Sekrety producentów... i złodziei? Sąd zakazał odpowiedzialnego ujawnienia luki w zabezpieczeniach aut

Ujawnianie luk w zabezpieczeniach przez ekspertów noszących białekapelusze, mimo że pomaga producentom w ulepszaniu ichoprogramowania, nie zawsze jest przez nich przyjmowaneentuzjastycznie. Czasem to wina samych whitehatów, nieprzestrzegających żadnych zasad odpowiedzialnego ujawniania (jak tonp. było ostatnio z Tavisem Ormandym, który upublicznił gotowy exploit do zabezpieczeń Windows, nie dając Microsoftowi dośćczasu na przeanalizowanie luki i wydanie poprawek). Czasem jednakniechęć bierze się z ogólnego podejścia firmy do sprawbezpieczeństwa, przekonanej, że najlepsze jest securitythrough obscurity – jeślio problemie nie będzie się mówiło, to problemu nie będzie. W sprawiealarmującego odkrycia badaczy z holenderskiego Radboud UniversiteitNijmegen i brytyjskiego University of Birmingham oraz reakcjiproducentów na nie, chodzić musi raczej o ten drugi powód.Sprawa dotyczy kwestiiniebagatelnej: bezpieczeństwa samochodów, w których kluczykachwykorzystywane są transpondery Megamos Crypto do przesyłaniazaszyfrowanych kodów, służących do deaktywacji układu immobilizera.Transpondery te są częścią zabezpieczeń milionów pojazów – odlat dziewięćdziesiątych z technologii tej korzystają m.in. VolkswagenGroup, Fiat i Honda, a ich oprogramowanie zostało zaprojektowaneprzez francuskiego giganta Thales Group. [img=audikey]W 2011 roku trójka informatyków – Flavio Garcia z University of Birmingham oraz Baris Ege and RoelVerdult z Radboud Universiteit Nijmegen – natrafiła wzakamarkach Sieci na oprogramowanie nieznanego autora, którezawierało m.in. zaprojektowany przez Thales Group algorytmzabezpieczeń. Powstało ono najprawdopodobniej za pomocą analizy czipupod mikroskopem, pozwalającej na odtworzenie algorytmów z układutranzystorów. Jak twierdzą badacze, przeprowadzenie takiej operacjiprzekracza 50 tys. funtów., więc niewykluczone, że zrobiono to napolecenie zainteresowanych rozbrajaniem immobilizerów osób.Po dokładnym przebadaniupozyskanego oprogramowania (które w Sieci miało być dostępneprzynajmniej od 2009 roku), Garcia, Ege i Verdult odkryli w nim lukę,pozwalającą na łatwe obejście zabezpieczeń Thales Group. Uznali więc,że jej ujawnienie jest w publicznym interesie, zmuszając producentówdo usunięcia błędu, który mógłby znacząco ułatwić życie złodziejomsamochodów. Jak zadeklarowali – społeczeństwo maprawo poznać słabości w zabezpieczeniach, na których polega.W przeciwnym wypadku producenci i przestępcy wiedzieliby,że zabezpieczenia są słabe, zaś opinia publiczna nie wiedziałaby nic.Do ujawnienia swojego odkryciabadacze podeszli zgodnie z najlepszymi praktykami. W listopadzie 2012r., dziewięć miesięcy przed planowaną publikacją, przesłali doproducenta Megamos Crypto szczegółowy opis luki. O wszystkim opiniapubliczna miałaby się dowiedzieć z artykułu i prezentacji pt. Dismantling Megamos Crypto: Wirelessly Lock-picking aVehicle Immobiliser, któraznalazła się w programie sierpniowej konferencji Usenix wWaszyngtonie D.C.Niestety do publikacjinajprawdopodobniej nie dojdzie. Zamiast zająć się kosztowną akcjąwymiany kluczyków, Volkswagen oraz Thales Group zdecydowały sięwnieść sprawę do Wysokiego Sądu Anglii i Walii... z żądaniemzamknięcia ust badaczom. Ich prawnicy argumentowali w pozwie, żeużyty algorytm zabezpieczeń był informacją poufną, a tenkto opublikował go w Sieci, zrobił to nielegalnie. Opublikowanieszczegółów ataku na zabezpieczenia Megamos Crypto pozwoliłoby więcgangom złodziei samochodów na łatwe „rozbrajanie”zabezpieczeń drogich aut. Prowadzący sprawę sędzia Birssprzychylił się do argumentów przemysłowych gigantów, i wydał zakazpublikacji artykułu badaczy w jego obecnej formie – mogliby oniopublikować go jedynie po usunięciu niemal wszystkich szczegółówtechnicznych. Problem jednak w tym, że tak ocenzurowany artykuł niezostałby do publikacji w żadnym specjalistycznym periodyku przyjęty,nie spełniając standardów ścisłości i udokumentowania źródeł. Macierzyste uczelnie badaczy sąoburzone takim postawieniem sprawy. Rzeczniczka University ofBirmingham stwierdziła, że uczelnia jest niezadowolona zwyroku sądu, który nie uszanował wolności akademickiej i interesuspołecznego, zaś rzeczniczka Radboud Universiteit Nijmegen ogłosiła, że publikacja wżaden sposób nie ułatwiałaby kradzieży samochodów, gdyż do tegowymagane byłyby dodatkowe informacje – więc zakaz taki jestniepojęty.Ani Volkswagen ani Thales Group nieskomentowały wyroku. Trudno się zresztą temu dziwić – wedługholenderskiego prawa podarowanie producentowi sześciu miesięcy nausunięcie luki jest uważane za odpowiedzialne ujawnienie. Tutajproducent otrzymał dziewięć miesięcy. Czyżby Volkswagen i Thalesoczekiwały, że za operację wymiany kluczyków badacze powinni zapłacićz własnej kieszeni?