Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 178 reacties, 36.252 views •
Submitter: flux_w42

De Britse lector en beveiligingsonderzoeker Flavio Garcia mag van de rechter geen informatie publiceren over hoe de versleuteling van het elektronische startsysteem van onder andere Audi, Bentley, Lamborghini en Porsche kan worden gekraakt.

Garcia, werkzaam aan de universiteit van Birmingham, heeft samen met twee Nederlandse vakgenoten Baris Ege en Roel Verdult van de Radboud Universiteit het versleutelingsalgoritme achter de Megamos Crypto gekraakt. Deze technologie wordt door een aantal autofabrikanten, die met name in het duurdere segment auto's bouwen, gebruikt om een auto via de sleutel op afstand te kunnen starten. Garcia wilde zijn bevindingen over kwetsbaarheden in de Megamos-technologie in augustus tijdens een Usenix-bijeenkomst publiceren, inclusief de gevonden encryptiesleutels.

Volkswagen, moederbedrijf van onder andere Audi, Bentley, Lamborghini en Porsche, vroeg de onderzoekers om bij de publicatie de encryptiesleutels achterwege te laten, maar Garcia weigerde dit. Daarop besloot de Duitse autofabrikant naar de Britse rechtbank te stappen in een poging de publicatie via een voorlopige voorziening te voorkomen, zo meldt The Guardian.

De Britse rechter heeft Volkswagen in het gelijk gesteld en verbiedt Garcia de Megamos-encryptiesleutels te publiceren. Volgens de rechtbank kunnen criminelen met de informatie en gereedschappen zo relatief eenvoudig dure auto's stelen, ondanks het verweer van Garcia dat dergelijke publicaties juist kwetsbaarheden blootleggen die anders voor het publiek verborgen blijven.

Reacties (178)

Reactiefilter:-11780167+1108+218+32
Moderatie-faq Wijzig weergave
Mooi dat ze dat aan de kaak stellen.

Het was al een publiek geheim dat de moderne duitse wagen met een programeerbare afstandsbediening een een laptop met ODB aansluiting te openen en te starten was.
Dat auto's op deze manier gericht gestolen werd was ook bekend.

Waarom denk je dat op de duurdere modellen extra startonderbrekingen en alarmsystemen middels na-inbouw aangebracht werden of 'zeer dringend' geadviseerd werden.

Laat die autofrabrikanten nu maar toegeven dat de beveiling (allang) gekraakt is en dit alleen schijnveiligheid is.
Die hebben al lang genoeg hun kop in het zand gestopt, om te voorkomen dat ze een extra kostenpost krijgen met het modificeren van alle lekke systemen.

Want wij draaien natuurlijk op voor de verzekeringspremie.

[Reactie gewijzigd door kwakzalver op 29 juli 2013 14:07]

Ik heb het er moeilijk mee dat het verbieden van publicatie van sleutels steeds aanzien wordt als censuur. Dit is niet de beknotting van vrije meningsuiting. Het begrip vrije meningsuiting wordt trouwens dikwijls te licht gebruikt imho. Als iemand de code raadt van het slot van je voordeur, moet het dan zomaar kunnen dat hij die code op bvb facebook plaatst? Is dit gebruik maken van het recht op vrije meningsuiting? Er zou wel eens duidelijker mogen gedefinieerd worden welk soort informatie als een 'mening' kan bezien worden en welke niet.
Onderzoekers die sleutels ontwerpen en academische onderzoekers die ze proberen te kraken zullen zelf ook wel beseffen dat geen enkele encryptie ongekraakt gebleven is tot nu toe. Zelfs de theoretisch onkraakbaar geachte quantumcryptografie is al gekraakt voor ze nog maar commercieel volop werd toegepast. http://tweakers.net/nieuw...erst-gekraakt.htmlhttp://
Met andere woorden: tussen de bedenkers van een code en de krakers heerst tegenwoordig een soort wedloop die steeds maar gerechtvaardigd wordt met het alibi 'zwakheden' bloot te leggen. De deontologie hierrond komt nooit ter sprake. Ik heb meer het gevoel dat onderzoekers meer met een prestigeslag tussen instituten bezig zijn, dan met het dienen van wetenschap of techniek.
Omdat criminelen nu ook weer niet van de stomsten zijn, mag er wel pressie worden uitgeoefend op fabrikanten om hun beveiligingssystemen te verbeteren. Maar over het evenwicht tussen deontologie en pressie op fabrikanten mag volgens mij op zijn minst eens stevig worden nagedacht.
Pandora's box kan niet meer dicht.
Dit wordt terecht een en mooi voorbeeld van het http://en.wikipedia.org/wiki/Barbara_Streisand_effect

Deontologie, echt ? Niemand mag zo stout zijn om die code te kraken ?

