Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 25.766 •
Submitter: cyco2

De Radboud Universiteit noemt het onbegrijpelijk dat een Britse rechtbank een publicatieverbod heeft ingesteld tegen een wetenschappelijk artikel dat een kraakmethode voor Megamos-chips beschrijft. Ook blijkt er een bodemprocedure te volgen voor een langer publicatieverbod.

Twee medewerkers van de Radboud Universiteit Nijmegen, Roel Verdult en Baris Ege, wilden samen met de beveiligingsonderzoeker Flavio Garcia op de Usenix-bijeenkomst een paper publiceren met de titel 'dismantling Megamos Crypto: wirelessly lockpicking a vehicle immobilizer'. Daarin worden kwetsbaarheden beschreven in de verouderde Megamos-chip. Volgens de Radboud Universiteit worden in het onderzoekspaper de kwetsbaarheden in wiskundige termen beschreven en is de analyse van de chip gebaseerd op publiek beschikbare informatie.

De Megamos-chip wordt, ondanks al langer bekende gebreken, nog op grote schaal toegepast binnen de automobielindustrie. Dit was een van de redenen waarom de Volkswagen Groep, waaronder merken als Audi, Bentley, Lamborghini en Porsche vallen, bij het Engelse High Court of Justice in een kort geding een tijdelijk publicatieverbod eist van de paper. De autofabrikant stelde dat met deze kennis op grote schaal dure auto's gestolen kunnen worden. De rechter gaf Volkswagen gelijk waardoor de onderzoekers de paper voorlopig niet openbaar mogen maken.

Volgens de Radboud Universiteit wordt in het onderzoek 'volstrekt niet beschreven' hoe een auto eenvoudig zou kunnen worden gestolen omdat hier andere kennis voor nodig zou zijn. Bovendien zouden de onderzoekers de chipfabrikant negen maanden de tijd hebben gegeven om de problemen te verhelpen, terwijl de Nederlandse overheid een periode van zes maanden al als een acceptabele responsible disclosure zou betitelen.

De Radboud Universiteit zegt dat het publicatieverbod het academisch onderzoek 'ernstig beperkt' terwijl het gaat om een relevant en maatschappelijk actueel thema als cyber security. Naast het tijdelijke publicatieverbod loopt er naar de onderzoekers ook een bodemprocedure. Daarmee zou Volkswagen ook op de langere termijn het onderzoek willen verbieden. Omdat deze procedure nog loopt wil de universiteit verder niets zeggen over de kwestie.

Reacties (130)

Reactiefilter:-11300127+190+218+32
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending. Onduidelijk wat er met het "lek" gedaan is ....
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending. Onduidelijk wat er met het "lek" gedaan is ....
Dat zal er nog wel zitten, de grootste reden om dit soort onderzoeken tegen te houden is dat het ws. een callback van ieder product vergt. In het geval van creditcards lijkt me dat al een dure aangelegenheid, voor auto's zelfs immens
Idd ik snap niet helemaal dat ze niet begrijpen dat zodra ze dit publiceren vrijwel iedere auto van de VAG groep straks word gejat voor de eigenaar de kans krijgt om zijn/haar auto aan te laten passen.
Het probleem is bekend, VAG heeft het bevestigd en ik kan mij niet voorstellen dat ze er nu niets aan doen...
De eigenaren hebben al 9 maanden de kans gehad, het is de VAG groep zelf die hier voor problemen zorgt.
Maar hoe reŽel is het dat de kwetsbare auto's ook binnen deze periode zijn teruggeroepen.

Het recht draait doorgaans om het afwegen van de belangen van de partijen. Enerzijds zijn er de onderzoekers, welke willen publiceren voor de 'credits'. Laten we wel wezen, het is een 'kraak' die leuk op een cv staat.

Anderzijds de belangen van de autofabrikanten. De gevolgen voor deze zullen een stuk verder gaan. Het onderzoek is voor kwaadwillende derden wellicht niet een directe handreiking, maar zal wel een goede indicatie geven hoe de beveiliging gekraakt kan worden: potentiŽle criminelen worden in ieder geval de goede richting op gewezen.

Dan is er nog het maatschappelijk belang. Wint het publiek er daadwerkelijk wat mee dat deze gegevens gepubliceerd worden? Wellicht geeft het wat leuke inzichten voor beveiligingsexperts, maar in het algemeen durf ik wel te stellen dat het beter is om dergelijke informatie buiten het publiek te houden. Niemand zit te wachten op een golf van autoinbraken - ervan uitgaande dat iemand er aan de hand van het onderzoek in slaagt om de kraak te reproduceren.
Ja, het publiek wint er mee net omdat VAG dan gedwongen word om met een oplossing te komen, ook voor alle reeds verkochte wagens. Door het in de doofpot te steken zoals ze nu doen, kunnen ze gerust het kwestbare systeem verder blijven gebruiken alsof er niets aan de hand is. Maar als deze heren het systeem kunnen kraken, dan kunnen criminelen dat ook.
Ik heb op zichzelf niks tegen een soort 'oplossingsplicht' bij dergelijke mankementen. Maar is het proportioneel om de betreffende autofabrikanten te dwingen om alle auto's terug te roepen vanwege de relatief kleine groep welke baat heeft bij publicatie?

Autofabrikanten hoeven niet onder hun verantwoordelijkheid uit, daar gaat me het niet zozeer om. Al is het niet geheel terecht om te stellen dat slechts de autofabrikanten verantwoordelijk zijn. In hun hoedanigheid als eindproducent van auto's zijn zij dat inderdaad, dat neemt echter niet weg dat Megamos tekort is geschoten - en daar zal de claim uiteindelijk ook, al dan niet via de fabrikanten, belanden.
Je vergeet dat alle eigenaren van de getroffen auto's ook baat hebben bij een dergelijke terugroepactie. Immers een dergelijke publicatieverbod houdt niemand tegen hetzelfde onderzoek te doen (wetende dat het mogelijk is).

