Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 178, views: 36.053 •
Submitter: flux_w42

De Britse lector en beveiligingsonderzoeker Flavio Garcia mag van de rechter geen informatie publiceren over hoe de versleuteling van het elektronische startsysteem van onder andere Audi, Bentley, Lamborghini en Porsche kan worden gekraakt.

Garcia, werkzaam aan de universiteit van Birmingham, heeft samen met twee Nederlandse vakgenoten Baris Ege en Roel Verdult van de Radboud Universiteit het versleutelingsalgoritme achter de Megamos Crypto gekraakt. Deze technologie wordt door een aantal autofabrikanten, die met name in het duurdere segment auto's bouwen, gebruikt om een auto via de sleutel op afstand te kunnen starten. Garcia wilde zijn bevindingen over kwetsbaarheden in de Megamos-technologie in augustus tijdens een Usenix-bijeenkomst publiceren, inclusief de gevonden encryptiesleutels.

Volkswagen, moederbedrijf van onder andere Audi, Bentley, Lamborghini en Porsche, vroeg de onderzoekers om bij de publicatie de encryptiesleutels achterwege te laten, maar Garcia weigerde dit. Daarop besloot de Duitse autofabrikant naar de Britse rechtbank te stappen in een poging de publicatie via een voorlopige voorziening te voorkomen, zo meldt The Guardian.

De Britse rechter heeft Volkswagen in het gelijk gesteld en verbiedt Garcia de Megamos-encryptiesleutels te publiceren. Volgens de rechtbank kunnen criminelen met de informatie en gereedschappen zo relatief eenvoudig dure auto's stelen, ondanks het verweer van Garcia dat dergelijke publicaties juist kwetsbaarheden blootleggen die anders voor het publiek verborgen blijven.

Reacties (178)

Reactiefilter:-11780167+1108+218+32
Het is gekraakt, Volkswagen bevestigd dit. Publicatie is onnodig, terecht dat het afgewezen is. Nu moet de vag het wel even snel oplossen..
Totdat een andere hacker/onderzoeker ook de versleuteling kraakt en wel openbaar maakt...
Of gewoon doorverkoop in het criminele milieu.
Ach volgens mij kan VAG het vrij eenvoudig oplossen door bij een onderhouds beurt een nieuwe sleutel set en opgewaardeerde crypto sleutel.
Voordat je iedereen voor een onderhoudsbeurt binnen hebt gekregen ben je zo weer een jaar verder.
Precies daarom dus dat die sleutels nu niet gepubliceerd moeten worden.
Wat een wijsheid waar haal je die vandaan.

De OV kaart is ook gekraakt en geen update maakt dat onmogelijk. zonder ook maar iets van de hack te weten kun je alleen maar speculeren of ze met een update het probleem kunnen oplossen.

Gezien de reactie van VW denk ik niet. zou het zo eenvoudig zijn dan had men de update al lang meegedeeld. Je kan eerder de conclusie trekken dat de encryptie gekraakt is en dat een nieuwe sleutel ook zo te achterhalen is. Misschien zoiets als rainbow tables.

Nieuwe sleutel zal ook niet de oplossing zijn omdat deze nog steeds met de hardware in de auto moet communiceren. die hardware werkt ook nog steeds met dezelfde encryptie en dus is het de vraag moet je ook de hardware in de auto vervangen. zo ja dan wordt het een duur grapje.

Misschien een betere vraag is wat doet VW als jou auto wordt gestolen en jij hebt de sleutel nog. Lijkt me duidelijk dat ze een veiligheidsfout hebben die driestal mogelijk maakt en wie weet kun je ze daarvoor verantwoordelijk stellen.
Afhankelijk hoe het protocol in elkaar steekt kan het wel degelijk zo zijn dat het niet publiceren van de key het systeem veilig maakt (bijvoorbeeld een parent key welke wordt gebruikt voor de uitwisseling van een session key), echter zal het dan aan de hand v/d publicatie gemakkelijk genoeg zijn deze opnieuw te verkrijgen.

Ik zie weinig problemen met upgraden van systemen, zo moeilijk is het niet een firmware flashen. De flaw zit traditioneel in het protocol, niet de ciphers die in hardware gemaakt zijn.

* analog_ bezig met SSL port op embedded hardware (Cortex M3).

Over die OV kaart: de reden hoeft niet persé technisch te zijn, de kosten van zwart reizen tov. de kosten v/h veilig maken verantwoorden het zeer waarschijnlijk niet. Je kan immers je app poorten naar een duurdere kaart met betere encryptie. Hou dan rekening met de anonieme eenmalige kaartjes + kosten en los ervan het feit dat mensen nu ook al zonder ticket zwart rijden. Uitroeien doe je het toch niet.

[Reactie gewijzigd door analog_ op 29 juli 2013 06:19]

Hier is best een kans dat het te updaten is, maar dat zal lang duren, voordat alle auto's langs zijn geweest.

Verder is de vergelijking met OV ook niet helemaal treffend, want met de OV kaart moet iemand relatief veel moeite en uitgave doen voor een relatief klein gewin. En paar keer zwartrijden.
In dit geval is het wel een stuk erger, het gaat niet om zwart rijden maar hele prijzige auto's.
daar waren al oplossingen voor, DX verkocht volgens mij zelfs een tijdje complete kits om auto's te stelen.

http://www.telegraph.co.u...uters-of-luxury-cars.html

http://www.telegraph.co.u...teal-cars-in-a-click.html

http://www.extremetech.co...urself-a-bmw-in-3-minutes

ik dacht ook dat het mogelijk was de gehele boordcomputer te vervangen waardoor een andere sleutel werkt (ik kan het mis hebben, auto's stelen is namelijk niet mijn hobby :p)

[Reactie gewijzigd door the-dark-force op 28 juli 2013 17:12]

Bij een VW transporter werkt het zo dat het chasisnummer zichtbaar is achter de voorruit. Men besteld een sleutel en dat gaat schijnbaar eenvoudig.

Deur open, laptop aansluiten aan de diagnosestekker en sleutel kan dan vrij geschakeld worden, dit alles zonder dat het contact gebruikt wordt. M.a.w fout is de vw software.

De oplossing is om een kabel van de diagnosestekker te onderbreken zodat deze alleen werkt als alles op contact staat. Probleem daarbij is dat staat alles op contact kan met de nieuwe sleutel niet herprogrammeren en dus ook niet wegrijden.
Wat de fabrikanten dus tijd geeft om met een oplossing te komen en deze uit te rollen voordat elke crimineel met het juiste gereedschap dure auto's begint te stelen. Ik ben het met IXyzyxl eens dat publicatie van de sleutels onnodig is gezien Volkswagen de kraak heeft bevestigd.