[Reactie gewijzigd door Duerf op 29 juli 2013 02:21]

ik denk niet dat dirc zegt dat niemand zo stout mag zijn, maar er moet wel eens nagedacht worden over wat gepubliceerd wordt en wat gewoon met de fabrikant wordt besproken.

Het lijkt idd gewoon een kwestie van 'credits' wanneer het zomaar wordt gepubliceerd en al zeker wanneer de sleutels erbij worden gegooid. Deontologie van de lector lijkt imho dan ook ver weg.
Zowieso raakt deze hack meer auto's dan de bovengenoemde merken. Skoda, Seat en uiteraard Volgswagen zelf gebruiken deze crypto ook, de componenten hiervan in de boordnet modules zijn hetzelfde, of het nu een Skoda of Bugatti is.
Met het publiceren zou VAG een versnelde terugroep aktie moeten forceren, gezien het hier om ontzettend veel auto's gaat is het niet gek dat de rechter er (even?) een stokje voor steekt. Het heeft op dit moment een te groot maatschappelijk impact.
Toch wordt hiermee mijn vermoeden versterkt dat dit al langer gaande/mogelijk is met andere autos, mijn vorige auto (peug 206) is ooit eens leeggeroofd (airbags, gordelspanners) zonder enige braaksporen, de dieven waren zelfs zo aardig om na afloop de auto weer op slot te doen met de fabriekaf klasse3 alarm weer ingeschakeld :?
De agent wist mij te vertellen dat ze dit al een paar keer vaker gezien hebben met dit model/type.
Van mij mag hij perfect zijn onderzoek publiceren, maar ik zie het nut niet van de sleutels te publiceren ... Ik vind het dan ook nogal belachelijk van de onderzoeker om eerlijk te zijn.
het is niet belachelijk om eerlijk te zijn maar hij moet wel nadenken over de consequenties van zijn handelingen.

Als hij ALLES publiceert dan is het gevolg dat er volgende week opeens duizenden high profile personen hun auto kwijt zijn zonder diefstal.
Dit gebeurt niet wanneer de encryptie sleutels niet gepubliceerd worden.

Aan de andere kant heeft ie met het publiceren van deze informatie (dat ie het gekraakt heeft) mogelijk ook zichzelf en personen in zijn directe omgeving in de spotlight van de bendes gezet.
Hij heeft alle informatie en apparatuur om high profile autos te kunnen jatten.... waarom moeilijk doen als er al iemand is met die meuk en je het hm alleen maar afhandig hoeft te maken.......

Ja hij doet er goed aan om bekend te maken dat het systeem gekraakt is, echter hoeft dat niet perse publiekelijk. Denk eerst na over de gevolgen van die informatie, het is niet altijd alleen maar om het product te laten verbeteren, denk ook aan de gevolgen voor jezelf en je omgeving.
Wat nou als een bende die meuk wil hebben en zn vrouw en kinderen meeneemt?


blijft echter wel de vraag over: Heeft deze groep researchers dit bij Volkswagen aangekaart en gewacht op een oplossing of is dit dus een poging om Volkswagen te dwingen om het probleem toch op te lossen hoewel ze dat niet wilden.
(neemt niet weg dat de sleutels nog steeds niet gepubliceerd hoeven te worden)

[Reactie gewijzigd door WPN op 28 juli 2013 13:46]

Als je in een Porsche of Bentley rijdt, doe je geen moeite voor een 'low-profile'.

Maar het zou heel slecht zijn voor het imago van de VAG merken wanneer deze auto's masaal gestolen zullen worden. En daar zouden mogelijke 'high-profilel' klanten aan bij kunnen dragen.

Ik kan me voorstellen dat het vervangen of verbeteren van de beveiliging van deze auto's best wel wat tijd gaat kosten.

Interesant is dat deze onderzoekers de encryptie codes hebben ontrafeld door de chip in plakjes te snijden en deze onder de microscoop te analyseren.
Dit proces zou (volgens de Guardian) zo'n £50,000 kosten. Dat lijkt mij voor criminelen behoorlijk bereikbaar. Al zullen er niet veel toegang tot de techniek hebben.

