Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties, 26.097 views •
Submitter: cyco2

De Radboud Universiteit noemt het onbegrijpelijk dat een Britse rechtbank een publicatieverbod heeft ingesteld tegen een wetenschappelijk artikel dat een kraakmethode voor Megamos-chips beschrijft. Ook blijkt er een bodemprocedure te volgen voor een langer publicatieverbod.

Twee medewerkers van de Radboud Universiteit Nijmegen, Roel Verdult en Baris Ege, wilden samen met de beveiligingsonderzoeker Flavio Garcia op de Usenix-bijeenkomst een paper publiceren met de titel 'dismantling Megamos Crypto: wirelessly lockpicking a vehicle immobilizer'. Daarin worden kwetsbaarheden beschreven in de verouderde Megamos-chip. Volgens de Radboud Universiteit worden in het onderzoekspaper de kwetsbaarheden in wiskundige termen beschreven en is de analyse van de chip gebaseerd op publiek beschikbare informatie.

De Megamos-chip wordt, ondanks al langer bekende gebreken, nog op grote schaal toegepast binnen de automobielindustrie. Dit was een van de redenen waarom de Volkswagen Groep, waaronder merken als Audi, Bentley, Lamborghini en Porsche vallen, bij het Engelse High Court of Justice in een kort geding een tijdelijk publicatieverbod eist van de paper. De autofabrikant stelde dat met deze kennis op grote schaal dure auto's gestolen kunnen worden. De rechter gaf Volkswagen gelijk waardoor de onderzoekers de paper voorlopig niet openbaar mogen maken.

Volgens de Radboud Universiteit wordt in het onderzoek 'volstrekt niet beschreven' hoe een auto eenvoudig zou kunnen worden gestolen omdat hier andere kennis voor nodig zou zijn. Bovendien zouden de onderzoekers de chipfabrikant negen maanden de tijd hebben gegeven om de problemen te verhelpen, terwijl de Nederlandse overheid een periode van zes maanden al als een acceptabele responsible disclosure zou betitelen.

De Radboud Universiteit zegt dat het publicatieverbod het academisch onderzoek 'ernstig beperkt' terwijl het gaat om een relevant en maatschappelijk actueel thema als cyber security. Naast het tijdelijke publicatieverbod loopt er naar de onderzoekers ook een bodemprocedure. Daarmee zou Volkswagen ook op de langere termijn het onderzoek willen verbieden. Omdat deze procedure nog loopt wil de universiteit verder niets zeggen over de kwestie.

Reacties (130)

Reactiefilter:-11300127+190+218+32
Moderatie-faq Wijzig weergave
De Nederlandse rechter dacht bij Mifare-onderzoek van diezelfde Radbout daar hťťl anders over, toen NXP kwam sue-en wegens dreigende schade (http://jure.nl/ecli:nl:rbarn:2008:bd7578). Verschil was wel dat daar al een opvolger beschikbaar was van de gekraakte chip en dat de schade vooral zou gaan zitten in zwartrijden, wat toch van een andere orde kostenpost is dan het stelen van dure auto's.
Verschil was wel dat daar al een opvolger beschikbaar was van de gekraakte chip en dat de schade vooral zou gaan zitten in zwartrijden, wat toch van een andere orde kostenpost is dan het stelen van dure auto's.
Als ik de informatie op de Staffordshire University Research and Funding Blog is er nog een ander belangrijk verschil: bij dit onderzoek is er ondermeer gebruik gemaakt van een door Volkswagen gebruikte applicatie die niet publiekelijk beschikbaar is. De onderzoekers hebben deze applicatie op internet gevonden maar hadden zich volgens de rechter moeten beseffen dat het gebruik ervan onrechtmatig was.

Op dit moment is er geen volledige uitspraak beschikbaar, vermoedelijk omdat het hier gaat om een voorlopige voorziening. De samenvatting (in docx formaat) op eerder genoemde website bevat echter wel een overzicht van de uitspraak waaruit duidelijk wordt hoe het besluit tot stand is gekomen. Over de software die deels als bron voor het onderzoek fungeerde wordt het volgende gezegd:
Why Volkswagen were seeking an interim injunction (the general facts)
The academics had obtained a software programme from the Internet, which contained algorithms (some of which was encrypted)
...
The reasoning of Justice Birss
...
On the evidence, the software programme had not been obtained from a legitimate source, and the academics had been on notice that its origins were ‘at best murky’. The academics had not attempted to show that the programme was legitimate and had (apparently) taken a reckless approach to its probity.
edit: Artikel van de BBC vermeldt min of meer dezelfde informatie en geeft daarnaast aan dat de tweede partij het Franse Thales is. Het is me niet echt duidelijk of er gebruik is gemaakt van software van Thales of van software die van een algoritme van Thales gebruik maakte. Probleem lijkt in ieder geval dat niet bepaald kan worden of het algoritme door reverse engineering of door diefstal is verkregen.

[Reactie gewijzigd door Tribits op 29 juli 2013 19:00]

Ja als je aan de centen komt van de staat heb je een probleem dat als consument je auto makkelijk gejat kan worden... jammer....
Lijkt mij prima dat er een publicatieverbod voor is. Tenzij de voorgaande berichten hierover onjuist waren willen deze onderzoekers veel meer publiceren dan nodig is om wetenschappelijk gezien hun punt te maken. Vooral gezien er gewoon toegegeven is dat het beveiligingsprobleem inderdaad bestaat zie ik ook geen reden waarom details moeten worden vrijgegeven die enkel criminelen helpen.

Ik krijg nogal het idee dat deze onderzoekers zitten te smullen van alle aandacht die ze op deze manier krijgen, en het ze verder niks uitmaakt of die details wel of niet gepubliceerd worden. Dat ze verder geen kwaad in de zin hebben maakt lijkt mij weinig uit nu, de vraag is of er gegronde reden is om details waarmee het veel makkelijker wordt een auto te stelen vrij te geven.

Ook lijkt mij 9 maanden helemaal niet een lange tijd voor een autofabrikant. Ik hoop natuurlijk wel dat ze daadwerkelijk van plan zijn het op te lossen. Maar 6 maanden lijkt me extreem kort voor een autofabrikant bij een niet-essentieel probleem. Het is geen computer programma waarbij de ontwikkelaar met een druk op de knop alles kan patchen. Dit lijkt mij zelf niet belangrijk genoeg om een complete terugroepactie te organiseren, dus als je uitgaat van jaarlijks onderhoud heb je het dan over een jaar die het kost om alles te fixen nadat de oplossing is gevonden en getest.

Wat ook relevant is, wat in het BBC artikel hierover gemeldt wordt: http://www.bbc.co.uk/news/technology-23487928, is dat Thales/Volkswagen slechts wilde dat er een deel van het artikel niet gepubliceerd werd. Ze wilde geen algeheel verbod op publicatie. Nu weet ik natuurlijk niet hoe groot dat gedeelte was, maar het Radboud heeft niet geclaimed dat het daardoor onpubliceerbaar zou worden, dus ik vermoed dat het mee zal vallen.

