Onderzoeker mag niet publiceren over gekraakte startbeveiliging dure auto's

De Britse lector en beveiligingsonderzoeker Flavio Garcia mag van de rechter geen informatie publiceren over hoe de versleuteling van het elektronische startsysteem van onder andere Audi, Bentley, Lamborghini en Porsche kan worden gekraakt.

Garcia, werkzaam aan de universiteit van Birmingham, heeft samen met twee Nederlandse vakgenoten Baris Ege en Roel Verdult van de Radboud Universiteit het versleutelingsalgoritme achter de Megamos Crypto gekraakt. Deze technologie wordt door een aantal autofabrikanten, die met name in het duurdere segment auto's bouwen, gebruikt om een auto via de sleutel op afstand te kunnen starten. Garcia wilde zijn bevindingen over kwetsbaarheden in de Megamos-technologie in augustus tijdens een Usenix-bijeenkomst publiceren, inclusief de gevonden encryptiesleutels.

Volkswagen, moederbedrijf van onder andere Audi, Bentley, Lamborghini en Porsche, vroeg de onderzoekers om bij de publicatie de encryptiesleutels achterwege te laten, maar Garcia weigerde dit. Daarop besloot de Duitse autofabrikant naar de Britse rechtbank te stappen in een poging de publicatie via een voorlopige voorziening te voorkomen, zo meldt The Guardian.

De Britse rechter heeft Volkswagen in het gelijk gesteld en verbiedt Garcia de Megamos-encryptiesleutels te publiceren. Volgens de rechtbank kunnen criminelen met de informatie en gereedschappen zo relatief eenvoudig dure auto's stelen, ondanks het verweer van Garcia dat dergelijke publicaties juist kwetsbaarheden blootleggen die anders voor het publiek verborgen blijven.

IT-banen

Reacties (178)

178

167

108

Wijzig sortering

kwakzalver 29 juli 2013 14:05

Mooi dat ze dat aan de kaak stellen.

Het was al een publiek geheim dat de moderne duitse wagen met een programeerbare afstandsbediening een een laptop met ODB aansluiting te openen en te starten was.
Dat auto's op deze manier gericht gestolen werd was ook bekend.

Waarom denk je dat op de duurdere modellen extra startonderbrekingen en alarmsystemen middels na-inbouw aangebracht werden of 'zeer dringend' geadviseerd werden.

Laat die autofrabrikanten nu maar toegeven dat de beveiling (allang) gekraakt is en dit alleen schijnveiligheid is.
Die hebben al lang genoeg hun kop in het zand gestopt, om te voorkomen dat ze een extra kostenpost krijgen met het modificeren van alle lekke systemen.

Want wij draaien natuurlijk op voor de verzekeringspremie.

[Reactie gewijzigd door kwakzalver op 25 juli 2024 03:09]

Verwijderd 28 juli 2013 20:58

Ik heb het er moeilijk mee dat het verbieden van publicatie van sleutels steeds aanzien wordt als censuur. Dit is niet de beknotting van vrije meningsuiting. Het begrip vrije meningsuiting wordt trouwens dikwijls te licht gebruikt imho. Als iemand de code raadt van het slot van je voordeur, moet het dan zomaar kunnen dat hij die code op bvb facebook plaatst? Is dit gebruik maken van het recht op vrije meningsuiting? Er zou wel eens duidelijker mogen gedefinieerd worden welk soort informatie als een 'mening' kan bezien worden en welke niet.
Onderzoekers die sleutels ontwerpen en academische onderzoekers die ze proberen te kraken zullen zelf ook wel beseffen dat geen enkele encryptie ongekraakt gebleven is tot nu toe. Zelfs de theoretisch onkraakbaar geachte quantumcryptografie is al gekraakt voor ze nog maar commercieel volop werd toegepast. http://tweakers.net/nieuw...erst-gekraakt.htmlhttp://
Met andere woorden: tussen de bedenkers van een code en de krakers heerst tegenwoordig een soort wedloop die steeds maar gerechtvaardigd wordt met het alibi 'zwakheden' bloot te leggen. De deontologie hierrond komt nooit ter sprake. Ik heb meer het gevoel dat onderzoekers meer met een prestigeslag tussen instituten bezig zijn, dan met het dienen van wetenschap of techniek.
Omdat criminelen nu ook weer niet van de stomsten zijn, mag er wel pressie worden uitgeoefend op fabrikanten om hun beveiligingssystemen te verbeteren. Maar over het evenwicht tussen deontologie en pressie op fabrikanten mag volgens mij op zijn minst eens stevig worden nagedacht.

