Porque a possibilidade de publicar vulnerabilidades deve ser permitida

Dois acadĂȘmicos finalmente conseguiram obter uma licença para publicar uma pesquisa de segurança, que revela vulnerabilidades em um sistema de travamento de carro sem fio. HĂĄ dois anos, a Volkswagen, uma das fabricantes de automĂłveis que utiliza o produto vulnerĂĄvel, venceu uma ação que proibiu a publicação.Publicação

Hoje, apesar da decisĂŁo do tribunal, a Volkswagen deu permissĂŁo para publicar a vulnerabilidade com pequenas variaçÔes. No entanto, este caso revela a tensĂŁo entre pesquisadores de segurança e a indĂșstria automotiva.

Enquanto algumas empresas, como Facebook, Google e Microsoft, oferecem recompensas financeiras para quem descobre erros em seus produtos ou infraestrutura, outras, como a Fiat Chrysler, afirmam que essa atividade Ă© criminosa e, assim como a Volkswagen. nos tribunais – sem enfrentar os problemas que expĂ”em os clientes a riscos.

A indĂșstria automotiva pode se sentir intimidada, mas a abordagem da Volkswagen nos tribunais, que essencialmente tenta manter as informaçÔes dentro dos muros, parece estar fechando os olhos na esperança de que tudo corra bem.

Obviamente, como vocĂȘ entende, esse Ă© um assunto sĂ©rio, que se torna ainda mais sĂ©rio com o envolvimento dos tribunais. De qualquer forma, a Internet possui poucas fronteiras nacionais e muitas vezes observamos a exibição de informaçÔes, independentemente da decisĂŁo do tribunal.Estamos falando de uma nova era, em que a informação estĂĄ sendo veiculada e parece nĂŁo haver nada que possa detĂȘ-la. Especialmente as informaçÔes relativas Ă  segurança do pĂșblico provavelmente devem ser abordadas com outros critĂ©rios pelas autoridades judiciais.

Onde tudo começou.

Megamos é um transmissor de chave sem fio. A criptografia usada pela empresa suíça que criou o Megamos é tão fraca que um invasor só precisa ouvir duas mensagens do som emitido pela chave e pode quebrå-lo.postar post post post

Existe vulnerabilidade nos mĂ©todos criptogrĂĄficos fracos usados ​​pelo dispositivo, e os pesquisadores descobriram que eles poderiam criar com muita facilidade a chave de 96 bits (!) Usada pelo transceptor. Para que eles possam comprar qualquer carro que o use em menos de meia hora.

A vulnerabilidade Ă© conhecida desde 2012, no entanto, o produto nĂŁo foi recuperado de dezenas de modelos de empresas como: Audi, Porsche, Bentley, Lamborghini, Nissan e Volvo que usam o dispositivo.

O dispositivo RollJam estå atualmente no mercado (disponível on-line e custa 20) e pode desbloquear muitas marcas de carros conhecidas. Também abre as portas da garagem e desliga alguns dos sistemas de alarme.

Liberdade acadĂȘmica contra os interesses da indĂșstria

Os pesquisadores Roel Verdult e Barıs Ege, da Universidade Radboud, na Holanda, e Flavoi D Garcia, da Universidade de Birmingham, entraram em contato com o fabricante em maio de 2012, explicando que pretendiam apresentar os produtos. suas descobertas na conferĂȘncia USENIX 2013, dando a ele o tempo necessĂĄrio para resolver o problema. Mas a Volkswagen usou meios judiciais para impedir a publicação do documento e conseguiu proibir a liberdade de publicaçÔes acadĂȘmicas.

Tabela de modelos afetados.Publicação

Esta triste histĂłria da proibição de publicar em acadĂȘmicos, com uma ordem judicial de silĂȘncio, mostra o quĂŁo “relevante” a internet e a segurança eram para a sede do tribunal. Independentemente do enorme custo de recall do produto defeituoso que a Volkswagen exibia para alcançar a proibição de divulgação, o tribunal deve levar em consideração a segurança pĂșblica, a liberdade de expressĂŁo e, mais geralmente, a liberdade de publicaçÔes cientĂ­ficas.

Tudo isso parece ter sido reservado para custos financeiros … É claro, encontramos formas semelhantes de silenciar governos, mas esse Ă© outro capĂ­tulo.

Com informaçÔes da TNW