[Reactie gewijzigd door Sissors op 29 juli 2013 16:25]

In hetzelfde artikel wordt vermeld dat de onderzoekers het gehele document hebben teruggehaald omdat ze eerst zeker willen zijn of de publicatie in zijn geheel tegengehouden mag/kan worden. Dit omdat er volgens de onderzoekers een wetenschappelijk publicatie recht op het onderzoek berust, plus dat de onderzoekers volgens de Nederlandse regelgeving hebben voldaan aan de voorwaarden van publicatie; ze hebben 6 maanden voor publicatie de producenten op de hoogte gesteld. En het draait juist wel om cruciale informatie, want de onderzoekers kunnen een hoop claimen, maar als ze de gekraakte encryptiesleutels niet mogen tonen hebben ze ook helemaal niets bewezen want = uitkomst van het onderzoek.

De universiteit twijfelt er tot nu toe ook niet aan dat ze het mogen publiceren, maar respecteren (voorlopig) de uitspraak om problemen te voorkomen, maar zullen alsnog naar een weg zoeken om het stuk wel te mogen publiceren ondanks dat ze nu hun plekje op de conferentie kwijt zijn. Volgens de onderzoekers had het aanpassen van het onderzoek zoals VW dat had voorgesteld sowieso ervoor gezorgd dat ze de conferentie niet hadden gehaald omdat het onderzoek dan eerst helemaal opnieuw geŽvalueerd had moeten worden. Het is voor hun alles of niets...

Overigens is een half jaar om met een oplossing voor het probleem te komen helemaal niet zo kort... het uitvoeren mag/kan langer duren uiteraard... maar er is dus blijkbaar nog niet eens een oplossing. Buiten dat zou ik zoiets dergelijks niet als 'niet belangrijk genoeg' bestempelen als in potentie alle auto's die uitgerust zijn met die chip 'eenvoudig' gestolen zouden kunnen worden. Het er op lijkt dat VW tot nu toe nog geen actie heeft ondernomen en liever de 'security by obscurity' methode toepast...

[Reactie gewijzigd door MicGlou op 29 juli 2013 17:03]

Vooral gezien er gewoon toegegeven is dat het beveiligingsprobleem inderdaad bestaat zie ik ook geen reden waarom details moeten worden vrijgegeven
Claims in de wetenschap moet je onderbouwen.
Dit doe je met bewijzen en te beschrijven hoe je te werk bent gegaan zodat andere jouw resultaten kan her-produceren en zodoende kan verifiŽren.

Of ze wel of niet toe hebben gegeven of er een lek er is of niet doet er niet toe want hun claims zijn niet op zich te bevestigen of te verwerpen.
Ook lijkt mij 9 maanden helemaal niet een lange tijd voor een autofabrikant.
als er een bug in het veiligheidssysteem zit zijn al die auto's binnen een maand terug geroepen.
Dit lijkt mij zelf niet belangrijk genoeg om een complete terugroepactie te organiseren
Je dient een deugdelijk product te leveren. Toen mijn KIA Picanto bij kassa langs kwam omdat de stoelen mogelijk konden verkleuren kon iedereen ook gewoon zonder gezeur bij de dealer langs. Terugroepacties zijn vrijwillig je mag ook rustig een jaar wachten tot je volgende beurt.
veel meer publiceren dan nodig is om wetenschappelijk gezien hun punt te maken.
Nu weet ik natuurlijk niet hoe groot dat gedeelte was, maar het Radboud heeft niet geclaimed dat het daardoor onpubliceerbaar zou worden, dus ik vermoed dat het mee zal vallen.
Affirmative conclusion from a negative premise

[Reactie gewijzigd door Mr_Light op 29 juli 2013 17:04]

Vooral gezien er gewoon toegegeven is dat het beveiligingsprobleem inderdaad bestaat (..) Ik hoop natuurlijk wel dat ze daadwerkelijk van plan zijn het op te lossen.
Ja, dat hoop je. Als dat paper wel gepubliceerd zou zijn dan heb ik opeens veel meer vertrouwen in de haast die ze daarmee maken...
Ik krijg nogal het idee dat deze onderzoekers zitten te smullen van alle aandacht die ze op deze manier krijgen, en het ze verder niks uitmaakt of die details wel of niet gepubliceerd worden.
- Wie heeft de publiciteit gezocht, de onderzoekers zelf? Nee, dacht het ook niet.
- Aandacht is leuk..., maar vergankelijk. Publiceren (en geciteerd worden in andere publicaties) is waar het echt om draait.
Maar 6 maanden lijkt me extreem kort voor een autofabrikant bij een niet-essentieel probleem.
- Dat de Nederlandse overheid zes maanden genoeg vindt is irrelevant; in dit geval hebben ze negen maanden gehad, dat is het enige wat ertoe doet.
- Als ze twaalf maanden nodig zouden hebben, dan kunnen ze altijd even contact opnemen; dikke kans dat er in goed overleg nog wel iets afgesproken kan worden (en als dat niet lukt kun je altijd nog naar de rechter en in de pers lekker huilen "ja maar, we hebben het lief gevraagd en ze wilden niet luisteren").
- En het belangrijkste: "niet-essentieel"...!? |:( Wat zou volgens jou dan wel essentieel zijn?
Remmen bijvoorbeeld. Of een brandstofleiding met een defect. Vind ik een klein beetje belangrijker, maar dat zal wel persoonlijk zijn.

En gokje, ja de onderzoekers hebben de publiciteit gezocht (al dan niet via persvoorlichting van het Radboud).
Maar 6 maanden lijkt me extreem kort voor een autofabrikant bij een niet-essentieel probleem. Het is geen computer programma waarbij de ontwikkelaar met een druk op de knop alles kan patchen.
Ze kunnen anders wel de chip of het board waar deze op zit vervangen. Dat is natuurlijk wel een (enorme) kostenpost, maar die had je niet gehad als je je zaakjes fatsoenlijk op orde had.

Als -bijvoorbeeld- was gebleken dat de normale sloten eenvoudig met een haarpin open te krijgen waren. Dan waren alle sloten toch gewoon vervangen bij een terug roep aktie?

Dat heeft men in dit geval ook te doen, naar mijn mening.
Het publicatie rapport gaat slechts over een heel klein deel van het hele onderzoeksrapport. En dat hele kleine deel verlaagd de kans dat mijn Mercedes gestolen word aanzienlijk.

Natuurlijk is het allemaal niet fraai, maar laat Radboud maar uitleggen waarom het publiceren van de paar kleine technische details zo noodzakelijk is. Is alleen een toename in het aantal diestallen van dure auto's het bewijs dat ze nodig hebben? Is het feit dat de firma's wiens producten het betreft het reeds toegegeven hebben en op zoek zijn naar een betere oplossing niet voldoende?

De autoindustrie heeft altijd heel veel tijd nodig om dingen te wijzigen voornamelijk omdat ze voor een wereldwijde en ZEER gecontroleerde markt werken. Alleen het feit al dat ze voor dit soort communicatie in verschillende landen verschillende frequencies moeten gebruiken (die allemaal aangevraagd moeten worden en soms gewoon niet beschikbaar zijn). De mensen die schrijven dat Mercedes dit in een paar maanden had kunnen regelen snappen werkelijk niet hoe complex het is. Alleen al het testen van dergelijke systemen kan makkelijk 6 maanden duren.