Duerf @Verwijderd • 29 juli 2013 01:57

Pandora's box kan niet meer dicht.
Dit wordt terecht een en mooi voorbeeld van het http://en.wikipedia.org/wiki/Barbara_Streisand_effect

Deontologie, echt ? Niemand mag zo stout zijn om die code te kraken ?

[Reactie gewijzigd door Duerf op 25 juli 2024 03:09]

cobex @Duerf • 29 juli 2013 07:49

ik denk niet dat dirc zegt dat niemand zo stout mag zijn, maar er moet wel eens nagedacht worden over wat gepubliceerd wordt en wat gewoon met de fabrikant wordt besproken.

Het lijkt idd gewoon een kwestie van 'credits' wanneer het zomaar wordt gepubliceerd en al zeker wanneer de sleutels erbij worden gegooid. Deontologie van de lector lijkt imho dan ook ver weg.

Madshark

28 juli 2013 23:15

Zowieso raakt deze hack meer auto's dan de bovengenoemde merken. Skoda, Seat en uiteraard Volgswagen zelf gebruiken deze crypto ook, de componenten hiervan in de boordnet modules zijn hetzelfde, of het nu een Skoda of Bugatti is.
Met het publiceren zou VAG een versnelde terugroep aktie moeten forceren, gezien het hier om ontzettend veel auto's gaat is het niet gek dat de rechter er (even?) een stokje voor steekt. Het heeft op dit moment een te groot maatschappelijk impact.
Toch wordt hiermee mijn vermoeden versterkt dat dit al langer gaande/mogelijk is met andere autos, mijn vorige auto (peug 206) is ooit eens leeggeroofd (airbags, gordelspanners) zonder enige braaksporen, de dieven waren zelfs zo aardig om na afloop de auto weer op slot te doen met de fabriekaf klasse3 alarm weer ingeschakeld

De agent wist mij te vertellen dat ze dit al een paar keer vaker gezien hebben met dit model/type.

Nactive 28 juli 2013 13:23

Van mij mag hij perfect zijn onderzoek publiceren, maar ik zie het nut niet van de sleutels te publiceren ... Ik vind het dan ook nogal belachelijk van de onderzoeker om eerlijk te zijn.

WPN @Nactive • 28 juli 2013 13:42

het is niet belachelijk om eerlijk te zijn maar hij moet wel nadenken over de consequenties van zijn handelingen.

Als hij ALLES publiceert dan is het gevolg dat er volgende week opeens duizenden high profile personen hun auto kwijt zijn zonder diefstal.
Dit gebeurt niet wanneer de encryptie sleutels niet gepubliceerd worden.

Aan de andere kant heeft ie met het publiceren van deze informatie (dat ie het gekraakt heeft) mogelijk ook zichzelf en personen in zijn directe omgeving in de spotlight van de bendes gezet.
Hij heeft alle informatie en apparatuur om high profile autos te kunnen jatten.... waarom moeilijk doen als er al iemand is met die meuk en je het hm alleen maar afhandig hoeft te maken.......

