السلامة أولا؟ كيف تتعامل صناعة السيارات مع مشاكلها الأمنية

إخفاء،

هدد، 

الجلوس

الوضع المزري فيما يتعلق بأمن البرمجيات في صناعة السيارات

تم الآن نشر الهجوم على نظام منع الحركة الشائع الذي أصبح يُعرف باسم "اختراق فولكس فاجن" بعد عام من التأخير القانوني من جانب شركة فولكس فاجن. وفي هذه الجملة التي تلخص الأخبار، تم تكثيف كل ما حدث من خطأ في مجال أمن البرمجيات في صناعة السيارات لعقود من الزمن.

نظرة عامة مختصرة: في عام 2012، اكتشف ثلاثة باحثين بعض نقاط الضعف في نظام منع الحركة باستخدام أجهزة الإرسال والاستقبال Megamos Crypto ID48 Magic I وII، وهو أحد أكثر الأنظمة انتشارًا من هذا النوع. لقد أبلغوا الشركات المصنعة المتضررة عن المشكلات قبل تسعة أشهر من التخطيط لإصدار أي شيء لأول مرة. اعتقدت شركة فولكس فاجن أنه سيكون من الجيد اتخاذ إجراء قانوني ضد النشر في بريطانيا العظمى. لقد ثبتت صحتهم في البداية، ولكن في النهاية أكدت الشركة أنها ستظل إلى الأبد مرادفًا لاختراق Megamos، والذي عُرف منذ ذلك الحين باسم "اختراق Volkswagen". لأنه الآن مسموح للباحثين بالنشر. فيما يلي ملخص لنقاط الضعف مع توصيات للعملاء النهائيين [1].

قدم العديد من الكتاب ادعاءات ضارة ضد شركة فولكس فاجن قاموا بنسخها من Ars Technica. لا اريد الانضمام الى ذلك. في ذلك الوقت ، استحوذت VW على أفضل نظام متاح من الموردين. تم كسر جميع الأنظمة المتنافسة الواسعة الانتشار في وقت سابق. أود أن أتهم فولكس فاجن وصناعة السيارات بأكملها من نوع مختلف تمامًا: لقد كنتم جميعًا تقومون بتثبيت أكواخكم الملتوية معًا في الظلام لعقود من الزمن ، ضد أفضل نصيحة من الخبراء الأكثر إنجازًا ، وإذا قام شخص ما بتسليط الضوء على الأحياء الفقيرة الخاصة بك ، تريد جزار الرسول وحظره تكنولوجيا المصباح الغادر بشكل لا يصدق. هذا الإجراء هو السبب الذي يجعلك تسمح لعملاء سيارتك بالاستمرار في العيش في الأحياء الفقيرة لأسباب تتعلق بالسلامة ، على الرغم من أن بائع بسكويت الكلاب على الإنترنت ، مكتوبًا بطريقة مجازية ، قد عاش طويلًا في منزل من طابق واحد خرساني بأبواب ثابتة وهاتف للاتصال به للمساعدة. ليس لأن بائعة بسكويت الكلاب أكثر ذكاءً ، ولكن لأنها تستخدم تقنية مفتوحة بمستويات أمان يمكن التحقق منها وتقوم بطهي حساء الغيتو الخاص بك كما لو كان عام 1978 لا يزال مدرجًا في التقويم.

الصعوبة الكبيرة في علم التشفير

في مجال التشفير المعقد ، يهتم الأشخاص النادرون ذوو العقول المعقدة Gordian بالأمان في تكنولوجيا المعلومات. اليوم ، يعتمد الاتصال الآمن والمصادقة الواضحة على مبادئ رياضية أنيقة يصعب تنفيذها بشكل صحيح. لقد اعتادوا أن يعتمدوا على محاولة التستر على مدى سوء مظهر أمنك في الوهج البارد لمصابيح LED. أو كنت تأمل ألا يحدث خطأ. معظم الناس لطيفون جدا في الغالب. ومع ذلك ، نظرًا لأن الجميع وجدتهم يتواصلون عبر الشبكات ، فقد قال العالم وداعًا لهذا المبدأ ، لأنه لم ينجح لفترة طويلة. في الواقع لم ينجح ابدا فقط صناعة السيارات لا تزال تتمسك بهذا المبدأ كما لو كان من أجل حياتها. العكس هو الصحيح: هذه الطريقة في التعامل مع أمن الشبكة يمكن أن تكسر رقبتك بالتأكيد على المدى الطويل.

