Βρέθηκε τρόπος για hacking immobilizer κλειδιών αλλά δικαστήριο του ΗΒ εμποδίζει την αποκάλυψη του

[NeK]

Ανώτερος δικαστής του Ηνωμένου Βασιλείου εμπόδισε τρεις ερευνητές ασφαλείας από το να δημοσιεύσουν λεπτομέρειες για το πως μπορεί να γίνει hack ένα σύστημα immobilizer αυτοκινήτων. Η Γερμανική κατασκευάστρια αυτοκινήτων Volkswagen και η Γαλλική ομάδα άμυνας Thales, εξασφάλισαν την απόφαση αυτή ύστερα από τον ισχυρισμό τους ότι η πληροφορία αυτή μπορεί να χρησιμοποιηθεί από εγκληματίες.

Η τεχνολογία χρησιμοποιείται από πολλούς κατασκευαστές αυτοκινήτων.

Οι ερευνητές σχεδίαζαν να παρουσιάσουν τις λεπτομέρειες σε ένα συνέδριο που θα γινόταν τον Αύγουστο.

Οι τρεις ερευνητές είναι ο Flavio Garcia, ομιλητής πληροφορικής του πανεπιστημίου του Birmingham, ο Baris Ege και ο Roel Verdult, ερευνητές ασφαλείας του πανεπιστήμιο Radboud University Nijmegen της Ολλανδίας.

"Το πανεπιστήμιο Birmingham είναι απογοητευμένο με την δικαστική απόφαση που δεν στήριξε την υπεράσπιση της ακαδημαϊκής ελευθερίας και τα συμφέροντα του λαού, ωστόσο σέβεται την απόφαση", είπε μία ομιλήτρια.

"Το πανεπιστήμιο αποφάσισε να αναβάλει την δημοσιοποίηση της δημοσίευσης σε κάθε της μορφή για όσο συλλέγει επιπλέον τεχνικές και νομικές συμβουλές δεδομένης της συνεχιζόμενης δίκης. Ως εκ τούτου το πανεπιστήμιο, αυτή τη χρονική στιγμή, αδυνατεί να σχολιάσει περαιτέρω".

Το Radboud University Nijmegen δήλωσε ότι βρήκε αυτή την απαγόρευση ως "ακατανόητη".

"Η δημοσίευση σε καμία περίπτωση δεν περιγράφει το πως να κλέψει κανείς ένα αυτοκίνητο, καθώς χρειάζονται περισσότερες και διαφορετικές πληροφορίες για να καταστεί αυτό δυνατό", δήλωσε μία ομιλήτρια.

"Οι ερευνητές ενημέρωσαν τον κατασκευαστή της τεχνολογίας αυτής 9 μήνες πρωτού γίνει η σχεδιαζόμενη δημοσίευση, τον Νοέμβριο του 2012, έτσι ώστε να παρθούν τα απαραίτητα μέτρα. Η Ολλανδική κυβέρνηση θεωρεί ότι έξι μήνες είναι ένα εύλογο χρονικό διάστημα γνωστοποίησης για υπεύθυνη αποκάλυψη. Οι ερευνητές επέμεναν από την αρχή ότι ο κατασκευαστής πρέπει να ενημερώσει τους πελάτες του".

Ούτε η Volkswagen, ούτε και η Thales ήταν σε θέση να κάνουν κάποιο σχόλιο.

Η δικαστική απόφαση εκδόθηκε στις 25 Ιουνίου, αλλά η υπόθεση απέκτησε την προσοχή του κοινού κατόπιν της δημοσίευσης ενός άρθρου του Guardian.

Τρόπος hacking

Η παρουσίαση, ονόματι Dismantling Megamos Crypto: Wirelessly Lock-picking a Vehicle Immobiliser, ακόμη φιγουράρει στο website του Usenix Security Symposium, το οποίο θα πραγματοποιηθεί στην Washington των ΗΠΑ τον επόμενο μήνα.

Το Megamos Crypto είναι ένας αναμεταδότης που τοποθετείται μέσα σε κλειδιά αυτοκινήτων ο οποίος χρησιμοποιεί την ασύρματη τεχνολογία RFID (Radio-frequency identification) για να μεταδώσει ένα κρυπτογραφημένο σήμα στα οχήματα. Αυτό απενεργοποιεί ένα σύστημα, το οποίο σε αντίθετη περίπτωση αποτρέπει τις μηχανές από το να ξεκινήσουν.