Ja hij doet er goed aan om bekend te maken dat het systeem gekraakt is, echter hoeft dat niet perse publiekelijk. Denk eerst na over de gevolgen van die informatie, het is niet altijd alleen maar om het product te laten verbeteren, denk ook aan de gevolgen voor jezelf en je omgeving.
Wat nou als een bende die meuk wil hebben en zn vrouw en kinderen meeneemt?

blijft echter wel de vraag over: Heeft deze groep researchers dit bij Volkswagen aangekaart en gewacht op een oplossing of is dit dus een poging om Volkswagen te dwingen om het probleem toch op te lossen hoewel ze dat niet wilden.
(neemt niet weg dat de sleutels nog steeds niet gepubliceerd hoeven te worden)

[Reactie gewijzigd door WPN op 25 juli 2024 03:09]

R-J_W @Gallant • 28 juli 2013 17:15

Als je in een Porsche of Bentley rijdt, doe je geen moeite voor een 'low-profile'.

Maar het zou heel slecht zijn voor het imago van de VAG merken wanneer deze auto's masaal gestolen zullen worden. En daar zouden mogelijke 'high-profilel' klanten aan bij kunnen dragen.

Ik kan me voorstellen dat het vervangen of verbeteren van de beveiliging van deze auto's best wel wat tijd gaat kosten.

Interesant is dat deze onderzoekers de encryptie codes hebben ontrafeld door de chip in plakjes te snijden en deze onder de microscoop te analyseren.
Dit proces zou (volgens de Guardian) zo'n £50,000 kosten. Dat lijkt mij voor criminelen behoorlijk bereikbaar. Al zullen er niet veel toegang tot de techniek hebben.

Bovendien, als we VAG mogen geloven wordt de techniek ook in veel andere 'mass market cars' gebruikt, van zowel VAG als anderen. De grote vraag is hier, hoe veel auto's zijn met deze codes te ontgrendelen of misschien zelfs te starten?
Ik denk dat die informatie belangrijker is voor het publiek dan dat die onderzoekers de encryptiecodes vrij beschikbaar maken.

Zelfs als de codes publiek zijn betwijfel ik of het voor een fabrikant uit kan om de beveiliging van een 'gewone' auto te vervangen. Het zal minstens een nieuwe afstandsbediening/sleutel en een software-update in de auto kosten.
Ze zullen het, hopelijk, niet meer gebruiken in nieuwe auto's, maar daar heb je nu weinig aan.

Gallant @R-J_W • 28 juli 2013 18:51

Als je met high-profile bedoelt dat ze decadent met hun rijkdom omgaan okay maar aan high-profile denk ik meer aan de publiciteit zoeken transparant zijn in je handel en wandel.

rxr1991 @Nactive • 28 juli 2013 13:46

Ik vind jouw reactie vrij kortzichhtig. Als onderzoeker wil je juist presenteren wat je hebt gevonden maar, het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen. Nu wordt het belang van de autoindustrie belangrijker gevonden dan ons educatiesysteem.

Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak. Waar ligt de grens? Wanneer is iets gerechtvaardigd om te publiceren en wanneer denkt de rechter dan de vrijheid van meningsuiting en persvrijheid wel van toepassing is?

Alex3 @rxr1991 • 28 juli 2013 15:24

Het is duidelijk dat deze rechter zijn handen er niet aan wilde branden.
Nu het duidelijk is dat de beveiliging te kraken is zullen anderen het ook proberen.
Hoe zouden de meningen hier zijn als het hier de OV-chipkaart betrof?

koelpasta @Alex3 • 29 juli 2013 13:20

Nou, als de exploitanten zouden aangeven dat het systeem inderdaad zo lek is als een mandje maar daarbij vroeg om de sleutels niet te publiceren totdat er een andere oplossing is dan zou daar mischien naar geluisterd moeten worden.
Het grote probleem met de OV chipkaart was dat er bij hoog en laag beweert werdt dat het ding veilig was.

mjtdevries @rxr1991 • 28 juli 2013 17:18

het ook zo presenteren dat anderen jouw onderzoek kunnen kunnen herhalen

De reden dat je dat doet in de wetenschap is omdat je meestal niet 100% zeker van zijn van je resultaten. Je ontwikkelt een theorie, je test om resultaten in werkelijkheid overeen komen met die theorie, dat lukt en je publiceert dat.
Vervolgens hoop je dat anderen je theorie ook testen, om 'm ofwel te falsificeren ofwel nog sterker te maken.

