内容 展示
隐藏
威胁
坐在外面。
对汽车行业软件安全而言是个坏消息
大众汽车公司在法律上拖延了一年之后,对普通防盗器的攻击被称为“大众汽车黑客事件”,现已公布。 而在这句新闻概括中,浓缩了几十年来汽车行业软件安全方面出现的一切问题。
简要概述:2012 年,三名研究人员发现 Megamos Crypto ID48 Magic I 和 II 应答器(此类最广泛的系统之一)防盗器存在一些弱点。 他们甚至在计划首次发布任何产品之前九个月就向受影响的制造商报告了这些问题。 大众汽车认为,针对英国的出版物采取法律行动是个好主意。 他们最初被证明是正确的,但最终该公司只确保它永远是 Megamos 黑客事件的代名词,该事件后来被称为“大众汽车黑客事件”。 因为现在研究人员可以发表。 以下是弱点概述以及针对最终客户的建议 [1].
bestkey.de
许多作家恶毒地指责大众在Ars Technica注销的指控。 我不想加入。 当时,大众采用了供应商提供的最好的系统。 这三个主要的竞争体系都在较早之前就被打破了。 我想用一种完全不同的方式来责备大众汽车和整个汽车行业:几十年来,您已经在黑暗中与最有成就的专家的最佳建议相提并论,如果有人将手电筒对准您的收藏夹,那么您想要屠杀信使和他的信使。禁止使用令人难以置信的不可靠手电筒技术。 这种方法是您让汽车客户的安全继续生活在贫民窟中的原因,尽管即使是很久以前在互联网technoallegorisch上写的狗蛋糕售货员在坚固的门和电话中的水泥平房中也能提供帮助。 这并不是因为狗饼干售货员会更聪明,而是因为她使用具有可验证安全级别的开放技术并烹饪自己的贫民窟汤,就像1978仍在山雀日历上一样。
密码学的最大困难
在密码学这个扭曲的领域中,稀有人必定会在信息技术上肯定地打住高迪安打结的大脑。 今天的安全通信和明确的身份验证基于优雅但难以实现的数学原理。 过去,他们基于试图掩盖自己的安全在LED手电筒的冷光下实际看起来有多糟糕。 或者有人希望不会有任何问题。 大多数人通常都很好。 但是,由于每个人和他的祖母都在网络中相互通信,因此世界已经告别了这一原理,因为它长期以来一直没有起作用。 实际上,它从未奏效。 只有汽车行业坚持这一原则,就好像是关于他们的生活一样。 事实恰恰相反:这种处理网络安全的方法可能会长期困扰她。
一位名叫Auguste Kerckhoff的聪明人已经给1883写了一条今天仍然有效的格言:加密过程的安全性必须基于密钥的保密性,并且不得依赖于过程的保密性。 因为应该保密的原因只有一个:它是不充分的。 因此,当今的银行或狗蛋糕供应商使用加密方法来实现安全的通信渠道和众所周知的明确验证。 他们的安全长期受到戈尔迪结头的折磨,并被认为是合适的。
甚至汽车业也使用众所周知的密码学原理,但是正如我所说:密码编程是一种棘手的方式,充满了陷阱。 这就是为什么如此重要,至少有一些最好的负责人试图在计划中发现系统的弱点,否则,如果已经交付了数百万个系统,他们就会找到人。 QED。 由于他们的稀有性,这些聪明的人很少坐在他们自己的公司里,而当他们坐在那里时,他们不会被别人听,因为只有外部专家才知道一切。 员工一无所知(经理预订顾问的古老智慧)。 如果没有开放性,至少没有几个开放性,任何制造商都无法判断他是否辜负了Kerckhoff先生的格言。 这就是为什么开放是最佳实践的原因,是的:唯一明智的方法。 换一种方式 秘密地犯错,如果有人指出来得太迟,就会感到不高兴。 这就是行业运作的方式。 几十年了。 当时被认为是真正有效的Megamos系统错误,弱点甚至是真正的愚蠢的AHNEN谁能做到? 任何对自己诚实的人。
对自己诚实的人往往也会对周围的人诚实,通常会使用可怕的强化物“开放和”。 这些人通常在汽车制造商工作,但没人听他们的。 加密工程师对安全了解多少? 没有什么! 管理层必须采取行动:“加密货币? 应该是什么? 这要花多少钱! 什么,我们应该公开讨论我们的防盗装置是如何工作的?! 潜入软件地下室,可怕的生物,否则我就解雇你!” 事实上,开放性创造了一种信任,从长远来看,可以帮助提高客户品牌忠诚度,尤其是在国家安全局时代,嗯,你不需要告诉中层管理人员这一点,就像你不需要告诉最佳实践一样密码学。
天黑了,变得更糟
在这个问题领域之外,我们2010让这些研究人员在诊断界面上进行了黑客入侵 [2]。 当时,我写信说,现在所有人都用手指坐在屁股上,等到出现第一种情况时,黑客通过无线电从外面访问汽车,然后大声喊叫。 那最近发生了 [3], 无钥匙锁定系统比盗贼更适合盗贼 [4]。 甚至诊断界面的骇客也已经很重要,因为保险公司将追踪箱连接到那里(这里是骇客 [5]),而保险公司的工作原理与汽车制造商相同:事前绝不听专家的话,事后大喊大叫并谋杀他们或其他专家保持沉默,因为如果皇帝穿着新衣服的每个人都可能露面,我们将去哪里?
尽管迫切需要改善,但没有改善的希望,因为软件在汽车价值链中的份额每年都在增加。 相反,我们遇到的问题是经理不想想象的(这里有帮助 [6])。 制造商的下一个大任务是紧密联网的自走式机器人汽车。 此类机器的开发在软件开发中占了很大一部分,以至于当今的汽车螺丝刀对此感到恶梦,因为他们已经将电气设备视为魔鬼的作品。 你不看那些电子! 如果他们仍然隐约地跳到算法!
当丰田在法庭上对他们的“意外加速”提起诉讼时,就有了一个研究汽车巨头代码的机会。 在某些时候,他们必须让外部专家阅读他们的代码。 这是一大堆意大利面条式的代码 [7]对于那些不熟悉这个术语的人来说,想象一下由一堆相同电缆组成的线束,简单地挤进面板后面的空腔中。 当丰田在法庭上说他们无法理解这些问题时,他们甚至可能没有撒谎,因为通过所有已知的方法,丰田的一堆嘘……帕盖蒂是无法测试的。 丰田无法知道最终会出现什么样的情况,而且显然他们对此也不是特别感兴趣。 这些代码看起来就像丰田已经阅读了有关优秀软件工作的所有规则,然后却做了相反的事情。 这些公司现在正在开发可以自动载你的孩子上学的汽车。 为了避免未来出现诸如“由于俄罗斯汽车贩运者正在将丰田汽车大量接管到其汽车人网络中而导致汽车带着孩子驶过乌克兰”之类的问题,制造商可以使用经过验证的开放方法。 或者他们可以像以前一样继续在黑暗中绊倒。 谁愿意猜测会发生什么?
友情链接:
[1] http://www.heise.de/autos/artikel/Volkswagen-Hack-veroeffentlicht-2778562.html
[2] http://www.autosec.org/pubs/cars-oakland2010.pdf
[3] http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
[5] http://www.heise.de/newsticker/meldung/Diagnose-Dongle-Forscher-hacken-Corvette-per-SMS-2777457.html
