Iklan

Kerentanan keamanan perangkat lunak dilaporkan sepanjang waktu. Secara umum, respons ketika kerentanan ditemukan adalah berterima kasih (atau, dalam banyak kasus, membayar) peneliti yang menemukannya, dan kemudian memperbaiki masalahnya. Itulah respons standar di industri.

Respons yang jelas-jelas tidak standar adalah menuntut orang-orang yang melaporkan kerentanan untuk menghentikan mereka membicarakannya, dan kemudian menghabiskan dua tahun mencoba menyembunyikan masalah tersebut. Sedihnya, itu persis seperti yang dilakukan oleh pembuat mobil Jerman, Volkswagen.

Pembajakan Kriptografi

Kerentanan yang dimaksud adalah cacat sistem pengapian keyless beberapa mobil. Sistem ini, alternatif high-end untuk kunci konvensional, seharusnya mencegah mobil dari membuka atau memulai kecuali kunci-fob di dekatnya. Chip ini disebut "Megamos Crypto," dan dibeli dari produsen pihak ketiga di Swiss. Chip seharusnya mendeteksi sinyal dari mobil, dan merespons dengan pesan yang ditandatangani secara kriptografis

instagram viewer
Dapatkah Anda Secara Elektronik Menandatangani Dokumen & Haruskah Anda?Mungkin Anda pernah mendengar teman-teman Anda yang paham teknologi memahami istilah tanda tangan elektronik dan tanda tangan digital. Mungkin Anda bahkan pernah mendengar mereka digunakan secara bergantian. Namun, Anda harus tahu bahwa keduanya tidak sama. Faktanya,... Baca lebih banyak meyakinkan mobil bahwa tidak apa-apa untuk membuka kunci dan memulai.

Sayangnya, chip tersebut menggunakan skema kriptografi yang ketinggalan zaman. Ketika peneliti Roel Verdult dan Baris Ege memperhatikan fakta ini, mereka dapat membuat program yang merusak enkripsi dengan mendengarkan pesan antara mobil dan key-fob. Setelah mendengar dua pertukaran seperti itu, program ini dapat mempersempit kisaran kemungkinan kunci menjadi sekitar 200.000 kemungkinan - sebuah angka yang dapat dengan mudah diubah dengan paksa oleh komputer.

Proses ini memungkinkan program untuk membuat "duplikat digital" dari key-fob, dan membuka kunci atau menyalakan mobil sesuka hati. Semua ini dapat dilakukan oleh perangkat (seperti laptop atau telepon) yang kebetulan berada di dekat mobil yang dimaksud. Itu tidak memerlukan akses fisik ke kendaraan. Secara total, serangan itu memakan waktu sekitar tiga puluh menit.

Jika serangan ini kedengarannya teoretis, itu bukan. Menurut Kepolisian Metropolitan London, 42% pencurian mobil di London tahun lalu dilakukan dengan menggunakan serangan terhadap sistem tanpa kunci yang tidak terkunci. Ini adalah kerentanan praktis yang membahayakan jutaan mobil.

Semua ini lebih tragis, karena sistem membuka kunci tanpa kunci bisa jauh lebih aman daripada kunci konvensional. Satu-satunya alasan sistem ini rentan adalah karena ketidakmampuan. Alat yang mendasarinya jauh lebih kuat daripada kunci fisik apa pun.

Pengungkapan yang Bertanggung Jawab

Para peneliti awalnya mengungkapkan kerentanan kepada pembuat chip, memberi mereka sembilan bulan untuk memperbaiki kerentanan. Ketika pencipta menolak untuk mengeluarkan penarikan, para peneliti pergi ke Volkswagen pada Mei 2013. Mereka awalnya berencana untuk mempublikasikan serangan di konferensi USENIX pada Agustus 2013, memberikan Volkswagen sekitar tiga bulan untuk memulai penarikan / retrofit, sebelum serangan itu menjadi publik.

Sebaliknya, Volkswagen dituntut untuk menghentikan para peneliti dari menerbitkan kertas. Pengadilan tinggi Inggris memihak Volkswagen, mengatakan "Saya mengakui nilai tinggi kebebasan berbicara akademis, tetapi ada nilai tinggi lain, keamanan jutaan mobil Volkswagen."

Butuh dua tahun negosiasi, tetapi para peneliti akhirnya diizinkan mempublikasikan makalah mereka, minus satu kalimat yang berisi beberapa detail utama tentang replikasi serangan. Volkswagen masih belum memperbaiki kunci-fobs, dan tidak ada produsen lain yang menggunakan chip yang sama.

Keamanan oleh Litigasi

Jelas, perilaku Volkswagen di sini sangat tidak bertanggung jawab. Alih-alih mencoba memperbaiki masalah dengan mobil mereka, mereka malah menumpahkan yang tahu berapa banyak waktu dan uang untuk mencoba menghentikan orang mencari tahu tentang hal itu. Itu adalah pengkhianatan terhadap prinsip paling mendasar dari keamanan yang baik. Perilaku mereka di sini tidak bisa dimaafkan, memalukan, dan umpatan lainnya (yang lebih berwarna) yang akan saya berikan kepada Anda. Cukup untuk mengatakan ini bukan bagaimana perusahaan harus bertanggung jawab.

