VW सूद शोधकर्ताओं ने दो साल के लिए सुरक्षा दोष को नियंत्रित करने के लिए मुकदमा किया

विज्ञापन

सॉफ्टवेयर सुरक्षा कमजोरियों की सूचना हर समय मिलती है। आम तौर पर, जब एक भेद्यता उजागर होती है तो प्रतिक्रिया उस शोधकर्ता को धन्यवाद देने के लिए होती है (या, कई मामलों में, भुगतान करें) जिसने इसे पाया, और फिर समस्या को ठीक किया। यह उद्योग में मानक प्रतिक्रिया है।

एक निश्चित रूप से गैर-मानक प्रतिक्रिया उन लोगों पर मुकदमा करने के लिए होगी जिन्होंने उन्हें इसके बारे में बात करने से रोकने के लिए भेद्यता की सूचना दी थी, और फिर इस मुद्दे को छिपाने की कोशिश में दो साल बिताए। अफसोस की बात है कि वास्तव में जर्मन कार निर्माता वोक्सवैगन ने क्या किया.

क्रिप्टोग्राफिक कारजैकिंग

सवाल में भेद्यता कुछ कारों की बिना किसी इग्निशन प्रणाली के दोष थी। इन प्रणालियों, पारंपरिक कुंजी का एक उच्च अंत विकल्प, कार को अनलॉक करने या शुरू करने से रोकने के लिए माना जाता है जब तक कि कुंजी-फ़ोब पास नहीं है। चिप को "मेगामोस क्रिप्टो" कहा जाता है, और इसे स्विट्जरलैंड में एक तीसरे पक्ष के निर्माता से खरीदा जाता है। चिप को कार से एक संकेत का पता लगाने, और एक के साथ प्रतिक्रिया करने वाला है क्रिप्टोग्राफिक रूप से हस्ताक्षरित संदेश

क्या आप इलेक्ट्रॉनिक रूप से दस्तावेजों पर हस्ताक्षर कर सकते हैं और आपको करना चाहिए?शायद आपने अपने तकनीक-प्रेमी दोस्तों को इलेक्ट्रॉनिक शर्तों और डिजिटल हस्ताक्षर दोनों के बारे में सुना हो। शायद आपने भी सुना होगा कि वे परस्पर विनिमय करते थे। हालांकि, आपको पता होना चाहिए कि वे समान नहीं हैं। असल में,... अधिक पढ़ें कार को आश्वस्त करना कि अनलॉक करना और चालू करना ठीक है।

दुर्भाग्य से, चिप एक पुरानी क्रिप्टोग्राफ़िक योजना का उपयोग करता है। जब शोधकर्ताओं रोएल वर्ल्ड्ट और बारिस ईजी ने इस तथ्य पर ध्यान दिया, तो वे एक प्रोग्राम बनाने में सक्षम थे जो कार और की-फोब के बीच के संदेशों को सुनकर एन्क्रिप्शन को तोड़ता है। इस तरह के दो आदान-प्रदानों को सुनने के बाद, कार्यक्रम संभावित चाबियों की सीमा को लगभग 200,000 संभावनाओं तक सीमित कर सकता है - एक संख्या जो एक कंप्यूटर द्वारा आसानी से जानवर-मजबूर हो सकती है।

यह प्रक्रिया प्रोग्राम को की-फोब का "डिजिटल डुप्लिकेट" बनाने की अनुमति देती है, और इच्छानुसार कार को अनलॉक या शुरू कर सकती है। यह सब एक डिवाइस (जैसे लैपटॉप या फोन) द्वारा किया जा सकता है जो कि कार के पास होता है। इसे वाहन तक भौतिक पहुंच की आवश्यकता नहीं है। कुल मिलाकर, हमले में लगभग तीस मिनट लगते हैं।

यदि यह हमला सैद्धांतिक लगता है, तो यह नहीं है। लंदन की मेट्रोपॉलिटन पुलिस के अनुसारपिछले साल लंदन में कार चोरी के 42% मामलों को बिना चाबी के अनलॉक किए गए सिस्टम के खिलाफ किया गया था। यह एक व्यावहारिक भेद्यता है जो लाखों कारों को खतरे में डालती है।