[Reactie gewijzigd door ari op 28 juli 2013 13:29]

We zullen zien of er ook een oplossing komt, ik denk dat ze het gewoon zo laten, sleutels zijn toch nog niet beschikbaar, tegen de tijd dat dat wel is gebeurt er misschien wat...
Als bekend is dat sleutels gekraakt kunnen worden gaan criminelen gewoon hackers die het niet zo nauw nemen met de wet inhuren om ze voor zichzelf te kraken.
Inhuren? Whahaha, die is grappig.

De onderzoekers staan met naam en toenaam gepubliceerd. Beetje echte crimineel neemt ze wel ff mee voor een ritje ;). Publicatie was voor hen stukken veiliger geweest gok ik zo.
Doorvertellen aan een persoon met de belofte het niet door te vertellen is volgens mij geen publicatie.
Crimineel belooft het niet door te vertellen, onderzoeker geeft de gegevens. Kous af.


En trouwens, als de onderzoeker de gegevens anoniem publiceert is er niemend die dat tegenhoud.
Informatie is vrij.
Informatie is vrij.
Zeg dat even tegen Edward Snowden, Bradley Manning, Jullian Assange en vele anderen.

Informatie is enkel vrij as je het van de overheid en de grote bedrijven mag zien.
Dat is inderdaad wel het enge hieraan. Die onderzoekers lopen best een risico nu.
Totdat iemand anders het kraakt, niks openbaar maakt en verschillende criminele organisaties vraagt om een donatie...

Slechte zaak dus juist, het had door de rechter afgewezen moeten worden - bij dergelijke kwetsbaarheden verwacht je dezelfde dag nog een brief over een massale terugroepactie, en overal nieuwe sleutels beschikbaar nog voordat de lezing wordt gegeven.


Of, wie zegt dat deze onderzoekers inderdaad pas de eerste zijn die het is gelukt...?

[Reactie gewijzigd door Xanaroth op 28 juli 2013 15:54]

Precies.

Had VAG maar moeten zorgen dat ze ook dingen als key management processen ingereicht hebben - dus ja, inclusief scenario bij verlies master encryptiesleutels zoals terugroepprocedures, schadevergoedingsregelingen, whatever.

Waarom? Als iemand die zich professioneel bezighoudt met het ontwerpen van dit soort systemen nog denkt dat zijn systeem onkraakbaar is, verdienen ze op z'n minst naming en shaming.

Jammer voor het risico dat kwaadwillenden door publicatie van de onderzoekers met het lek aan de haal gaan - zoals een ander al zei is het best waarschijnlijk/mogelijk dat black hat hackers nu al of zeer binnenkort het lek uitbuiten.... ongeacht of publicatie plaatsvindt.
Allemaal lekker makkelijk geroepen maar:
a) De gemiddelde auto hangt niet aan internet/3G/etc. en er 'even' op afstand mee communiceren zal dus niet zo evident zijn als jij graag zou willen;
b) Er is niet veel bekend (bij mij iig) over de hack - maar als het protocol/algoritme zelf fouten bevat waardoor die sleutels makkelijk te achterhalen zijn is het wijzigen van de keys ook een 2 minuten oplossing.

Even afgezien van het feit dat als je de encryptie keys in de auto verandert die waarschijnlijk ook in de sleutel (en zijn reserve variant) gewijzigd moeten worden.
maar ondertussen moet iemand anders het maar gedaan krijgen, ipv gratis en voor nix ff het snel te kunnen gebruiken
En zo is het.

Wat is het doel van het publiceren? De onderzoekers hadden het ook slechts kunnen demonstreren zonder de achterliggende techniek bekend te maken? Of nog beter, eerst de kans aan de autofabrikant geven om het euvel te verhelpen, om vervolgens wel wat meer in de details te kunnen treden?

Fabrikanten kunnen 'fouten' maken, elke software is te kraken. Het belang van de fabrikant / consument lijkt me in deze groter dan de two minutes of fame van de betreffende ondezoekers.
Kort door de bocht, het doel van publiceren: In de wetenschap is publiceren nagenoeg de enige manier om je onderzoek kenbaar te maken. Voor mijn baan word ik afgerekend op het aantal publicaties wat ik heb... Sterker nog, het aanvragen van beurzen is hier ook van afhankelijk. Het is tegenwoordig "publish or perish".
Ze mochten ook best publiceren, zolang ze de sleutels zelf maar achterwege laten. Dat was het simpele verzoek van de fabrikanten.
Had voor de wetenschappelijke waarde van de publicatie geen zier uitgemaakt. (Zeker omdat de fabrikanten bevestigen dat het de juiste sleuteles zijn)
Niks censuur, hoeveel burgers zouden wel niet te dupen worden als die sleutels publiekelijk worden gemaakt dus terecht dat hier wordt ingegrepen. Trouwens lijken me deze ook niet relevant om mee te publiceren bij het onderzoek
Precies, dat dus. Ik snap best dat een onderzoeker dingen aan wil tonen, maar hiermee kan hij beter naar de fabrikant gaan ipv het op een congres publiek maken waardoor deze kennis evt door kwaadwillenden misbruikt kan worden.
juist wel, het verplicht de fabrikanten om de sleutels te veranderen, kans is groot dat ze daar nu mee gaan wachten, ondanks dat ze al gevonden zijn.

Daarbij zorgt het publiceren van de sleutels voor controleerbaarheid en repoduceerbaarheid van de resultaten (de basis van elk wetenschappelijk onderzoek)

Dit is gewoon security through obscurity. Als de sleutel gevonden is dient ze ingetrokken te worden. Als de fabrikanten geen methode hebben ingebouwd om dit veilig en snel te kunnen doen dan hebben ze hun (dikbetaald) werk niet goed gedaan.
Denk toch eens na.. VAG zal heus wel de sleutels aanpassen. Alleen om alle auto's terug te roepen kost dat een hoop geld.

terwijl als de VAG de sleutels weet te herprogrammeren bij een onderhouds beurt dit een betere oplossing is.. VAG is gewoon verplicht om nu de sleutels aan te passen en de beveiliging aan te passen.. het is gewoon belangrijk dat de VAG wel de tijd krijgt om dit te kunnen aanpassen.
En wat mij betreft is dit totdat de publicatie verschijnt. Een paar weken. Nu wachten tot elke auto voor onderhoud langskomt. In NL is dat zeg elk jaar bij de apk, maar hoeveel landen hebben wel niet apk om de 2, 3, 5 jaar? Of niet eens, en zie je de auto pas bij problemen? En bij een beetje kwaliteit luxe bak kan dat een jaar of 6 a 8 zijn?

