الإعلانات

يتم الإبلاغ عن نقاط الضعف في أمان البرامج طوال الوقت. بشكل عام ، فإن الاستجابة عندما يتم الكشف عن نقطة ضعف هي شكر (أو ، في كثير من الحالات ، دفع) الباحث الذي وجدها ، ثم إصلاح المشكلة. هذه هي الاستجابة القياسية في الصناعة.

الاستجابة غير القياسية بالتأكيد هي مقاضاة الأشخاص الذين أبلغوا عن الثغرة لمنعهم من الحديث عنها ، ثم قضاء عامين في محاولة إخفاء المشكلة. للأسف ، هذا بالضبط ما فعله صانع السيارات الألماني فولكس واجن.

سرقة السيارات المشفرة

كانت الثغرة في السؤال عيبًا في نظام الإشعال بدون مفتاح لبعض السيارات. من المفترض أن تمنع هذه الأنظمة ، وهي بديل متطور للمفاتيح التقليدية ، السيارة من فتح أو بدء التشغيل ما لم يكن مفتاح المفاتيح في مكان قريب. تسمى الشريحة "Megamos Crypto" ، ويتم شراؤها من جهة تصنيع تابعة لجهة خارجية في سويسرا. من المفترض أن تكتشف الرقاقة إشارة من السيارة ، وتستجيب بعلامة رسالة موقعة التشفير هل يمكنك توقيع المستندات إلكترونيًا وهل يجب عليك ذلك؟ربما سمعت أن أصدقائك الأذكياء في مجال التكنولوجيا يطرحون مصطلحي التوقيع الإلكتروني والتوقيع الرقمي. ربما سمعتهم يستخدمون بالتبادل. ومع ذلك ، يجب أن تعرف أنها ليست هي نفسها. في الحقيقة،... اقرأ أكثر

instagram viewer
طمأنة السيارة أنه لا بأس من فتحها وبدء تشغيلها.

لسوء الحظ ، تستخدم الشريحة مخطط تشفير قديم. عندما لاحظ الباحثان Roel Verdult و Baris Ege هذه الحقيقة ، تمكنا من إنشاء برنامج يكسر التشفير من خلال الاستماع إلى الرسائل بين السيارة والمفتاح. بعد سماع مبادلتين من هذا القبيل ، يكون البرنامج قادرًا على تضييق نطاق المفاتيح المحتملة إلى ما يقرب من 200،000 الاحتمالات - وهو رقم يمكن أن يجبره الكمبيوتر بسهولة.

تسمح هذه العملية للبرنامج بإنشاء "نسخة رقمية" لمفتاح المفاتيح ، وفتح السيارة أو بدء تشغيلها حسب الرغبة. يمكن القيام بكل ذلك بواسطة جهاز (مثل كمبيوتر محمول أو هاتف) يحدث بالقرب من السيارة المعنية. لا يتطلب الوصول المادي إلى السيارة. في المجموع ، يستغرق الهجوم حوالي ثلاثين دقيقة.

إذا كان هذا الهجوم يبدو نظريا ، فهو ليس كذلك. بحسب شرطة العاصمة لندن، تم تنفيذ 42٪ من سرقات السيارات في لندن العام الماضي باستخدام هجمات ضد أنظمة غير مقفلة بدون مفتاح. هذه ثغرة عملية تعرض ملايين السيارات للخطر.

كل هذا أكثر مأساوية ، لأن أنظمة إلغاء القفل بدون مفتاح يمكن أن تكون أكثر أمانًا من المفاتيح التقليدية. السبب الوحيد وراء ضعف هذه الأنظمة هو عدم الكفاءة. الأدوات الأساسية أقوى بكثير من أي قفل فعلي يمكن أن يكون.

الإفشاء المسؤول

كشف الباحثون في الأصل عن الثغرة أمام منشئ الشريحة ، ومنحهم تسعة أشهر لإصلاح الثغرة. عندما رفض المبدع إصدار استدعاء ، ذهب الباحثون إلى فولكس فاجن في مايو 2013. خططوا في الأصل لنشر الهجوم في مؤتمر USENIX في أغسطس 2013 ، مما أعطى فولكس واجن حوالي ثلاثة أشهر لبدء استدعاء / تحديث ، قبل أن يصبح الهجوم علنيًا.

وبدلاً من ذلك ، رفعت فولكس واجن دعوى قضائية لمنع الباحثين من نشر الصحيفة. محكمة بريطانية عليا انحازت إلى فولكس واجن، قائلاً "أنا أدرك القيمة العالية لحرية التعبير الأكاديمي ، ولكن هناك قيمة عالية أخرى ، وهي أمان ملايين سيارات فولكس فاجن".

لقد استغرق الأمر عامين من المفاوضات ، ولكن تم السماح للباحثين أخيرًا بذلك نشر أوراقهمناقص جملة واحدة تحتوي على بعض التفاصيل الأساسية حول تكرار الهجوم. لم تقم فولكس واجن حتى الآن بإصلاح الأزرار الرئيسية ، ولا يوجد لدى الشركات المصنعة الأخرى التي تستخدم نفس الشريحة.