Bovendien, als we VAG mogen geloven wordt de techniek ook in veel andere 'mass market cars' gebruikt, van zowel VAG als anderen. De grote vraag is hier, hoe veel auto's zijn met deze codes te ontgrendelen of misschien zelfs te starten?
Ik denk dat die informatie belangrijker is voor het publiek dan dat die onderzoekers de encryptiecodes vrij beschikbaar maken.

Zelfs als de codes publiek zijn betwijfel ik of het voor een fabrikant uit kan om de beveiliging van een 'gewone' auto te vervangen. Het zal minstens een nieuwe afstandsbediening/sleutel en een software-update in de auto kosten.
Ze zullen het, hopelijk, niet meer gebruiken in nieuwe auto's, maar daar heb je nu weinig aan.
Als je met high-profile bedoelt dat ze decadent met hun rijkdom omgaan okay maar aan high-profile denk ik meer aan de publiciteit zoeken transparant zijn in je handel en wandel.
Ik vind jouw reactie vrij kortzichhtig. Als onderzoeker wil je juist presenteren wat je hebt gevonden maar, het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen. Nu wordt het belang van de autoindustrie belangrijker gevonden dan ons educatiesysteem.

Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak. Waar ligt de grens? Wanneer is iets gerechtvaardigd om te publiceren en wanneer denkt de rechter dan de vrijheid van meningsuiting en persvrijheid wel van toepassing is?
Het is duidelijk dat deze rechter zijn handen er niet aan wilde branden.
Nu het duidelijk is dat de beveiliging te kraken is zullen anderen het ook proberen.
Hoe zouden de meningen hier zijn als het hier de OV-chipkaart betrof?
Nou, als de exploitanten zouden aangeven dat het systeem inderdaad zo lek is als een mandje maar daarbij vroeg om de sleutels niet te publiceren totdat er een andere oplossing is dan zou daar mischien naar geluisterd moeten worden.
Het grote probleem met de OV chipkaart was dat er bij hoog en laag beweert werdt dat het ding veilig was.
het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen
De reden dat je dat doet in de wetenschap is omdat je meestal niet 100% zeker van zijn van je resultaten. Je ontwikkelt een theorie, je test om resultaten in werkelijkheid overeen komen met die theorie, dat lukt en je publiceert dat.
Vervolgens hoop je dat anderen je theorie ook testen, om 'm ofwel te falsificeren ofwel nog sterker te maken.

In dit geval is dat echter totaal niet van belang. De fabrikant kan gewoon bevestigen dat je de boel inderdaad gekraakt hebt en daarmee is het klaar.
Er is geen enkel wetenschappelijk belang dat anderen daarna het onderzoek kunnen herhalen.
Ik denk dat het niet zo zeer het belang van de autoindustrie is, maar het belang van de auto-eigenaren. Je zult de autofabrikanten moeilijk aansprakelijk kunnen stellen voor een diefstal. Toen zij de techniek implementeerden was deze veilig (genoeg). (dat is een aanname)

Ik vind het dan ook 'kortzichtig' om te denken dat je auto zo-ie-zo een update zal krijgen omdat de codes op straat liggen. Er kan wel eens wat meer bij komen kijken dan een software-update bij de dealer. Aangezien de onderzoekers deze hebben weten te ontrafelen door de chip te analyseren.
Maar wanneer de encryptie vrij beschikbaar is zal deze makkelijk misbruikt kunnen worden.

Over wetenschap.
Ook zonder de daadwerkelijke codes zal het onderzoek reproduceerbaar zijn. Je zult dan alleen precies hetzelfde moeten doen om die codes te bemachtigen. De short-cut om die codes te gebruiken is alleen niet direct beschikbaar. En daarmee is het niet meer zo makkelijk om (mogelijk illegaal) vervolg onderzoek te verrichten.

[Reactie gewijzigd door R-J_W op 28 juli 2013 17:31]

