Vw processou pesquisadores para esconder falha de segurança por dois anos
vulnerabilidades de segurança Software são reportados o tempo todo. Geralmente, a resposta quando uma vulnerabilidade é descoberta é agradecer (ou, em muitos casos, pagar) o pesquisador que encontrou, e, em seguida, corrigir o problema. Essa é a resposta padrão na indústria.
Conteúdo
- Criptográfico carjacking
- Divulgação responsável
- Video: como disfarÇar a careca por 10 dias (ou falhas de cabelo) com alice salazar e fabiano okabayashi
- Segurança por litigiosidade
- Video: como eu lidei com a alopecia areata | dani nogueira
- Video: 2 truques para preencher a barba falha
- Video: maquiagem capilar jet hair | calvície e barba falhada
A resposta decididamente não-padrão seria processar as pessoas que relataram a vulnerabilidade para impedi-los de falar sobre isso, e, em seguida, passar dois anos tentando esconder a questão. Infelizmente, isso é exatamente o que montadora alemã Volkswagen fez.
criptográfico Carjacking
A vulnerabilidade em questão era uma falha sistema de ignição sem chave de alguns carros. Estes sistemas, uma alternativa high-end para chaves convencionais, é suposto para impedir que o carro desbloquear ou iniciar a menos que o porta-chaves está nas proximidades. O chip é chamado de “Megamos Crypto”, e é comprado de um fabricante de terceiros na Suíça. O chip é suposto para detectar um sinal do carro, e responder com um cryptographically mensagem assinada assegurando o carro que está tudo bem para desbloquear e começar.Você pode assinar eletronicamente documentos & Você deveria?Você pode assinar eletronicamente documentos & Você deveria?Talvez você ouviu seus amigos tech-savvy jogar em torno de ambos os termos de assinatura eletrônica e assinatura digital. Talvez você tenha ouvido até mesmo eles utilizados alternadamente. No entanto, você deve saber que eles não são os mesmos. De fato,...consulte Mais informação
Infelizmente, o chip usa um esquema de criptografia desatualizada. Quando os pesquisadores Roel Verdult e Baris Ege notado este fato, eles foram capazes de criar um programa que quebra a criptografia por ouvir as mensagens entre o carro ea chave-fob. Depois de ouvir duas dessas trocas, o programa é capaz de reduzir o intervalo de chaves possíveis para baixo para cerca de 200.000 possibilidades - um número que pode ser facilmente brute-forçados por um computador.
Este processo permite que o programa para criar um “duplicado digitais” do porta-chaves e desbloquear ou ligar o carro à vontade. Tudo isso pode ser feito por um dispositivo (como um laptop ou um telefone), que acontece de ser perto do carro em questão. Ele não requer acesso físico ao veículo. No total, o ataque leva cerca de 30 minutos.
Se este ataque parece teórica, não é. De acordo com a Polícia Metropolitana de Londres, 42% dos roubos de carro em Londres no ano passado foram realizadas utilizando ataques contra os sistemas desbloqueados sem chave. Esta é uma vulnerabilidade prática que coloca milhões de carros em risco.
Tudo isso é mais trágico, porque os sistemas de desbloqueio sem chave pode ser muito mais seguro do que chaves convencionais. A única razão pela qual estes sistemas são vulneráveis é devido à incompetência. As ferramentas subjacentes são muito mais poderosos do que qualquer bloqueio física jamais poderia ser.
Divulgação responsável
Os pesquisadores originalmente divulgadas a vulnerabilidade ao criador do chip, dando-lhes nove meses para corrigir a vulnerabilidade. Quando o criador recusou-se a emitir um recall, os pesquisadores foi a Volkswagen, em Maio de 2013. Eles originalmente planejado para publicar o ataque na conferência USENIX em agosto de 2013, dando Volkswagen de cerca de três meses para começar um recall / retrofit, antes do ataque seria tornar-se público.
Em vez disso, Volkswagen processou a parar os pesquisadores de publicar o jornal. A alta corte britânica alinhou com Volkswagen, dizendo “Eu reconheço o alto valor da liberdade de expressão acadêmica, mas há um outro valor elevado, a segurança de milhões de carros Volkswagen.”