Auto's met deze beveiliging zullen nog tientallen jaren op de weg zijn. Kortom, het probleem verstoppen helpt niet. Alleen al daarom zou VAG het probleem maar gewoon op moeten lossen. Een ontwerpfout in het ABS zou ook tot een terugroepactie leiden. Waarom zou dat dan niet voor een ontwerpfout in de beveiliging hoeven gelden?
Het publicatie verbod helpt echter wel om het criminelen veel moeilijker te maken om in de tussentijd de auto's te stelen. En daar heeft de consument dus wel degelijk baat bij!
Door het in de doofpot te steken zoals ze nu doen
Welke doofpot? :?

Men heeft gewoon toegeven dat het zaakje inderdaad gekraakt is. Absoluut geen doofpot dus! Men heeft alleen aan de rechter gevraagd het voor criminelen niet honderd keer makkelijker te maken die info te benutten.
Het publicatie verbod helpt echter wel om het criminelen veel moeilijker te maken om in de tussentijd de auto's te stelen. En daar heeft de consument dus wel degelijk baat bij!
Dit publicatieverbod helpt nauwelijks om het criminelen moeilijker te maken. Uiteindelijk werken "de criminelen" met minstens zo veel slimme mensen aan het kraken van dit soort systemen als de Radboud Universiteit. Als de Radbout Universiteit het kan kraken, dan kunnen criminelen dat ook. Het is naÔef om te denken dat autodieven nog steeds individueel werken en een ruitje inslaan voor wat snel geld.

Mijns inziens wil VW de publicatie tegen houden omdat ze anders verantwoordelijk gehouden kunnen worden voor besparingen die ze in het verleden gedaan hebben. Het is dus gewoon een financiele kwestie.

Ik zie veel gelijkenis met het kraken van bankbeveiligingen. In deze kwesties is het ook vaak een zaak van aantonen, bespreken met de betreffende bank, oplossen en publiceren. De bank moet het dan oplossen, en doen ze dat niet snel, dan kan er druk gezet worden met publicatie. Om de banken wat ruimte te geven voor een oplossing is er die 6-maanden termijn. In dit geval moet VW het oplossen. Langer tegenhouden is geen oplossing! Sterker nog, dan blijft het lek bestaan. Dat kan niet in het belang van het publiek zijn.
Wijze woorden. Het gaat hier inderdaad om een ontwerpfout, die de veiligheid van de eindgebruiker in gevaar brengt. Bij een ander systeem zou het direct voor een terugroepactie zorgen (neem de prius met remproblemen als voorbeeld).

Zoals -Tom hierboven al zegt: het gaat om een afweging van belangen. Het belang van de fabrikant is voornamelijk geld, vanwege alle kosten betrokken bij het aanpassen van het huidige systeem. Dit geld hebben ze echter destijds bespaard door een 'verouderd' systeem te recyclen.

Het belang van het publiek is natuurlijk de veiligheid, maar ook heel belangrij: eerlijkheid. Wat moet ik nu vinden van een autobedrijf dat een degelijk onderzoek in de doofpot probeert te stoppen? Censuur heet dat, wat ze onder de noemer 'algemeen belang' proberen te verkopen.

Het argument dat Volkswagen gebruikt dat het publiceren van dit onderzoek zal leiden tot veel autodiefstallen is ook een beetje wazig. Is het openen van deuren de enige beveiliging? Dat zou ik (bij een moderne auto) erg raar vinden. Tegenwoordig zijn er ook dingen als een stuurslot en niet minder belangrijk: een contactslot waar vaak nog een fysieke sleutel in moet.
Het lijkt er zo op dat Volkswagen niet veel zin heeft om toe te geven dat ze een fout hebben gemaakt, dat siert ze niet.
"Een ontwerpfout in het ABS zou ook tot een terugroepactie leiden. Waarom zou dat dan niet voor een ontwerpfout in de beveiliging hoeven gelden?"

Wanneer ABS faalt is dat later nog aan te tonen. (schadeclaims)
Wanneer een auto gestolen is kun je daarna niet meer aantonen hoe de diefstal heeft plaats gevonden (methode). Het bewijsmateriaal (De auto zelf) is immers verdwenen.

Bovendien kan een falend ABS lijden tot lichamelijk letsel terwijl een gestolen auto alleen zal lijden tot financiele schade.
Bovendien kan een falend ABS lijden tot lichamelijk letsel terwijl een gestolen auto alleen zal lijden tot financiele schade.
Een gestolen auto kan ook leiden tot lichamelijk letsel. Ooit een vluchtpoging gezien? Was er onlangs nog een waarbij men benzine had gejat.

Daarnaast, je mag er toch van uitgaan dat een beveiligingssysteem doet waarvoor het ontworpen is: beveiligen?
Als blijkt dat het zo lek als een mandje is, zeker bij auto's in dit prijssegment, dan zou ik me te rade gaan wat me is aangesmeerd en bij de dealer / fabrikant verhaal gaan halen.

Dit verhaal wordt nu dus door de VAG 'begraven' onder een excuus dat men 'algemeen belang' (lees: 'onze portemonnee') noemt.
Helemaal juist. En in de ICT gebruiken we ook al jaren de stelregel 'security by obscuirty is no security'.

Problemen moet je oplossen, een probleem met de remmen, met de koppeling, met de ruitenwisser en ook met de elektronische sleutel.
Ik heb op zichzelf niks tegen een soort 'oplossingsplicht' bij dergelijke mankementen. Maar is het proportioneel om de betreffende autofabrikanten te dwingen om alle auto's terug te roepen vanwege de relatief kleine groep welke baat heeft bij publicatie?
Aangezien ze dit al 9 maanden weten, had de VW groep de impact hiervan kunnen reduceren door aan te bieden om de 'fix' uit te voeren bij het jaarlijks onderhoud of de APK beurt. Het punt dat ze de chip, ondanks de kennis van het probleem, nog steeds inbouwen versterkt het vermoeden dat het standpunt van VW wordt ingenomen vanuit winstbejag, niet vanuit overmacht.
Ach als deze heren het kunnen zullen er misschien nog wel andere slimme gasten zijn die het ook kunnen.