[q]Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak.[/@]
Dat vind ik volstrekt logisch. Het educatiesysteem dient om de maatschappij te ondersteunen, niet om deze tegen te werken. Het educatiesysteem (is dat eigenlijk wel Nederlands?) dient juist om mensen op te leiden om bij bedrijven als de auto industrie aan de slag te gaan.
Met het publiceren van de sleutels zet je VW onder druk om het systeem aan te passen, zowel op nieuwe als op bestaande wagens. Nu er is aangetoond dat er een kwestbaarheid in zit zullen deze wagens een doel vormen van hackers en daarna het criminele milieu. Hoewel het overbodig is om de sleutel onmiddelijk te publiceren dient de mogelijkheid tot publicatie wel te bestaan in het geval VW zijn kop in het zand steekt.
met het publiceren is hij ook medeplichtig aan diefstal als er hiermee auto';s gestolen worden lijkt me. het is aangetoont, het is erkent, dus waarom zou je nu dan nog ook het willen publiceren, en daarmee dus weet ik hoeveel mensen bloot stellen aan financiele schade?
Totdat de sleutels gepubliceerd zijn en met deze sleutels de kraak is getest door andere onderzoekers is er nog helemaal niets hard gemaakt.
Het hoeft helemaal niet door andere (academische) onderzoekers getest te worden. De getroffen fabrikanten hebben gewoon de specificaties van hun hardware en kunnen nagaan of die methode succesvol toe te passen is. En die hebben het onderzoek erkend.
Andere onderzoekers kunnen ook gewoon Garcia's methode volgen en zelf achter de key komen. En dan hadden ze zelf kunnen testen of ze de master key te pakken hadden gekregen. Het publiceren van de keys zou het dus alleen makkelijker maken voor andere onderzoekers om het resultaat te verifieren. Het is echter niet essentieel.
Handig dat oa tweakers de volledige namen op het internet zet van deze jongens.
Criminelen weten nu dus per direct bij wie ze moeten aankloppen, hopelijk krijgen deze jongens nu een soort van beveiliging. Ik kan me goed indenken dat criminelen die dit artikel lezen nu op jacht gaan naar deze intelligente jongens.
De namen staan ook bij het USENIX Security Symposium waar ze een lezing wilde geven, zie https://www.usenix.org/co...cking-vehicle-immobilizer

Beide heren, Garcia en Verdult, zijn zeer knappe en getalenteerde onderzoekers. Verdult heeft eveneens tools ontwikkeld en meegeholpen aan de kraak van de OV-Chipkaart. (http://www.libnfc.org/api/nfc_8c_source.html)
Het is niet alsof er iets geheim is aan wie er op de security-afdelingen van universiteiten werkt hoor. ;) Zie bijvoorbeeld hier, van de RU (daar staat hij op een oude foto ook nog tussen).
De achternaam weglaten in dit soort gevallen is geen censureren, het gaat om de veiligheid van 2 slimme (niet criminelen) jongeren.
Ja, want die namen gaan echt niet in het onderzoeksrapport staan. Wanneer je zo een onderzoek maakt en de resultaten publiceerd is naamsbekendheid net 1 van de belangrijke punten.
Nooit gehoord van pseudoniem??

Je kunt prima een proof of concept laten geven door een derde zonder dat je zelf publiekelijk in zicht komt en zodoende een drempel opgooit.
Als voorbeeld wordt de vag-middenklasse aangehaald, die worden bij bosjes gestolen en daar is het belang relatief klein.
Een exclusieve auto weghalen zonder dat je vervalt in home-jacking is ook interessant voor de crimineel zelf. Loopt de schuur binnen, start de auto, rijd een container binnen (kooi van faraday) en als die een voorsprong heeft van enkele uren, merkt de eigenaar dat die weg is. Mocht je een keer worden opgepakt, dan is er sprake van alleen diefstal. Een goede schrik wordt sowieso (terecht) minder gestraft dan (tijdelijk) gijzelen, mishandelen en erger.

Als VAG wijs is, dan bieden ze die jongens een fatsoenlijk bedrag aan 'zwijggeld' aan. Dan kunnen ze iig de periode uitstellen dat het systeem gekraakt wordt. Anderen zullen nu ook aan de slag gaan om te kijken of ze het ook zal lukken, al zal er ongetwijfeld een club zijn die het al kan. De verassing was vrij groot dat het bij BMW ook al kon.
Gewoon allemaal zo`n auto naar keuze cadeau.....als premie.

En dat ze hem de volgende dag kwijt zijn.............(na publicatie)

Ik zou me aardig bescheten voelen als ik iets krijg van enkele tonnen en het door eigen toedoen de volgende dag weer kwijt ben.........(Hee leuk, mijn buurman heeft dezelfde auto zie ik nu op zijn inrit.....Hee mijne is weg.......)

