Βρέθηκε τρόπος για hacking immobilizer κλειδιών αλλά δικαστήριο του ΗΒ εμποδίζει την αποκάλυψη του
Ανώτερος δικαστής του Ηνωμένου Βασιλείου εμπόδισε τρεις ερευνητές ασφαλείας από το να δημοσιεύσουν λεπτομέρειες για το πως μπορεί να γίνει hack ένα σύστημα immobilizer αυτοκινήτων. Η Γερμανική κατασκευάστρια αυτοκινήτων Volkswagen και η Γαλλική ομάδα άμυνας Thales, εξασφάλισαν την απόφαση αυτή ύστερα από τον ισχυρισμό τους ότι η πληροφορία αυτή μπορεί να χρησιμοποιηθεί από εγκληματίες.
Η τεχνολογία χρησιμοποιείται από πολλούς κατασκευαστές αυτοκινήτων.
Οι ερευνητές σχεδίαζαν να παρουσιάσουν τις λεπτομέρειες σε ένα συνέδριο που θα γινόταν τον Αύγουστο.
Οι τρεις ερευνητές είναι ο Flavio Garcia, ομιλητής πληροφορικής του πανεπιστημίου του Birmingham, ο Baris Ege και ο Roel Verdult, ερευνητές ασφαλείας του πανεπιστήμιο Radboud University Nijmegen της Ολλανδίας.
"Το πανεπιστήμιο Birmingham είναι απογοητευμένο με την δικαστική απόφαση που δεν στήριξε την υπεράσπιση της ακαδημαϊκής ελευθερίας και τα συμφέροντα του λαού, ωστόσο σέβεται την απόφαση", είπε μία ομιλήτρια.
"Το πανεπιστήμιο αποφάσισε να αναβάλει την δημοσιοποίηση της δημοσίευσης σε κάθε της μορφή για όσο συλλέγει επιπλέον τεχνικές και νομικές συμβουλές δεδομένης της συνεχιζόμενης δίκης. Ως εκ τούτου το πανεπιστήμιο, αυτή τη χρονική στιγμή, αδυνατεί να σχολιάσει περαιτέρω".
Το Radboud University Nijmegen δήλωσε ότι βρήκε αυτή την απαγόρευση ως "ακατανόητη".
"Η δημοσίευση σε καμία περίπτωση δεν περιγράφει το πως να κλέψει κανείς ένα αυτοκίνητο, καθώς χρειάζονται περισσότερες και διαφορετικές πληροφορίες για να καταστεί αυτό δυνατό", δήλωσε μία ομιλήτρια.
"Οι ερευνητές ενημέρωσαν τον κατασκευαστή της τεχνολογίας αυτής 9 μήνες πρωτού γίνει η σχεδιαζόμενη δημοσίευση, τον Νοέμβριο του 2012, έτσι ώστε να παρθούν τα απαραίτητα μέτρα. Η Ολλανδική κυβέρνηση θεωρεί ότι έξι μήνες είναι ένα εύλογο χρονικό διάστημα γνωστοποίησης για υπεύθυνη αποκάλυψη. Οι ερευνητές επέμεναν από την αρχή ότι ο κατασκευαστής πρέπει να ενημερώσει τους πελάτες του".
Ούτε η Volkswagen, ούτε και η Thales ήταν σε θέση να κάνουν κάποιο σχόλιο.
Η δικαστική απόφαση εκδόθηκε στις 25 Ιουνίου, αλλά η υπόθεση απέκτησε την προσοχή του κοινού κατόπιν της δημοσίευσης ενός άρθρου του Guardian.
Τρόπος hacking
Η παρουσίαση, ονόματι Dismantling Megamos Crypto: Wirelessly Lock-picking a Vehicle Immobiliser, ακόμη φιγουράρει στο website του Usenix Security Symposium, το οποίο θα πραγματοποιηθεί στην Washington των ΗΠΑ τον επόμενο μήνα.
Το Megamos Crypto είναι ένας αναμεταδότης που τοποθετείται μέσα σε κλειδιά αυτοκινήτων ο οποίος χρησιμοποιεί την ασύρματη τεχνολογία RFID (Radio-frequency identification) για να μεταδώσει ένα κρυπτογραφημένο σήμα στα οχήματα. Αυτό απενεργοποιεί ένα σύστημα, το οποίο σε αντίθετη περίπτωση αποτρέπει τις μηχανές από το να ξεκινήσουν.