Vergeet niet dat er veel geld omgaat in cybercriminaliteit en wie weet willen wat Oostblok gasten er een paar miljoen in pompen en maken ze dank dankbaar gebruik van de slappe beveiliging.

VW geeft toe dat er een probleem is, denk dat een publicatie het kan verhinderen. De enige reden dat men het wil verbieden is geld. Een terugroepactie zal ze honderden miljoenen kosten. een rechtszaak een fractie.

Probleem is alleen als een andere partij het ook weet te kraken en er met de auto's vandoor gaat. Dan loopt VW alsnog achter de feiten aan en moeten ze toch terugroepen.
Wat voor nut heeft deze publicatie?

Op zich is een verbod niet goed, maar komop, wie helpen die onderzoekers er mee? Enkel de mensen die te dom zijn om het zelf uit te zoeken, maar wel slim genoeg zijn om de paper te lezen en er iets mee te doen...

Als deze onderzoekers de paper niet publiceren, dan wordt deze kwetsbaarheid nooit aan het licht gebracht. Want wie gaat er zich nu gaan bezig houden met zoiets? Behalve security onderzoekers: boeven doen een kosten-baten-analyse:

Hoeveel kost het om een kwetsbaarheid te vinden en te misbruiken vs. hoeveel kost het om met een koevoet de deur van de woning open te breken en de sleutels van tafel te graaien.

Die zogezegde onderzoekers zijn enkel uit op persoonlijke roem. Als ze in eer en geweten een kwetsbaarheid gevonden hebben, dan lichten ze de fabrikant in en houden dan hun mond. Maar neen: tegenwoordig moeten ze het aan de grote klok hangen om hun ego te vergroten. Niks of niemand wint er bij als een kwetsbaarheid uitkomt. En het is niet aan een onderzoeker om druk te zetten op de fabrikant dmv een publicatie.
Alles is te kraken, in het misdaadmilieu bestaan er al dure toestellen waarmee je elke auto kan starten binnen enkele minuten. http://www.youtube.com/watch?v=Jd93w_X8O3E

Persoonlijke room zal idd meespelen, maar dat zorgt mss wel voor dat dit onderzoekt uberhaupt gebeurt.

Stel dit onderzoek komt uit, zou dan een VAG-klant een hogere verzekering moeten betalen?

Vele mensen schreeuwen censuur, maar in dit geval lijkt het me geen censuur in zijn pure vorm omdat het via de rechtbank is gegaan en geval per geval wordt bekeken en dan nog beperkt in de tijd.

Censuur zou willen zeggen dat de staat zelf beslist om een paper al dan niet te laten verschijnen zonder langs het gerecht te gaan. We leven immers in een rechtsstaat. In een rechtsstaat worden burgers tegen de macht van de staat beschermd door wetten.
Het gaat om wetenschap natuurlijk. Het hele punt is kennis opdoen en dat dan publiceren. Het doel van die publicatie is heus niet om de fabrikant dwars te zitten. Je wordt als wetenschapper afgerekend op publicaties. Je moet ook de eerste zijn, anders is het niet nieuw meer en kun je niet meer publiceren. Vandaar de tijdsdruk. Bovendien werken vrijwel alle wetenschappers, in ieder geval promovendi en postdocs, op tijdelijke contracten. Je kunt meestal dus geen jaar wachten met publiceren. Negen maanden is al erg lang, zeker in de informatica.
Het gaat niet echt om terugroepen,
Deze hack is al 9 maanden geleden gemeld aan de fabrikant,
dus bij elke auto-service-beurt hadden ze ondertussen of een software-upgrade, of een module kunnen vervangen.
Er is echter toe nu toe nog geen enkele actie ondernomen,
die VAG is dus hoogst verwijtbaar!
Verwijtbaar? Jij hebt diepgaande kennis van de beveiligingssoftware?
Jij hebt diepgaande kennis van de tijd die nodig is om een fix te schrijven en zeer uitgebreid te testen? (middagje testen is echt niet voldoende)
Jij hebt diepgaande kennis van de tijd die je daarna nodig hebt om het in alle bestaande autos door te voeren?

Ik word een beetje moe van al die figuren die hier zo makkelijk lopen te blaten.
Als ik jou 9 maanden geleden een fatale fout in je software meld,
je miljoenen gebruikers hebt, en je er uiteindelijk niets tegen doet ben je zeker verwijtbaar,
zeker omdat dit niet gaat tegen 1 verantwoordelijk software-persoon, maar tegen een automerk, met ongetwijfeld een softwareteam van 100+ personen...punt uit
Ja, het publiek wint er mee net omdat VAG dan gedwongen word om met een oplossing te komen, ook voor alle reeds verkochte wagens.
Waarom in hemelsnaam? Toen de huidige huisdeursleutels geÔntroduceerd werden waren deze ook een stuk veiliger dan een sleutel met een nummertje er op. Nu kun je ze op elke straathoek laten namaken. Je vraagt de bouwer van je huis toch ook niet om er 20 jaar later even biometrische beveiliging in te zetten? Destijds was de beveiliging afdoende, klaar.
Door het in de doofpot te steken zoals ze nu doen, kunnen ze gerust het kwestbare systeem verder blijven gebruiken alsof er niets aan de hand is.
Dat is inderdaad een punt: het is alsof een huizenbouwer je huis nu nog aflevert met sleuteltje nummer 12. Ze moeten nu gewoon investeren in nieuwe technologie zodat het weer een poosje veilig is. Niet nog verder de oude uitmelken omdat het zo lekker goedkoop is.
Maar als deze heren het systeem kunnen kraken, dan kunnen criminelen dat ook.
Dat kunnen de pro's waarschijnlijk al lang. Ik kan me bijna niet voorstellen dat de Radboud Universiteit de eerste is dit dit ontdekt, wel de eerste die het publiceert.