[Reactie gewijzigd door Teijgetje op 29 juli 2013 09:49]

Het is gekraakt, Volkswagen bevestigd dit. Publicatie is onnodig, terecht dat het afgewezen is. Nu moet de vag het wel even snel oplossen..
Totdat een andere hacker/onderzoeker ook de versleuteling kraakt en wel openbaar maakt...
Of gewoon doorverkoop in het criminele milieu.
daar waren al oplossingen voor, DX verkocht volgens mij zelfs een tijdje complete kits om auto's te stelen.

http://www.telegraph.co.u...uters-of-luxury-cars.html

http://www.telegraph.co.u...teal-cars-in-a-click.html

http://www.extremetech.co...urself-a-bmw-in-3-minutes

ik dacht ook dat het mogelijk was de gehele boordcomputer te vervangen waardoor een andere sleutel werkt (ik kan het mis hebben, auto's stelen is namelijk niet mijn hobby :p)

[Reactie gewijzigd door the-dark-force op 28 juli 2013 17:12]

Bij een VW transporter werkt het zo dat het chasisnummer zichtbaar is achter de voorruit. Men besteld een sleutel en dat gaat schijnbaar eenvoudig.

Deur open, laptop aansluiten aan de diagnosestekker en sleutel kan dan vrij geschakeld worden, dit alles zonder dat het contact gebruikt wordt. M.a.w fout is de vw software.

De oplossing is om een kabel van de diagnosestekker te onderbreken zodat deze alleen werkt als alles op contact staat. Probleem daarbij is dat staat alles op contact kan met de nieuwe sleutel niet herprogrammeren en dus ook niet wegrijden.
Ach volgens mij kan VAG het vrij eenvoudig oplossen door bij een onderhouds beurt een nieuwe sleutel set en opgewaardeerde crypto sleutel.
Wat een wijsheid waar haal je die vandaan.

De OV kaart is ook gekraakt en geen update maakt dat onmogelijk. zonder ook maar iets van de hack te weten kun je alleen maar speculeren of ze met een update het probleem kunnen oplossen.

Gezien de reactie van VW denk ik niet. zou het zo eenvoudig zijn dan had men de update al lang meegedeeld. Je kan eerder de conclusie trekken dat de encryptie gekraakt is en dat een nieuwe sleutel ook zo te achterhalen is. Misschien zoiets als rainbow tables.

Nieuwe sleutel zal ook niet de oplossing zijn omdat deze nog steeds met de hardware in de auto moet communiceren. die hardware werkt ook nog steeds met dezelfde encryptie en dus is het de vraag moet je ook de hardware in de auto vervangen. zo ja dan wordt het een duur grapje.

Misschien een betere vraag is wat doet VW als jou auto wordt gestolen en jij hebt de sleutel nog. Lijkt me duidelijk dat ze een veiligheidsfout hebben die driestal mogelijk maakt en wie weet kun je ze daarvoor verantwoordelijk stellen.
Hier is best een kans dat het te updaten is, maar dat zal lang duren, voordat alle auto's langs zijn geweest.

Verder is de vergelijking met OV ook niet helemaal treffend, want met de OV kaart moet iemand relatief veel moeite en uitgave doen voor een relatief klein gewin. En paar keer zwartrijden.
In dit geval is het wel een stuk erger, het gaat niet om zwart rijden maar hele prijzige auto's.
Afhankelijk hoe het protocol in elkaar steekt kan het wel degelijk zo zijn dat het niet publiceren van de key het systeem veilig maakt (bijvoorbeeld een parent key welke wordt gebruikt voor de uitwisseling van een session key), echter zal het dan aan de hand v/d publicatie gemakkelijk genoeg zijn deze opnieuw te verkrijgen.

Ik zie weinig problemen met upgraden van systemen, zo moeilijk is het niet een firmware flashen. De flaw zit traditioneel in het protocol, niet de ciphers die in hardware gemaakt zijn.

* analog_ bezig met SSL port op embedded hardware (Cortex M3).

Over die OV kaart: de reden hoeft niet persť technisch te zijn, de kosten van zwart reizen tov. de kosten v/h veilig maken verantwoorden het zeer waarschijnlijk niet. Je kan immers je app poorten naar een duurdere kaart met betere encryptie. Hou dan rekening met de anonieme eenmalige kaartjes + kosten en los ervan het feit dat mensen nu ook al zonder ticket zwart rijden. Uitroeien doe je het toch niet.

[Reactie gewijzigd door analog_ op 29 juli 2013 06:19]

Voordat je iedereen voor een onderhoudsbeurt binnen hebt gekregen ben je zo weer een jaar verder.
Precies daarom dus dat die sleutels nu niet gepubliceerd moeten worden.
Wat de fabrikanten dus tijd geeft om met een oplossing te komen en deze uit te rollen voordat elke crimineel met het juiste gereedschap dure auto's begint te stelen. Ik ben het met IXyzyxl eens dat publicatie van de sleutels onnodig is gezien Volkswagen de kraak heeft bevestigd.

