NEWS

Immobilizer? Mica tanto

30 luglio 2013

L'Università di Birmingham trova bug di sicurezza negli antifurti di casa Volkswagen, ma il tribunale ne vieta la pubblicazione.

Immobilizer? Mica tanto
IL TRIBUNALE DICE NO - Con un'ordinanza di tribunale, il Gruppo Volkswagen ha ottenuto il blocco di una pubblicazione accademica, relativa alla decifratura del codice di comunicazione tra il transponder e la centralina elettronica per l'accensione dell'auto: un colpo non da poco, visto che riguarda anche i prodotti di punta a marchio Porsche, Audi, Bentley e Lamborghini. 
 
HACKING ETICO - Il sistema di cifratura di casa Volkswagen si chiama Megamos Crypto: è stato analizzato e violato dal ricercatore informatico Flavio Garcia, dell'Università di Birmingham, insieme ai colleghi di un'università olandese. I risultati sono in un documento dal titolo significativo: “Come disassemblare il Megamos Crypto: scassinamento senza fili di un immobilizer da auto”. Si è posta per la Volkswagen una problematica comune al mondo informatico: quello dell'etical hacking, vale a dire della violazione di sistemi di sicurezza senza volontà di trarne beneficio. Stando alle dichiarazioni di parte, l'algoritmo di cifratura alla base del codice è disponibile su Internet già da quattro anni.
 
UOMO NEL MEZZO - Nell'impossibilità di valutare il documento dell'Università di Birmingham, è solo possibile ipotizzare che la decifratura possa portare a un attacco di tipo man in the middle: con un secondo trasmettitore, posto tra quello legittimo e il ricevitore dell'auto, è possibile ricevere i codici del primo e ingannare il sistema di sicurezza previsto nella memoria della centralina. Inizialmente, la Volkswagen aveva chiesto all'Università di pubblicare i risultati della ricerca senza rendere pubblici i codici ottenuti; al rifiuto dell'Università, che sosteneva di svolgere “un lavoro accademico legittimo”, la vertenza è finita in tribunale.
 
OSCURAMENTO - A fronte del veto ottenuto, l'Università di Birmingham ha sottolineato come evidenziare bug di sicurezza in qualsiasi software costituisca in realtà un modo per migliorarne la robustezza, sottolineando come “il pubblico ha diritto di vedere eventuali debolezze di una sicurezza sulla quale fanno conto; le aziende e i criminali, per contro, sanno che la sicurezza è labile, mentre il pubblico non lo sa”. Una questione quasi filosofica, che l'ordinanza ha risolto applicando quello che gli informatici chiamano security through obscurity, sicurezza mediante l'offuscamento della conoscenza. Stavolta, evidentemente, non si trattava di crepe di sicurezza di un sistema operativo o di un'applicazione presente su un computer, vale a dire qualcosa di immateriale, quanto di un software chiamato a difendere auto da decine (se non centinaia) di migliaia di euro.