In dit geval is dat echter totaal niet van belang. De fabrikant kan gewoon bevestigen dat je de boel inderdaad gekraakt hebt en daarmee is het klaar.
Er is geen enkel wetenschappelijk belang dat anderen daarna het onderzoek kunnen herhalen.

R-J_W @rxr1991 • 28 juli 2013 17:25

Ik denk dat het niet zo zeer het belang van de autoindustrie is, maar het belang van de auto-eigenaren. Je zult de autofabrikanten moeilijk aansprakelijk kunnen stellen voor een diefstal. Toen zij de techniek implementeerden was deze veilig (genoeg). (dat is een aanname)

Ik vind het dan ook 'kortzichtig' om te denken dat je auto zo-ie-zo een update zal krijgen omdat de codes op straat liggen. Er kan wel eens wat meer bij komen kijken dan een software-update bij de dealer. Aangezien de onderzoekers deze hebben weten te ontrafelen door de chip te analyseren.
Maar wanneer de encryptie vrij beschikbaar is zal deze makkelijk misbruikt kunnen worden.

Over wetenschap.
Ook zonder de daadwerkelijke codes zal het onderzoek reproduceerbaar zijn. Je zult dan alleen precies hetzelfde moeten doen om die codes te bemachtigen. De short-cut om die codes te gebruiken is alleen niet direct beschikbaar. En daarmee is het niet meer zo makkelijk om (mogelijk illegaal) vervolg onderzoek te verrichten.

[Reactie gewijzigd door R-J_W op 25 juli 2024 03:09]

mashell @rxr1991 • 29 juli 2013 08:42

[q]Je kunt nu ook stellen dat de rechter de doelen van het educatiesysteem achtersteld ten opzichte van de auto industrie en dat vind ik een kwalijke zaak.[/@]
Dat vind ik volstrekt logisch. Het educatiesysteem dient om de maatschappij te ondersteunen, niet om deze tegen te werken. Het educatiesysteem (is dat eigenlijk wel Nederlands?) dient juist om mensen op te leiden om bij bedrijven als de auto industrie aan de slag te gaan.

Blokker_1999

Netwerk en systeembeheer

@Nactive • 28 juli 2013 13:42

Met het publiceren van de sleutels zet je VW onder druk om het systeem aan te passen, zowel op nieuwe als op bestaande wagens. Nu er is aangetoond dat er een kwestbaarheid in zit zullen deze wagens een doel vormen van hackers en daarna het criminele milieu. Hoewel het overbodig is om de sleutel onmiddelijk te publiceren dient de mogelijkheid tot publicatie wel te bestaan in het geval VW zijn kop in het zand steekt.

huntedjohan @Blokker_1999 • 28 juli 2013 14:45

met het publiceren is hij ook medeplichtig aan diefstal als er hiermee auto';s gestolen worden lijkt me. het is aangetoont, het is erkent, dus waarom zou je nu dan nog ook het willen publiceren, en daarmee dus weet ik hoeveel mensen bloot stellen aan financiele schade?

lezzmeister @huntedjohan • 28 juli 2013 20:13

Totdat de sleutels gepubliceerd zijn en met deze sleutels de kraak is getest door andere onderzoekers is er nog helemaal niets hard gemaakt.

koelpasta @lezzmeister • 29 juli 2013 13:16

Het hoeft helemaal niet door andere (academische) onderzoekers getest te worden. De getroffen fabrikanten hebben gewoon de specificaties van hun hardware en kunnen nagaan of die methode succesvol toe te passen is. En die hebben het onderzoek erkend.
Andere onderzoekers kunnen ook gewoon Garcia's methode volgen en zelf achter de key komen. En dan hadden ze zelf kunnen testen of ze de master key te pakken hadden gekregen. Het publiceren van de keys zou het dus alleen makkelijker maken voor andere onderzoekers om het resultaat te verifieren. Het is echter niet essentieel.