Sayangnya, ini juga tidak unik. Pembuat mobil telah menjatuhkan bola keamanan Bisakah Peretas BENAR-BENAR Mengambil alih Mobil Anda? Baca lebih banyak banyak sekali belakangan ini. Bulan lalu, terungkap bahwa model Jeep tertentu bisa jadi diretas secara nirkabel melalui sistem hiburannya Seberapa amankah mobil-mobil yang terhubung dengan internet dan terhubung dengan mobil?Apakah mobil yang dikendarai sendiri aman? Bisakah mobil yang terhubung ke internet digunakan untuk menyebabkan kecelakaan, atau bahkan membunuh pembangkang? Google berharap tidak, tetapi percobaan terbaru menunjukkan masih ada jalan panjang. Baca lebih banyak , sesuatu yang mustahil dalam desain mobil yang sadar akan keamanan. Untuk kredit Fiat Chrysler, mereka menarik lebih dari satu juta kendaraan di belakang wahyu itu, tetapi hanya setelah para peneliti dalam demoed hack berbahaya dan jelas tidak bertanggung jawab.

Jutaan kendaraan yang terhubung ke Internet lainnya kemungkinan rentan terhadap serangan serupa - tapi belum ada yang secara sembarangan membahayakan jurnalis dengan mereka, jadi tidak ada penarikan kembali. Sangat mungkin bahwa kami tidak akan melihat perubahan ini sampai seseorang benar-benar mati.

Masalahnya di sini adalah bahwa pembuat mobil tidak pernah menjadi pembuat perangkat lunak sebelumnya - tetapi sekarang mereka tiba-tiba. Mereka tidak memiliki budaya perusahaan yang sadar akan keamanan. Mereka tidak memiliki keahlian institusional untuk menangani masalah ini dengan cara yang benar, atau membangun produk yang aman. Ketika mereka berhadapan dengan mereka, respons pertama mereka adalah panik dan sensor, bukan perbaikan.

Butuh beberapa dekade bagi perusahaan perangkat lunak modern untuk mengembangkan praktik keamanan yang baik. Beberapa, seperti Oracle, masih terjebak dengan budaya keamanan yang ketinggalan jaman Oracle Ingin Anda Berhenti Mengirimkan Bug ke Mereka - Inilah Mengapa Itu GilaOracle dalam air panas atas posting blog sesat oleh kepala keamanan, Mary Davidson. Demonstrasi tentang bagaimana filosofi keamanan Oracle ini berangkat dari arus utama tidak diterima dengan baik di komunitas keamanan ... Baca lebih banyak . Sayangnya, kami tidak memiliki kemewahan hanya menunggu perusahaan untuk mengembangkan praktik-praktik ini. Mobil adalah mesin yang mahal (dan sangat berbahaya). Mereka adalah salah satu area paling penting dari keamanan komputer, setelah infrastruktur dasar seperti jaringan listrik. Dengan munculnya mobil self-driving History is Bunk: Masa Depan Transportasi Akan Seperti Tidak Ada yang Pernah Anda Lihat sebelumnyaDalam beberapa dekade, frasa 'mobil tanpa pengemudi' akan terdengar sangat buruk seperti 'kereta tanpa kuda,' dan gagasan memiliki mobil sendiri akan terdengar sama peliknya seperti menggali sumur Anda sendiri. Baca lebih banyak khususnya, perusahaan-perusahaan ini harus melakukan yang lebih baik, dan merupakan tanggung jawab kami untuk menahan mereka ke standar yang lebih tinggi.

Sementara kami sedang mengusahakannya, yang paling bisa kami lakukan adalah membuat pemerintah berhenti memberlakukan perilaku buruk ini. Perusahaan bahkan tidak boleh mencoba menggunakan pengadilan untuk menyembunyikan masalah dengan produk mereka. Tapi, selama beberapa dari mereka mau mencoba, kita tentu tidak boleh membiarkan mereka. Sangat penting bagi kami untuk memiliki hakim yang cukup sadar akan teknologi dan praktik industri perangkat lunak yang sadar keamanan untuk mengetahui bahwa pesanan lelucon semacam ini tidak pernah merupakan jawaban yang tepat.

Bagaimana menurut anda? Apakah Anda khawatir tentang keamanan kendaraan Anda? Pembuat mobil mana yang paling aman (atau terburuk)?

Kredit Gambar:membuka mobilnya oleh nito via Shutterstock

Seorang penulis dan jurnalis yang berbasis di Barat Daya, Andre dijamin tetap fungsional hingga 50 derajat Celcius, dan tahan air hingga kedalaman dua belas kaki.