In de uitspraak van de rechter is die vraag waarom de publicatie van de sleutels zo cruciaal zijn ook duidelijk te lezen. Radboud heeft die vraag eenvoudig niet weten te beantwoorden.
Waarom zouden de onderzoekers iets moeten bewijzen? De autoindustrie heeft een enorm groot probleem. Het is aan hun om aan te geven waarom ze extra tijd nodig hebben. Waarom zou een universiteit niet hun onderzoek mogen publiceren?

Je draait alles enorm om. En dat gedeelte over frequenties, wat maakt dat uit?
Waar staat dat de autofabrikanten het al 9 maanden weten? De chipfabrikant werd op de hoogte gesteld, maar het is maar de vraag of die fabrikant de autobouwers meteen heeft verteld dat hun product onveilig is. Sterker nog, dat is vrij onwaarschijnlijk.

Het ontwikkelen, testen en produceren van zo'n gewijzigd systeem en het uitrollen in de productie van de auto kost minstens een jaar. Als er ook nog bestaande auto's teruggeroepen en omgebouwd moeten worden duurt dat natuurlijk ook een tijd. Leuk dat de Nederlandse regering 6 maanden als redelijke termijn ziet, dat is realistisch voor software, niet voor veiligheidsrelevante hardware, en al helemaal niet voor producten zo complex als een moderne auto.

Bovendien wil de VAG niet de hele publicatie in de doofpot steken, ze wilden alleen dat bepaalde kritische details uit het paper weggelaten werden om criminelen niet in de kaart te spelen. De reden dat de ontdekkers daarover zo moeilijk deden is dat het paper dan nog een keer door een peer-review moest, en dat ze dan een conferentie zouden missen.
De Radboud Universiteit noemt het onbegrijpelijk dat een Britse rechtbank een publicatieverbod heeft ingesteld tegen een wetenschappelijk artikel dat een kraakmethode voor Megamos-chips beschrijft
Zo zie je maar weer dat er maar weer wat van de daken geschreeuwd wordt. Volkswagen en de rechter hadden geen probleem met de publicatie van het wetenschappelijk artikel zelf, maar de hele rechtzaak was tegen het publiceren van de gekraakte sleutel zelf..
[...]
Zo zie je maar weer dat er maar weer wat van de daken geschreeuwd wordt. Volkswagen en de rechter hadden geen probleem met de publicatie van het wetenschappelijk artikel zelf, maar de hele rechtzaak was tegen het publiceren van de gekraakte sleutel zelf..
Nou,.....
Het artikel onthult in wiskundige termen de zwakheid van de chip, en is gebaseerd op een analyse van publiekelijk beschikbare informatie. In de publicatie wordt volstrekt niet beschreven hoe een auto gemakkelijk gestolen kan worden. Er is heel andere informatie nodig om dat te kunnen.
(bron : Radboud Universiteit )
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending. Onduidelijk wat er met het "lek" gedaan is ....
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending.
Die uitzending ging over kwetsbaarheden in RFID. Zie Mythbusters RFID hacking episode canned by credit card company lawyers voor wat meer informatie en een filmpje waarin Adam Savage in gaat op het incident.
Onduidelijk wat er met het "lek" gedaan is ....
Kennelijk was de Radboud Universiteit in dit geval wat minder onder de indruk van de juridische dreiging gezien de presentatie 'hacking smartcards and RFID'.
De Mythbuster hebben een vergelijkbaar geintje gehad met creditcards. Schijnbaar zijn die ook heel goed kraakbaar maar staken VISA en Mastercard vroegtijdig een stokje voor de uitzending. Onduidelijk wat er met het "lek" gedaan is ....
Dat zal er nog wel zitten, de grootste reden om dit soort onderzoeken tegen te houden is dat het ws. een callback van ieder product vergt. In het geval van creditcards lijkt me dat al een dure aangelegenheid, voor auto's zelfs immens
Deze diefstallen zijn in de VS al gemeengoed.
Het is heel simpel: als je een systeem voor automatische vergendeling maakt moet je _zeker_ weten dat die techniek de eerste 15 jaar niet gekraakt kan worden (= gemiddelde levensduur van een auto). Daarnaast moet je het voor de gebruiker mogelijk maken om deze vergrendeling handmatig uit te schakelen, mocht deze dat willen. De auto is dan alleen nog te openen met de sleutel in het slot.
Security is al een hoofdpijn onderwerp op internet, PC's en smartcards, maar die hebben doorgaans een veel kortere doorlooptijd dan een auto. Ik verbaas me er daarom ook over dat hier (blijkbaar) totaal niet over is nagedacht toen deze techniek werd goedgekeurd voor auto's, zelfs voor modellen van enkele tonnen.
Een hotelslotenfabrikant heeft recent een soortgelijk euvel gehad en die zijn wel met een goede oplossing gekomen. Helaas leggen ze daarbij wel de rekening bij het hotel neer...

[Reactie gewijzigd door Rick2910 op 29 juli 2013 16:39]

Dat is echt een geheel niet te vergelijken techniek, daar vangen ze gewoon de sleutel code af die wordt uitgezonden en gebruiken deze opnieuw. Veel merken in de VS gebruiken of gebruikten noch echt hele oude systemen. Er rijden daar gewoon nog auto's rond die je met een 3 of 4 cijferige code op de deur open kunt maken.

Dit is nog ingrijpender, de startonderbreker is gekraakt. VAG moet hele nieuwe code schrijven en die op de systemen plaatsen, niet echt iets dat je in een weekje doet. Daarom is door de rechter ook verboden om de gebruikte cryptografische sleutel te publiceren. In de samenvatting van de uitspraak die in vanmorgen heb gelezen stond niets over een verbod op de rest van de publicatie.
VAG moet hele nieuwe code schrijven en die op de systemen plaatsen, niet echt iets dat je in een weekje doet.
Ze hebben er negen maanden voor gehad. Meer dan genoeg tijd voor een spoed project om met een oplossing te komen.
Idd ik snap niet helemaal dat ze niet begrijpen dat zodra ze dit publiceren vrijwel iedere auto van de VAG groep straks word gejat voor de eigenaar de kans krijgt om zijn/haar auto aan te laten passen.
Het probleem is bekend, VAG heeft het bevestigd en ik kan mij niet voorstellen dat ze er nu niets aan doen...
Het is niet slechts de VAG groep. Zie dit artikel: http://www.bbc.co.uk/news/technology-23487928
Hierin worden VAG, Thales, Honda en Fiat genoemd.
Ook staat hier duidelijk in dat het lek in november 2012, dus bijna 9 maanden geleden werd gemeld, iets dat in veel artikelen niet of te weinig naar voren komt.

Voor de rechter was dit kennelijk een van de hoofdredenen voor de weigering:
"An important factor here was that the academics had not obtained the software from a legitimate source, having downloaded it from an unauthorised website," he said.