Iets met Jantje, Leiden.
Een kwaliteitsbak moet ook gewoon zijn olie ververst hebben en zijn remvloeistof vervangen, etc. Als je meer dan 2 jaar niks aan je auto doet heb je dikke kans dat je auto naar de klote gaat of er levens op het spel komen te staan. Zelf sleutelen aan auto's waar dit systeem in zit is ongeveer onbegonnen werk, het vervangen van een lampje ben je al 3 uur mee bezig tegenwoordig.
Sidenote:
Hmmm, lampje vervangen 3 uur ?? Dat is volgens mij juist niet het geval bij auto's van de Volkswagen groep. Dit is meestal het geval bij een auto van franse of italiaanse makelij. :+
Juist bij de duurdere auto's zit het motorcompartment helemaal ingepakt en moet er van alles uit elkaar voordat je een lamp kunt verwisselen. Als het al niet een Xenon lamp is.
Een lampje vervangen gaat in menige gevallen niet meer gezien de lampjes/leds tegenwoordig eigenlijk een autoleven mee moeten gaan.
Dan moet de hele unit vervangen......
In mijn Audi A4 vervang ik een lampje in 10 minuten. 4 schroeven los met een stervormige inbus, hele lamparmatuur eruit, stekker los, lampje vervangen, stekker vast, armatuur erin, half vastdraaien, hoogte afstellen door links en rechts de bundel op mijn been te vergelijken, vastdraaien, klaar.
laat me raden, jij hebt niet zo'n auto, want anders zou je wel anders piepen. fabrikanten moeten natuurlijk wel de kans krijgen om het probleem op te lossen. hij kon zijn presentatie rustig houden zonder de specifieke sleutel vrij te geven,maar DAT wilde hij niet.
Wat jij en veel anderen over het hoofd zien, is dat het principe achter de kraak kennelijk (en terecht) wel publiek wordt gemaakt, maar dat alleen de sleutels (die het voor inbrekers wel erg makkelijk zouden maken) achter worden gehouden.

Een nette oplossing lijkt me. Beveiligingsproblemen horen publiek te zijn. Nu kan je als auto-eigenaar de weloverwogen keus maken om het systeem uit te laten schakelen of een extra beveiliging aan te brengen , in afwachting van een oplossing van de fabrikant.
Volgens mij is er weinig bekend over het lek gezien het ontbreken van de publicatie.

Stel hij publiceert: stuur commando X via bluetooth blabla en de auto retourneert de encryptie keys.

Wat is het nut van het niet publiceren van de encryptie keys dan nog? Duurt waarschijnlijk tot ongeveer 2 minuten na de publicatie voor ze dan alsnog online staan.
Zodat ze bewijzen dat hun theorie klopt? misschien onbelangrijk voor sommigen - maar voor iemand die enige waarde aan wetenschap wil hechten fundamenteel.

Het is echt niet zo dat papers die ingestuurd worden de volgende dag gepubliceerd worden, dat duurt over het algemeen minimaal 1/2 jaar en in uitzonderlijke gevallen 3-4 maanden. Gegeven dat je probeert te publiceren in een enigszins gerespecteerd journal.

Normaal gesproken zou dit probleem nooit moeten voorkomen.
Getuigd dus van de lak van intentie er iets aan te doen door VAG... Immers, als je de publicatie pas na een half jaar hebt, zou VAG voldoende tijd moeten hebben om het correct af te handelen bij de betreffende auto bezitters.

[Reactie gewijzigd door chimnino op 28 juli 2013 20:12]

Zodat ze bewijzen dat hun theorie klopt? misschien onbelangrijk voor sommigen - maar voor iemand die enige waarde aan wetenschap wil hechten fundamenteel.
Dat bewijs hebben de fabrikanten al gegeven. Daarom verzoeken ze om die keys niet te publiceren.
Voor de wetenschappelijke waarde van het onderzoek is het publiceren van die keys daarom totaal niet nodig.
Dit is geen censuur. Als ik een lek vind in software X en dat meteen publiceer zonder de fabrikant een redelijke termijn te geven om het euvel op te lossen, ben ik ook strafbaar.

De onderzoeker mag het lek wel publiceren, maar pas nadat hij de fabrikant een redelijke termijn heeft gegeven om het op te lossen.
Volgens welke wet in welke jurisdictie zou je precies strafbaar zijn? Volgens mij staat er in de Nederlandse grondwet iets van "Iedereen is vrij in het publiceren dmv de drukpers, niemand heeft voorafgaande toestemming nodig, behoudens ieders verantwoordelijkheid voor de wet." (*) De meeste landen van het Europese continent en de VS zijn ook vrij sterk in hun vrijheid van meningsuiting.

Ik kan me toch aardig wat Nederlandse publicaties herinneren die flinke beveiligingsgaten in oa de OV-Chipkaart aantoonden.

(*) Artikel 7, lid 1: "Niemand heeft voorafgaand verlof nodig om door de drukpers gedachten of gevoelens te openbaren, behoudens ieders verantwoordelijkheid volgens de wet."

[Reactie gewijzigd door Bacchus op 28 juli 2013 17:32]

Je hebt helemaal gelijk.......maar:

Gedachten en gevoelens zijn iets heel anders dan iets publiceren waarmee je iemand (de autobezitters) ernstig benadeelt door criminelen vrij spel te geven.
En dat is weer heel wat anders dan dingen publiceren met het oog op het algemeen belang/veiligheid.

Iets met privacy en een staat die jouw bezittingen/belangen verdedigd/behartigd door haar wetten.
Ze willen alles van je weten, en jij mag in principe niet weten hoe onveilig zaken nog steeds zijn omdat er mensen zijn die zaken geheim willen houden. Als het echt goed geregeld is (kost meestal slechts heel weinig:)) hoeft verbetering helemaal niet veel te kosten, en op een gegeven ogenblik is zelfs een beveiliging helemaal overbodig in een goed opgezette menselijkere sociale omgeving.
Inderdaad pure censuur maar nog niet zo grof en vergaand als bij Hennep, Cannabis ongeveer 70 jaar geleden is gebeurd, gewoon van alle economische, medische, Geneeskundige en ander sociale lijsten grondig verwijderen op alleen politieke gronden (Hearst & DuPont), en als zeer zwaar strafbaar gedemoniseerd op de Harddruglijst plaatsen. [En natuurlijk ook in verdragen vastgelegd CIA-FBI-DEA].