Aggiungi un commento
Ritratto di Peppe
30 luglio 2013 - 19:46
A mio parere non è giusto rendere pubbliche queste ricerche di punto in bianco.. Fossi stato il ricercatore, avrei contattato la Volkswagen cercando di vendere i miei risultati, così da spingerli ad adottare contromisure di sicurezza. Eventualmente in un secondo momento, su autorizzazione Volkswagen, dopo che le auto sono state messe al sicuro, avrei pubblicato i risultati. Adesso è tardi, anche se le ricerche non sono ancora state pubblicate, sarebbe normalissimo che i ricercatori venissero minacciati addirittura da bande criminali interessate al traffico di auto, allo scopo di farsi rivelare i risultati.
Ritratto di Porsche
31 luglio 2013 - 09:02
e se per caso queste informazioni fossero già uscite ? A me non pare una cosa normale, ricerca accademica un corno !!! Non esiste un sistema sicuro al 100% in nessun campo dall'auto ai sistemi di allarme in generale. Al 100% esiste solo una cosa.... Ergo, questi sono hacker leggittimati dal fatto che fanno ricerca ? Mi sembra un pò pochino. Secondo me dietro c'è altro. Ovviamente andiamo sui discorsi di tipo complottistico. Io multavo l'università.
Ritratto di superblood
31 luglio 2013 - 09:20
Se hai letto hanno preso un algoritmo in rete già da 4 anni, quindi credo che nel loro mondo fosse già tutto chiaro. Se hai l'intenzione trovi la soluzione! Ricordo le schedine sky di pochi anni fa ... che con poche decine di euro e il software adatto ti guardavi il satellitare aggratis! A mio avviso mettere al corrente i proprietari di certi marchi sulle vulnerabilità dei sistemi che adotta la propria autovettura non è un male, anzi, potrebbe portare il "possibile malcapitato" proprietario ad indirizzarsi verso altri sistemi per proteggere la propria autovettura, chessò ... antifurti meccanico + antifurto elettronico oppure una polizza furto incendio, e potrebbe portare magari le case costruttrici a pensare ad un sistema meno semplice e leggermente più sicuro.
Ritratto di NURS
31 luglio 2013 - 13:46
Il problema non è il sistema sicurao al 100%, il problema è che è più facile fregare un'auto con un codice piuttosto che scassinare un vecchio pandino, ergo migliaia di euro buttati nel cesso (per casa e cliente).
Ritratto di mipola
30 luglio 2013 - 20:14
campo spianato per il classico combattimento pro FIAT Vs. pro VW! accanitevi!
Ritratto di Porsche
31 luglio 2013 - 09:07
tu sei il primo contento ?
Ritratto di wiliams
30 luglio 2013 - 21:09
Come al solito VOLKSWAGEN prende per i fondelli tutti quanti.....e tutti quanti ci cascano!!!
Ritratto di panda07
30 luglio 2013 - 21:56
1
non è per difendere wv, ma penso che tutte le macchine con questo sistema abbiano questi problemi, non solo wv, solo che per fare questa ricerca hanno preso come punto di partenza, il sistema wv trovando questi problemi di sicurezza con varie ricerche ecc, potevano prendere tranquillamente anche il sistema della Fiat il FIAT CODE e di sicuro anche con questo avrebbero trovato il modo di criptallo, anche se prendevano una Hyundai, volvo ecc Ciao :)
Ritratto di Porsche
31 luglio 2013 - 09:14
come mai questi m.i.s.e.r.a.b.i.l.i. attaccano tutti Vw ? Dopo greenpeace anche questi. Io li sbattevo in cella.
Ritratto di Roby_147
31 luglio 2013 - 01:49
2
..no guarda a me piacciono le macchine che piacciono a te.. sono alfista al 100%, e so che dire che VW sia meglio di varie BMW e Mercedes (restiamo in germania dai) ne passa di acqua sotto i ponti.. ma non so se sia il caso dire che non valgono niente..
Ritratto di Porsche
31 luglio 2013 - 09:08
solo il fatto che paragoni Vw a Bmw e MB fai un regalo di non poco conto ad Audi ed il resto del gruppo. Ma non voglio infierire dai, evviva l'AR !!!
Ritratto di Roby_147
31 luglio 2013 - 19:54
2