[Reactie gewijzigd door ari op 28 juli 2013 13:29]

We zullen zien of er ook een oplossing komt, ik denk dat ze het gewoon zo laten, sleutels zijn toch nog niet beschikbaar, tegen de tijd dat dat wel is gebeurt er misschien wat...
Als bekend is dat sleutels gekraakt kunnen worden gaan criminelen gewoon hackers die het niet zo nauw nemen met de wet inhuren om ze voor zichzelf te kraken.
Inhuren? Whahaha, die is grappig.

De onderzoekers staan met naam en toenaam gepubliceerd. Beetje echte crimineel neemt ze wel ff mee voor een ritje ;). Publicatie was voor hen stukken veiliger geweest gok ik zo.
Doorvertellen aan een persoon met de belofte het niet door te vertellen is volgens mij geen publicatie.
Crimineel belooft het niet door te vertellen, onderzoeker geeft de gegevens. Kous af.


En trouwens, als de onderzoeker de gegevens anoniem publiceert is er niemend die dat tegenhoud.
Informatie is vrij.
Informatie is vrij.
Zeg dat even tegen Edward Snowden, Bradley Manning, Jullian Assange en vele anderen.

Informatie is enkel vrij as je het van de overheid en de grote bedrijven mag zien.
Dat is inderdaad wel het enge hieraan. Die onderzoekers lopen best een risico nu.
Totdat iemand anders het kraakt, niks openbaar maakt en verschillende criminele organisaties vraagt om een donatie...

Slechte zaak dus juist, het had door de rechter afgewezen moeten worden - bij dergelijke kwetsbaarheden verwacht je dezelfde dag nog een brief over een massale terugroepactie, en overal nieuwe sleutels beschikbaar nog voordat de lezing wordt gegeven.


Of, wie zegt dat deze onderzoekers inderdaad pas de eerste zijn die het is gelukt...?

[Reactie gewijzigd door Xanaroth op 28 juli 2013 15:54]

maar ondertussen moet iemand anders het maar gedaan krijgen, ipv gratis en voor nix ff het snel te kunnen gebruiken
En zo is het.

Wat is het doel van het publiceren? De onderzoekers hadden het ook slechts kunnen demonstreren zonder de achterliggende techniek bekend te maken? Of nog beter, eerst de kans aan de autofabrikant geven om het euvel te verhelpen, om vervolgens wel wat meer in de details te kunnen treden?

Fabrikanten kunnen 'fouten' maken, elke software is te kraken. Het belang van de fabrikant / consument lijkt me in deze groter dan de two minutes of fame van de betreffende ondezoekers.
Kort door de bocht, het doel van publiceren: In de wetenschap is publiceren nagenoeg de enige manier om je onderzoek kenbaar te maken. Voor mijn baan word ik afgerekend op het aantal publicaties wat ik heb... Sterker nog, het aanvragen van beurzen is hier ook van afhankelijk. Het is tegenwoordig "publish or perish".
Ze mochten ook best publiceren, zolang ze de sleutels zelf maar achterwege laten. Dat was het simpele verzoek van de fabrikanten.
Had voor de wetenschappelijke waarde van de publicatie geen zier uitgemaakt. (Zeker omdat de fabrikanten bevestigen dat het de juiste sleuteles zijn)
Precies.

Had VAG maar moeten zorgen dat ze ook dingen als key management processen ingereicht hebben - dus ja, inclusief scenario bij verlies master encryptiesleutels zoals terugroepprocedures, schadevergoedingsregelingen, whatever.

Waarom? Als iemand die zich professioneel bezighoudt met het ontwerpen van dit soort systemen nog denkt dat zijn systeem onkraakbaar is, verdienen ze op z'n minst naming en shaming.

Jammer voor het risico dat kwaadwillenden door publicatie van de onderzoekers met het lek aan de haal gaan - zoals een ander al zei is het best waarschijnlijk/mogelijk dat black hat hackers nu al of zeer binnenkort het lek uitbuiten.... ongeacht of publicatie plaatsvindt.
Allemaal lekker makkelijk geroepen maar:
a) De gemiddelde auto hangt niet aan internet/3G/etc. en er 'even' op afstand mee communiceren zal dus niet zo evident zijn als jij graag zou willen;
b) Er is niet veel bekend (bij mij iig) over de hack - maar als het protocol/algoritme zelf fouten bevat waardoor die sleutels makkelijk te achterhalen zijn is het wijzigen van de keys ook een 2 minuten oplossing.