LopendeVogel 28 juli 2013 13:24

Handig dat oa tweakers de volledige namen op het internet zet van deze jongens.
Criminelen weten nu dus per direct bij wie ze moeten aankloppen, hopelijk krijgen deze jongens nu een soort van beveiliging. Ik kan me goed indenken dat criminelen die dit artikel lezen nu op jacht gaan naar deze intelligente jongens.

Hurm @LopendeVogel • 28 juli 2013 13:33

De namen staan ook bij het USENIX Security Symposium waar ze een lezing wilde geven, zie https://www.usenix.org/co...cking-vehicle-immobilizer

Beide heren, Garcia en Verdult, zijn zeer knappe en getalenteerde onderzoekers. Verdult heeft eveneens tools ontwikkeld en meegeholpen aan de kraak van de OV-Chipkaart. (http://www.libnfc.org/api/nfc_8c_source.html)

bwerg @LopendeVogel • 28 juli 2013 13:32

Het is niet alsof er iets geheim is aan wie er op de security-afdelingen van universiteiten werkt hoor.

Zie bijvoorbeeld hier, van de RU (daar staat hij op een oude foto ook nog tussen).

LopendeVogel @biglia • 28 juli 2013 13:30

De achternaam weglaten in dit soort gevallen is geen censureren, het gaat om de veiligheid van 2 slimme (niet criminelen) jongeren.

Blokker_1999

Netwerk en systeembeheer

@LopendeVogel • 28 juli 2013 13:43

Ja, want die namen gaan echt niet in het onderzoeksrapport staan. Wanneer je zo een onderzoek maakt en de resultaten publiceerd is naamsbekendheid net 1 van de belangrijke punten.

Iblies @Blokker_1999 • 28 juli 2013 14:42

Nooit gehoord van pseudoniem??

Je kunt prima een proof of concept laten geven door een derde zonder dat je zelf publiekelijk in zicht komt en zodoende een drempel opgooit.
Als voorbeeld wordt de vag-middenklasse aangehaald, die worden bij bosjes gestolen en daar is het belang relatief klein.
Een exclusieve auto weghalen zonder dat je vervalt in home-jacking is ook interessant voor de crimineel zelf. Loopt de schuur binnen, start de auto, rijd een container binnen (kooi van faraday) en als die een voorsprong heeft van enkele uren, merkt de eigenaar dat die weg is. Mocht je een keer worden opgepakt, dan is er sprake van alleen diefstal. Een goede schrik wordt sowieso (terecht) minder gestraft dan (tijdelijk) gijzelen, mishandelen en erger.

Als VAG wijs is, dan bieden ze die jongens een fatsoenlijk bedrag aan 'zwijggeld' aan. Dan kunnen ze iig de periode uitstellen dat het systeem gekraakt wordt. Anderen zullen nu ook aan de slag gaan om te kijken of ze het ook zal lukken, al zal er ongetwijfeld een club zijn die het al kan. De verassing was vrij groot dat het bij BMW ook al kon.

Teijgetje @Iblies • 29 juli 2013 09:26

Gewoon allemaal zo`n auto naar keuze cadeau.....als premie.

En dat ze hem de volgende dag kwijt zijn.............(na publicatie)

Ik zou me aardig bescheten voelen als ik iets krijg van enkele tonnen en het door eigen toedoen de volgende dag weer kwijt ben.........(Hee leuk, mijn buurman heeft dezelfde auto zie ik nu op zijn inrit.....Hee mijne is weg.......)

[Reactie gewijzigd door Teijgetje op 25 juli 2024 03:09]

Verwijderd 28 juli 2013 13:22

Het is gekraakt, Volkswagen bevestigd dit. Publicatie is onnodig, terecht dat het afgewezen is. Nu moet de vag het wel even snel oplossen..

fanSte @Verwijderd • 28 juli 2013 13:23

Totdat een andere hacker/onderzoeker ook de versleuteling kraakt en wel openbaar maakt...