Criminele organisaties gaan dit natuurlijk niet bekend maken, dan snijden ze in hun eigen vingers. Zo lang een kleine groep professionals hiermee auto's jat gaan de autofabrikanten er niets aan doen. Als de grote massa er bekend mee raakt dan zullen ze wel moeten...
Hoewel ik mij kan vinden in jouw afweging voor het maatschappelijk belang (vanuit de maatschappij gezien), wil ik graag aangeven dat het gewicht wat hangt aan "publiceren voor de credits" wellicht zwaarder ligt dan menigeen ziet. Het willen/moeten publiceren binnen een wetenschappelijke omgeving wordt veelal aangeduid als "publish or perish". Een minimum aantal papers (de enige output die je hebt als wetenschapper) in een bepaalde tijd wordt verwacht (zowel naar de binnenwacht als naar de buitenwacht toe).

Het "high profile" zijn van deze zaak zal waarschijnlijk genoeg zijn om het gat op het C.V. op te vangen, maar geen publicatie in x tijd komt vaak neer op de aanname "je hebt x tijd niets gedaan".

Het stelen van auto's (en andere zaken) is reeds strafbaar. Het blokkeren van dit paper komt naar mijn mening gewoon neer op censuur.

cen∑suur (de; v) 1toezicht op voor publicatie bestemde teksten, films, voorstellingen enz.

[Reactie gewijzigd door dyrc op 29 juli 2013 17:35]

Daar vergis je je toch in. Wat vooral telt zijn de zogenaamde A1 publicaties (internationale peer reviewed magazines). Persaandacht maakt relatief weinig uit op een academisch CV. Tenzij dit in Nederland zo anders verloopt als bij ons in BelgiŽ. In die zin is die 'publish or perish' opmerking inderdaad zeer terecht.

Daarnaast is er echter nog iets als academische vrijheid en als die omgebogen kan worden uit commerciŽle overwegingen, dan zijn we niet goed bezig.

Onderzoek is niet alleen streven naar innovatie, het is eveneens het aan de kaak stellen van wanpraktijken en toetsen van zwaktes in bepaalde aannames. Dat de pers daarover rept, volstaat hoegenaamd niet voor academici. Het is pas wanneer peers alles herevalueren (en ja, dit systeem is ook niet feilloos, maar in ieder geval beter dan afgaan op wat de pers schrijft) dat je ernstig genomen wordt als onderzoeker.

Dat men een redelijke termijn vraagt alvorens te publiceren, kan ik vatten. Een absoluut verbod echter niet. Ik zou het hier ook niet bij laten.

[Reactie gewijzigd door VUB op 31 juli 2013 00:47]

Ik verwacht dat het zo'n storm niet zal lopen met deze golf van autoinbraken, omdat de kennis die hiervoor vereist is het nog steeds niet heel makelijk maakt. Daarnaast durf ik te betwijfelen of de gemiddelde autodief of bende zo makkelijk in staat is om dit soort wetenschappelijke papers te lezen. Dit soort teksten zijn geschreven voor experts door experts, dus vaak is een groot deel van de tekst zo samengeperst dat het ook echt alleen te lezen is voor mensen binnen het veld.

Daarnaast kan het maatschappelijk belang in dit geval verder gaan dan een eventuele golf van autoinbraken. In dit geval raakt het publicatieverbod aan de vrijheid van meningsuiting en ondermijnt het een van de pilaren van de wetenschap: "Standing on the shoulders of giants." Als onderzoek niet gepubliceerd wordt, moet iedereen het wiel opnieuw zelf uitvinden, waardoor de vooruitgang knarsend tot stilstand komt.

Al met al vind ik dit een slecht doordacht en hoogstwaarschijnlijk door (vooral) financiŽle motieven ingegeven besluit.
Ik verwacht dat het storm gaat lopen, hup een paar Porsches a 100.000 euro. criminele bendes investeren hier gewoon in en hebben het geld er voor.

Kijk maar eens hoeveel auto's er in de eu gestolen worden. in Nederland waren het er al meer dan 10.000.
Duitsland 2011 rond de 40.000 dus in heel de EU heb je het over een veelvoud. Leuke handel voor de dief en met dure merken is de schade nog groter en hun winst nog hoger. Dus reken er maar op dat er misbruik van gemaakt zal worden.
Het zal zeker wel met geld te maken hebben maar dat zal niet het enigste zijn.

De onderzoekers mochten van o.a. de VAG groep wel degelijk hun onderzoek publiceren maar zonder de encryptie sleutels. En dat hebben de onderzoekers geweigerd.

En niet zo gemakkelijk voor een bende om wetenschappelijke papers te lezen ? Ze kunnen ook gewoon iemand huren die het wel kan lezen. Geven ze die persoon 100.000 euro, dan zullen ze het snel genoeg terug verdiend hebben.

Vind het geen verkeerde uitspraak. Vond het persť willen publiceren van de encryptie sleutels net een stap te ver
Eigenlijk hebben de eigenaren geen kansen gehad, het is namelijk nog geen 9 maanden bekend bij de eigenaren maar bij de fabrikant. En hoewel ik het wel vervelend voor Volkswagen zou vinden als er bij schiphol een parkeerterrein leeg-gestolen zou worden, denk ik dat er meer kans is dat de auto's bij (particuliere) eigenaren onder de carport weggestolen wordt. Als fabrikant zou ik dan ook niet zitten te wachten op all die schadeclaims.
Het is niet slechts de VAG groep. Zie dit artikel: http://www.bbc.co.uk/news/technology-23487928
Hierin worden VAG, Thales, Honda en Fiat genoemd.
Ook staat hier duidelijk in dat het lek in november 2012, dus bijna 9 maanden geleden werd gemeld, iets dat in veel artikelen niet of te weinig naar voren komt.

Voor de rechter was dit kennelijk een van de hoofdredenen voor de weigering:
"An important factor here was that the academics had not obtained the software from a legitimate source, having downloaded it from an unauthorised website," he said.

