Vw demandó a los investigadores para ocultar falla de seguridad durante dos años

las vulnerabilidades de seguridad de software son reportados todo el tiempo. En general, la respuesta cuando se descubre una vulnerabilidad es agradecer (o, en muchos casos, pagar) el investigador que encontró, y luego solucionar el problema. Esa es la respuesta estándar en la industria.

Vídeo: Крис Домас: Единички и нолики кибер-войны

Una respuesta decididamente no estándar sería demandar a las personas que informaron la vulnerabilidad para que dejen de hablar de ello, y después de pasar dos años tratando de ocultar el problema. Por desgracia, eso es exactamente lo que el fabricante de automóviles alemán Volkswagen hizo.

criptográfica Carjacking

La vulnerabilidad en cuestión era una falla del sistema de encendido sin llave algunos coches. Estos sistemas, una alternativa de alta calidad a las llaves convencionales, se supone que evitar que el coche desbloquear o iniciar si la llave-fob está cerca. El chip se llama el “Megamos Crypto”, y se compra a un fabricante de terceros en Suiza. El chip se supone para detectar una señal del coche, y responder con una mensaje firmado criptográficamente asegurando el coche que está bien para desbloquear y empezar.¿Puede usted firmar electrónicamente documentos & Debe usted?¿Puede usted firmar electrónicamente documentos & Debe usted?Tal vez usted ha oído tus amigos conocedores de la tecnología tiran alrededor de ambos términos de la firma electrónica y la firma digital. Tal vez usted ha oído hablar de ellos utilizan indistintamente. Sin embargo, usted debe saber que no son los mismos. De hecho,...Lee mas

Por desgracia, el chip utiliza un esquema criptográfico obsoleta. Cuando los investigadores Roel Verdult y Baris Ege notaron este hecho, ellos fueron capaces de crear un programa que rompe el cifrado escuchando los mensajes entre el coche y la llave-fob. Después de escuchar dos de estos intercambios, el programa es capaz de reducir el rango de claves posibles hasta alrededor de 200.000 posibilidades - un número que puede ser fácilmente bruta forzado por un ordenador.

Este proceso permite que el programa para crear un “duplicado digital” de la llave-fob, y desbloquear o arrancar el coche a voluntad. Todo esto se puede hacer por un dispositivo (como un ordenador portátil o un teléfono) que pasa a ser cerca del coche en cuestión. No requiere acceso físico al vehículo. En total, el ataque dura unos treinta minutos.

Vídeo: GESTOS DE UN MENTIROSO. Como pillar a un mentiroso

Si este ataque suena teórico, no lo es. De acuerdo con la Policía Metropolitana de Londres, el 42% de los robos de coches en Londres el año pasado se realizaron con ataques contra los sistemas desbloqueados sin llave. Se trata de una vulnerabilidad práctica que pone a millones de coches en riesgo.

Todo esto es más trágico, ya que los sistemas de desbloqueo sin llave puede ser mucho más seguras que las llaves convencionales. La única razón por la que estos sistemas son vulnerables es debido a la incompetencia. Las herramientas subyacentes son mucho más poderoso que cualquier cerradura física nunca podría ser.

Divulgación responsable

Los investigadores dan a conocer originalmente la vulnerabilidad al creador del chip, dándoles nueve meses para corregir la vulnerabilidad. Cuando el creador se negó a emitir un retiro del mercado, los investigadores fueron a Volkswagen en mayo del 2013. Se había previsto inicialmente para publicar el ataque en la conferencia USENIX en agosto de 2013, dando Volkswagen aproximadamente tres meses para comenzar una retirada / adaptación, antes de que el ataque sería convertido en público.

En lugar de ello, Volkswagen presentó una demanda para detener a los investigadores a partir de la publicación del documento. Un alto tribunal británico puso de parte de Volkswagen, diciendo “Reconozco el alto valor de la libertad de expresión académica, pero no hay otro valor superior, la seguridad de millones de automóviles Volkswagen.”