Zo moet je dat doen Totale Censuur, en verbanning uit de echte wereld, zodat gerespecteerde mensen op Uni's, ziekenhuizen, laboratoria geen of moeilijk professioneel onderzoek meer kunnen doen, op straffe van een beroepsverbod, en/of zelfs gevangenisstraf. En het wordt nooit meer goed aangepast, ook al komt de wetenschap met allerlei bewijzen, dan komt Veiligheid en Justitie toch weer, het staat niet op de medische lijst, dus is het geen Medicijn? :(
Ander discussie gevoelig demootje dat niet graag gezien wordt :)} http://www.youtube.com/watch?v=Ss_RWctTARU
volkswagen heeft geen probleem met de publicatie ansich, maar wel met de specifike sleutel zelf, dat is dus wel even een groot verschil imho.
hij heeft allang zn gelijk gekregen, dit publiceren is gewoon de reinste onzin. het zou hem juist sieren als hij het geheim hield voor de buitenwereld en de Vag groep zou helpen om het op te lossen ipv mogelijke criminelen een handje te helpen.
Met de media-aandacht die de onderzoekers nu gekregen hebben is publicatie verder niet echt nodig. Wellicht was dat nu juist het punt van het voornemen om te publiceren.

Hadden wij van deze kwetsbaarheid geweten als de onderzoekers dit niet zo gespeeld hadden? En zouden de fabrikanten tijd en moeite willen investeren in het oplossen van een kwetsbaarheid waarvan het publiek niet op de hoogte is? Het kan voor het imago van een bedrijf schadelijker te zijn om klanten te benaderen met een oplossing voor een bug dan om klanten helemaal niet in te lichten.

Helaas staat in het bron-artikel niet vermeld of en wanneer de onderzoekers Volkswagen hebben ingelicht. Dat zou in mijn ogen direct bij het concluderen/bevestigen van de kwetsbaarheid moeten gebeuren. Ik kan me best voorstellen dat de onderzoekers de fabrikanten vervolgens onder druk willen zetten om met een oplossing te komen, en dan is dreigen de sleutels te publiceren een effectieve manier. Daarbij is er natuurlijk ook media-aandacht voor de onderzoekers zelf, op zich ook een begrijpelijk doel.
En al die eigenaren van dure auto's zich ondertussen maar afvragen waarom ze massaal gejat worden (door iemand die het toevallig ondertussen ook heeft ontdekt). Denk je niet dat die het recht hebben om gewaarschuwd te worden?
Snap niet dat je -1 krijgt. Dit is heel dikke censuur. VAG houd zo zijn imago. Met publicatie van dit artikel zou VAG een (terechte) dikke deuk in zn imago krijgen. Verwacht maar niet dat dit wordt aangepast op bestaande modellen. Misschien dat er wat wordt gedaan voor opvolgende auto's. Die chips zijn massaal ingekocht en moeten gewoon op. Want geloof mij nou maar, dit weten ze al heel lang bij VAG. Was eerder al een nieuwsartikel dat heel veel auto's heel makkelijk op afstand zijn te kraken doormiddel van t hacken van de signalen. Er is toen een lijst naar buiten gekomen met auto's waarin de desbetreffende chip zat en hier zaten HEEL veel VAG auto's tussen...

[Reactie gewijzigd door chimnino op 28 juli 2013 15:17]

leer lezen, het artikel mag wel gepubliceerd worden, de encryptie sleutels niet. hoe is dat censuur?
Ik kan heel goed lezen hoor. Maak je daar maar niet druk om.

Dit is censuur: Het gebruiken van de macht van de staat, een bepaalde groepering, of van bepaalde individuen, om informatie achter te houden of de expressie aan banden te leggen.

Leer betekenissen van woorden voordat je een ander ergens op aanspreekt....

En is hier dus weldegelijk van toepassing. Zodra dit wordt gepubliceerd MOET VAG RIGOUREUS actie ondernemen en daar heeft het gewoon geen trek in.

Wat wel zou kunnen is een termijn opleggen voor de publicatie zodat VAG voldoende tijd krijgt om alles op orde te krijgen. Of de onderzoeker voegt een lijst met alle getroffen auto's toe incl. bouwjaar/periode en of deze nog actief wordt gebruikt in dat getroffen model. In plaats van de sleutel zelf te plaatsen, kan de uitspraak van de rechter worden toegevoegd die in principe bevestigd dat de sleutel is gevonden.
eens kijken of jij het nog censuur vind als de chip op je bankpas gekraakt wordt en je pincode wordt gepubliceerd.

tevens mag hij het lek gewoon publiceren alleen mag hij de keys niet publiceren. het is ook helemaal niet nodig om de keys te publiceren. VAG heeft het lek toegegeven en zal achter de schermen vast wel werken aan een oplossing.
dus censuur is dit niet.

[Reactie gewijzigd door Kenzi op 28 juli 2013 15:53]

Betekenissen van woorden veranderen niet naar gelang de beleving van de situatie...

Martelen is bijv. ook martelen. Dat het toevallig de pedofiel betreft die jouw kinderen misbruikt heeft verandert de betekenis niet - zie?
Dan is het nog steeds censuur als de publicatie verboden wordt.
Hij mag iets niet publiceren = censuur.

Maakt niet uit of de rechter of de staat publicatie verbied.

Ik heb trouwens liever een blokkade en nieuwe bankpas dan censuur op de publicatie.
Ik denk dat nul censuur ook niet erg handig is.
Even een extreem voorbeeld erbij pakken om aan te geven dat er ook grenzen zijn aan het publiceren van infromatie:

Researcher: Ik heb een stofje uitgevonden dat je met huis-tuin-en-keukenmiddelen kan maken en het is zo giftig dat een glas van die stof al het leven in de omgeving van amsterdam kan uitroeien. Hier beschrijf ik hoe je in 10 minuuten een glas van deze stof kan maken. Kosten: 7,50 aan huishoudspullen.

Ik denk dat zoiets, terecht, gecensureerd zou worden bij publicatie.

Een van de problemen met informatie is dat het met de snelheid van het licht kan bewegen. De echte wereld moet zich soms aanpassen aan de beschikbare informatie maar dat gaat niet zo snel. Er ontstaat dan soms een gat dat niet snel genoeg gedicht kan worden en zo kan er veel schade ontstaan uit de publieke beschikbaarheid van de informatie.