"This persuaded the court that the underlying algorithm was confidential in nature, and bearing in mind the public interest of not having security flaws potentially abused by criminal gangs, led to the injunction."
De eigenaren hebben al 9 maanden de kans gehad, het is de VAG groep zelf die hier voor problemen zorgt.
Maar hoe reŽel is het dat de kwetsbare auto's ook binnen deze periode zijn teruggeroepen.

Het recht draait doorgaans om het afwegen van de belangen van de partijen. Enerzijds zijn er de onderzoekers, welke willen publiceren voor de 'credits'. Laten we wel wezen, het is een 'kraak' die leuk op een cv staat.

Anderzijds de belangen van de autofabrikanten. De gevolgen voor deze zullen een stuk verder gaan. Het onderzoek is voor kwaadwillende derden wellicht niet een directe handreiking, maar zal wel een goede indicatie geven hoe de beveiliging gekraakt kan worden: potentiŽle criminelen worden in ieder geval de goede richting op gewezen.

Dan is er nog het maatschappelijk belang. Wint het publiek er daadwerkelijk wat mee dat deze gegevens gepubliceerd worden? Wellicht geeft het wat leuke inzichten voor beveiligingsexperts, maar in het algemeen durf ik wel te stellen dat het beter is om dergelijke informatie buiten het publiek te houden. Niemand zit te wachten op een golf van autoinbraken - ervan uitgaande dat iemand er aan de hand van het onderzoek in slaagt om de kraak te reproduceren.
Hoewel ik mij kan vinden in jouw afweging voor het maatschappelijk belang (vanuit de maatschappij gezien), wil ik graag aangeven dat het gewicht wat hangt aan "publiceren voor de credits" wellicht zwaarder ligt dan menigeen ziet. Het willen/moeten publiceren binnen een wetenschappelijke omgeving wordt veelal aangeduid als "publish or perish". Een minimum aantal papers (de enige output die je hebt als wetenschapper) in een bepaalde tijd wordt verwacht (zowel naar de binnenwacht als naar de buitenwacht toe).

Het "high profile" zijn van deze zaak zal waarschijnlijk genoeg zijn om het gat op het C.V. op te vangen, maar geen publicatie in x tijd komt vaak neer op de aanname "je hebt x tijd niets gedaan".

Het stelen van auto's (en andere zaken) is reeds strafbaar. Het blokkeren van dit paper komt naar mijn mening gewoon neer op censuur.

cen∑suur (de; v) 1toezicht op voor publicatie bestemde teksten, films, voorstellingen enz.

[Reactie gewijzigd door dyrc op 29 juli 2013 17:35]

Daar vergis je je toch in. Wat vooral telt zijn de zogenaamde A1 publicaties (internationale peer reviewed magazines). Persaandacht maakt relatief weinig uit op een academisch CV. Tenzij dit in Nederland zo anders verloopt als bij ons in BelgiŽ. In die zin is die 'publish or perish' opmerking inderdaad zeer terecht.

Daarnaast is er echter nog iets als academische vrijheid en als die omgebogen kan worden uit commerciŽle overwegingen, dan zijn we niet goed bezig.

Onderzoek is niet alleen streven naar innovatie, het is eveneens het aan de kaak stellen van wanpraktijken en toetsen van zwaktes in bepaalde aannames. Dat de pers daarover rept, volstaat hoegenaamd niet voor academici. Het is pas wanneer peers alles herevalueren (en ja, dit systeem is ook niet feilloos, maar in ieder geval beter dan afgaan op wat de pers schrijft) dat je ernstig genomen wordt als onderzoeker.

Dat men een redelijke termijn vraagt alvorens te publiceren, kan ik vatten. Een absoluut verbod echter niet. Ik zou het hier ook niet bij laten.

[Reactie gewijzigd door VUB op 31 juli 2013 00:47]

Ja, het publiek wint er mee net omdat VAG dan gedwongen word om met een oplossing te komen, ook voor alle reeds verkochte wagens. Door het in de doofpot te steken zoals ze nu doen, kunnen ze gerust het kwestbare systeem verder blijven gebruiken alsof er niets aan de hand is. Maar als deze heren het systeem kunnen kraken, dan kunnen criminelen dat ook.
Ik heb op zichzelf niks tegen een soort 'oplossingsplicht' bij dergelijke mankementen. Maar is het proportioneel om de betreffende autofabrikanten te dwingen om alle auto's terug te roepen vanwege de relatief kleine groep welke baat heeft bij publicatie?

Autofabrikanten hoeven niet onder hun verantwoordelijkheid uit, daar gaat me het niet zozeer om. Al is het niet geheel terecht om te stellen dat slechts de autofabrikanten verantwoordelijk zijn. In hun hoedanigheid als eindproducent van auto's zijn zij dat inderdaad, dat neemt echter niet weg dat Megamos tekort is geschoten - en daar zal de claim uiteindelijk ook, al dan niet via de fabrikanten, belanden.
Je vergeet dat alle eigenaren van de getroffen auto's ook baat hebben bij een dergelijke terugroepactie. Immers een dergelijke publicatieverbod houdt niemand tegen hetzelfde onderzoek te doen (wetende dat het mogelijk is).

Auto's met deze beveiliging zullen nog tientallen jaren op de weg zijn. Kortom, het probleem verstoppen helpt niet. Alleen al daarom zou VAG het probleem maar gewoon op moeten lossen. Een ontwerpfout in het ABS zou ook tot een terugroepactie leiden. Waarom zou dat dan niet voor een ontwerpfout in de beveiliging hoeven gelden?
Wijze woorden. Het gaat hier inderdaad om een ontwerpfout, die de veiligheid van de eindgebruiker in gevaar brengt. Bij een ander systeem zou het direct voor een terugroepactie zorgen (neem de prius met remproblemen als voorbeeld).

Zoals -Tom hierboven al zegt: het gaat om een afweging van belangen. Het belang van de fabrikant is voornamelijk geld, vanwege alle kosten betrokken bij het aanpassen van het huidige systeem. Dit geld hebben ze echter destijds bespaard door een 'verouderd' systeem te recyclen.

Het belang van het publiek is natuurlijk de veiligheid, maar ook heel belangrij: eerlijkheid. Wat moet ik nu vinden van een autobedrijf dat een degelijk onderzoek in de doofpot probeert te stoppen? Censuur heet dat, wat ze onder de noemer 'algemeen belang' proberen te verkopen.

Het argument dat Volkswagen gebruikt dat het publiceren van dit onderzoek zal leiden tot veel autodiefstallen is ook een beetje wazig. Is het openen van deuren de enige beveiliging? Dat zou ik (bij een moderne auto) erg raar vinden. Tegenwoordig zijn er ook dingen als een stuurslot en niet minder belangrijk: een contactslot waar vaak nog een fysieke sleutel in moet.
Het lijkt er zo op dat Volkswagen niet veel zin heeft om toe te geven dat ze een fout hebben gemaakt, dat siert ze niet.
Het publicatie verbod helpt echter wel om het criminelen veel moeilijker te maken om in de tussentijd de auto's te stelen. En daar heeft de consument dus wel degelijk baat bij!
Door het in de doofpot te steken zoals ze nu doen
Welke doofpot? :?