Levou dois anos de negociações, mas os pesquisadores estão finalmente a ser autorizado a publicar o seu papel, menos uma frase que contém alguns detalhes importantes sobre replicar o ataque. Volkswagen ainda não tenha fixado a chave-fobs, e nem têm os outros fabricantes que usam o mesmo chip.
Video: COMO DISFARÇAR A CARECA POR 10 DIAS (OU FALHAS DE CABELO) COM ALICE SALAZAR E FABIANO OKABAYASHI
Segurança por litigiosidade
Obviamente, o comportamento da Volkswagen aqui é grosseiramente irresponsável. Ao invés de tentar resolver o problema com os seus carros, eles em vez derramou-deus sabe quanto tempo e dinheiro para tentar impedir as pessoas de descobrir sobre ele. Isso é uma traição dos princípios mais fundamentais de uma boa segurança. Seu comportamento aqui é indesculpável, vergonhoso, e outros (mais colorida) invectivas que eu vou poupá-lo. Basta dizer que isto não é como responsáveis as empresas devem se comportar.
Video: Como eu lidei com a Alopecia Areata | Dani Nogueira
Infelizmente, também não é único. Montadoras têm deixado cair a bola de segurança uma enorme quantidade recentemente. No mês passado, foi revelado que um determinado modelo de Jeep poderia ser sem fio cortado por meio de seu sistema de entretenimento, algo que seria impossível em qualquer projeto do carro de segurança-consciente. Para crédito de Fiat Chrysler, que recolheu mais de um milhão de veículos na esteira que a revelação, mas só depois de os investigadores em questão demoed o corte de uma forma irresponsável perigosa e vívido.Hackers pode realmente assumir o seu carro?Hackers pode realmente assumir o seu carro?consulte Mais informação
Video: 2 truques para preencher a barba falha
Milhões de outros veículos conectados à Internet são susceptíveis vulneráveis a ataques semelhantes - mas ninguém de forma imprudente em perigo um jornalista com eles ainda, por isso não houve recall. É inteiramente possível que não vamos ver a mudança sobre estes até que alguém realmente morre.
Video: MAQUIAGEM CAPILAR JET HAIR | calvície e barba falhada
O problema aqui é que os fabricantes de automóveis nunca foram fabricantes de software antes - mas agora de repente eles estão. Eles não têm a cultura corporativa de segurança-consciente. Eles não têm a experiência institucional para lidar com estes problemas da maneira correta, ou construir produtos seguros. Quando se depara com eles, sua primeira resposta é pânico e censura, não correções.
Levou décadas para as empresas modernas de software para desenvolver boas práticas de segurança. Alguns, como Oracle, ainda são preso com culturas de segurança desatualizadas. Infelizmente, não temos o luxo de simplesmente à espera de empresas para desenvolver essas práticas. Os carros são caros (e extremamente perigosas) máquinas. Eles são uma das áreas mais críticas de segurança do computador, depois de infra-estrutura básica como a rede elétrica. Com o ascensão de carros que dirigem Em particular, estas empresas devem fazer melhor, e é nossa responsabilidade para mantê-los a um padrão mais elevado.A Oracle quer que você parar de enviar-los Erros - É aqui porque isso é loucuraA Oracle quer que você parar de enviar-los Erros - É aqui porque isso é loucuraOracle é em água quente sobre um post equivocada pelo chefe de segurança, Mary Davidson. Esta demonstração de como a filosofia de segurança da Oracle parte do mainstream não foi bem recebido na comunidade de segurança ...consulte Mais informação
Enquanto nós estamos trabalhando nisso, o mínimo que podemos fazer é fazer o governo parar permitindo que este mau comportamento. As empresas não devem sequer tentar usar os tribunais para esconder problemas com seus produtos. Mas, desde que alguns deles estão dispostos a tentar, nós certamente não deve deixá-los. É vital que temos juízes que estão conscientes o suficiente da tecnologia e as práticas da indústria de software a segurança-consciente para saber que este tipo de ordem de silêncio nunca é a resposta certa.
O que você acha? Você está preocupado com a segurança do seu veículo? Que montadora é melhor (ou pior) a segurança?