IStealYourGun @fanSte • 28 juli 2013 13:28

Of gewoon doorverkoop in het criminele milieu.

the-dark-force @IStealYourGun • 28 juli 2013 16:50

daar waren al oplossingen voor, DX verkocht volgens mij zelfs een tijdje complete kits om auto's te stelen.

http://www.telegraph.co.u...uters-of-luxury-cars.html

http://www.telegraph.co.u...teal-cars-in-a-click.html

http://www.extremetech.co...urself-a-bmw-in-3-minutes

ik dacht ook dat het mogelijk was de gehele boordcomputer te vervangen waardoor een andere sleutel werkt (ik kan het mis hebben, auto's stelen is namelijk niet mijn hobby

)

[Reactie gewijzigd door the-dark-force op 25 juli 2024 03:09]

bbob

Encryptie
Netwerk en systeembeheer

@the-dark-force • 29 juli 2013 00:11

Bij een VW transporter werkt het zo dat het chasisnummer zichtbaar is achter de voorruit. Men besteld een sleutel en dat gaat schijnbaar eenvoudig.

Deur open, laptop aansluiten aan de diagnosestekker en sleutel kan dan vrij geschakeld worden, dit alles zonder dat het contact gebruikt wordt. M.a.w fout is de vw software.

De oplossing is om een kabel van de diagnosestekker te onderbreken zodat deze alleen werkt als alles op contact staat. Probleem daarbij is dat staat alles op contact kan met de nieuwe sleutel niet herprogrammeren en dus ook niet wegrijden.

To_Tall

@IStealYourGun • 28 juli 2013 16:32

Ach volgens mij kan VAG het vrij eenvoudig oplossen door bij een onderhouds beurt een nieuwe sleutel set en opgewaardeerde crypto sleutel.

bbob

Encryptie
Netwerk en systeembeheer

@To_Tall • 29 juli 2013 00:08

Wat een wijsheid waar haal je die vandaan.

De OV kaart is ook gekraakt en geen update maakt dat onmogelijk. zonder ook maar iets van de hack te weten kun je alleen maar speculeren of ze met een update het probleem kunnen oplossen.

Gezien de reactie van VW denk ik niet. zou het zo eenvoudig zijn dan had men de update al lang meegedeeld. Je kan eerder de conclusie trekken dat de encryptie gekraakt is en dat een nieuwe sleutel ook zo te achterhalen is. Misschien zoiets als rainbow tables.

Nieuwe sleutel zal ook niet de oplossing zijn omdat deze nog steeds met de hardware in de auto moet communiceren. die hardware werkt ook nog steeds met dezelfde encryptie en dus is het de vraag moet je ook de hardware in de auto vervangen. zo ja dan wordt het een duur grapje.

Misschien een betere vraag is wat doet VW als jou auto wordt gestolen en jij hebt de sleutel nog. Lijkt me duidelijk dat ze een veiligheidsfout hebben die driestal mogelijk maakt en wie weet kun je ze daarvoor verantwoordelijk stellen.

!null @bbob • 29 juli 2013 10:37

Hier is best een kans dat het te updaten is, maar dat zal lang duren, voordat alle auto's langs zijn geweest.

Verder is de vergelijking met OV ook niet helemaal treffend, want met de OV kaart moet iemand relatief veel moeite en uitgave doen voor een relatief klein gewin. En paar keer zwartrijden.
In dit geval is het wel een stuk erger, het gaat niet om zwart rijden maar hele prijzige auto's.

analog_ @bbob • 29 juli 2013 06:10

Afhankelijk hoe het protocol in elkaar steekt kan het wel degelijk zo zijn dat het niet publiceren van de key het systeem veilig maakt (bijvoorbeeld een parent key welke wordt gebruikt voor de uitwisseling van een session key), echter zal het dan aan de hand v/d publicatie gemakkelijk genoeg zijn deze opnieuw te verkrijgen.

Ik zie weinig problemen met upgraden van systemen, zo moeilijk is het niet een firmware flashen. De flaw zit traditioneel in het protocol, niet de ciphers die in hardware gemaakt zijn.

* analog_ bezig met SSL port op embedded hardware (Cortex M3).

