Las vulnerabilidades de seguridad del software se informan todo el tiempo. En general, la respuesta cuando se descubre una vulnerabilidad es agradecer (o, en muchos casos, pagar) al investigador que la encontró y luego arreglar el problema. Esa es la respuesta estándar en la industria.
Una respuesta decididamente no estándar sería demandar a las personas que informaron la vulnerabilidad para evitar que hablen de ella, y luego pasar dos años tratando de ocultar el problema. Lamentablemente, eso es exactamente lo que hizo el fabricante de automóviles alemán Volkswagen.
Cargateo criptográfico
La vulnerabilidad en cuestión era una falla en el sistema de encendido sin llave de algunos autos. Se supone que estos sistemas, una alternativa de alta gama a las llaves convencionales, evitan que el automóvil se desbloquee o arranque a menos que el llavero esté cerca. El chip se llama "Megamos Crypto" y se compra a un fabricante externo en Suiza. Se supone que el chip detecta una señal del automóvil y responde con un mensaje firmado criptográficamente. ¿Puede usted firmar electrónicamente los documentos y usted debería? ¿Puede usted firmar electrónicamente documentos y debe hacerlo? Tal vez haya escuchado a sus amigos conocedores de la tecnología hablar sobre los términos firma electrónica y firma digital. Tal vez incluso los has escuchado usar indistintamente. Sin embargo, debes saber que no son lo mismo. De hecho, ... Leer más, asegurando al automóvil que está bien para desbloquear y comenzar.
Desafortunadamente, el chip usa un esquema criptográfico obsoleto. Cuando los investigadores Roel Verdult y Baris Ege notaron este hecho, pudieron crear un programa que rompe el cifrado al escuchar los mensajes entre el automóvil y el llavero. Después de escuchar dos intercambios de este tipo, el programa puede reducir el rango de teclas posibles a unas 200, 000 posibilidades, un número que puede ser fácilmente forzado por una computadora.
Este proceso permite que el programa cree un "duplicado digital" del llavero y desbloquee o arranque el automóvil a voluntad. Todo esto puede hacerse con un dispositivo (como una computadora portátil o un teléfono) que esté cerca del automóvil en cuestión. No requiere acceso físico al vehículo. En total, el ataque toma alrededor de treinta minutos.
Si este ataque suena teórico, no lo es. Según la Policía Metropolitana de Londres, el año pasado el 42% de los robos de automóviles en Londres se realizaron mediante ataques contra sistemas desbloqueados sin llaves. Esta es una vulnerabilidad práctica que pone en riesgo a millones de autos.
Todo esto es más trágico, porque los sistemas de desbloqueo sin llave pueden ser mucho más seguros que las llaves convencionales. La única razón por la cual estos sistemas son vulnerables se debe a la incompetencia. Las herramientas subyacentes son mucho más poderosas que cualquier bloqueo físico alguna vez podría ser.
Divulgación responsable
Los investigadores originalmente revelaron la vulnerabilidad al creador del chip, dándoles nueve meses para arreglar la vulnerabilidad. Cuando el creador se negó a emitir un retiro, los investigadores acudieron a Volkswagen en mayo de 2013. Originalmente planearon publicar el ataque en la conferencia de USENIX en agosto de 2013, dándole a Volkswagen unos tres meses para comenzar un retiro / actualización, antes de que el ataque hacerse público.
En cambio, Volkswagen demandó para evitar que los investigadores publiquen el periódico. Un tribunal superior británico se puso del lado de Volkswagen y dijo: "Reconozco el alto valor de la libertad de expresión académica, pero hay otro alto valor, la seguridad de millones de automóviles Volkswagen".
Han sido necesarios dos años de negociaciones, pero finalmente se les permite a los investigadores publicar su artículo, menos una oración que contiene algunos detalles clave sobre cómo replicar el ataque. Volkswagen aún no ha arreglado los llaveros, y tampoco tienen los otros fabricantes que usan el mismo chip.