Ik denk dat de bezitters van de getroffen auto's ook liever niet willen dat die keys gepubliceerd worden, en dat zijn de mensen die het eigenlijke probleem hebben. De vraag is of deze onderzoeker de mening van deze mensen heeft meegenomen. Ik vermoed van niet.
Ik denk dat door publicatie van de keys deze mensen binnenkort te maken gaan krijgen met een diefstalgolf totdat de fabrikanten het voor elkaar krijgen om alle systemen te upgraden. En dat duurt een tijdje vanwege beperkte capaciteit. De onderzoeker pakt daarmee in eerste instantie dus vooral de bezitters van deze auto's. De fabrikant was toch al van plan die systemen te verbeteren, maar door de publicatie van de keys worden de klanten nog eens extra hard getroffen en dat is onnodig.
En als je even verder leest op Wikipedia: Het doel van censuur is om de status quo te handhaven, om de ontwikkeling van een maatschappij, of een afwijkende mening van een individu of een groep mensen, te onderdrukken.

Ik denk dus niet dat een uitspraak van een onafhankelijke rechter, die verschillende belangen moet afwegen, onder de definitie van censuur valt. Anders wordt het wel een heel breed begrip.
Tsja. Als je dan die definitie volgt: "afwijkende mening...te onderdrukken" gaat toch best op hier.

Maakt dan verder niet uit of het een "onafhankelijke rechter", een generaal met een geweer of de belastinginspecteur is die die mening laat onderdrukken.

Lijkt me tijd om te leren met betere argumenten te komen - hoewel ik zeker wel begrip heb voor je mening en snap waar je heen wil.
Nou.. ik zou de encryptiesleutels zelf geen mening noemen. Alleen het publiceren daarvan is verboden. De 'afwijkende mening' van Garcia dat hij die sleutels wel wil publiceren wordt niet onderdrukt.
De mening wordt niet onderdrukt, er staat in ieder geval niets in het artikel dat ze verboden wordt de kraak naar buiten te brengen. Volgens het artikel wordt enkel verboden de encryptie sleutels achter te houden. Dit is een heel redelijk voorstel, de onderzoekers mogen gewoon vertellen dat het systeem gekraakt is Volkswagen erkent dat de onderzoekers gelijk hebben. Er wordt alleen verboden om in detail uit te leggen hoe je dure auto's moet stelen, waar het natuurlijk op neerkomt als de encryptie sleutels vrijgegeven worden.

Nu is het natuurlijk wel zaak dat Volkswagen of andere verantwoordelijken snel een oplossing voor dit beveiligingslek uitbrengen, maar ze moeten wel de tijd krijgen om dit op te lossen. In een paar weken vervang/repareer je zo'n systeem niet in auto's die over de hele wereld verspreid staan. De tijd die redelijkerwijs nodig zou zijn om dit op te lossen moet je ze dus ook gunnen, als ze dat niet doen kan je daarna nog ervoor kiezen om de sleutels vrij te geven. Een rechter zal dan als die periode verstreken is zeer waarschijnlijk dus wel toestemming geven die informatie te publiceren.
Maar het gaat hier helemaal niet om een mening. Het gaat om een technisch detail. Verder is er natuurlijk wel degelijk sprake van een onafhankelijke rechter, als we die niet meer erkennen is dan is de rechtsstaat zoek en rest ons slechts anarchisme (en dan is je auto zeker niet meer veilig). Censuur is soms gewoon nodig, het is ook lang niet altijd slecht. Het moet alleen niet worden ingezet voor politieke doelen, door de beslissing aan de onafhankelijke rechter over te laten voorkomen we dat.
Het gaat niet om het doel maar om de definitie.

Een ander verbieden zich te uitten = censuur. Het staat dan ook recht tegenover vrijheid van meningsuitting.

Soms vindt de rechter of de staat het geoorloofd censuur op te leggen. Veranderd echter niets aan de definitie.
M.a.w. censuur moet je niet altijd als negatief zien. Het kan ook een goed doel dienen. Maar onze associatie met censuur is over het algemeen puur negatief.

Ik ben van mening dat de rechter gelijk heeft op dit punt punt om het publiceren van de encryptie keys te verbieden. Of je het nu censuur noemt of niet.
Zoals u censuur hier uitlegt ben ik het er niet mee eens, uit uw quote: Het gebruiken van de macht van de staat, een bepaalde groepering, of van bepaalde individuen
De rechter of de rechtbank in de westerse beschaving is een onafhankelijk instituut waar twee partijen een geschil kunnen "uitvechten". Dit geschil wordt in de meeste gevallen door een rechter beoordeeld en daarmee besloten.

Er is hier dus niet sprake van het gebruiken, dan wel misbruiken, van de macht van een staat (bijv. China), bepaalde groepering (bijv. taliban) of bepaalde individuen (dictators). Maar er is hier wel sprake van een via rechtswege uitgevochten geschil waarbij de VAG in het gelijk is gesteld.
Maak je geen illusies, elke software is te kraken met meer of minder brute force.
Dus ook autosoftware en signaalverkeer.
Niets nieuws dus.
Het imago van de VAG heeft er niets mee te maken, ten tijde van uitbrengen was het veilig, hun imago hangt nu af van hoe snel ze het lek dichten.

Ik ben het met de rechter eens, het lek is aangetoond, bevestigd en mag gepubliceerd worden, alléén zonder de sleutel erbij die het voor criminelen mogelijk maakt eea te ontgrendelen en stelen.
Lijkt me geen censuur maar voorlopige bescherming van die dure autobezitters.
Bedenk zelf eens hoe je het zou vinden als bekend is dat jouw superdure onkraakbare voordeurslot makkelijk te openen is en iedereen het truukje weet hoe alle beveiligingen te omzeilen zodat ze bij je spullen kunnen........nog steeds van mening dat ze dat truukje wereldkundig moeten maken? Of volstaat het dan dat ze melden dat jouw slot eventueel te openen is, als je weet hoe en precies het juiste gereedschap hebt?

De VAG zal eea op moeten lossen vóórdat de sleutel/encryptie via andere wegen bekend is
Lijkt me een gevalletje modules uitwisselen met aangepaste software/andere zenders, gevalletje verzekering denk ik. Normaal verzeker je je tegen dit soort onwaarschijnlijkheden waarbij je hele series modellen moet aanpassen op een eerder getest goedbevonden onderdeel dat faalt.
Vreemd: toen de Bluray encryptie sleutels werden vrijgegeven hoorde ik alleen maar juichen uit de community.
Nu het over je auto gaat is iedereen het ermee eens dat de sleutels geheim blijven?

