NEWS

Immobilizer? Mica tanto

30 luglio 2013

L'Università di Birmingham trova bug di sicurezza negli antifurti di casa Volkswagen, ma il tribunale ne vieta la pubblicazione.

Immobilizer? Mica tanto
IL TRIBUNALE DICE NO - Con un'ordinanza di tribunale, il Gruppo Volkswagen ha ottenuto il blocco di una pubblicazione accademica, relativa alla decifratura del codice di comunicazione tra il transponder e la centralina elettronica per l'accensione dell'auto: un colpo non da poco, visto che riguarda anche i prodotti di punta a marchio Porsche, Audi, Bentley e Lamborghini. 
 
HACKING ETICO - Il sistema di cifratura di casa Volkswagen si chiama Megamos Crypto: è stato analizzato e violato dal ricercatore informatico Flavio Garcia, dell'Università di Birmingham, insieme ai colleghi di un'università olandese. I risultati sono in un documento dal titolo significativo: “Come disassemblare il Megamos Crypto: scassinamento senza fili di un immobilizer da auto”. Si è posta per la Volkswagen una problematica comune al mondo informatico: quello dell'etical hacking, vale a dire della violazione di sistemi di sicurezza senza volontà di trarne beneficio. Stando alle dichiarazioni di parte, l'algoritmo di cifratura alla base del codice è disponibile su Internet già da quattro anni.
 
UOMO NEL MEZZO - Nell'impossibilità di valutare il documento dell'Università di Birmingham, è solo possibile ipotizzare che la decifratura possa portare a un attacco di tipo man in the middle: con un secondo trasmettitore, posto tra quello legittimo e il ricevitore dell'auto, è possibile ricevere i codici del primo e ingannare il sistema di sicurezza previsto nella memoria della centralina. Inizialmente, la Volkswagen aveva chiesto all'Università di pubblicare i risultati della ricerca senza rendere pubblici i codici ottenuti; al rifiuto dell'Università, che sosteneva di svolgere “un lavoro accademico legittimo”, la vertenza è finita in tribunale.
 
OSCURAMENTO - A fronte del veto ottenuto, l'Università di Birmingham ha sottolineato come evidenziare bug di sicurezza in qualsiasi software costituisca in realtà un modo per migliorarne la robustezza, sottolineando come “il pubblico ha diritto di vedere eventuali debolezze di una sicurezza sulla quale fanno conto; le aziende e i criminali, per contro, sanno che la sicurezza è labile, mentre il pubblico non lo sa”. Una questione quasi filosofica, che l'ordinanza ha risolto applicando quello che gli informatici chiamano security through obscurity, sicurezza mediante l'offuscamento della conoscenza. Stavolta, evidentemente, non si trattava di crepe di sicurezza di un sistema operativo o di un'applicazione presente su un computer, vale a dire qualcosa di immateriale, quanto di un software chiamato a difendere auto da decine (se non centinaia) di migliaia di euro.
Aggiungi un commento
Ritratto di Peppe
30 luglio 2013 - 19:46
A mio parere non è giusto rendere pubbliche queste ricerche di punto in bianco.. Fossi stato il ricercatore, avrei contattato la Volkswagen cercando di vendere i miei risultati, così da spingerli ad adottare contromisure di sicurezza. Eventualmente in un secondo momento, su autorizzazione Volkswagen, dopo che le auto sono state messe al sicuro, avrei pubblicato i risultati. Adesso è tardi, anche se le ricerche non sono ancora state pubblicate, sarebbe normalissimo che i ricercatori venissero minacciati addirittura da bande criminali interessate al traffico di auto, allo scopo di farsi rivelare i risultati.
Ritratto di Porsche
31 luglio 2013 - 09:02
e se per caso queste informazioni fossero già uscite ? A me non pare una cosa normale, ricerca accademica un corno !!! Non esiste un sistema sicuro al 100% in nessun campo dall'auto ai sistemi di allarme in generale. Al 100% esiste solo una cosa.... Ergo, questi sono hacker leggittimati dal fatto che fanno ricerca ? Mi sembra un pò pochino. Secondo me dietro c'è altro. Ovviamente andiamo sui discorsi di tipo complottistico. Io multavo l'università.
Ritratto di superblood
31 luglio 2013 - 09:20
Se hai letto hanno preso un algoritmo in rete già da 4 anni, quindi credo che nel loro mondo fosse già tutto chiaro. Se hai l'intenzione trovi la soluzione! Ricordo le schedine sky di pochi anni fa ... che con poche decine di euro e il software adatto ti guardavi il satellitare aggratis! A mio avviso mettere al corrente i proprietari di certi marchi sulle vulnerabilità dei sistemi che adotta la propria autovettura non è un male, anzi, potrebbe portare il "possibile malcapitato" proprietario ad indirizzarsi verso altri sistemi per proteggere la propria autovettura, chessò ... antifurti meccanico + antifurto elettronico oppure una polizza furto incendio, e potrebbe portare magari le case costruttrici a pensare ad un sistema meno semplice e leggermente più sicuro.
Ritratto di NURS
31 luglio 2013 - 13:46
Il problema non è il sistema sicurao al 100%, il problema è che è più facile fregare un'auto con un codice piuttosto che scassinare un vecchio pandino, ergo migliaia di euro buttati nel cesso (per casa e cliente).
Ritratto di mipola
30 luglio 2013 - 20:14
campo spianato per il classico combattimento pro FIAT Vs. pro VW! accanitevi!
Ritratto di Porsche
31 luglio 2013 - 09:07
tu sei il primo contento ?
Ritratto di wiliams
30 luglio 2013 - 21:09
Come al solito VOLKSWAGEN prende per i fondelli tutti quanti.....e tutti quanti ci cascano!!!
Ritratto di panda07
30 luglio 2013 - 21:56
1
non è per difendere wv, ma penso che tutte le macchine con questo sistema abbiano questi problemi, non solo wv, solo che per fare questa ricerca hanno preso come punto di partenza, il sistema wv trovando questi problemi di sicurezza con varie ricerche ecc, potevano prendere tranquillamente anche il sistema della Fiat il FIAT CODE e di sicuro anche con questo avrebbero trovato il modo di criptallo, anche se prendevano una Hyundai, volvo ecc Ciao :)
Ritratto di Porsche
31 luglio 2013 - 09:14
come mai questi m.i.s.e.r.a.b.i.l.i. attaccano tutti Vw ? Dopo greenpeace anche questi. Io li sbattevo in cella.
Ritratto di Roby_147
31 luglio 2013 - 01:49
2
..no guarda a me piacciono le macchine che piacciono a te.. sono alfista al 100%, e so che dire che VW sia meglio di varie BMW e Mercedes (restiamo in germania dai) ne passa di acqua sotto i ponti.. ma non so se sia il caso dire che non valgono niente..
Pagine