ansässiger Schriftsteller und Journalist, der garantiert bis zu 50 Grad Celsius funktionsfähig bleibt und bis zu einer Tiefe von zwölf Fuß wasserdicht ist.