Η Volkswagen το εφάρμοσε αυτό πρώτη φορά στα τέλη της δεκαετίας του 1990 και έχει χρησιμοποιηθεί επίσης μεταξύ άλλων και από την Honda και την Fiat.

Οι ερευνητές είπαν ότι προμηθεύτηκαν ένα πρόγραμμα από το διαδίκτυο, το οποίο περιείχε τον αλγόριθμο που επινόησε η Thales για να προσφέρει αυτό το χαρακτηριστικό ασφαλείας. Είπαν ότι υπήρχε στο διαδίκτυο από το 2009.

Audi
Η Volkswagen έχει χρησιμοποιήσει αυτή τη τεχνολογία μεταξύ άλλων και στα αυτοκίνητα Audi.
Οι ερευνητές δήλωσαν ότι ανακάλυψαν μία αδυναμία μέσα στον κώδικα που αυτό σημαίνει ότι εκθέτει σε κίνδυνο παραβίασης το σύστημα και πρόσθεσαν ότι υπάρχει ισχυρό ενδιαφέρον από το κόσμο στο να αποκαλυφθεί αυτή η πληροφορία για να διασφαλιστεί ότι το πρόβλημα θα διευθετηθεί.

Ωστόσο, η Volkswagen και η Thales επιχειρηματολόγησαν ότι ο αλγόριθμος αυτός είναι απόρρητος και ότι ο οποιοσδήποτε τον αποκάλυψε στο διαδίκτυο το έκανε πιθανώς παράνομα. Επιπροσθέτως, είπαν, υπάρχει ένας πολύ καλός λόγος για να πιστέψουμε ότι οι εγκληματικές συμμορίες θα προσπαθήσουν να εκμεταλλευτούν τα στοιχεία της αποκάλυψης για να κλέψουν οχήματα.

Οι ερευνητές από τη μεριά τους επιχειρηματολόγησαν ότι αυτό το ρίσκο είναι μικρό, γιατί οι κλέφτες αυτοκινήτων θα χρειαστούν να τρέξουν ένα πρόγραμμα για σχεδόν 2 ημέρες για να μπορέσουν να εκμεταλλευτούν την αδυναμία αυτή σε κάθε περίπτωση.

Επίσης είπαν ότι εάν αφαιρέσουν τα κομμάτια που επιθυμούν η Volkswagen και η Thales να αφαιρεθούν από τη δημοσίευση, θα σημαίνει ότι η δημοσίευση θα χρειαστεί να επιθεωρηθεί εκ νέου από συναδέλφους τους προτού παρουσιαστεί στο συνέδριο. Και επίσης είπαν ότι το δικαίωμά τους για την δημοσίευση καλύπτεται από τις διασφαλίσεις για την ελευθερία του λόγου από το European Convention on Human Rights.

Ωστόσο, ο δικαστής αποφάσισε ότι, εν αναμονή της πλήρης δίκης, οι λεπτομέρειες θα πρέπει να μείνουν μυστικές.

Ο Tom Ohta, συνέταιρος στη νομική φίρμα Bristows, η οποία δεν είναι αναμειγμένη στην υπόθεση, είπε ότι ο τρόπος με τον οποίο οι ερευνητές ανακάλυψαν την αδυναμία αυτή, αποδεικνύει και το λάθος τους.

"Ένας σημαντικός παράγοντας εδώ είναι ότι οι ακαδημαϊκοί αυτοί δεν προμηθεύτηκαν το λογισμικό από κάποια νόμιμη πηγή, αλλά το κατέβασαν από μη εξουσιοδοτημένο website", δήλωσε.

"Αυτό έπεισε το δικαστήριο ότι ο αλγόριθμος είχε φύση απορρήτου και λαμβάνοντας υπόψη το συμφέρον του κόσμου στο να μην αφήνουν εγκληματικές συμμορίες να καταχράζοντε ελαττώματα στα συστήματα ασφάλειας, το οδήγησε στην απαγόρευση".

Πηγή: BBC

[Φιλόσοφος_Στ@ρχίδας]

Ο Tom Ohta, συνέταιρος στη νομική φίρμα Bristows, η οποία δεν είναι αναμειγμένη στην υπόθεση, είπε ότι ο τρόπος με τον οποίο οι ερευνητές ανακάλυψαν την αδυναμία αυτή, αποδεικνύει και το λάθος τους.

"Ένας σημαντικός παράγοντας εδώ είναι ότι οι ακαδημαϊκοί αυτοί δεν προμηθεύτηκαν το λογισμικό από κάποια νόμιμη πηγή, αλλά το κατέβασαν από μη εξουσιοδοτημένο website", δήλωσε.