"This persuaded the court that the underlying algorithm was confidential in nature, and bearing in mind the public interest of not having security flaws potentially abused by criminal gangs, led to the injunction."
Mag ik er een op wijzen dat sinds 1992 VAG of VAG groep niet meer door Volkswagen als term gebruikt wordt!? De Volkswagen groep heeft de volgende merken: Audi, Bentley, Bugatti, Lamborghini, Porsche, SEAT, ¶koda, Volkswagen, Ducati brand, MAN en Scania.

(ik heb wat kennis van VW, volgende week voor 3e keer bezoek aan Wolfsburg).
Ik vind de titel ook wel leuk, het is toch logische dat ze dit niet mogen publiceren,dat zouden ze zelf ook begrijpen wanneer ze een audi A8 zouden rijden.
Zulke slimmen mensen die op dit ''sociaal'' gebied weer niks begrijpen. Ook al geven ze aan dat niet elke detail in het rapport staat acht ik de kans heel groot dat die resterende details door een beroepsdief ingevuld kan worden.

Die mensen op het Radboud moeten niet denken de enige te zijn met verstand, dat ze de eerste zijn die het willen publiceren vind ik al erg genoeg.

Stel je voor krijg je iets als dit:
https://www.youtube.com/watch?v=z3ESRmg-r3w

[Reactie gewijzigd door JeroenC op 30 juli 2013 07:22]

Deze diefstallen zijn in de VS al gemeengoed.
Het is heel simpel: als je een systeem voor automatische vergendeling maakt moet je _zeker_ weten dat die techniek de eerste 15 jaar niet gekraakt kan worden (= gemiddelde levensduur van een auto). Daarnaast moet je het voor de gebruiker mogelijk maken om deze vergrendeling handmatig uit te schakelen, mocht deze dat willen. De auto is dan alleen nog te openen met de sleutel in het slot.
Security is al een hoofdpijn onderwerp op internet, PC's en smartcards, maar die hebben doorgaans een veel kortere doorlooptijd dan een auto. Ik verbaas me er daarom ook over dat hier (blijkbaar) totaal niet over is nagedacht toen deze techniek werd goedgekeurd voor auto's, zelfs voor modellen van enkele tonnen.
Een hotelslotenfabrikant heeft recent een soortgelijk euvel gehad en die zijn wel met een goede oplossing gekomen. Helaas leggen ze daarbij wel de rekening bij het hotel neer...

[Reactie gewijzigd door Rick2910 op 29 juli 2013 16:39]

Dat is echt een geheel niet te vergelijken techniek, daar vangen ze gewoon de sleutel code af die wordt uitgezonden en gebruiken deze opnieuw. Veel merken in de VS gebruiken of gebruikten noch echt hele oude systemen. Er rijden daar gewoon nog auto's rond die je met een 3 of 4 cijferige code op de deur open kunt maken.

Dit is nog ingrijpender, de startonderbreker is gekraakt. VAG moet hele nieuwe code schrijven en die op de systemen plaatsen, niet echt iets dat je in een weekje doet. Daarom is door de rechter ook verboden om de gebruikte cryptografische sleutel te publiceren. In de samenvatting van de uitspraak die in vanmorgen heb gelezen stond niets over een verbod op de rest van de publicatie.
VAG moet hele nieuwe code schrijven en die op de systemen plaatsen, niet echt iets dat je in een weekje doet.
Ze hebben er negen maanden voor gehad. Meer dan genoeg tijd voor een spoed project om met een oplossing te komen.
"Ach, als het toch niet uitgezonden is, dan weet verder niemand het, dus dan hoeven we er ook niks aan te doen, toch...?"
zoals ik gisteren reeds vermoedde is er gewoon geen reet aan gedaan door de VAG, ze hebben 9 maanden de tijd gehad, zegt genoeg, er is gewoon geen wil om het lek te dichten of men kan het niet, dan doen we het gewoon zo.
alleen komt het toch wel bij 'de criminelen' omdat ze het natuurlijk toch even ergens zullen posten op een onbekend siteje ergens (en groot gelijk ook)
Kan me van mythbusters ook nog mcgyver een aflevering herinneren waarbij ze een of ander superdelux duur vingerafdruk slot met letterlijk een zwartwit print nog voor de gek hielden, mochten ze eerst ook niet uitzenden, tot ze hadden belooft geen naam te noemen en de logos te verbergen hehe.
Of die akoestische bewegingsmelder die zich liet foppen als je een gordijn voor je hield. Dat is allemaal nog tot daar aan toe, want misbruik is erg afhankelijk van de omgeving en situatie waar die melder hangt. Hangt er bijvoorbeeld een camera bij of een detectieoog, dan faalt je inbraak alsnog.
Auto's staan bijna altijd aan de openbare weg en met deze techniek kun je de auto letterlijk binnen 20 seconden leeghalen als je dat wilt, zonder dat de eigenaar hier iets tegen kan doen. Wellicht kan hij zijn systeem opnieuw laten programmeren (ik meen dat dit bij o.a. Audi kan), de vraag is dan alleen wat dat met de functionaliteit en je garantie betekent.
Auto's staan bijna altijd aan de openbare weg en met deze techniek kun je de auto letterlijk binnen 20 seconden leeghalen als je dat wilt, zonder dat de eigenaar hier iets tegen kan doen.
Er bestaat iets als een hamer. Maakt lawaai, maar als je in 20 seconden de auto kan leeghalen, dat is het verschil niet zo groot te noemen. De meeste mensen kijken zelf niet meer op, als een auto alarm afgaat.

Men heeft zelf voor een TV programma eens een auto op klaarlichte dag, in een winkelstraat "gestolen", door hem open te breken, hotwiren, alarm afzetten en voila. Mensen dat de politie gebeld hebben, of vragen gesteld hebben... juist. Als iemand genoeg lef heeft, dan ziet het er meer uit, alsof een eigenaar zijn voertuig terug in gang probeert te krijgen, dan een diefstal.

Een tijd geleden op tweakers geportretteerd, over hoe een beveiligingsfirma ( dat werkte voor de bedrijven in kwestie ), binnenwandelde in bedrijven, en er wifi routers installeerde op het intern netwerk. En was maar 1 keer dat ze betrapt waren. Gewoon met lef, en valse uniformen...