यह सब अधिक दुखद है, क्योंकि बिना चाबी के अनलॉक सिस्टम पारंपरिक कुंजी की तुलना में अधिक सुरक्षित हो सकता है। इन प्रणालियों के कमजोर होने का एकमात्र कारण अक्षमता है। अंतर्निहित उपकरण किसी भी भौतिक लॉक की तुलना में कहीं अधिक शक्तिशाली हैं जो कभी भी हो सकते हैं।

जिम्मेदार खुलासा

शोधकर्ताओं ने मूल रूप से चिप के निर्माता को भेद्यता का खुलासा किया, भेद्यता को ठीक करने के लिए उन्हें नौ महीने का समय दिया। जब निर्माता ने एक याद जारी करने से इनकार कर दिया, तो शोधकर्ताओं ने 2013 के मई में वोक्सवैगन गए। उन्होंने मूल रूप से अगस्त 2013 में USENIX सम्मेलन में हमले को प्रकाशित करने की योजना बनाई, वोक्सवैगन को एक तीन महीने के बारे में याद दिलाना / वापस लेना शुरू करने से पहले, हमले को सार्वजनिक करने की योजना बनाई।

इसके बजाय, वोक्सवैगन ने शोधकर्ता को पेपर प्रकाशित करने से रोकने के लिए मुकदमा दायर किया। एक ब्रिटिश उच्च न्यायालय वोक्सवैगन के साथ पक्ष, "मैं अकादमिक मुक्त भाषण के उच्च मूल्य को पहचानता हूं, लेकिन एक और उच्च मूल्य है, लाखों वोक्सवैगन कारों की सुरक्षा।"

इसमें दो साल की बातचीत हुई, लेकिन आखिरकार शोधकर्ताओं को इसकी अनुमति दी जा रही है उनके पेपर प्रकाशित करें, माइनस एक वाक्य जिसमें हमले की प्रतिकृति के बारे में कुछ प्रमुख विवरण शामिल हैं। वोक्सवैगन अभी भी कुंजी-फ़ॉब्स तय नहीं किया है, और न ही अन्य निर्माताओं जो एक ही चिप का उपयोग करते हैं।

लिटिगिनेस द्वारा सुरक्षा

जाहिर है, यहां वोक्सवैगन का व्यवहार घोर गैर जिम्मेदाराना है। अपनी कारों के साथ समस्या को ठीक करने की कोशिश करने के बजाय, उन्होंने इसके बारे में जानने के लिए लोगों को रोकने की कोशिश में कितना समय और पैसा खर्च किया है, यह भगवान जानता है। यह अच्छी सुरक्षा के सबसे बुनियादी सिद्धांतों के साथ विश्वासघात है। यहाँ उनका व्यवहार अक्षम्य, शर्मनाक और अन्य (अधिक रंगीन) अभेद्य है, जो मैं आपको छोड़ दूंगा। यह कहने के लिए पर्याप्त नहीं है कि जिम्मेदार कंपनियों को कैसे व्यवहार करना चाहिए।

दुर्भाग्य से, यह भी अद्वितीय नहीं है। ऑटोमेकर सुरक्षा गेंद को छोड़ रहे हैं क्या हैकर्स वास्तव में आपकी कार पर कब्जा कर सकते हैं? अधिक पढ़ें एक भयानक बहुत हाल ही में। पिछले महीने, यह पता चला था कि जीप का एक विशेष मॉडल हो सकता है अपने मनोरंजन प्रणाली के माध्यम से वायरलेस हैक किया गया इंटरनेट-कनेक्टेड, सेल्फ ड्राइविंग कारें कितनी सुरक्षित हैं?क्या सेल्फ ड्राइविंग कार सुरक्षित हैं? क्या इंटरनेट से जुड़े ऑटोमोबाइल का इस्तेमाल दुर्घटनाओं का कारण बन सकता है, या असंतुष्टों की हत्या भी कर सकता है? Google उम्मीद नहीं करता है, लेकिन हाल ही में एक प्रयोग दिखाता है कि अभी भी एक लंबा रास्ता तय करना है। अधिक पढ़ें , कुछ ऐसा जो किसी भी सुरक्षा-सचेत कार डिजाइन में असंभव होगा। फिएट क्रिसलर के क्रेडिट के लिए, उन्होंने एक लाख से अधिक वाहनों को वापस बुलाया उस रहस्योद्घाटन के मद्देनजर, लेकिन केवल सवाल में शोधकर्ताओं ने हैक को एक में डेमो किया गैर-खतरनाक और ज्वलंत तरीके से.