Men heeft gewoon toegeven dat het zaakje inderdaad gekraakt is. Absoluut geen doofpot dus! Men heeft alleen aan de rechter gevraagd het voor criminelen niet honderd keer makkelijker te maken die info te benutten.
Het publicatie verbod helpt echter wel om het criminelen veel moeilijker te maken om in de tussentijd de auto's te stelen. En daar heeft de consument dus wel degelijk baat bij!
Dit publicatieverbod helpt nauwelijks om het criminelen moeilijker te maken. Uiteindelijk werken "de criminelen" met minstens zo veel slimme mensen aan het kraken van dit soort systemen als de Radboud Universiteit. Als de Radbout Universiteit het kan kraken, dan kunnen criminelen dat ook. Het is naÔef om te denken dat autodieven nog steeds individueel werken en een ruitje inslaan voor wat snel geld.

Mijns inziens wil VW de publicatie tegen houden omdat ze anders verantwoordelijk gehouden kunnen worden voor besparingen die ze in het verleden gedaan hebben. Het is dus gewoon een financiele kwestie.

Ik zie veel gelijkenis met het kraken van bankbeveiligingen. In deze kwesties is het ook vaak een zaak van aantonen, bespreken met de betreffende bank, oplossen en publiceren. De bank moet het dan oplossen, en doen ze dat niet snel, dan kan er druk gezet worden met publicatie. Om de banken wat ruimte te geven voor een oplossing is er die 6-maanden termijn. In dit geval moet VW het oplossen. Langer tegenhouden is geen oplossing! Sterker nog, dan blijft het lek bestaan. Dat kan niet in het belang van het publiek zijn.
"Een ontwerpfout in het ABS zou ook tot een terugroepactie leiden. Waarom zou dat dan niet voor een ontwerpfout in de beveiliging hoeven gelden?"

Wanneer ABS faalt is dat later nog aan te tonen. (schadeclaims)
Wanneer een auto gestolen is kun je daarna niet meer aantonen hoe de diefstal heeft plaats gevonden (methode). Het bewijsmateriaal (De auto zelf) is immers verdwenen.

Bovendien kan een falend ABS lijden tot lichamelijk letsel terwijl een gestolen auto alleen zal lijden tot financiele schade.
Bovendien kan een falend ABS lijden tot lichamelijk letsel terwijl een gestolen auto alleen zal lijden tot financiele schade.
Een gestolen auto kan ook leiden tot lichamelijk letsel. Ooit een vluchtpoging gezien? Was er onlangs nog een waarbij men benzine had gejat.

Daarnaast, je mag er toch van uitgaan dat een beveiligingssysteem doet waarvoor het ontworpen is: beveiligen?
Als blijkt dat het zo lek als een mandje is, zeker bij auto's in dit prijssegment, dan zou ik me te rade gaan wat me is aangesmeerd en bij de dealer / fabrikant verhaal gaan halen.

Dit verhaal wordt nu dus door de VAG 'begraven' onder een excuus dat men 'algemeen belang' (lees: 'onze portemonnee') noemt.
Helemaal juist. En in de ICT gebruiken we ook al jaren de stelregel 'security by obscuirty is no security'.

Problemen moet je oplossen, een probleem met de remmen, met de koppeling, met de ruitenwisser en ook met de elektronische sleutel.
Ach als deze heren het kunnen zullen er misschien nog wel andere slimme gasten zijn die het ook kunnen.

Vergeet niet dat er veel geld omgaat in cybercriminaliteit en wie weet willen wat Oostblok gasten er een paar miljoen in pompen en maken ze dank dankbaar gebruik van de slappe beveiliging.

VW geeft toe dat er een probleem is, denk dat een publicatie het kan verhinderen. De enige reden dat men het wil verbieden is geld. Een terugroepactie zal ze honderden miljoenen kosten. een rechtszaak een fractie.

Probleem is alleen als een andere partij het ook weet te kraken en er met de auto's vandoor gaat. Dan loopt VW alsnog achter de feiten aan en moeten ze toch terugroepen.
Wat voor nut heeft deze publicatie?

Op zich is een verbod niet goed, maar komop, wie helpen die onderzoekers er mee? Enkel de mensen die te dom zijn om het zelf uit te zoeken, maar wel slim genoeg zijn om de paper te lezen en er iets mee te doen...

Als deze onderzoekers de paper niet publiceren, dan wordt deze kwetsbaarheid nooit aan het licht gebracht. Want wie gaat er zich nu gaan bezig houden met zoiets? Behalve security onderzoekers: boeven doen een kosten-baten-analyse:

Hoeveel kost het om een kwetsbaarheid te vinden en te misbruiken vs. hoeveel kost het om met een koevoet de deur van de woning open te breken en de sleutels van tafel te graaien.

Die zogezegde onderzoekers zijn enkel uit op persoonlijke roem. Als ze in eer en geweten een kwetsbaarheid gevonden hebben, dan lichten ze de fabrikant in en houden dan hun mond. Maar neen: tegenwoordig moeten ze het aan de grote klok hangen om hun ego te vergroten. Niks of niemand wint er bij als een kwetsbaarheid uitkomt. En het is niet aan een onderzoeker om druk te zetten op de fabrikant dmv een publicatie.
Alles is te kraken, in het misdaadmilieu bestaan er al dure toestellen waarmee je elke auto kan starten binnen enkele minuten. http://www.youtube.com/watch?v=Jd93w_X8O3E

Persoonlijke room zal idd meespelen, maar dat zorgt mss wel voor dat dit onderzoekt uberhaupt gebeurt.

Stel dit onderzoek komt uit, zou dan een VAG-klant een hogere verzekering moeten betalen?

Vele mensen schreeuwen censuur, maar in dit geval lijkt het me geen censuur in zijn pure vorm omdat het via de rechtbank is gegaan en geval per geval wordt bekeken en dan nog beperkt in de tijd.

Censuur zou willen zeggen dat de staat zelf beslist om een paper al dan niet te laten verschijnen zonder langs het gerecht te gaan. We leven immers in een rechtsstaat. In een rechtsstaat worden burgers tegen de macht van de staat beschermd door wetten.
Het gaat om wetenschap natuurlijk. Het hele punt is kennis opdoen en dat dan publiceren. Het doel van die publicatie is heus niet om de fabrikant dwars te zitten. Je wordt als wetenschapper afgerekend op publicaties. Je moet ook de eerste zijn, anders is het niet nieuw meer en kun je niet meer publiceren. Vandaar de tijdsdruk. Bovendien werken vrijwel alle wetenschappers, in ieder geval promovendi en postdocs, op tijdelijke contracten. Je kunt meestal dus geen jaar wachten met publiceren. Negen maanden is al erg lang, zeker in de informatica.
Het gaat niet echt om terugroepen,
Deze hack is al 9 maanden geleden gemeld aan de fabrikant,
dus bij elke auto-service-beurt hadden ze ondertussen of een software-upgrade, of een module kunnen vervangen.
Er is echter toe nu toe nog geen enkele actie ondernomen,
die VAG is dus hoogst verwijtbaar!
Verwijtbaar? Jij hebt diepgaande kennis van de beveiligingssoftware?
Jij hebt diepgaande kennis van de tijd die nodig is om een fix te schrijven en zeer uitgebreid te testen? (middagje testen is echt niet voldoende)
Jij hebt diepgaande kennis van de tijd die je daarna nodig hebt om het in alle bestaande autos door te voeren?