Het probleem met deze zaak, is dat men 9 maanden de tijd had voor een oplossing te voorzien, en zo nodig tijdens de onderhoud periode's de boel aan te passen. En hun klanten / leden aan te schrijven.

Als een researcher deze achterdeur gevonden heeft, dan is er veel kans dat dezelfde truc al toegepast word door criminelen, dat hun bevindingen niet publiceren.

Dit is hetzelfde verhaal, als een auto waarbij de remmen niet goed werken. X aantal ongevallen / jaar / aantal rechten / aantal uitbetalingen vs de kost van een recal / gezichtsverlies. Men laat liever mensen sterven, dan te veel te moeten betalen.

Waarom zou men zich iets aantrekken dat een auto gestolen word? Hell, hoe meer hoe liever, want dat betekend dat de verzekering betaald, en de persoon een nieuw voertuig moet kopen, en 50 a 60% van de mensen zijn merk trouw...

En deze soort van technieken word al gebruikt door criminelen, is al enkel jaren gekend dat die remote systemen nogal gevoelig zijn voor misbruik. Tot op het punt dat verzekeringen weigeren terug te betalen, omdat ze er vanuit gingen, dat het de "klant" zijn schuld was, omdat hij het voertuig open liet staan. Zij gaan er vanuit, geen inbreek schade = schuld van de eigenaar.
Dat ging over RFID chip geloof ik, Ik geef de rechter gelijk dat ze het niet mogen publiceren (uitleggen hoe en wat in Augustus) ivm diefstal, maar vind zeker ook wel dat VW de beveiliging moet aanpassen ook al word er niet bekend gemaakt.
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending.
Die uitzending ging over kwetsbaarheden in RFID. Zie Mythbusters RFID hacking episode canned by credit card company lawyers voor wat meer informatie en een filmpje waarin Adam Savage in gaat op het incident.
Onduidelijk wat er met het "lek" gedaan is ....
Kennelijk was de Radboud Universiteit in dit geval wat minder onder de indruk van de juridische dreiging gezien de presentatie 'hacking smartcards and RFID'.
Het lek van de kredietkaarten zal gedicht zijn door gebruik van de 3 cijferige securitycode op de achterkant en het gebruik van de chip met pincode.
die auto fabrikanten steken hun kop in het zand en hopen dat het niet te vaak gaat gebeuren.
kost ze natuurlijk een kapitaal om het op te lossen.
Heb jij wel eens de sleutels moeten laten vervangen bij een moderne auto? Dat is niets iets dat 'eventjes' gedaan wordt. Meerdere componenten moeten worden uitgewisseld, en kost enkele honderden euros.

En dat voor iets dat eigenlijk helemaal geen issue is... Want de normale autodief heeft niet de kennis en rekenfaciliteiten die een universiteit heeft. Maar wanneer zij de key publiceren, dan hoeven criminelen alleen nog maar dat deel doen, waar ze sowieso goed in zijn!

Goed dat de rechter niet in dezelfde ivoren toren als de wetenschappers is gaan zitten.
Ik denk dat het nogal vergaand is om de wetenschappers ervan te beschuldigen in een ivoren toren te zitten (doorgaans wordt dat als gelegenheidsargument tegen rechters gebruikt trouwens, dus je doet ergens iets verkeerd-om >:)).

In tegenstelling tot eerdere berichtgeving, blijkt uit dit artikel niet dat het alleen om een verbod op het publiceren van een key gaat, maar kennelijk om een algeheel publicatieverbod (of heeft er een redacteur zitten slapen?).

Verder lijkt het me gezien het academische niveau van de gemiddelde Roemeense autodief, nog best waarschijnlijk dat die het zelf ook al uitgevist hebben. Dan is publicatie (zonder de key, maar na 9 maanden nietsdoen zal ik niet te hard gaan zeuren als de key er toch ook bij uitlekt) toch wel de beste maatregel om juist veiligheid af te dwingen.

@mjtdevries: kennelijk bleek dat mij uit het vorige bericht niet ondubbelzinnig. Goed om te horen dat mijn bovenstaande reactie dus op basis van de juiste gegevens is. Leuk kulargument van VW trouwens, van die illegale software. Alsof het onderzoek(sresultaat) daardoor anders zou zijn.

[Reactie gewijzigd door mae-t.net op 30 juli 2013 12:25]

In tegenstelling tot eerdere berichtgeving, blijkt uit dit artikel niet dat het alleen om een verbod op het publiceren van een key gaat, maar kennelijk om een algeheel publicatieverbod (of heeft er een redacteur zitten slapen?).
Niet de redactie heeft zitten slapen, maar JIJ hebt zitten slapen.

Wat er in de eerdere berichtgeving is verteld is het volgende:
De fabrikant had gevraagd aan de onderzoekers om bij hun publicatie de keys niet te publiceren. Dat hebben de onderzoekers geweigerd.
Na de weigering heeft de fabrikant juridische stappen gezet en de rechter heeft nu bepaald dat ze helemaal niet mogen publiceren. (o.a. Omdat ze op illegale wijze aan software zijn gekomen die ze in hun onderzoek hebben gebruikt)
Lekker kop in het zand steken methode van de VAG groep.
Nu het al zoveel in het nieuws komt dat het te kraken is dan gaat de doelgroep die daar baat bij heeft het desnoods zelf wel onderzoeken -> laten onderzoeken ;)
Ik snap ook wel dat bij publicatie van die sleutels de deur gelijk openstaat en dat lijkt mij ook niet de beste oplossing maar als het klopt dat de VAG groep hier al bijna 9 maanden van op de hoogte is en dan nog niet met een goede oplossing is gekomen dan ligt daar toch ook wel een ernstig verwijt.
Om eerlijk te zijn vind ik het publicatie verbod in dit geval wel begrijpelijk. Dit onderzoek is voor autodieven de heilige graal. De onderzoekers moeten dit toch ook snappen.