Even afgezien van het feit dat als je de encryptie keys in de auto verandert die waarschijnlijk ook in de sleutel (en zijn reserve variant) gewijzigd moeten worden.
Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creŽer je een probleem door de sleutels openbaar te maken...

De fabrikanten hebben echter nu de verplichting updates uit te voeren op de systemen, zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen. Als het systeem niet te updaten is moeten ze dat maar uitvechten met de leverancier en hem aansprakelijk stellen.
Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creŽer je een probleem door de sleutels openbaar te maken...
Ik wil even vaststellen dat het probleem niet gecreŽerd wordt door de beveiligingsonderzoekers maar door de fabrikant die een ondeugdelijk product heeft gemaakt.

Daarnaast heeft het helemaal geen nut de sleutels niet te publiceren als wel de zwakheden in de technologie en de gebruikte methode gepubliceerd mogen worden. Een beetje competente onderzoeker herhaalt dan binnen een dag of zo de aanval en heeft dan ook de sleutel.
En als de publicatie een beetje volledig is (inclusief gebruikte tools e.d.) dan kan een script kiddie het ook.

Het geheim ligt op straat, het probleem is daar en er is niks meer aan te doen tenzij je bereid bent het hele onderzoek te censureren. En zelfs dat zou alleen maar een korte tijdwinst opleveren.
jemig zeg, ga je nu werkelijk zeggen dat ze een ondeugdelijk product leveren omdat het na weet ik hoe lange tijd gekraakt is? dat jij +1 krijg vind ik al vreemd, maar dat je zoiets durf te zeggen vind ik wel echt het toppunt van verdraaien van de waarheid.
De +1 is omdat het over het onderwerp gaat, meningen staan vrij.
De +1 heeft niets van doen met dat iedereen het daar mee eens is, Dan krijg je +2.

Dat het een niet correct weergeven van de waarheid ben ik met je eens.
Ondeugdelijk product? Het product bevat een fout. Een bug, aangezien het zelfs om een softwarefout gaat waarschijnlijk.
Een product word niet ondeugdelijk door ťťn fout.
Behalve als die fout de kern van het product raakt, zoals hier dus.

Het is overigens wel vaker gebeurd dat een produkt ondeugdelijk was door 1 enkele softwarefout (ontploffing Arianeraket, een ander ruimtevaartuig wat geloof ik op Mars is gecrasht).
Behalve als die fout de kern van het product raakt, zoals hier dus.
De auto zal er echt niet minder om rijden, en afaik is dat nog steeds de kern functionaliteit van een auto.
Maar niet van het beveiligingssysteem.
zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen.
Ja, want klanten die miinder betalen krijgen die verplichting niet. |:( Wat is dat nou weer voor kromme redenatie?
Klanten die minder betalen krijgen waarschijnlijk heel die encryptie niet. Een audi A3, een Passat of een Golf is nu al zonder schade leeg te roven (is bij 6 van bovengenoemden gebeurd in onze straat, zonder dat iemand wat heeft gemerkt, alle navi en airbags weg)

Zoals in het artikel staat gaat het dus voornamelijk om de duurdere modellen waarbij de sleutel meer functies heeft.
Ik heb het voor elkaar gekregen om sleutel in mijn 2011 Fiat Punto te laten liggen. Deze kon zonder problemen binnen een minuut worden opengemaakt door de ANWB zonder sleutel. Als zij het kunnen, kan een 'gevorderde' crimineel dit ook wel.

Ik heb voorheen tegenover een autogarage gewoond waar ook 12 Ford Focussen waren opgebroken en airbags gestolen. De eigenaar woont er zelf naast, en allemaal stonden ze (volgens de handelaar, maar die vertrouw ik) op slot met autoalarm ingeschakeld.