Tweakers rijden blijkbaar graag in Audi en Bentley's :*)
Wellicht omdat het vrijgeven van de Blueray sleutels daadwerkelijk algemeen nut had, het kon gebruikt worden om oa linux spelers te maken. Het vrijgeven van deze sleutels heeft totaal geen algemeen nut, de enigen die er hun voordeel mee kunnen doen zijn criminelen.
Of Mercedes....

Maar in plaats van zinloos blijven hameren dat anderen daar een probleem mee zouden hebben omdat ze het blijkbaar erg vinden dat hun dure bezit zonder sporen van braak, en dus zonder uitkering van de verzekering, gestolen kunnen, ondanks dure veiligheidsmaatregelen, moet je eens bij jezelf te rade gaan hoe je het zou vinden als jouw bezittingen op straat kwamen te liggen...... voor een ieder te grabbel.

Nog steeds blij met een rechter die jouw spullen laat stelen?
Of had je hard gewerkt om die dingen aan te kunnen schaffen en verwacht je dat de rechter jouw belangen behartigd ipv die van criminelen en gauwdieven??
Het gaat hier om kostbare goederen die dan vrij eenvoudig gestolen kunnen worden.

Het is dus in het maatschappelijk belang dat de Crypto Sleutel die gebruikt wordt verborgen te houden tot VAG een oplossing heeft.

Dus nee geen censuur.

Denk eens aan de schade de VAG kan krijgen als de sleutels openbaar worden.
Mee eens, maar vindt wel dat VAG nu zijn encryptie moet aanpassen.

Ze kunnen het trouwens ook niet maken aan hun klanten.
Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creëer je een probleem door de sleutels openbaar te maken...

De fabrikanten hebben echter nu de verplichting updates uit te voeren op de systemen, zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen. Als het systeem niet te updaten is moeten ze dat maar uitvechten met de leverancier en hem aansprakelijk stellen.
zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen.
Ja, want klanten die miinder betalen krijgen die verplichting niet. |:( Wat is dat nou weer voor kromme redenatie?
Klanten die minder betalen krijgen waarschijnlijk heel die encryptie niet. Een audi A3, een Passat of een Golf is nu al zonder schade leeg te roven (is bij 6 van bovengenoemden gebeurd in onze straat, zonder dat iemand wat heeft gemerkt, alle navi en airbags weg)

Zoals in het artikel staat gaat het dus voornamelijk om de duurdere modellen waarbij de sleutel meer functies heeft.
Ik heb het voor elkaar gekregen om sleutel in mijn 2011 Fiat Punto te laten liggen. Deze kon zonder problemen binnen een minuut worden opengemaakt door de ANWB zonder sleutel. Als zij het kunnen, kan een 'gevorderde' crimineel dit ook wel.

Ik heb voorheen tegenover een autogarage gewoond waar ook 12 Ford Focussen waren opgebroken en airbags gestolen. De eigenaar woont er zelf naast, en allemaal stonden ze (volgens de handelaar, maar die vertrouw ik) op slot met autoalarm ingeschakeld.

Van een andere handelaar heb ik begrepen dat de oost Europese autodieven vrij 'vergevorderd' zijn in de diefstal. Zij weten precies hoe die auto's in elkaar zitten en hoe ze de beveiliging moeten omzeilen. Hij legde mij de werkmethode van een diefstal van een Mercedes bij een collega uit, en dat was inderdaad erg geraffineerd en zij wisten goed waar ze mee bezig waren.
Vind je het heel erg gek? Die dingen worden daar allemaal gebouwd in tsjechie, hongarije, noem maar op.
Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creëer je een probleem door de sleutels openbaar te maken...
Ik wil even vaststellen dat het probleem niet gecreëerd wordt door de beveiligingsonderzoekers maar door de fabrikant die een ondeugdelijk product heeft gemaakt.

Daarnaast heeft het helemaal geen nut de sleutels niet te publiceren als wel de zwakheden in de technologie en de gebruikte methode gepubliceerd mogen worden. Een beetje competente onderzoeker herhaalt dan binnen een dag of zo de aanval en heeft dan ook de sleutel.
En als de publicatie een beetje volledig is (inclusief gebruikte tools e.d.) dan kan een script kiddie het ook.

Het geheim ligt op straat, het probleem is daar en er is niks meer aan te doen tenzij je bereid bent het hele onderzoek te censureren. En zelfs dat zou alleen maar een korte tijdwinst opleveren.
Ondeugdelijk product? Het product bevat een fout. Een bug, aangezien het zelfs om een softwarefout gaat waarschijnlijk.
Een product word niet ondeugdelijk door één fout.
Behalve als die fout de kern van het product raakt, zoals hier dus.

Het is overigens wel vaker gebeurd dat een produkt ondeugdelijk was door 1 enkele softwarefout (ontploffing Arianeraket, een ander ruimtevaartuig wat geloof ik op Mars is gecrasht).
Behalve als die fout de kern van het product raakt, zoals hier dus.
De auto zal er echt niet minder om rijden, en afaik is dat nog steeds de kern functionaliteit van een auto.
Maar niet van het beveiligingssysteem.
jemig zeg, ga je nu werkelijk zeggen dat ze een ondeugdelijk product leveren omdat het na weet ik hoe lange tijd gekraakt is? dat jij +1 krijg vind ik al vreemd, maar dat je zoiets durf te zeggen vind ik wel echt het toppunt van verdraaien van de waarheid.
De +1 is omdat het over het onderwerp gaat, meningen staan vrij.
De +1 heeft niets van doen met dat iedereen het daar mee eens is, Dan krijg je +2.

Dat het een niet correct weergeven van de waarheid ben ik met je eens.
Van mij mag hij perfect zijn onderzoek publiceren, maar ik zie het nut niet van de sleutels te publiceren ... Ik vind het dan ook nogal belachelijk van de onderzoeker om eerlijk te zijn.
het is niet belachelijk om eerlijk te zijn maar hij moet wel nadenken over de consequenties van zijn handelingen.

Als hij ALLES publiceert dan is het gevolg dat er volgende week opeens duizenden high profile personen hun auto kwijt zijn zonder diefstal.
Dit gebeurt niet wanneer de encryptie sleutels niet gepubliceerd worden.