..ma io stavo difendendo mercedes e BMW, mica le stavo declassando..lol comunque inferisci finche ti pare, puoi anche deturparne il nome, a me piacciono le alfa, a prescindere da quello che voi vaggari dite..:)
Ritratto di carlo1967
31 luglio 2013 - 09:16
Tanto pubblicizzati da Minchionne quanto possono valere, meno di zero
Ritratto di 911 Carrera
31 luglio 2013 - 11:40
Dove i primi antifurto li toglievo facendo fare massa alla freccia laterale, siamo gli ULTIMI IN TUTTO, e critichiamo i MAESTRI....ma x favore...
Ritratto di yeu
30 luglio 2013 - 22:39
Tanto è inutile oscurarle, i professionisti del crimine, di sicuro sanno già cosa fare. Tempo fa ho visto una trasmissione che intervistava uno di questi e ha detto a chiare lettere che non c'è auto che non possa essere violata in pochissimo tempo.
Ritratto di MatteFonta92
30 luglio 2013 - 22:52
3
Ecco a cosa ci ha condotto l'eccesso di tecnologia sulle auto: ora gli hacker possono violarle praticamente quando vogliono, con la sicurezza che va a farsi benedire. E immaginate cosa potrà succedere nel futuro, quando la tecnologia sulle auto sarà ancora più massiccia!
Ritratto di Mario85
31 luglio 2013 - 08:06
una casa automobilistica a casa
Ritratto di Mario85
31 luglio 2013 - 08:07
dire a caso....
Ritratto di Porsche
31 luglio 2013 - 09:10
stessa storiella di quelli di GreenPeace. Hanno attacato Vw perchè è l'azienda auto che gli ha dato più visibilità su scala mondiale. Se avessero attacato QUALSIASI altra casa non se li sarebbe filati nessuno. Rifletti.
Ritratto di Mario85
1 agosto 2013 - 08:35
come no... Rifletti tu
Ritratto di NITRO75
31 luglio 2013 - 09:46
premesso che non voglio difendere una casa automobilistica piuttosto che un'altra, ma effettivamente questi sistemi di sicurezza standard non mi hanno mai dato molta tranquillità. Tant'è che su due vetture avute, compresa l'ultima, ho fatto installare sistemi d'allarme opzionali, violabili per carità anche quelli, ma che per lo meno rendono la vita un po' meno semplice a chi opera nel campo dei furti in genere. Resta la questione che forse il solo vero antifurto è portarsi via o il volante oppure uno pneumatico......
Ritratto di Porsche
31 luglio 2013 - 10:08
che cosa a farlo non sapere in giro ? ma cosa stai dicendo ? Vw gli ha chiesto se potevano pubblicare i risultati della ricerca senza pubblicare i codici che avrebbe causato non pochi problemi.
Ritratto di wesker8719
31 luglio 2013 - 10:58
la cosa incredibile è che hanno provato a violare solo quello vw e che non tenete conto del fatto che qualunque costruttore avrebbe fatto lo stesso
Ritratto di Porsche
31 luglio 2013 - 11:05
sinceramente non capisco perchè Vw non si faccia valere in tribunale, è mai possibile che con una scusetta del tipo facciamo ricerca si possano cercare falle in un sistema di sicurezza, annunciarlo e andarne fieri ? E nessuno muove un dito ? Se vuoi fare ricerca chedi in modo trasparente la collaborazione dell'azienda, non questi sotterfugi degni di un qualunque ladro. Se lo fanno a Napoli sono camorristi, loro no ?
Ritratto di wesker8719
31 luglio 2013 - 11:27
ma infatti questa notizia è fatta apposta per aizzare qualche fiattaro disperato ( e la cosa funziona) come fu per greenpeace ,ovvio che uno dei più grandi costruttori mondiali vada nel mirino delle più disparate associazioni ,ridicolo che una fan di un gruppetto del menga si metta a scrivere che ve non vale niente per questo
Ritratto di Yellowt
31 luglio 2013 - 12:38