Η Volkswagen το εφάρμοσε αυτό πρώτη φορά στα τέλη της δεκαετίας του 1990 και έχει χρησιμοποιηθεί επίσης μεταξύ άλλων και από την Honda και την Fiat.
Οι ερευνητές είπαν ότι προμηθεύτηκαν ένα πρόγραμμα από το διαδίκτυο, το οποίο περιείχε τον αλγόριθμο που επινόησε η Thales για να προσφέρει αυτό το χαρακτηριστικό ασφαλείας. Είπαν ότι υπήρχε στο διαδίκτυο από το 2009.
Audi
Η Volkswagen έχει χρησιμοποιήσει αυτή τη τεχνολογία μεταξύ άλλων και στα αυτοκίνητα Audi.
Οι ερευνητές δήλωσαν ότι ανακάλυψαν μία αδυναμία μέσα στον κώδικα που αυτό σημαίνει ότι εκθέτει σε κίνδυνο παραβίασης το σύστημα και πρόσθεσαν ότι υπάρχει ισχυρό ενδιαφέρον από το κόσμο στο να αποκαλυφθεί αυτή η πληροφορία για να διασφαλιστεί ότι το πρόβλημα θα διευθετηθεί.
Ωστόσο, η Volkswagen και η Thales επιχειρηματολόγησαν ότι ο αλγόριθμος αυτός είναι απόρρητος και ότι ο οποιοσδήποτε τον αποκάλυψε στο διαδίκτυο το έκανε πιθανώς παράνομα. Επιπροσθέτως, είπαν, υπάρχει ένας πολύ καλός λόγος για να πιστέψουμε ότι οι εγκληματικές συμμορίες θα προσπαθήσουν να εκμεταλλευτούν τα στοιχεία της αποκάλυψης για να κλέψουν οχήματα.
Οι ερευνητές από τη μεριά τους επιχειρηματολόγησαν ότι αυτό το ρίσκο είναι μικρό, γιατί οι κλέφτες αυτοκινήτων θα χρειαστούν να τρέξουν ένα πρόγραμμα για σχεδόν 2 ημέρες για να μπορέσουν να εκμεταλλευτούν την αδυναμία αυτή σε κάθε περίπτωση.
Επίσης είπαν ότι εάν αφαιρέσουν τα κομμάτια που επιθυμούν η Volkswagen και η Thales να αφαιρεθούν από τη δημοσίευση, θα σημαίνει ότι η δημοσίευση θα χρειαστεί να επιθεωρηθεί εκ νέου από συναδέλφους τους προτού παρουσιαστεί στο συνέδριο. Και επίσης είπαν ότι το δικαίωμά τους για την δημοσίευση καλύπτεται από τις διασφαλίσεις για την ελευθερία του λόγου από το European Convention on Human Rights.
Ωστόσο, ο δικαστής αποφάσισε ότι, εν αναμονή της πλήρης δίκης, οι λεπτομέρειες θα πρέπει να μείνουν μυστικές.
Ο Tom Ohta, συνέταιρος στη νομική φίρμα Bristows, η οποία δεν είναι αναμειγμένη στην υπόθεση, είπε ότι ο τρόπος με τον οποίο οι ερευνητές ανακάλυψαν την αδυναμία αυτή, αποδεικνύει και το λάθος τους.
"Ένας σημαντικός παράγοντας εδώ είναι ότι οι ακαδημαϊκοί αυτοί δεν προμηθεύτηκαν το λογισμικό από κάποια νόμιμη πηγή, αλλά το κατέβασαν από μη εξουσιοδοτημένο website", δήλωσε.
"Αυτό έπεισε το δικαστήριο ότι ο αλγόριθμος είχε φύση απορρήτου και λαμβάνοντας υπόψη το συμφέρον του κόσμου στο να μην αφήνουν εγκληματικές συμμορίες να καταχράζοντε ελαττώματα στα συστήματα ασφάλειας, το οδήγησε στην απαγόρευση".
Πηγή: BBC
http://www.adslgr.com/forum/threads/...84%CE%BF%CF%85