Ha tomado dos años de negociaciones, pero los investigadores van a ser finalmente permitió publicar su artículo, menos una frase que contiene algunos detalles clave sobre la replicación del ataque. Volkswagen todavía no ha fijado la clave-mandos a distancia, así como tampoco los otros fabricantes que utilizan el mismo chip.

Por la seguridad Litigio

Obviamente, el comportamiento de Volkswagen aquí es extremadamente irresponsable. En lugar de tratar de solucionar el problema con sus coches, en su lugar se vierte dios sabe cuánto tiempo y dinero en tratar de impedir que la gente se entere de ello. Eso es una traición a los principios más fundamentales de una buena seguridad. Su comportamiento es inexcusable aquí, vergüenza, y otra (más colores) invectivas que me ahorraré. Basta con decir que no es así como responsables de las empresas deben comportarse.

Por desgracia, tampoco es único. Los fabricantes de automóviles han estado bajando el balón seguridad muchísimo últimamente. El mes pasado, se reveló que un determinado modelo de Jeep podría ser hackeado de forma inalámbrica a través de su sistema de entretenimiento, algo que sería imposible en cualquier diseño de coches consciente de la seguridad. A favor de Fiat Chrysler, recordaron más de un millón de vehículos a raíz de que la revelación, pero sólo después de que los investigadores en cuestión hizo una demostración del truco de una manera irresponsable, peligroso y vívida.Los hackers pueden realmente hacerse cargo de su coche?Los hackers pueden realmente hacerse cargo de su coche?Lee mas

Vídeo: Demandan a General Motors por fallas de ignición | Noticias al Momento

Millones de otros vehículos conectados a Internet es probable vulnerables a los ataques similares - pero nadie está en peligro imprudentemente un periodista con ellos, sin embargo, lo que no ha habido ningún recuerdo. Es muy posible que no vamos a ver un cambio en ellos hasta que alguien muere en realidad.

Vídeo: GERMAN VILLALBA - TITULAR DE LA GERENCIA DE EMPLEO FORMOSA

El problema aquí es que los fabricantes de automóviles no han sido nunca antes los fabricantes de software - pero ahora de repente son. No tienen cultura corporativa consciente de la seguridad. Ellos no tienen la experiencia institucional para hacer frente a estos problemas de la manera correcta, o construir productos seguros. Cuando están enfrentados a ellos, su primera reacción es de pánico y la censura, no fija.

Tuvieron que pasar décadas para las empresas modernas de software para desarrollar buenas prácticas de seguridad. Algunos, como Oracle, siguen siendo pegado con las culturas de seguridad obsoletas. Desafortunadamente, no tenemos el lujo de simplemente esperar a que las empresas desarrollen estas prácticas. Los coches son máquinas caras (y extremadamente peligrosos). Son una de las áreas más críticas de la seguridad informática, después de la infraestructura básica, como la red eléctrica. Con el aumento de los coches auto-conducción En particular, estas empresas deben hacerlo mejor, y es nuestra responsabilidad para mantenerlos a un nivel superior.Oracle quiere que deje de mandarlos Insectos - He aquí el porqué eso es una locuraOracle quiere que deje de mandarlos Insectos - He aquí el porqué eso es una locuraOracle es en agua caliente a través de una entrada en el blog equivocada por el jefe de seguridad, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no fue bien recibido en la comunidad de seguridad ...Lee mas

A pesar de que estamos trabajando en eso, lo menos que podemos hacer es conseguir que el gobierno deje de activar esta mala conducta. Empresas ni siquiera deben tratar de usar los tribunales para ocultar problemas con sus productos. Pero, en tanto que algunos de ellos están dispuestos a intentarlo, desde luego no deberíamos dejarlos. Es vital que tengamos jueces que son bastante de la tecnología y las prácticas de la industria del software consciente de la seguridad consciente de saber que este tipo de orden de silencio nunca es la respuesta correcta.

¿Qué piensas? ¿Está preocupado por la seguridad de su vehículo? ¿Qué fabricante de automóviles es el mejor (o peor) a la seguridad?