Aan de andere kant heeft ie met het publiceren van deze informatie (dat ie het gekraakt heeft) mogelijk ook zichzelf en personen in zijn directe omgeving in de spotlight van de bendes gezet.
Hij heeft alle informatie en apparatuur om high profile autos te kunnen jatten.... waarom moeilijk doen als er al iemand is met die meuk en je het hm alleen maar afhandig hoeft te maken.......

Ja hij doet er goed aan om bekend te maken dat het systeem gekraakt is, echter hoeft dat niet perse publiekelijk. Denk eerst na over de gevolgen van die informatie, het is niet altijd alleen maar om het product te laten verbeteren, denk ook aan de gevolgen voor jezelf en je omgeving.
Wat nou als een bende die meuk wil hebben en zn vrouw en kinderen meeneemt?


blijft echter wel de vraag over: Heeft deze groep researchers dit bij Volkswagen aangekaart en gewacht op een oplossing of is dit dus een poging om Volkswagen te dwingen om het probleem toch op te lossen hoewel ze dat niet wilden.
(neemt niet weg dat de sleutels nog steeds niet gepubliceerd hoeven te worden)

[Reactie gewijzigd door WPN op 28 juli 2013 13:46]

Als je in een Porsche of Bentley rijdt, doe je geen moeite voor een 'low-profile'.

Maar het zou heel slecht zijn voor het imago van de VAG merken wanneer deze auto's masaal gestolen zullen worden. En daar zouden mogelijke 'high-profilel' klanten aan bij kunnen dragen.

Ik kan me voorstellen dat het vervangen of verbeteren van de beveiliging van deze auto's best wel wat tijd gaat kosten.

Interesant is dat deze onderzoekers de encryptie codes hebben ontrafeld door de chip in plakjes te snijden en deze onder de microscoop te analyseren.
Dit proces zou (volgens de Guardian) zo'n £50,000 kosten. Dat lijkt mij voor criminelen behoorlijk bereikbaar. Al zullen er niet veel toegang tot de techniek hebben.

Bovendien, als we VAG mogen geloven wordt de techniek ook in veel andere 'mass market cars' gebruikt, van zowel VAG als anderen. De grote vraag is hier, hoe veel auto's zijn met deze codes te ontgrendelen of misschien zelfs te starten?
Ik denk dat die informatie belangrijker is voor het publiek dan dat die onderzoekers de encryptiecodes vrij beschikbaar maken.

Zelfs als de codes publiek zijn betwijfel ik of het voor een fabrikant uit kan om de beveiliging van een 'gewone' auto te vervangen. Het zal minstens een nieuwe afstandsbediening/sleutel en een software-update in de auto kosten.
Ze zullen het, hopelijk, niet meer gebruiken in nieuwe auto's, maar daar heb je nu weinig aan.
Als je met high-profile bedoelt dat ze decadent met hun rijkdom omgaan okay maar aan high-profile denk ik meer aan de publiciteit zoeken transparant zijn in je handel en wandel.
Met het publiceren van de sleutels zet je VW onder druk om het systeem aan te passen, zowel op nieuwe als op bestaande wagens. Nu er is aangetoond dat er een kwestbaarheid in zit zullen deze wagens een doel vormen van hackers en daarna het criminele milieu. Hoewel het overbodig is om de sleutel onmiddelijk te publiceren dient de mogelijkheid tot publicatie wel te bestaan in het geval VW zijn kop in het zand steekt.
met het publiceren is hij ook medeplichtig aan diefstal als er hiermee auto';s gestolen worden lijkt me. het is aangetoont, het is erkent, dus waarom zou je nu dan nog ook het willen publiceren, en daarmee dus weet ik hoeveel mensen bloot stellen aan financiele schade?
Totdat de sleutels gepubliceerd zijn en met deze sleutels de kraak is getest door andere onderzoekers is er nog helemaal niets hard gemaakt.
Het hoeft helemaal niet door andere (academische) onderzoekers getest te worden. De getroffen fabrikanten hebben gewoon de specificaties van hun hardware en kunnen nagaan of die methode succesvol toe te passen is. En die hebben het onderzoek erkend.
Andere onderzoekers kunnen ook gewoon Garcia's methode volgen en zelf achter de key komen. En dan hadden ze zelf kunnen testen of ze de master key te pakken hadden gekregen. Het publiceren van de keys zou het dus alleen makkelijker maken voor andere onderzoekers om het resultaat te verifieren. Het is echter niet essentieel.
Ik vind jouw reactie vrij kortzichhtig. Als onderzoeker wil je juist presenteren wat je hebt gevonden maar, het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen. Nu wordt het belang van de autoindustrie belangrijker gevonden dan ons educatiesysteem.

Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak. Waar ligt de grens? Wanneer is iets gerechtvaardigd om te publiceren en wanneer denkt de rechter dan de vrijheid van meningsuiting en persvrijheid wel van toepassing is?
Het is duidelijk dat deze rechter zijn handen er niet aan wilde branden.
Nu het duidelijk is dat de beveiliging te kraken is zullen anderen het ook proberen.
Hoe zouden de meningen hier zijn als het hier de OV-chipkaart betrof?
Nou, als de exploitanten zouden aangeven dat het systeem inderdaad zo lek is als een mandje maar daarbij vroeg om de sleutels niet te publiceren totdat er een andere oplossing is dan zou daar mischien naar geluisterd moeten worden.
Het grote probleem met de OV chipkaart was dat er bij hoog en laag beweert werdt dat het ding veilig was.
het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen
De reden dat je dat doet in de wetenschap is omdat je meestal niet 100% zeker van zijn van je resultaten. Je ontwikkelt een theorie, je test om resultaten in werkelijkheid overeen komen met die theorie, dat lukt en je publiceert dat.
Vervolgens hoop je dat anderen je theorie ook testen, om 'm ofwel te falsificeren ofwel nog sterker te maken.

In dit geval is dat echter totaal niet van belang. De fabrikant kan gewoon bevestigen dat je de boel inderdaad gekraakt hebt en daarmee is het klaar.
Er is geen enkel wetenschappelijk belang dat anderen daarna het onderzoek kunnen herhalen.
Ik denk dat het niet zo zeer het belang van de autoindustrie is, maar het belang van de auto-eigenaren. Je zult de autofabrikanten moeilijk aansprakelijk kunnen stellen voor een diefstal. Toen zij de techniek implementeerden was deze veilig (genoeg). (dat is een aanname)

Ik vind het dan ook 'kortzichtig' om te denken dat je auto zo-ie-zo een update zal krijgen omdat de codes op straat liggen. Er kan wel eens wat meer bij komen kijken dan een software-update bij de dealer. Aangezien de onderzoekers deze hebben weten te ontrafelen door de chip te analyseren.
Maar wanneer de encryptie vrij beschikbaar is zal deze makkelijk misbruikt kunnen worden.