Ik word een beetje moe van al die figuren die hier zo makkelijk lopen te blaten.
Als ik jou 9 maanden geleden een fatale fout in je software meld,
je miljoenen gebruikers hebt, en je er uiteindelijk niets tegen doet ben je zeker verwijtbaar,
zeker omdat dit niet gaat tegen 1 verantwoordelijk software-persoon, maar tegen een automerk, met ongetwijfeld een softwareteam van 100+ personen...punt uit
Ik heb op zichzelf niks tegen een soort 'oplossingsplicht' bij dergelijke mankementen. Maar is het proportioneel om de betreffende autofabrikanten te dwingen om alle auto's terug te roepen vanwege de relatief kleine groep welke baat heeft bij publicatie?
Aangezien ze dit al 9 maanden weten, had de VW groep de impact hiervan kunnen reduceren door aan te bieden om de 'fix' uit te voeren bij het jaarlijks onderhoud of de APK beurt. Het punt dat ze de chip, ondanks de kennis van het probleem, nog steeds inbouwen versterkt het vermoeden dat het standpunt van VW wordt ingenomen vanuit winstbejag, niet vanuit overmacht.
Ja, het publiek wint er mee net omdat VAG dan gedwongen word om met een oplossing te komen, ook voor alle reeds verkochte wagens.
Waarom in hemelsnaam? Toen de huidige huisdeursleutels geÔntroduceerd werden waren deze ook een stuk veiliger dan een sleutel met een nummertje er op. Nu kun je ze op elke straathoek laten namaken. Je vraagt de bouwer van je huis toch ook niet om er 20 jaar later even biometrische beveiliging in te zetten? Destijds was de beveiliging afdoende, klaar.
Door het in de doofpot te steken zoals ze nu doen, kunnen ze gerust het kwestbare systeem verder blijven gebruiken alsof er niets aan de hand is.
Dat is inderdaad een punt: het is alsof een huizenbouwer je huis nu nog aflevert met sleuteltje nummer 12. Ze moeten nu gewoon investeren in nieuwe technologie zodat het weer een poosje veilig is. Niet nog verder de oude uitmelken omdat het zo lekker goedkoop is.
Maar als deze heren het systeem kunnen kraken, dan kunnen criminelen dat ook.
Dat kunnen de pro's waarschijnlijk al lang. Ik kan me bijna niet voorstellen dat de Radboud Universiteit de eerste is dit dit ontdekt, wel de eerste die het publiceert.

Criminele organisaties gaan dit natuurlijk niet bekend maken, dan snijden ze in hun eigen vingers. Zo lang een kleine groep professionals hiermee auto's jat gaan de autofabrikanten er niets aan doen. Als de grote massa er bekend mee raakt dan zullen ze wel moeten...
Ik verwacht dat het zo'n storm niet zal lopen met deze golf van autoinbraken, omdat de kennis die hiervoor vereist is het nog steeds niet heel makelijk maakt. Daarnaast durf ik te betwijfelen of de gemiddelde autodief of bende zo makkelijk in staat is om dit soort wetenschappelijke papers te lezen. Dit soort teksten zijn geschreven voor experts door experts, dus vaak is een groot deel van de tekst zo samengeperst dat het ook echt alleen te lezen is voor mensen binnen het veld.

Daarnaast kan het maatschappelijk belang in dit geval verder gaan dan een eventuele golf van autoinbraken. In dit geval raakt het publicatieverbod aan de vrijheid van meningsuiting en ondermijnt het een van de pilaren van de wetenschap: "Standing on the shoulders of giants." Als onderzoek niet gepubliceerd wordt, moet iedereen het wiel opnieuw zelf uitvinden, waardoor de vooruitgang knarsend tot stilstand komt.

Al met al vind ik dit een slecht doordacht en hoogstwaarschijnlijk door (vooral) financiŽle motieven ingegeven besluit.
Ik verwacht dat het storm gaat lopen, hup een paar Porsches a 100.000 euro. criminele bendes investeren hier gewoon in en hebben het geld er voor.

Kijk maar eens hoeveel auto's er in de eu gestolen worden. in Nederland waren het er al meer dan 10.000.
Duitsland 2011 rond de 40.000 dus in heel de EU heb je het over een veelvoud. Leuke handel voor de dief en met dure merken is de schade nog groter en hun winst nog hoger. Dus reken er maar op dat er misbruik van gemaakt zal worden.
Het zal zeker wel met geld te maken hebben maar dat zal niet het enigste zijn.

De onderzoekers mochten van o.a. de VAG groep wel degelijk hun onderzoek publiceren maar zonder de encryptie sleutels. En dat hebben de onderzoekers geweigerd.

En niet zo gemakkelijk voor een bende om wetenschappelijke papers te lezen ? Ze kunnen ook gewoon iemand huren die het wel kan lezen. Geven ze die persoon 100.000 euro, dan zullen ze het snel genoeg terug verdiend hebben.

Vind het geen verkeerde uitspraak. Vond het persť willen publiceren van de encryptie sleutels net een stap te ver
Eigenlijk hebben de eigenaren geen kansen gehad, het is namelijk nog geen 9 maanden bekend bij de eigenaren maar bij de fabrikant. En hoewel ik het wel vervelend voor Volkswagen zou vinden als er bij schiphol een parkeerterrein leeg-gestolen zou worden, denk ik dat er meer kans is dat de auto's bij (particuliere) eigenaren onder de carport weggestolen wordt. Als fabrikant zou ik dan ook niet zitten te wachten op all die schadeclaims.
Mag ik er een op wijzen dat sinds 1992 VAG of VAG groep niet meer door Volkswagen als term gebruikt wordt!? De Volkswagen groep heeft de volgende merken: Audi, Bentley, Bugatti, Lamborghini, Porsche, SEAT, ¶koda, Volkswagen, Ducati brand, MAN en Scania.

(ik heb wat kennis van VW, volgende week voor 3e keer bezoek aan Wolfsburg).
Ik vind de titel ook wel leuk, het is toch logische dat ze dit niet mogen publiceren,dat zouden ze zelf ook begrijpen wanneer ze een audi A8 zouden rijden.
Zulke slimmen mensen die op dit ''sociaal'' gebied weer niks begrijpen. Ook al geven ze aan dat niet elke detail in het rapport staat acht ik de kans heel groot dat die resterende details door een beroepsdief ingevuld kan worden.

Die mensen op het Radboud moeten niet denken de enige te zijn met verstand, dat ze de eerste zijn die het willen publiceren vind ik al erg genoeg.