"Αυτό έπεισε το δικαστήριο ότι ο αλγόριθμος είχε φύση απορρήτου και λαμβάνοντας υπόψη το συμφέρον του κόσμου στο να μην αφήνουν εγκληματικές συμμορίες να καταχράζοντε ελαττώματα στα συστήματα ασφάλειας, το οδήγησε στην απαγόρευση".

Πάλι καλά που δεν τους βάλαν και φυλακή δηλαδή.

[tsavman]

Όλα για το καλό μας, και για το οικονομικό όφελος των αυτοκινητοβιομηχανιών.
Δεν μπορώ να φανταστώ πόσα εκατομμύρια ανακλήσεις θα πρέπει να γίνουν ώστε να διορθωθεί το πρόβλημα

Εντωμεταξύ, τρόμαξα, γιατί το κλειδί στην φωτό είναι από Toyota, ίδιο με αυτό που έχω.

[grayden]

Εντωμεταξύ, τρόμαξα, γιατί το κλειδί στην φωτό είναι από Toyota, ίδιο με αυτό που έχω.

Έχω μια ωραία ιστορία με έναν ένοικο και έναν ΕΘΕΛίτη αλλά δυστυχώς δεν μπορώ να την μοιραστώ.

Πάντως ούτε εσύ θα πρέπει να κοιμάσαι ήσυχος.

[sprog111]

Εγώ που έχω και honda και VW

[grayden]

Εγώ που έχω και honda και VW

[BlindG]

Eάν έχω καταλάβει την υπόθεση, νομίζω πως υπάρχει ένας πρόσθετος λόγος που το δικαστήριο έκρινε παράνομη την αποκάλυψη του τρόπου.

Πέρα από τις αυτοκινητοβιομηχανίες που θα πάθαιναν ζημιά (εμάς λίγο μας νοιάζει, τη Δικαιοσύνη όχι -και έτσι θα έπρεπε), σκεφτείτε πόσος κόσμος θα απειλούνταν με κλοπή του αυτοκινήτου του...

[grayden]

Πέρα από τις αυτοκινητοβιομηχανίες που θα πάθαιναν ζημιά (εμάς λίγο μας νοιάζει, τη Δικαιοσύνη όχι -και έτσι θα έπρεπε), σκεφτείτε πόσος κόσμος θα απειλούνταν με κλοπή του αυτοκινήτου του...

Λαμβάνοντας υπόψιν τις συσκευές που ήδη κυκλοφορούν αλλά και τις 2 μέρες που απαιτεί ο παραπάνω τρόπος δεν νομίζω ότι υπάρχει ιδιαίτερος κίνδυνος.

[GigaSat]

Το ποιο ανησυχητικό είναι το παρακάτω

[blade_]

μονο honda ρεεε

[tanST]

Ελευθερία του λόγου σου λέει μετά...

[f15]

Το immobiliser στα νέα αυτοκίνητα είναι απλή υπόθεση ....
http://www.networkworld.com/communit...l-keyless-bmws

[TearDrop]

Η τεχνολογία έχει προχωρήσει πολύ και οι αυτοκινητοβιομηχανίες έχουν μείνει πολύ πίσω στον συγκεκριμένο τομέα. Ευκαιρία να κάνουν επενδύσεις στο R&D και να βγάλουν νέα πιο ασφαλή έκδοση του immobilizer.

[minas]

Ο πιο αποτελεσματικός τρόπος να υπάρξει πρόοδος, είναι να αφεθούν ελεύθεροι ανεξάρτητοι ερευνητές να ασχοληθούν με το θέμα. Το μόνο που εξασφαλίζουν με αυτά τα τεχνάσματα οι αυτοκινητοβιομηχανίες (ή πολεμικές βιομηχανίες όπως η Thales), είναι ότι η τεχνογνωσία παραμένει μόνο στους παράνομους...

[aiolos.01]

Δε βλέπω το λόγο να αποκαλυφθεί η αδυναμία. Δεν είναι εύκολο να ανακαλέσεις χιλιάδες αυτοκίνητα. Δεν είναι pc που βάζεις την τελευταία έκδοση κάποιου προγράμματος και τέλος.
Μπορεί να λένε οτι θέλει 2 μέρες αλλά χωρίς να ξέρουμε τις λεπτομέρειες αυτό δε σημαίνει τίποτα.