Over wetenschap.
Ook zonder de daadwerkelijke codes zal het onderzoek reproduceerbaar zijn. Je zult dan alleen precies hetzelfde moeten doen om die codes te bemachtigen. De short-cut om die codes te gebruiken is alleen niet direct beschikbaar. En daarmee is het niet meer zo makkelijk om (mogelijk illegaal) vervolg onderzoek te verrichten.

[Reactie gewijzigd door R-J_W op 28 juli 2013 17:31]

[q]Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak.[/@]
Dat vind ik volstrekt logisch. Het educatiesysteem dient om de maatschappij te ondersteunen, niet om deze tegen te werken. Het educatiesysteem (is dat eigenlijk wel Nederlands?) dient juist om mensen op te leiden om bij bedrijven als de auto industrie aan de slag te gaan.
Handig dat oa tweakers de volledige namen op het internet zet van deze jongens.
Criminelen weten nu dus per direct bij wie ze moeten aankloppen, hopelijk krijgen deze jongens nu een soort van beveiliging. Ik kan me goed indenken dat criminelen die dit artikel lezen nu op jacht gaan naar deze intelligente jongens.
De achternaam weglaten in dit soort gevallen is geen censureren, het gaat om de veiligheid van 2 slimme (niet criminelen) jongeren.
Ja, want die namen gaan echt niet in het onderzoeksrapport staan. Wanneer je zo een onderzoek maakt en de resultaten publiceerd is naamsbekendheid net 1 van de belangrijke punten.
Nooit gehoord van pseudoniem??

Je kunt prima een proof of concept laten geven door een derde zonder dat je zelf publiekelijk in zicht komt en zodoende een drempel opgooit.
Als voorbeeld wordt de vag-middenklasse aangehaald, die worden bij bosjes gestolen en daar is het belang relatief klein.
Een exclusieve auto weghalen zonder dat je vervalt in home-jacking is ook interessant voor de crimineel zelf. Loopt de schuur binnen, start de auto, rijd een container binnen (kooi van faraday) en als die een voorsprong heeft van enkele uren, merkt de eigenaar dat die weg is. Mocht je een keer worden opgepakt, dan is er sprake van alleen diefstal. Een goede schrik wordt sowieso (terecht) minder gestraft dan (tijdelijk) gijzelen, mishandelen en erger.

Als VAG wijs is, dan bieden ze die jongens een fatsoenlijk bedrag aan 'zwijggeld' aan. Dan kunnen ze iig de periode uitstellen dat het systeem gekraakt wordt. Anderen zullen nu ook aan de slag gaan om te kijken of ze het ook zal lukken, al zal er ongetwijfeld een club zijn die het al kan. De verassing was vrij groot dat het bij BMW ook al kon.
Gewoon allemaal zo`n auto naar keuze cadeau.....als premie.

En dat ze hem de volgende dag kwijt zijn.............(na publicatie)

Ik zou me aardig bescheten voelen als ik iets krijg van enkele tonnen en het door eigen toedoen de volgende dag weer kwijt ben.........(Hee leuk, mijn buurman heeft dezelfde auto zie ik nu op zijn inrit.....Hee mijne is weg.......)

[Reactie gewijzigd door Teijgetje op 29 juli 2013 09:49]

Het is niet alsof er iets geheim is aan wie er op de security-afdelingen van universiteiten werkt hoor. ;) Zie bijvoorbeeld hier, van de RU (daar staat hij op een oude foto ook nog tussen).
De namen staan ook bij het USENIX Security Symposium waar ze een lezing wilde geven, zie https://www.usenix.org/co...cking-vehicle-immobilizer

Beide heren, Garcia en Verdult, zijn zeer knappe en getalenteerde onderzoekers. Verdult heeft eveneens tools ontwikkeld en meegeholpen aan de kraak van de OV-Chipkaart. (http://www.libnfc.org/api/nfc_8c_source.html)
... En nu afwachten of die twee Nederlandse vakgenoten van de Radboud Universiteit *WEL* mogen publiceren. Dit soort 'geheimen' kunnen niet geheim blijven.

Ben ook benieuwd of die merken nu met een terugroepactie of zo de beveiliging alsnog gaan verbeteren.
Het lijkt me logische dat er niet over verteld mag worden, immers zou het een slechte beveiliging zijn.
Alles is te kraken als het moet, het gaat er om dat je ze zo lang mogelijk voor blijft
en dat lukt niet als je criminelen van info voorziet.
Kwestie van verantwoordelijkheid nemen.

de rechter heeft voorkomen gelijk.
Elke beveiliging is te kraken, ik begrijp heel goed dat Volkswagen niet wil dat dit openbaar wordt.
De vraag blijft natuurlijk gaan ze de beveiliging ook aanpassen, het zou me niks verbazen als ze het gewoon zo laten, de sleutels zijn toch nog niet gelekt!
Weer security by obscurity - het enige wat ik iedereen kan aanraden is die merken te boycotten! Want als men dat doet met researchers, wat doet men dan als er een ernstiger probleem is - zoals bij Toyota indertijd? Die hebben dat behoorlijk opgevangen - maar ik heb m'n twijfels over de anderen...
er wordt toch gewoon over gesproken? Het probleem is aangekaart en erkend door VAG. Alleen de manier hoe je die auto's makkelijk kan jatten wordt niet openbaar gemaakt. Maatschappelijk gezien lijkt mij dit de beste oplossing.
Dit is geen Security through obscurity (niet by by the way :) )
Het onderzoek kan gewoon gepubliceerd worden, en straks kan iedereen met de benodigde kennis zelf de keys kraken. Je huissleutels hang je ook niet aan een haakje buiten naast de deur, die houd je voor jezelf, net als men deze sleutel niet direct aan iedereen wil geven.
Ik koop voorlopig geen Lamborghini of Porsche !
ondanks het verweer van Garcia dat dergelijke publicaties juist kwetsbaarheden blootleggen die anders voor het publiek verborgen blijven.
Om die kwetsbaarheden bloot te leggen hoeven de encryptiesleutels niet te worden gepubliceerd lijkt mij. Je kan het criminelen ook te makkelijk maken.

Ben het in dit geval dus 100% met de rechtbank eens

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013