Stel je voor krijg je iets als dit:
https://www.youtube.com/watch?v=z3ESRmg-r3w

[Reactie gewijzigd door JeroenC op 30 juli 2013 07:22]

"Ach, als het toch niet uitgezonden is, dan weet verder niemand het, dus dan hoeven we er ook niks aan te doen, toch...?"
zoals ik gisteren reeds vermoedde is er gewoon geen reet aan gedaan door de VAG, ze hebben 9 maanden de tijd gehad, zegt genoeg, er is gewoon geen wil om het lek te dichten of men kan het niet, dan doen we het gewoon zo.
alleen komt het toch wel bij 'de criminelen' omdat ze het natuurlijk toch even ergens zullen posten op een onbekend siteje ergens (en groot gelijk ook)
Dat ging over RFID chip geloof ik, Ik geef de rechter gelijk dat ze het niet mogen publiceren (uitleggen hoe en wat in Augustus) ivm diefstal, maar vind zeker ook wel dat VW de beveiliging moet aanpassen ook al word er niet bekend gemaakt.
Kan me van mythbusters ook nog mcgyver een aflevering herinneren waarbij ze een of ander superdelux duur vingerafdruk slot met letterlijk een zwartwit print nog voor de gek hielden, mochten ze eerst ook niet uitzenden, tot ze hadden belooft geen naam te noemen en de logos te verbergen hehe.
Of die akoestische bewegingsmelder die zich liet foppen als je een gordijn voor je hield. Dat is allemaal nog tot daar aan toe, want misbruik is erg afhankelijk van de omgeving en situatie waar die melder hangt. Hangt er bijvoorbeeld een camera bij of een detectieoog, dan faalt je inbraak alsnog.
Auto's staan bijna altijd aan de openbare weg en met deze techniek kun je de auto letterlijk binnen 20 seconden leeghalen als je dat wilt, zonder dat de eigenaar hier iets tegen kan doen. Wellicht kan hij zijn systeem opnieuw laten programmeren (ik meen dat dit bij o.a. Audi kan), de vraag is dan alleen wat dat met de functionaliteit en je garantie betekent.
Auto's staan bijna altijd aan de openbare weg en met deze techniek kun je de auto letterlijk binnen 20 seconden leeghalen als je dat wilt, zonder dat de eigenaar hier iets tegen kan doen.
Er bestaat iets als een hamer. Maakt lawaai, maar als je in 20 seconden de auto kan leeghalen, dat is het verschil niet zo groot te noemen. De meeste mensen kijken zelf niet meer op, als een auto alarm afgaat.

Men heeft zelf voor een TV programma eens een auto op klaarlichte dag, in een winkelstraat "gestolen", door hem open te breken, hotwiren, alarm afzetten en voila. Mensen dat de politie gebeld hebben, of vragen gesteld hebben... juist. Als iemand genoeg lef heeft, dan ziet het er meer uit, alsof een eigenaar zijn voertuig terug in gang probeert te krijgen, dan een diefstal.

Een tijd geleden op tweakers geportretteerd, over hoe een beveiligingsfirma ( dat werkte voor de bedrijven in kwestie ), binnenwandelde in bedrijven, en er wifi routers installeerde op het intern netwerk. En was maar 1 keer dat ze betrapt waren. Gewoon met lef, en valse uniformen...

Het probleem met deze zaak, is dat men 9 maanden de tijd had voor een oplossing te voorzien, en zo nodig tijdens de onderhoud periode's de boel aan te passen. En hun klanten / leden aan te schrijven.

Als een researcher deze achterdeur gevonden heeft, dan is er veel kans dat dezelfde truc al toegepast word door criminelen, dat hun bevindingen niet publiceren.

Dit is hetzelfde verhaal, als een auto waarbij de remmen niet goed werken. X aantal ongevallen / jaar / aantal rechten / aantal uitbetalingen vs de kost van een recal / gezichtsverlies. Men laat liever mensen sterven, dan te veel te moeten betalen.

Waarom zou men zich iets aantrekken dat een auto gestolen word? Hell, hoe meer hoe liever, want dat betekend dat de verzekering betaald, en de persoon een nieuw voertuig moet kopen, en 50 a 60% van de mensen zijn merk trouw...

En deze soort van technieken word al gebruikt door criminelen, is al enkel jaren gekend dat die remote systemen nogal gevoelig zijn voor misbruik. Tot op het punt dat verzekeringen weigeren terug te betalen, omdat ze er vanuit gingen, dat het de "klant" zijn schuld was, omdat hij het voertuig open liet staan. Zij gaan er vanuit, geen inbreek schade = schuld van de eigenaar.
Het lek van de kredietkaarten zal gedicht zijn door gebruik van de 3 cijferige securitycode op de achterkant en het gebruik van de chip met pincode.
bij ons op de universiteit werd er speciale aandacht gegeven aan onze plek in de maatschappij en de verantwoordelijkheden die wij als wetenschappers hebben richting de maatschappij. Ik moet beide partijen hier gelijk geven.

De onderzoekers aan het radboud hebben correct gehandeld en zouden hun paper gewoon moeten mogen publiceren. Echter de verspreiders van deze Megamos-chip hebben de veiligheid van hun klanten te garanderen. De rechter had eigenlijk een tijdelijk publicatie verbod en een verplichting tot het verhelpen van het probleem voor de verspreiders van de chip moeten opleggen.

Mwa, ik ben wel van mening dat het blootleggen van security issues de security op lange termijn verbeterd.
De rechter had eigenlijk een tijdelijk publicatie verbod en een verplichting tot het verhelpen van het probleem voor de verspreiders van de chip moeten opleggen.
Probleem is dat de auto fabrikanten, een bodem procedure gestart zijn, tot het voor lange termijn verhinderen van de publicatie.

Gezien het feit dat de onderzoekers, de bedrijven op de hoogte brachten, 9 maanden geleden!!!

Feit is, dat de bedrijven ook hun klanten moeten informeren over dit gebrek, en de verzekeringen, want als een auto gestolen word op deze manier... dan wat.
Negen maanden! Negen maanden hebben de fabrikanten de gelegenheid gehad hun klanten weer waar voor hun geld te leveren. En dit is de reactie. En het kan niet zo zijn dat ze bang zijn voor het moeten updaten van reeds verkochte modellen. Want uiteindelijk gaan kwaadwillenden dit toch toepassen. En dan gaat een uitspraak als deze behoorlijk tegen de fabrikanten: de zwakheid was bekend....en ze hebben niets gedaan. Kunnen ze alsnog de auto's van een modificatie voorzien. En ook voor die die vanaf nu worden verkocht.
Misschien ligt het aan mij, maar ik vind 9 maanden niet lang om een hele sloot auto's aan te passen. Die is geen computer software update waarbij een druk op de knop het oplost. Je moet eerst een goede oplossing testen, en als dat gedaan is moet er bij elke auto spul vervangen worden. En dit lijkt mij niet kritisch genoeg om een terugroepactie voor te doen, tuurlijk het is belangrijk, maar het is niet dat je remmen ineens niet meer werken.