Seguridad por Litigios
Obviamente, el comportamiento de Volkswagen aquí es extremadamente irresponsable. En lugar de tratar de solucionar el problema con sus automóviles, en lugar de eso, Dios sabe cuánto tiempo y dinero se necesita para evitar que la gente se entere. Eso es una traición a los principios más fundamentales de la buena seguridad. Su comportamiento aquí es imperdonable, vergonzoso y otras invectivas (más coloridas) que te ahorraré. Baste decir que no es así como deben comportarse las empresas responsables.
Lamentablemente, tampoco es único. Los fabricantes de automóviles han estado abandonando la bola de seguridad. ¿Pueden los hackers REALMENTE hacerse cargo de su automóvil? ¿Pueden los hackers REALMENTE apoderarse de su automóvil? Leer más muchísimo últimamente. El mes pasado, se reveló que un modelo particular de Jeep podría ser pirateado de manera inalámbrica a través de su sistema de entretenimiento. ¿Qué tan seguros están los automóviles conectados por Internet y autosuficientes? ¿Qué tan seguros son los automóviles de autoconexión conectados a Internet? ¿Son seguros los autos autónomos? ¿Podrían los automóviles conectados a Internet ser utilizados para causar accidentes, o incluso asesinar a los disidentes? Google espera que no, pero un experimento reciente muestra que todavía hay un largo camino por recorrer. Lea más, algo que sería imposible en cualquier diseño de automóvil con conciencia de seguridad. Para crédito de Fiat Chrysler, recordaron más de un millón de vehículos a raíz de esa revelación, pero solo después de que los investigadores en cuestión hicieran una demostración del truco de una manera irresponsablemente peligrosa y vívida.
Millones de otros vehículos conectados a Internet son probablemente vulnerables a ataques similares, pero nadie ha puesto en peligro imprudentemente a un periodista con ellos todavía, por lo que no ha habido ningún retiro. Es muy posible que no veamos cambios en estos hasta que alguien realmente muera.
El problema aquí es que los fabricantes de automóviles nunca antes habían sido fabricantes de software, pero ahora lo son de repente. No tienen una cultura corporativa consciente de la seguridad. No tienen la experiencia institucional para tratar estos problemas de la manera correcta, o construir productos seguros. Cuando se enfrentan a ellos, su primera respuesta es el pánico y la censura, no las soluciones.
Las compañías de software modernas tardaron décadas en desarrollar buenas prácticas de seguridad. Algunos, como Oracle, todavía están atrapados en culturas de seguridad anticuadas. Oracle quiere que dejes de enviarlos. Aquí está el por qué está loco. Oracle quiere que dejes de enviarlos. Aquí está el porqué de lo loco. Oracle está en problemas por una publicación equivocada del blog por seguridad. jefe, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no fue bien recibida en la comunidad de seguridad ... Leer más. Desafortunadamente, no tenemos el lujo de simplemente esperar que las empresas desarrollen estas prácticas. Los automóviles son máquinas caras (y extremadamente peligrosas). Son una de las áreas más críticas de la seguridad informática, después de una infraestructura básica como la red eléctrica. Con el auge de los autos sin conductor, la historia es literaria: el futuro del transporte será como nada que hayas visto antes. La historia es una broma: el futuro del transporte será como nunca antes. En unas pocas décadas, la frase ' el automóvil sin conductor va a sonar mucho como "carruaje sin caballos", y la idea de tener su propio automóvil le parecerá tan pintoresco como cavar su propio pozo. Lea más en particular, estas empresas deben mejorar, y es nuestra responsabilidad mantenerlas a un nivel más alto.
Mientras trabajamos en eso, lo menos que podemos hacer es conseguir que el gobierno deje de permitir este mal comportamiento. Las empresas ni siquiera deberían tratar de usar los tribunales para ocultar problemas con sus productos. Pero, mientras algunos de ellos estén dispuestos a intentarlo, ciertamente no deberíamos dejarlos. Es vital que tengamos jueces que sean conscientes de la tecnología y las prácticas de la industria del software consciente de la seguridad para saber que este tipo de orden de mordaza nunca es la respuesta correcta.
¿Qué piensas? ¿Le preocupa la seguridad de su vehículo? ¿Qué fabricante de automóviles es el mejor (o el peor) en seguridad?
Créditos de imagen: abriendo su automóvil por nito a través de Shutterstock