الأمن بالتشدد

من الواضح أن سلوك فولكس فاجن هنا غير مسؤول إلى حد كبير. فبدلاً من محاولة إصلاح المشكلة بسياراتهم ، قاموا بدلاً من ذلك بصب الله - كم من الوقت والمال في محاولة منع الناس من معرفة ذلك. هذه خيانة لأبسط مبادئ الأمن الجيد. سلوكهم هنا لا يغتفر ، ومخجل ، ومبادرات أخرى (أكثر حيوية) سأوفرها لك. يكفي أن نقول إن هذه ليست الطريقة التي يجب أن تتصرف بها الشركات المسؤولة.

لسوء الحظ ، إنه ليس فريدًا أيضًا. كان صانعو السيارات يسقطون الكرة الأمنية هل يستطيع المتسللون بالفعل الاستيلاء على سيارتك؟ اقرأ أكثر الكثير في الآونة الأخيرة. في الشهر الماضي ، تم الكشف عن أنه يمكن أن يكون نموذج معين من جيب اختراق لاسلكيًا من خلال نظام الترفيه الخاص بها ما مدى أمان السيارات ذاتية القيادة المتصلة بالإنترنت؟هل السيارات ذاتية القيادة آمنة؟ هل يمكن استخدام السيارات المتصلة بالإنترنت لإحداث حوادث ، أو حتى اغتيال المعارضين؟ لا تأمل Google ذلك ، لكن التجربة الأخيرة تظهر أنه لا يزال هناك طريق طويل يتعين قطعه. اقرأ أكثر ، وهو أمر مستحيل في أي تصميم سيارة واعٍ للأمان. إلى رصيد فيات كرايسلر ، استدعت أكثر من مليون مركبة في أعقاب هذا الوحي ، ولكن فقط بعد أن قام الباحثون المعنيون بتجربة الاختراق في بطريقة غير مسؤولة وحيوية.

الملايين من المركبات الأخرى المتصلة بالإنترنت من المحتمل أن تكون عرضة لهجمات مماثلة - ولكن لا أحد يهدد الصحفي معهم بشكل متهور حتى الآن ، لذلك لم يكن هناك تذكر. من الممكن تمامًا ألا نشهد تغييرًا في ذلك حتى يموت شخص ما بالفعل.

المشكلة هنا هي أن صانعي السيارات لم يكونوا أبدًا صانعي برامج من قبل - ولكنهم أصبحوا الآن فجأة. ليس لديهم ثقافة مؤسسية واعية بالأمن. ليس لديهم الخبرة المؤسسية للتعامل مع هذه المشاكل بالطرق الصحيحة ، أو بناء منتجات آمنة. عندما يواجهونهم ، يكون ردهم الأول هو الذعر والرقابة ، وليس الإصلاحات.

استغرق الأمر عقودًا لشركات البرمجيات الحديثة لتطوير ممارسات أمنية جيدة. البعض ، مثل أوراكل ، لا يزال عالقة في ثقافات أمنية قديمة أوراكل تريد منك التوقف عن إرسال الأخطاء - إليك سبب هذا الجنونأوراكل في الماء الساخن بسبب منشور مدونة مضللة من قبل مديرة الأمن ، ماري ديفيدسون. لم يتم تلقي هذا العرض لكيفية خروج فلسفة أمان أوراكل من التيار الرئيسي بشكل جيد في مجتمع الأمان ... اقرأ أكثر . للأسف ، ليس لدينا ترف انتظار الشركات لتطوير هذه الممارسات. السيارات آلات باهظة الثمن (وخطيرة للغاية). إنها واحدة من أكثر مجالات أمن الكمبيوتر أهمية ، بعد البنية التحتية الأساسية مثل الشبكة الكهربائية. مع ال صعود السيارات ذاتية القيادة التاريخ هو كلام فارغ: مستقبل النقل سيكون مثل أي شيء رأيته من قبلفي بضعة عقود ، ستبدو عبارة "سيارة بدون سائق" كثيرًا مثل "عربة بلا أحصنة" ، وستبدو فكرة امتلاك سيارتك الخاصة غريبة مثل حفر بئر خاص بك. اقرأ أكثر على وجه الخصوص ، يجب على هذه الشركات أن تعمل بشكل أفضل ، ومن مسؤوليتنا أن نحملها على مستوى أعلى.

بينما نعمل على ذلك ، أقل ما يمكننا فعله هو حمل الحكومة على التوقف عن تمكين هذا السلوك السيئ. لا ينبغي على الشركات حتى محاولة استخدام المحاكم لإخفاء المشكلات المتعلقة بمنتجاتها. ولكن طالما أن البعض منهم على استعداد للمحاولة ، فلا يجب أن ندعهم بالتأكيد. من الضروري أن يكون لدينا قضاة على دراية كافية بالتكنولوجيا والممارسات الخاصة بصناعة البرامج الواعية بالأمان لنعرف أن هذا النوع من أوامر الهفوات ليس هو الإجابة الصحيحة أبدًا.

ما رأيك؟ هل أنت قلق بشأن أمن سيارتك؟ أي صانع سيارات هو الأفضل (أو الأسوأ) في الأمن؟

ائتمانات الصورة:فتح سيارته بواسطة nito عبر Shutterstock

كاتب وصحفي مقيم في الجنوب الغربي ، يضمن أندريه أن يظل يعمل حتى 50 درجة مئوية ، ومقاوم للماء حتى عمق اثني عشر قدمًا.