r   e   k   l   a   m   a
r   e   k   l   a   m   a

Sekrety producentów... i złodziei? Sąd zakazał odpowiedzialnego ujawnienia luki w zabezpieczeniach aut

Strona główna AktualnościBIZNES

Ujawnianie luk w zabezpieczeniach przez ekspertów noszących białe kapelusze, mimo że pomaga producentom w ulepszaniu ich oprogramowania, nie zawsze jest przez nich przyjmowane entuzjastycznie. Czasem to wina samych whitehatów, nie przestrzegających żadnych zasad odpowiedzialnego ujawniania (jak to np. było ostatnio z Tavisem Ormandym, który upublicznił gotowy exploit do zabezpieczeń Windows, nie dając Microsoftowi dość czasu na przeanalizowanie luki i wydanie poprawek). Czasem jednak niechęć bierze się z ogólnego podejścia firmy do spraw bezpieczeństwa, przekonanej, że najlepsze jest security through obscurity – jeśli o problemie nie będzie się mówiło, to problemu nie będzie. W sprawie alarmującego odkrycia badaczy z holenderskiego Radboud Universiteit Nijmegen i brytyjskiego University of Birmingham oraz reakcji producentów na nie, chodzić musi raczej o ten drugi powód.

Sprawa dotyczy kwestii niebagatelnej: bezpieczeństwa samochodów, w których kluczykach wykorzystywane są transpondery Megamos Crypto do przesyłania zaszyfrowanych kodów, służących do deaktywacji układu immobilizera. Transpondery te są częścią zabezpieczeń milionów pojazów – od lat dziewięćdziesiątych z technologii tej korzystają m.in. Volkswagen Group, Fiat i Honda, a ich oprogramowanie zostało zaprojektowane przez francuskiego giganta Thales Group.

W 2011 roku trójka informatyków – Flavio Garcia z University of Birmingham oraz Baris Ege and Roel Verdult z Radboud Universiteit Nijmegen – natrafiła w zakamarkach Sieci na oprogramowanie nieznanego autora, które zawierało m.in. zaprojektowany przez Thales Group algorytm zabezpieczeń. Powstało ono najprawdopodobniej za pomocą analizy czipu pod mikroskopem, pozwalającej na odtworzenie algorytmów z układu tranzystorów. Jak twierdzą badacze, przeprowadzenie takiej operacji przekracza 50 tys. funtów., więc niewykluczone, że zrobiono to na polecenie zainteresowanych rozbrajaniem immobilizerów osób.

Po dokładnym przebadaniu pozyskanego oprogramowania (które w Sieci miało być dostępne przynajmniej od 2009 roku), Garcia, Ege i Verdult odkryli w nim lukę, pozwalającą na łatwe obejście zabezpieczeń Thales Group. Uznali więc, że jej ujawnienie jest w publicznym interesie, zmuszając producentów do usunięcia błędu, który mógłby znacząco ułatwić życie złodziejom samochodów. Jak zadeklarowali – społeczeństwo ma prawo poznać słabości w zabezpieczeniach, na których polega. W przeciwnym wypadku producenci i przestępcy wiedzieliby, że zabezpieczenia są słabe, zaś opinia publiczna nie wiedziałaby nic.

Do ujawnienia swojego odkrycia badacze podeszli zgodnie z najlepszymi praktykami. W listopadzie 2012 r., dziewięć miesięcy przed planowaną publikacją, przesłali do producenta Megamos Crypto szczegółowy opis luki. O wszystkim opinia publiczna miałaby się dowiedzieć z artykułu i prezentacji pt. Dismantling Megamos Crypto: Wirelessly Lock-picking a Vehicle Immobiliser, która znalazła się w programie sierpniowej konferencji Usenix w Waszyngtonie D.C.

Niestety do publikacji najprawdopodobniej nie dojdzie. Zamiast zająć się kosztowną akcją wymiany kluczyków, Volkswagen oraz Thales Group zdecydowały się wnieść sprawę do Wysokiego Sądu Anglii i Walii... z żądaniem zamknięcia ust badaczom. Ich prawnicy argumentowali w pozwie, że użyty algorytm zabezpieczeń był informacją poufną, a ten kto opublikował go w Sieci, zrobił to nielegalnie. Opublikowanie szczegółów ataku na zabezpieczenia Megamos Crypto pozwoliłoby więc gangom złodziei samochodów na łatwe „rozbrajanie” zabezpieczeń drogich aut.

Prowadzący sprawę sędzia Birss przychylił się do argumentów przemysłowych gigantów, i wydał zakaz publikacji artykułu badaczy w jego obecnej formie – mogliby oni opublikować go jedynie po usunięciu niemal wszystkich szczegółów technicznych. Problem jednak w tym, że tak ocenzurowany artykuł nie zostałby do publikacji w żadnym specjalistycznym periodyku przyjęty, nie spełniając standardów ścisłości i udokumentowania źródeł.

Macierzyste uczelnie badaczy są oburzone takim postawieniem sprawy. Rzeczniczka University of Birmingham stwierdziła, że uczelnia jest niezadowolona z wyroku sądu, który nie uszanował wolności akademickiej i interesu społecznego, zaś rzeczniczka Radboud Universiteit Nijmegen ogłosiła, że publikacja w żaden sposób nie ułatwiałaby kradzieży samochodów, gdyż do tego wymagane byłyby dodatkowe informacje – więc zakaz taki jest niepojęty.

Ani Volkswagen ani Thales Group nie skomentowały wyroku. Trudno się zresztą temu dziwić – według holenderskiego prawa podarowanie producentowi sześciu miesięcy na usunięcie luki jest uważane za odpowiedzialne ujawnienie. Tutaj producent otrzymał dziewięć miesięcy. Czyżby Volkswagen i Thales oczekiwały, że za operację wymiany kluczyków badacze powinni zapłacić z własnej kieszeni?

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.