Van een andere handelaar heb ik begrepen dat de oost Europese autodieven vrij 'vergevorderd' zijn in de diefstal. Zij weten precies hoe die auto's in elkaar zitten en hoe ze de beveiliging moeten omzeilen. Hij legde mij de werkmethode van een diefstal van een Mercedes bij een collega uit, en dat was inderdaad erg geraffineerd en zij wisten goed waar ze mee bezig waren.
Vind je het heel erg gek? Die dingen worden daar allemaal gebouwd in tsjechie, hongarije, noem maar op.
Elke beveiliging is te kraken, ik begrijp heel goed dat Volkswagen niet wil dat dit openbaar wordt.
De vraag blijft natuurlijk gaan ze de beveiliging ook aanpassen, het zou me niks verbazen als ze het gewoon zo laten, de sleutels zijn toch nog niet gelekt!
Ik ken de achtergrond van deze zaak niet maar in de beveiligingswereld worden dit soort dingen voortdurend onder het kleed geveegd. Het is makkelijker om iemand het zwijgen op te leggen dan om het probleem op te lossen. Daarom hebben onderzoekers wel eens de neiging om flink wat druk te zetten zodat er naar hun geluisterd wordt. Daarnaast geeft het een hoop extra publiciteit als je de sleutel er wel bij doet (zoals nu al blijkt).
Je had op zijn minst het artikel kunnen lezen, VAG heeft al toegegeven dat het lek er is, er is dus helemaal geen extra druk nodig. Er wordt ook niemand het zwijgen opgelegd, het onderzoek wordt gewoon gepubliceerd, VAG heeft alleen gevraagd de sleutels niet te publiceren.
Toegeven is een mooi begin maar niet meer dan dat. Nu moeten ze het ook nog oplossen en het liefst een beetje snel. Daar gaat het vaak fout. Bedrijven hebben geen zin om miljoenen producten terug te roepen om er een paar bytes aan te veranderen. Het gevaar bestaat dat ze eerst eens een paar maanden gaan vergaderen en dan besluiten om het alleen op te lossen voor nieuwe auto's.
Ik wil niet beweren dat er kwade opzet is of dat Volkswagen het zo zal doen, maar de ervaring leert dat klanten, aandeelhouders en (dus) managers niet geven om veiligheid tot het te laat is. (Anders hoefden we gordels en lampen niet wettelijk te verplichten).
(Anders hoefden we gordels en lampen niet wettelijk te verplichten).
Dat is een zeer slechte vergelijking.

Als je namelijk naar de geschiedenis van de autogordel gaat kijken, dan zul je vinden dat de fabrikanten zelf met de gordel zijn gekomen. En dat de gordel al lang vanzelfsprekend was in een auto voordat er een wet kwam dat ie verplicht werd in nieuew auto ontwerpen.
En daarna kwam de wet die het verplicht stelde het ding ook te dragen.

Autofabrikanten hebben ook regelmatig terugroep acties om dingen in autos te corrigeren. Wat dat betreft hebben ze een veel beter track-record dan de meeste andere bedrijven.
De second-best optie na publicatie van alles is altijd om er een mediaspektakel van te maken.

Kinderen moet je dwingen hun verantwoording te nemen. Zo ook fabrikanten.

Mensen denken altijd maar: met meer koppen, meer resultaat. Maar je moet bedenken WAT voor resultaat. Meer koppen is meer intelligentie. Maar het gaat er uiteindelijk om waar die intelligentie voor ingezet wordt.

Wetenschappers doen dingen in het algemeen belang en zetten hun eigenbelang op de achtergrond. Bestuursleden doen dingen voor hun eigenbelang en zetten het algemeen belang op de achtergrond.

Voor bestuursleden is het een te verantwoorden taktiek om dingen verborgen te houden. Dus zetten ze hun intelligentie zonder gewetensbezwaren in om de doofpot in te zetten. Het begint altijd met tijd proberen te rekken.

Dus goed dat het een rechtszaak is geworden. Het resultaat is dat het breeduit in de media komt en dat de bestuursleden van de VAG direkt aan een oplossing moeten gaan werken, in plaats van over 3 maanden. Prima zo.

Edit:

Het lijkt ook een algemene natuurwet te zijn dat als iemand iets ontdekt, iemand anders vrijwel tegelijkertijd en onafhankelijk hetzelfde ontdekt. Ga er maar van uit dat iemand anders al die sleutels probeerde te ontrafelen en dat die ze al, of al bijna, gevonden heeft.

[Reactie gewijzigd door RetepV op 28 juli 2013 14:52]

Wetenschappers doen dingen in het algemeen belang en zetten hun eigenbelang op de achtergrond.
Jij kent blijkbaar erg weinig wetenschappers. (of mensen die claimen wetenschapper te zijn)

Wetenschappers kunnen alleen vrolijk wetenschap bedrijven als ze voldoende geld hebben.
Daarom hebben ze altijd een gigantisch eigen belang: nieuw onderzoeksgeld.

Wetenschappers zijn op dat punt geen haar beter dan bestuursleden.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True