A:"Bedoelt u dat uw auto zonder sleutel is gestolen ondanks uw alarm?" B:"Nee, mijn auto is gestolen vanwege mijn alarm." Klopt dit? Dat zou het ook zijn als je leest over de bevindingen van een Brits beveiligingsbedrijf toen ze naar auto-alarmen van derden gingen kijken.

In het kort, Er werden gaten in de beveiliging gevonden in alarmsystemen van derden die opduiken in bekende auto's. Ja, ze hadden het over die alarmen die voorkomen dat auto's worden gekaapt. Ze hebben de mogelijkheid voor een persoon om de auto te starten vanuit een smartphone-app. Denk je wat wij denken? Smartphone-app? Met een onveilige alarm-app, de onderzoekers waren in staat (1) auto-alarmen te activeren, (2) ontgrendel autodeuren en (3) start de motor.

De beveiligingsonderzoekers maakten misbruik van de merken die de deur open konden laten (een passende grap) om de controle te ontnemen. Ze zagen een aantal zwakke punten in twee geteste alarmproducten. Deze omvatten de bevindingen dat de auto in realtime kon worden gelokaliseerd, autotype kon worden geïdentificeerd, kan de motor op afstand starten en in sommige gevallen kan de motor worden uitgeschakeld.

Het onderzoek werd uitgevoerd voor het BBC-technologieprogramma Click-technologie door het in het VK gevestigde Pen Test Partners, op het gebied van het opsporen van softwarefouten via penetratietesten en beveiligingsdiensten. Ze beschoten $ 5, 000 om de slimme alarmen voor auto's te kopen en te monteren.

Een video op BBC News toonde twee hackers die wachtten om hun zet te doen op een gekozen - en vervolgens vastzittende - auto. Het slachtoffer in de zwarte auto had geen idee (zoals nagespeeld) van wat er ging gebeuren. Het auto paniek alarm ging af, waardoor de bestuurder stopt. En dan, in een kleine auto achter de auto van het slachtoffer, de aanvallers stapten uit en namen de deursloten over.

'Stap uit de auto. Geef me je sleutels.'

Het team nam contact op met de betrokken leveranciers en gaf hen 7 dagen om de kwetsbare API's te verwijderen of te repareren. Gelukkig, de bedrijven hebben gereageerd op de blootstelling en ze hebben de beveiliging opgewaardeerd om de gebreken te verwijderen.

Een Britse vertegenwoordiger bij een van de bedrijven reageerde binnen ongeveer 48 uur en liet hun andere kantoor snel actie ondernemen. De oplossing was 's nachts; het andere bedrijf had ook een oplossing.

Pen Test Partners beoordeelde de reacties van de leveranciers, zeggen dat "de reactie van beide leveranciers eigenlijk best goed was. Ze erkenden, reageerde, onmiddellijk actie ondernomen en geverifieerd. Een les voor alle IoT-leveranciers daar!"

"Omdat meer dingen via het netwerk kunnen worden bestuurd, veiligheid wordt steeds belangrijker, " zei Hackday. Wat de reacties van BBC-lezers betreft, het lijkt alsof er een segment van autobezitters is dat niet onder de indruk is van de technologische vooruitgang. Ze zijn niet alleen niet onder de indruk, maar betreuren de toegenomen afhankelijkheid van technologie die de autofuncties beïnvloedt.

Een opmerking was dat "er in geen enkele software 'intelligentie' zit... het is niets anders dan statistieken/waarschijnlijkheid. Met andere woorden, het is een kwestie van tijd voordat de verkeerde keuze wordt gemaakt."

Een andere opmerking zei dat hij wenste dat hij een auto kon kopen "zonder alle automatisering. Ik wil niet dat de computer de ruitenwissers voor mij aanzet, of de hoek van mijn koplampen veranderen als ik draai, of piept naar me als ik van rijstrook verander. Gevaarlijke afleidingen. Ik ben aan het rijden; Ik zou de auto onder controle moeten hebben."

Nog een ander:"Als het [sic] verbonden is met internet, het is te hacken, of het nu een auto of een kerncentrale is. Ik werkte voor een bedrijf dat zich bezighoudt met veiligheidskritieke transportinfrastructuur, en we hadden een strikte regel dat operationele apparatuur nooit verbonden was met internet, hetzij door VPN of een andere beveiligingstechniek."

Andere opmerkingen geven aan dat de nadruk niet moet liggen op de fragiele aard van software, maar op de noodzaak van grondig testen en debuggen voordat een product kan worden uitgebracht.

Een opmerking ging over de manier waarop de bedrijven in dit geval prompt reageerden. Beveiligingsfouten zijn een feit van het digitale leven, dus ga er maar mee om. De belangrijkste aandachtspunten zijn "onthulling van kwetsbaarheden en effectieve sanering", die een "cruciale maatstaf voor vertrouwen" zijn. De opmerking voegde eraan toe dat er meer moet worden gedaan om binnen 7 dagen te reageren dan het aspect "wees bang!"

© 2019 Wetenschap X Netwerk