लाखों अन्य इंटरनेट से जुड़े वाहन हैं इसी तरह के हमलों की संभावना है - लेकिन किसी ने लापरवाही से एक पत्रकार को अभी तक खतरे में नहीं डाला है, इसलिए याद नहीं किया गया है। यह पूरी तरह से संभव है कि जब तक किसी की मृत्यु न हो जाए, हम इन पर परिवर्तन नहीं देखेंगे।

यहां परेशानी यह है कि कार निर्माता पहले कभी सॉफ्टवेयर निर्माता नहीं थे - लेकिन अब वे अचानक हैं। उनके पास कोई सुरक्षा-सचेत कॉर्पोरेट संस्कृति नहीं है। इन समस्याओं से सही तरीके से निपटने, या सुरक्षित उत्पाद बनाने के लिए उनके पास संस्थागत विशेषज्ञता नहीं है। जब वे उनके साथ सामना करते हैं, तो उनकी पहली प्रतिक्रिया आतंक और सेंसरशिप होती है, न कि फिक्स।

आधुनिक सॉफ्टवेयर कंपनियों को अच्छी सुरक्षा प्रथाओं को विकसित करने में दशकों लग गए। कुछ, ओरेकल की तरह, अभी भी हैं पुरानी सुरक्षा संस्कृतियों के साथ फंस गया ओरेकल चाहता है कि आप उसे ठगना बंद करें - यही कारण है कि यह पागल हैसुरक्षा प्रमुख मैरी डेविडसन द्वारा एक गुमराह ब्लॉग पोस्ट पर ओरेकल गर्म पानी में है। Oracle का सुरक्षा दर्शन मुख्यधारा से कैसे निकलता है इसका यह प्रदर्शन सुरक्षा समुदाय में अच्छा नहीं हुआ ... अधिक पढ़ें . दुर्भाग्य से, हमारे पास इन प्रथाओं को विकसित करने के लिए केवल कंपनियों के इंतजार की विलासिता नहीं है। कारें महंगी (और बेहद खतरनाक) मशीनें हैं। इलेक्ट्रिक ग्रिड जैसी बुनियादी सुविधाओं के बाद वे कंप्यूटर सुरक्षा के सबसे महत्वपूर्ण क्षेत्रों में से एक हैं। उसके साथ सेल्फ ड्राइविंग कारों का उदय हिस्ट्री इज बंक: द फ्यूचर ऑफ़ ट्रांसपोर्टेशन विल बी लाइक नथिंग यू सीन देखा बिफोरकुछ दशकों में, 'ड्राइवरलेस कार' वाक्यांश 'हॉर्सलेस कैरिज' की तरह एक भयानक ध्वनि उत्पन्न करने वाला है, और अपनी खुद की कार के मालिक होने का विचार आपके खुद के कुएं को खोदने के रूप में विचित्र लग जाएगा। अधिक पढ़ें विशेष रूप से, इन कंपनियों को बेहतर करना होगा, और उन्हें उच्च स्तर पर रखना हमारी जिम्मेदारी है।

जबकि हम उस पर काम कर रहे हैं, बहुत कम हम कर सकते हैं सरकार को इस बुरे व्यवहार को रोकने के लिए। कंपनियों को अपने उत्पादों के साथ मुद्दों को छिपाने के लिए अदालतों का उपयोग करने की कोशिश नहीं करनी चाहिए। लेकिन, जब तक उनमें से कुछ कोशिश करने को तैयार हैं, हमें निश्चित रूप से उन्हें नहीं करना चाहिए। यह महत्वपूर्ण है कि हमारे पास ऐसे न्यायाधीश हैं, जो सुरक्षा के प्रति सचेत सॉफ्टवेयर उद्योग की तकनीक और प्रथाओं के बारे में पर्याप्त रूप से जानते हैं, यह जानने के लिए कि इस तरह का गैग ऑर्डर कभी सही उत्तर नहीं है।

तुम क्या सोचते हो? क्या आप अपने वाहन की सुरक्षा को लेकर चिंतित हैं? कौन सा ऑटो निर्माता सुरक्षा में सबसे अच्छा (या सबसे खराब) है?

छवि क्रेडिट:अपनी कार खोल रहा है Shitostock के माध्यम से nito द्वारा