Punto uno: un ladro di auto è colui che ruba le auto. Questi ricercatori non hanno rubato niente. Punto due: una casa ( automobilistica e non ) dovrebbe puntare a rendere più sicuri i propri sistemi invece di oscurare le ricerche che mettono a nudo le falle. Anzi, questi ricercatori hanno comunicato prima a VW i loro risultati che ha chiesto loro una censura. Un ricercatore dovrebbe sempre rifiutarsi di censurare risultati legittimi. Punto tre, il più importante: una dimostrazione inconfutabile di scarsa sicurezze dell'immobilizer costringerebbe VW a dichiarazioni ufficiali su quello che è, di fatto, un difetto. La conseguenza sarebbe l'obbligo di risolvere il problema o essere responsabili in caso di furto. Una bella gatta da pelare dato che TUTTE le auto del gruppo ne sono affette, dalla Up alle bentley. Una soluzione costerebbe fior di soldi, meglio censurare e negare fino alla morte... L'unica cosa censurabile qui è il comportamento di quella che dovrebbe essere la migliore e più grande casa automobilistica del mondo...
Ritratto di 911 Carrera
31 luglio 2013 - 11:38
Sono falsità, NON si vende cercando di buttar fango sugli altri, WV mi sembra un po' il berlusca, tutto resta lecito, pur di tentate di sputt...VERGOGNA. Bravo il tribunale a non far pubblicate nulla. E non ci dimentichiamo delle Uno, Panda e Y più vecchiotte che si aprivano pianta di un cacciavite nella parte alta della porta, e facendo leva, poi si guarda l' immobilizeter degli altri, ma x favore....
Ritratto di pinko
31 luglio 2013 - 11:49
Scusate, io leggo molti dire che certi studi non andrebbero fatti. Mettiamo il caso che io ricercatore farmacologico decida di fare ricerca sugli effetti collaterali di un farmaco ormai largamente diffuso, e che i risultati della ricerca evidenzino gli effetti allucinogeni dello stesso. L'università decide dunque di pubblicare la mia ricerca, ma la casa farmaceutica chiede quindi di oscurare i risultati (che dimostrano le mie osservazioni) e riportare solo l'analisi... continuereste a dare ragione alla casa farmaceutica? Il fatto che dei ricercatori abbiano "smontato" l'algoritmo di cifratura utilizzato nella comunicazione tra trasponder e centralina evidenzia solo una cosa: la VW deve correre ai ripari quanto prima (non stiamo parlando del fatto che un'auto si possa aprire facilmente forzando FISICAMENTE). La non pubblicazione on line dei risultati pensate faccia demordere chi abbia intenzioni malevoli? Pensate che la descrizione del processo di sfruttamento della vulnerabilità non sia di per sé sufficiente?? La pubblicità dei risultati di una ricerca di questo tipo non farebbe altro che incentivare, anche da parte degli utilizzatori, un comportamento maggiormente cautelativo in attesa di un aggiornamento da parte della casa madre.
Ritratto di hiej
31 luglio 2013 - 13:05
Il transponder Megamos crypto o di altri tipi usano una tecnologia vecchia di quasi 15 anni, normale che dopo tutto questo tempo si sia riuscito a trovare una falla nella sicurezza. Per info, il transponder che usa VW è usato anche da Fiat sul 90% dei veicoli prodotti dal '98 al 2006, pertanto Fiat soffre potenzialmente della stessa vulnerabilità di VW. A partire dal 2006 su molti modelli Fiat hanno cambiato transponder con uno di un'altro produttore (Philips), e anche questo risulta esser clonabile in pochi minuti. Stessa cosa vale per Ford, usano transponder di un produttore ancora diverso (Texas) e anche questo è clonabile in pochi minuti. Alcuni modelli di auto future useranno sistemi più sicuri con crittazione AES e simili o più avanzate, cosi per qualche anno il livello di sicurezza sarà un po' più elevato.
Ritratto di mustang54
31 luglio 2013 - 13:57
2
se i ladri mettono gli occhi su un'auto, non c'e antifurto che tenga. Ad un mio amico gli e' stata portata via una Mercedes CLK con transponder e immobilizer di serie e in piu' antifurto meccanico bloccasterzo, allarme sonoro a doppia sirena e bloccaggio del motore e combinatore telefonico...chissa ' che fine ha fatto quel CLK...
Ritratto di 911 Carrera
31 luglio 2013 - 15:00
Inoltre con semplici, ma POTENTI calamite, si possono isolare molti antifurto collegati con i cellu. Avete mai provato se avete segnale vicino ad 1 calamita?. No , non ne avete.