Dus dan lijkt mij 9 maanden absoluut geen lange tijd. Anderhalf jaar lijkt me eerder realistisch om zoiets op te lossen.
"En dit lijkt mij niet kritisch genoeg om een terugroepactie voor te doen"

Oftewel, een economische reden (kosten van het oplossen vs hoe groot het probleem is). Daarom moet het probleem juist wel gepubliceerd worden. Redelijk onzinnig dat ze het niet mogen publiceren omdat dit goedkoper is voor de fabrikant. Hoort gewoon goed te zijn vanaf het begin, niet problemen via de rechter negeren.
Die is geen computer software update waarbij een druk op de knop het oplost.
Het is cryptografische software die op hardware gebakken is. Mogelijk dat niet eens; het kan ook goed 'gewone' software zijn welke op een OS draait dat speciaal bestemd is voor boordcomputers van auto's.
Om eerlijk te zijn vind ik het publicatie verbod in dit geval wel begrijpelijk. Dit onderzoek is voor autodieven de heilige graal. De onderzoekers moeten dit toch ook snappen.

Een beetje slimme dief kan wellicht reverse engineeren wat er gedaan is en zo eenvoudig (zeer) dure auto's buit gaan maken. Nu worden deze nog vooral gestolen door in te breken in de huizen van eigenaren om zo de sleutels te bemachtigen.

Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Om eerlijk te zijn vind ik het publicatie verbod in dit geval wel begrijpelijk. Dit onderzoek is voor autodieven de heilige graal. De onderzoekers moeten dit toch ook snappen.

Een beetje slimme dief kan wellicht reverse engineeren wat er gedaan is en zo eenvoudig (zeer) dure auto's buit gaan maken. Nu worden deze nog vooral gestolen door in te breken in de huizen van eigenaren om zo de sleutels te bemachtigen.

Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Anderzijds hebben die fabrikanten een ondegelijk product geleverd en dat wisten ze al ruim 9 maanden(maar mogelijk zelfs al jaren omdat de bewuste chip toch al eerder gevoelig bleek te zijn), in plaats van het probleem aan te pakken kies men ervoor de opplossing dood te procederen. Zonde van de vooruitgang en bovenal de vele duizenden onderzoeks euro's die oa. uit de zak van de belastingbetaler komen...
Dat is niet een mening die ik met je deel. De auto's zijn aangeleverd en doen 100% wat er van verwacht word, dat versleuteling te kraken is, tja, ik verwacht niet anders, jij wel? dat is naief te noemen.

In die zin is er onderzoek naar doen ook pure geld verspilling, goh, we hebben een versleuteling gekraakt. Dat hebben ze echter bij zo goed als alle andere versleutelingen ook al gedaan, en blijven ze doen. met genoeg tijd en resources is alles te kraken. Alsof een professionele autodief toch al niet wist hoe hij die mooie mercedes kan stelen. Dat betekend niet dat het daarna maar met de hele wereld gedeelt hoeft te worden.

Het dood proceden van zo'n uitkomst is in mijn ogen begrijpelijk, het is immers niet aan te vechten, en voor een autofrabikant gewoon niet eenvoudig haalbaar om te fixen, en het daarna 6 maanden later weer opnieuw te moeten fixen. Dan kan je de winst wel gedag zeggen, dalende verkoop want de kosten moeten toch ergenst op verhaald worden, dus worden de auto's weer duurder. Niemand wint uiteindelijk.

Je kan niet verwachten dat er miljoenen auto's terug geroepen worden, het is logistiek en financieel gewoon onhaalbaar.
Je kan prima cryptografie implementeren op een horloge welke pas over 20 jaar te kraken is door een overheidsdienst. Lees maar wat rapporten van ECRYPT en NIST. Je mag dat dus wel verwachten.
VAG moet een terugroep actie doen als dit mogelijk is. (Je weet niet eens of ze die chip eenvoudig kunnen vervangen.)

Er is echter een derde partij in dit alles, dat zijn de eigenaren van een van de kwetsbare auto's. Die hebben simpelweg geen zin dat hun auto zo gestolen kan worden en zij hebben hierin geen stem. Ik zou niet gelukkig zijn in zo'n geval.
Volkswagen heeft ook toegegeven dat er een probleem is. Je kan dus ook niet zeggen dat je naar de media stapt om Volkswagen te dwingen toe te geven dat er een probleem is.
Ja, leuk dat ze het toegeven..., daar heeft alleen niemand iets aan tenzij ze het ook daadwerkelijk oplossen. En daar hebben ze blijkbaar geen zin in:
Bovendien zouden de onderzoekers de chipfabrikant negen maanden de tijd hebben gegeven om de problemen te verhelpen, terwijl de Nederlandse overheid een periode van zes maanden al als een acceptabele responsible disclosure zou betitelen.
Maar wellicht wel om Volkswagen te dwingen wat aan het probleem te doen. Het is leuk dat ze het toegegeven hebben, en nu? Ze hadden negen maanden de tijd om iets te bedenken. Ik heb nog niet van Volkswagen gehoord dat ze een plan hebben, wordt misschien eens tijd.
Ze hebben gezien het al bekend zijn van problemen met het product genoeg tijd gehad schijnbaar.
Nalatigheid ten top...
Onbegrijpelijk dat een rechter het belang van een groep bedrijven boven het maatschappelijk belang van zo'n paper plaatst.
sorry hoor, maar wat is het maatschappelijk belang om jouw autosleutels weg te geven aan iedereen, dus ook aan mogelijke dieven?
Het maatschappelijk belang is om bedrijven die enkel om de bottom line geven te motiveren om hun klanten niet te bedonderen met beveilingsmaatregelen waarvan dus klaarblijkelijk al minimaal drie-kwart jaar bekend is dat ze lek zijn.

Getuige de inzet op een bodemprocecure voor een langdurig publicatieverbod is er namelijk gewoon nul-komma-nul interesse om het probleem aan te gaan pakken. De autobedrijven laten de zaken liever op hun beloop en wachten liever totdat de generaties auto's met dit probleem van nature uitgefaseerd zijn. Dat bespaart hen namelijk bakken met geld, in tegenstelling tot het nemen van hun maatschappelijke verantwoordelijkheid.

Niks niet gek dat dit zo uitpakt: de autoindustrie is ziek en dat is ze al jaren. Ze draait op een grote economisch bel die al meermalen op klappen heeft gestaan en waar er boven alles aan de huidige winsten vastgehouden moet worden, omdat anders alles omvalt; van de grote producenten tot aan de kleine dealers.

[Reactie gewijzigd door R4gnax op 31 juli 2013 20:42]

En het belang dan van de mensen die een kwestbare auto bezitten?
Precies waar ook aan dacht.. + alle bijkomende schade van de verzekeringen. Meer uitbetalingen zorgen weer voor een premieverhoging..
Het belang van de eigenaren is dat er een oplossing komt, niet dat een bedrijf toegeeft dat er een probleem is en vervolgens wacht tot het misbruikt wordt.
Die hebben hier juist belang bij, schijbaar handelen die autobedrijven nogal laakbaar gezien de tijd die ze er inmiddels voor gehad hebben om het op te lossen.
Het belang van de mensen met die auto's is juist het maatschappelijk belang. Dat paper kan over een jaar ook nog wel gepubliceerd daar wordt niemand per direct slechter. De wetenschappers hebben hun 15 min of fame nu ook al wel gehad.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True