Een beetje slimme dief kan wellicht reverse engineeren wat er gedaan is en zo eenvoudig (zeer) dure auto's buit gaan maken. Nu worden deze nog vooral gestolen door in te breken in de huizen van eigenaren om zo de sleutels te bemachtigen.

Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Om eerlijk te zijn vind ik het publicatie verbod in dit geval wel begrijpelijk. Dit onderzoek is voor autodieven de heilige graal. De onderzoekers moeten dit toch ook snappen.

Een beetje slimme dief kan wellicht reverse engineeren wat er gedaan is en zo eenvoudig (zeer) dure auto's buit gaan maken. Nu worden deze nog vooral gestolen door in te breken in de huizen van eigenaren om zo de sleutels te bemachtigen.

Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Anderzijds hebben die fabrikanten een ondegelijk product geleverd en dat wisten ze al ruim 9 maanden(maar mogelijk zelfs al jaren omdat de bewuste chip toch al eerder gevoelig bleek te zijn), in plaats van het probleem aan te pakken kies men ervoor de opplossing dood te procederen. Zonde van de vooruitgang en bovenal de vele duizenden onderzoeks euro's die oa. uit de zak van de belastingbetaler komen...
VAG moet een terugroep actie doen als dit mogelijk is. (Je weet niet eens of ze die chip eenvoudig kunnen vervangen.)

Er is echter een derde partij in dit alles, dat zijn de eigenaren van een van de kwetsbare auto's. Die hebben simpelweg geen zin dat hun auto zo gestolen kan worden en zij hebben hierin geen stem. Ik zou niet gelukkig zijn in zo'n geval.
Dat is niet een mening die ik met je deel. De auto's zijn aangeleverd en doen 100% wat er van verwacht word, dat versleuteling te kraken is, tja, ik verwacht niet anders, jij wel? dat is naief te noemen.

In die zin is er onderzoek naar doen ook pure geld verspilling, goh, we hebben een versleuteling gekraakt. Dat hebben ze echter bij zo goed als alle andere versleutelingen ook al gedaan, en blijven ze doen. met genoeg tijd en resources is alles te kraken. Alsof een professionele autodief toch al niet wist hoe hij die mooie mercedes kan stelen. Dat betekend niet dat het daarna maar met de hele wereld gedeelt hoeft te worden.

Het dood proceden van zo'n uitkomst is in mijn ogen begrijpelijk, het is immers niet aan te vechten, en voor een autofrabikant gewoon niet eenvoudig haalbaar om te fixen, en het daarna 6 maanden later weer opnieuw te moeten fixen. Dan kan je de winst wel gedag zeggen, dalende verkoop want de kosten moeten toch ergenst op verhaald worden, dus worden de auto's weer duurder. Niemand wint uiteindelijk.

Je kan niet verwachten dat er miljoenen auto's terug geroepen worden, het is logistiek en financieel gewoon onhaalbaar.
Je kan prima cryptografie implementeren op een horloge welke pas over 20 jaar te kraken is door een overheidsdienst. Lees maar wat rapporten van ECRYPT en NIST. Je mag dat dus wel verwachten.
Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Ja, leuk dat ze het toegeven..., daar heeft alleen niemand iets aan tenzij ze het ook daadwerkelijk oplossen. En daar hebben ze blijkbaar geen zin in:
Bovendien zouden de onderzoekers de chipfabrikant negen maanden de tijd hebben gegeven om de problemen te verhelpen, terwijl de Nederlandse overheid een periode van zes maanden al als een acceptabele responsible disclosure zou betitelen.
Maar wellicht wel om Volkswagen te dwingen wat aan het probleem te doen. Het is leuk dat ze het toegegeven hebben, en nu? Ze hadden negen maanden de tijd om iets te bedenken. Ik heb nog niet van Volkswagen gehoord dat ze een plan hebben, wordt misschien eens tijd.
Ze hebben gezien het al bekend zijn van problemen met het product genoeg tijd gehad schijnbaar.
Nalatigheid ten top...
Ongelooflijk, dit soort praktijken. Het is niet alsof de onderzoekers hiermee kwaad in de zin hebben, het is puur het aan de kaak stellen van een maatschappelijk probleem. En als ik dan ook nog lees dat ze de betreffende automerken ruim de gelegenheid hebben gegeven om het probleem op te lossen, dan lijkt het me helder dat de automobiel-lobby een nieuw dieptepunt heeft bereikt.
De vraag is hoe ver moet je gaan als onderzoeker met publiceren? De onderzoek heeft geen kwaad in de zin, maar je moet toch wel kunnen raden dat als de truc bekend wordt onder de autodieven dat dit een heel groot probleem gaat worden. Daar heb je echt geen Ph.D. voor nodig.

De diefstal van luxe auto's is georganiseerde misdaad en er valt veel geld te verdienen aan gestolen luxe wagens. Deze personen zullen er vast wel moeite in willen steken om dit onderzoek te reproduceren om zo eenvoudiger hun diefstallen te kunnen plegen.
Het idee van het onderzoek is dat je doorgaat met onderzoeken en daarbij de ethiek gebruikt als lijdraad. Nu is het niet zo dat ethiek een vast staand iets is. In de middeleeuwen was het heel geaccepteerd om gevangenen en veroordeelden voor van alles en nog wat te gebruiken, in deze tijd word dat door veel mensen anders gezien.

Als we het nu hadden over een nieuw wapen of het publiceren hoe je in je keuken een atoombom in elkaar kan schroeven dan kan ik me voorstellen dat een rechter publicatie verbied. Maar het gaat hier om de beveiliging van een auto waar onderzoek naar gedaan is met volledig publieke middelen. Plus de auto fabrikanten zijn op de hoogte gesteld. Behalve volledig economische belangen van de fabrikanten word er hier totaal geen recht gedaan aan het recht van de rest van de wereld. Namelijk leren welke fouten er gemaakt zijn en deze op lossen in nieuwe versies... vooruitgang dus. Verder is er natuurlijk het belang van de eigenaren van de auto's die recht hebben op een goede beveiliging als dat beloofd is. Maar nu word er gedaan alsof het probleem opgelost word door het te verzwijgen... ja dat is altijd de beste manier geweest toch?