في وقت مبكر من عام 1883 ، كتب رجل ذكي يدعى Auguste Kerckhoff مقولة لا تزال سارية حتى اليوم: يجب أن يعتمد أمان عملية التشفير على سرية المفتاح ويجب ألا يعتمد على سرية العملية. لأن هناك سبب واحد فقط لماذا يجب أن يظل الإجراء سريًا: فهو غير كافٍ. هذا هو السبب في أن البنوك أو بائعي بسكويت الكلاب يستخدمون اليوم طرق التشفير لتأمين قنوات الاتصال والتحقق الواضح المعروف للجمهور. لطالما تم العبث بأمنهم ووافق عليه رؤساء العقدة Gordian.

تستخدم صناعة السيارات أيضًا مبادئ التشفير المعروفة ، ولكن كما قلت: برمجة التشفير هي مسار شائك مليء بالفخاخ التي تضعها بنفسك. لهذا السبب من المهم جدًا أن يحاول بعض أفضل رؤساء العقد على الأقل العثور على نقاط ضعف النظام في مرحلة التخطيط ، وإلا سيجدها شخص ما عندما يتم تسليم ملايين الأنظمة منذ فترة طويلة. QED. نظرًا لندرتها ، نادرًا ما تكون هذه العقول اللامعة في المنزل ، وعندما تكون هناك ، لا يتم الاستماع إليها لأن الخبير الخارجي فقط هو الذي يعرف كل شيء ؛ لا يعرف الموظفون أي شيء (قول مأثور قديم للمديرين الذين يحجزون الاستشاريين). بدون الانفتاح ، على الأقل لعدد قليل ، لا يمكن لأي مصنع تقييم ما إذا كان قد التزم بمبدأ السيد كيركهوف. لهذا السبب يعتبر الانفتاح أفضل ممارسة ، نعم: الطريقة الوحيدة المعقولة. الطريق الاخر؟ ارتكب أخطاء سراً ثم تنزعج عندما يشير إليها شخص ما عندما يكون الوقت قد فات. هذه هي الطريقة التي تعمل بها في الصناعة. لعقود. من كان يمكن أن يخمن أن هناك أخطاء ونقاط ضعف وحتى حماقات حقيقية في نظام Megamos ، والذي كان يعتبر آمنًا حقًا في ذلك الوقت؟ أي شخص كان صادقًا مع نفسه.

يميل الأشخاص الصادقون مع أنفسهم إلى أن يكونوا صادقين مع من حولهم، وغالبًا ما يكون ذلك من خلال المعزز الرهيب "منفتح و". عادة ما يعمل هؤلاء الأشخاص في شركات تصنيع السيارات حيث لا يستمع إليهم أحد. ماذا يعرف مهندس التشفير عن الأمن؟ لا شئ! يتعين على الإدارة اتخاذ الإجراءات اللازمة: "التشفير؟ ماذا ينبغي أن يكون؟ ما هي تكلفتها! ماذا، هل يجب أن نناقش بشكل علني كيفية عمل نظام منع الحركة لدينا؟! تسلل إلى قبو البرنامج، أيها المخلوق البغيض، وإلا سأطردك! حقيقة أن الانفتاح يخلق نوعًا من الثقة التي يمكن أن تساعد في ولاء العملاء للعلامة التجارية على المدى الطويل، خاصة في زمن وكالة الأمن القومي، حسنًا، لا تحتاج إلى إخبار الإدارة الوسطى عن ذلك أكثر مما تحتاج إلى إخبار أفضل الممارسات التشفير.

