Por que deve haver liberdade de publicar falhas e vulnerabilidades de segurança


Créditos de image  site polyvore

Por que deve haver liberdade de publicar falhas e vulnerabilidades de segurança

A liberdade acadêmica vs interesses da indústria

Dois acadêmicos têm sido dada permissão para publicar suas pesquisas de segurança que revela vulnerabilidades em um sistema de bloqueio do carro sem fio.
Ele vem de dois anos após a Volkswagen, um dos fabricantes de usá-lo, ganhou uma liminar proibindo a publicação.

Apesar de uma ordem judicial em seu favor, a Volkswagen já permitiu que o relatório a ser republicado, com apenas redações menores. No entanto, o caso revela a tensão entre pesquisadores de segurança e empresas de software, ou neste caso, o software usado pelos fabricantes de automóveis. Enquanto algumas empresas como Facebook, Google e Microsoft oferecem recompensas financeiras para os erros que encontra, outros, como a Fiat Chrysler afirmam que tal atividade é criminoso ou como Volkswagen fez, levá-lo aos tribunais - ao não abordar os problemas destacados que expõem a sua clientes a riscos.

A indústria automóvel pode se sentir intimidado apenas agora, mas a abordagem da Volkswagen de usar os tribunais para tentar manter informações sobre uma falha fundamental em segredo é o equivalente de furar os dedos nos ouvidos e esperando que tudo vai acabar bem. Este é um problema grave, que é muito importante para a força bruta de decisões judiciais. Em qualquer caso, a internet tem pouco respeito por fronteiras nacionais ou jurisdições judiciais, e que a informação era disponível on-line, independentemente da decisão do tribunal.

Knock Knock, vêm em

A criptografia usada no transponder Megamos suíça feita é tão fraco que um intruso precisa apenas ouvir duas mensagens transmitidas a partir do fob, a fim de quebrar a chave. A vulnerabilidade relaciona-se com os métodos pobres criptográficos, diferente do utilizado por o dispositivo, onde os investigadores descobriram que poderiam gerar a chave secreta do transponder 96 bits e ligar o carro em menos de meia hora.

Esta vulnerabilidade tem sido bem conhecido desde 2012, e código para explorar a falha tem circulado on-line desde 2009. No entanto, não houve recolha de produtos das dezenas de modelos da Audi, Porsche, Bentley e Lamborghini, Nissan e Volvo afeta, e não patches lançados para corrigir seus problemas.

Por que deve haver liberdade de publicar falhas e vulnerabilidades de segurança

Chaves sem fio vulneráveis ??são um problema crescente. É relatado que 42% de todos os automóveis arrombamentos em Londres foram relacionados a vários sistemas de acesso sem fios-chave, especialmente para carros de alto valor de BMW e Audi.

Por exemplo, o dispositivo RollJam podem ser comprados on-line para £ 20 e abre muitas marcas bem conhecidas de carros - ele "congestionamentos" o sinal sem fio duas vezes quando o usuário usa a sua chave, e, em seguida, é capaz de pegar o código de acesso para o carro . Ele também abre a maioria das portas de garagem e desativa alguns sistemas de alarme.

A liberdade acadêmica vs interesses da indústria

Os pesquisadores que já tenham sido autorizados a publicar, Roel Verdult e Baris Ege da Universidade Radboud, na Holanda e Flavoi D Garcia, da Universidade de Birmingham, aproximou-se do fabricante em maio de 2012, explicando que tinham a intenção de apresentar as suas conclusões no USENIX 2013 conferência, dando a abundância fabricante de tempo para produzir uma correção para o problema. Em vez disso Volkswagen usou os tribunais para impedir a publicação do artigo, colocando a prevenção da insegurança potencial de carros Volkswagen contra a liberdade de publicação acadêmica.

O escopo do patching necessário para corrigir problemas Megamos 'seria enorme, como não há nenhuma atualização simples para substituir a fraca criptografia decoro no cerne do problema. É evidente que este foi um incentivo para a Volkswagen intentar uma acção inibitória, mas isso não fez com que os veículos mais seguros, nem tem impedido a informação que circula na internet.

Outros fabricantes têm sido picado também - Ford recorda 433,000 Foco, C-MAX e Fuga veículos devido a um bug de software onde os motoristas não poderiam desligar seus motores. E, recentemente, um pesquisador de segurança mostrou como carros de BMW poderia ser violado por envio de comandos que contavam os carros para abrir as suas portas e baixe suas janelas, levando BMW para emitir um patch para mais de 2m veículos BMW, Mini e Rolls-Royce.

Mas este caso era evitável: a vulnerabilidade

Megamos foi um dos má concepção e implementação - usando de má qualidade, criptografia caseira em vez de um dos muitos padrões comuns que se revelaram muito mais impenetrável. Isto deveria ter sido revista como parte do processo de due diligence na avaliação dos projetos. Eram eles publicaram, alguém na indústria poderia ter apontado suas falhas. No entanto, é este mesmo processo de pesquisa, publicação e avaliação comum no meio acadêmico que a Volkswagen tentou impedir.

Este um conto pesaroso de divulgação responsável por acadêmicos seguido por uma ordem de engasgos e, finalmente, para o problema de ir unfixed. A menos que a indústria automóvel tem este problema a sério, projetos e sistemas de testes adequadamente antes do lançamento, então eles vão ser pesado para baixo pelos custos de recordação e reparação e multas de reguladores.

Por que deve haver liberdade de publicar falhas e vulnerabilidades de segurança

Enquanto algumas vulnerabilidades de busca por glória, os pesquisadores neste caso foram os responsáveis ??e deu às empresas envolvidas uma boa quantidade de tempo para lidar o problema antes que o papel estava previsto para ser publicado.

Enquanto muitos na criptografia têm enfrentado pressões para não publicar, tais como os esforços do governo para suprimir o trabalho de Ron Rivest em criptografia de chave pública, a liberdade acadêmica para publicar e avaliação de forma responsável é uma parte fundamental de como os erros são descobertos e como o conhecimento avança.


Página Google Plus, CMistériosBlog
Tecnologia
Article » English »Why there must be freedom to publish flaws and security vulnerabilities»Phys Org - Bill Buchanan