Wat ik nog stuitender vind is dat er gekeken word of het onderzoek compleet verboden moet worden! Dit gebeurd met dingen als het gebruik van bevruchte eicellen voor stamcel onderzoek (waar je ook over kunt discussiŽren) maar het hier gebruiken vind ik wel erg ver gaan.
In de middeleeuwen was het heel geaccepteerd om gevangenen en veroordeelden voor van alles en nog wat te gebruiken, in deze tijd word dat door veel mensen anders gezien.
Ik denk dat veel mensen geen probleem hebben ( tot op een hoogte ), om gevangen voor van alles en nog wat te gebruiken. Ik denk dat de meeste mensen "stop" zullen zeggen bij: medische experimenten, en testen of een zwaar scherp is ( wat men vroeger deed bij veroordelen in o.a. Japan ).

Maar dwangarbeid??? Je zou verbaast zijn hoeveel mensen "geen" probleem hebben om dit terug te zien voor zware gevallen van misdrijven of beroeps criminelen.
waar onderzoek naar gedaan is met volledig publieke middelen
Dat is niet waar. De rechter heeft vastgesteld dat ze software van de fabrikant gebruikt hebben waar ze op illegale wijze aan zijn gekomen.
"kraakmethode voor Magemos-chips"
"de verouderde Megamos-chip"
"De Magamos-chip"
Mage,Mega,Maga, wat is het nou?

Belachelijk dat hier een publicatieverbod voor is.
Ik snap de reactie van de rechtbank (diefstal van dure auto's niet willen stimuleren), maar een algeheel publicatieverbod is naar mijn idee echter belachelijk. Als deze wetenschappers deze "code" kunnen kraken, kunnen anderen dat ook.

Laat de rechter de publicatie van het artikelen circa 6 maanden opschorten zodat VW de tijd heeft om dit op te lossen. Hoop wel dat er een boete opgelegd wordt indien het probleem niet bijtijds is opgelost.
bij ons op de universiteit werd er speciale aandacht gegeven aan onze plek in de maatschappij en de verantwoordelijkheden die wij als wetenschappers hebben richting de maatschappij. Ik moet beide partijen hier gelijk geven.

De onderzoekers aan het radboud hebben correct gehandeld en zouden hun paper gewoon moeten mogen publiceren. Echter de verspreiders van deze Megamos-chip hebben de veiligheid van hun klanten te garanderen. De rechter had eigenlijk een tijdelijk publicatie verbod en een verplichting tot het verhelpen van het probleem voor de verspreiders van de chip moeten opleggen.

Mwa, ik ben wel van mening dat het blootleggen van security issues de security op lange termijn verbeterd.
De rechter had eigenlijk een tijdelijk publicatie verbod en een verplichting tot het verhelpen van het probleem voor de verspreiders van de chip moeten opleggen.
Probleem is dat de auto fabrikanten, een bodem procedure gestart zijn, tot het voor lange termijn verhinderen van de publicatie.

Gezien het feit dat de onderzoekers, de bedrijven op de hoogte brachten, 9 maanden geleden!!!

Feit is, dat de bedrijven ook hun klanten moeten informeren over dit gebrek, en de verzekeringen, want als een auto gestolen word op deze manier... dan wat.
De Nederlandse rechter dacht bij Mifare-onderzoek van diezelfde Radbout daar hťťl anders over, toen NXP kwam sue-en wegens dreigende schade (http://jure.nl/ecli:nl:rbarn:2008:bd7578). Verschil was wel dat daar al een opvolger beschikbaar was van de gekraakte chip en dat de schade vooral zou gaan zitten in zwartrijden, wat toch van een andere orde kostenpost is dan het stelen van dure auto's.
Ja als je aan de centen komt van de staat heb je een probleem dat als consument je auto makkelijk gejat kan worden... jammer....
Verschil was wel dat daar al een opvolger beschikbaar was van de gekraakte chip en dat de schade vooral zou gaan zitten in zwartrijden, wat toch van een andere orde kostenpost is dan het stelen van dure auto's.
Als ik de informatie op de Staffordshire University Research and Funding Blog is er nog een ander belangrijk verschil: bij dit onderzoek is er ondermeer gebruik gemaakt van een door Volkswagen gebruikte applicatie die niet publiekelijk beschikbaar is. De onderzoekers hebben deze applicatie op internet gevonden maar hadden zich volgens de rechter moeten beseffen dat het gebruik ervan onrechtmatig was.

Op dit moment is er geen volledige uitspraak beschikbaar, vermoedelijk omdat het hier gaat om een voorlopige voorziening. De samenvatting (in docx formaat) op eerder genoemde website bevat echter wel een overzicht van de uitspraak waaruit duidelijk wordt hoe het besluit tot stand is gekomen. Over de software die deels als bron voor het onderzoek fungeerde wordt het volgende gezegd:
Why Volkswagen were seeking an interim injunction (the general facts)
The academics had obtained a software programme from the Internet, which contained algorithms (some of which was encrypted)
...
The reasoning of Justice Birss
...
On the evidence, the software programme had not been obtained from a legitimate source, and the academics had been on notice that its origins were ‘at best murky’. The academics had not attempted to show that the programme was legitimate and had (apparently) taken a reckless approach to its probity.
edit: Artikel van de BBC vermeldt min of meer dezelfde informatie en geeft daarnaast aan dat de tweede partij het Franse Thales is. Het is me niet echt duidelijk of er gebruik is gemaakt van software van Thales of van software die van een algoritme van Thales gebruik maakte. Probleem lijkt in ieder geval dat niet bepaald kan worden of het algoritme door reverse engineering of door diefstal is verkregen.

[Reactie gewijzigd door Tribits op 29 juli 2013 19:00]

Ze hebben 9 maanden de tijd gehad om er iets mee te doen, maar nu is het ineens urgent? Apart dat een rechter daarin meegaat.
Wellicht rijdt deze rechter inmiddels Porsche }>

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Apple Games AMD Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013