إنها مظلمة وتزداد سوءًا

أبعد من هذه المجموعة من المشكلات ، في عام 2010 جعلنا هؤلاء الباحثين يخترقون واجهة التشخيص [2]. في ذلك الوقت كتبت أن الجميع الآن يجلسون بأصابعهم مرفوعة في انتظار أول حالة من المتسللين للوصول إلى السيارة لاسلكيًا من الخارج ، ثم يبكون بصوت عالٍ. حدث ذلك مؤخرًا [3]. تعد أنظمة القفل بدون مفتاح أفضل للصوص مقارنة بالعملاء [4]. حتى اختراق واجهة التشخيص كانت ذات صلة لأن شركات التأمين تربط مربعات التتبع الخاصة بها هناك (هنا اختراق [5]) ، وتعمل شركات التأمين وفقًا لنفس مبادئ الشركات المصنعة للسيارات: لا تستمع أبدًا إلى الخبراء مسبقًا ثم تصرخ وتبكي على هؤلاء الخبراء أو غيرهم من الخبراء ، لأننا أين سنكون إذا سُمح للجميع بإظهار ملابس الإمبراطور الجديدة؟

لا يوجد أي احتمال للتحسين ، على الرغم من الحاجة الملحة إليه ، لأن حصة البرامج في سلسلة قيمة السيارات تتزايد كل عام. على العكس من ذلك ، نواجه مشكلات لا يرغب المدير حتى في تخيلها (هنا دليل [6]). التحدي الكبير التالي للمصنعين هو سيارات الروبوت ذاتية القيادة الموصولة بشبكات كثيفة. يتألف تطوير مثل هذه الآلات إلى حد كبير من تطوير البرمجيات لدرجة أن ميكانيكي السيارات اليوم لديهم كوابيس حول هذا الموضوع ، لأنهم يعتقدون بالفعل أن الكهرباء هي عمل شيطاني. لا يمكنك رؤيتهم ، هذه الإلكترونات! عندما يرقصون بشكل غير مرئي حسب الخوارزميات!

كانت هناك فرصة واحدة للنظر في قانون شركة عملاقة للسيارات عندما رفعت شركة تويوتا دعوى قضائية ضد "التسارع غير المقصود" في المحكمة. وفي مرحلة ما، كان عليهم أن يطلبوا من خبراء خارجيين قراءة الكود الخاص بهم. لقد كانت كومة ضخمة من كود السباغيتي [7]ولأولئك الذين ليسوا على دراية بهذا المصطلح، تخيل مجموعة أسلاك تتكون من كومة من الكابلات المتماثلة التي تم ضغطها ببساطة في تجويف خلف الألواح. ربما لم تكن تويوتا تكذب حتى عندما قالت في المحكمة إنها لا تستطيع فهم المشاكل، لأنه بكل الطرق المعروفة، كانت كومة الششش...الباجيتي التي تمتلكها تويوتا غير قابلة للاختبار. لم يكن لدى تويوتا أي وسيلة لمعرفة نوع الموقف الذي قد ينتهي به الأمر، ومن الواضح أن الأمر لم يكن يثير اهتمامهم بشكل خاص. بدا الكود كما لو أن شركة تويوتا قد قرأت كل القواعد المتعلقة بالعمل البرمجي الجيد ثم فعلت العكس. وتعمل هذه الشركات الآن على السيارات التي ستقود طفلك تلقائيًا إلى المدرسة. ولتجنب المشاكل في المستقبل مثل "قيادة السيارة عبر أوكرانيا مع الطفل لأن أحد تجار السيارات الروس يستولي على سيارات تويوتا بشكل جماعي في شبكة الأوتوبوت الخاصة به"، فمن الممكن أن يستخدم المصنعون أساليب أثبتت انفتاحها. أو يمكنهم الاستمرار كما كان من قبل مع التعثر في الظلام. من يريد أن يخمن ماذا سيحدث؟

الروابط:

[1] http://www.heise.de/autos/artikel/Volkswagen-Hack-veroeffentlicht-2778562.html

[2] http://www.autosec.org/pubs/cars-oakland2010.pdf

[3] http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

[4] http://hessenschau.de/panorama/diebe-klauen-luxusautos-in-serie-per-funkwellenverstaerker,neue-autodiebstahl-methode-100.html

[5] http://www.heise.de/newsticker/meldung/Diagnose-Dongle-Forscher-hacken-Corvette-per-SMS-2777457.html

[6] http://www.mojomag.de/2010/05/grid-graffiti/

[7] http://www.safetyresearch.net/blog/articles/toyota-unintended-acceleration-and-big-bowl-%E2%80%9Cspaghetti%E2%80%9D-code

صورة غلاف: قفل مركزي عن بعد" بواسطة James086 - عمل شخصي. مرخص تحت GFDL بواسطة ويكيميديا ​​كومنز.