Over die OV kaart: de reden hoeft niet persé technisch te zijn, de kosten van zwart reizen tov. de kosten v/h veilig maken verantwoorden het zeer waarschijnlijk niet. Je kan immers je app poorten naar een duurdere kaart met betere encryptie. Hou dan rekening met de anonieme eenmalige kaartjes + kosten en los ervan het feit dat mensen nu ook al zonder ticket zwart rijden. Uitroeien doe je het toch niet.

[Reactie gewijzigd door analog_ op 25 juli 2024 03:09]

Ramon @To_Tall • 28 juli 2013 23:24

Voordat je iedereen voor een onderhoudsbeurt binnen hebt gekregen ben je zo weer een jaar verder.

laadmin @Ramon • 29 juli 2013 03:15

Precies daarom dus dat die sleutels nu niet gepubliceerd moeten worden.

ari

@fanSte • 28 juli 2013 13:29

Wat de fabrikanten dus tijd geeft om met een oplossing te komen en deze uit te rollen voordat elke crimineel met het juiste gereedschap dure auto's begint te stelen. Ik ben het met IXyzyxl eens dat publicatie van de sleutels onnodig is gezien Volkswagen de kraak heeft bevestigd.

[Reactie gewijzigd door ari op 25 juli 2024 03:09]

harrytasker @ari • 28 juli 2013 13:37

We zullen zien of er ook een oplossing komt, ik denk dat ze het gewoon zo laten, sleutels zijn toch nog niet beschikbaar, tegen de tijd dat dat wel is gebeurt er misschien wat...

johnkeates @harrytasker • 28 juli 2013 13:41

Als bekend is dat sleutels gekraakt kunnen worden gaan criminelen gewoon hackers die het niet zo nauw nemen met de wet inhuren om ze voor zichzelf te kraken.

freaky @johnkeates • 28 juli 2013 17:45

Inhuren? Whahaha, die is grappig.

De onderzoekers staan met naam en toenaam gepubliceerd. Beetje echte crimineel neemt ze wel ff mee voor een ritje

. Publicatie was voor hen stukken veiliger geweest gok ik zo.

Durandal @freaky • 28 juli 2013 19:09

Doorvertellen aan een persoon met de belofte het niet door te vertellen is volgens mij geen publicatie.
Crimineel belooft het niet door te vertellen, onderzoeker geeft de gegevens. Kous af.

En trouwens, als de onderzoeker de gegevens anoniem publiceert is er niemend die dat tegenhoud.
Informatie is vrij.

WhatsappHack

Netwerk en systeembeheer
Encryptie

@Durandal • 29 juli 2013 03:15

Informatie is vrij.

Zeg dat even tegen Edward Snowden, Bradley Manning, Jullian Assange en vele anderen.

Informatie is enkel vrij as je het van de overheid en de grote bedrijven mag zien.

laadmin @freaky • 29 juli 2013 03:17

Dat is inderdaad wel het enge hieraan. Die onderzoekers lopen best een risico nu.

Xanaroth @Verwijderd • 28 juli 2013 15:52

Totdat iemand anders het kraakt, niks openbaar maakt en verschillende criminele organisaties vraagt om een donatie...

Slechte zaak dus juist, het had door de rechter afgewezen moeten worden - bij dergelijke kwetsbaarheden verwacht je dezelfde dag nog een brief over een massale terugroepactie, en overal nieuwe sleutels beschikbaar nog voordat de lezing wordt gegeven.

Of, wie zegt dat deze onderzoekers inderdaad pas de eerste zijn die het is gelukt...?

[Reactie gewijzigd door Xanaroth op 25 juli 2024 03:09]

dasiro @Xanaroth • 28 juli 2013 17:44

maar ondertussen moet iemand anders het maar gedaan krijgen, ipv gratis en voor nix ff het snel te kunnen gebruiken

-Tom @dasiro • 28 juli 2013 22:37

En zo is het.

Wat is het doel van het publiceren? De onderzoekers hadden het ook slechts kunnen demonstreren zonder de achterliggende techniek bekend te maken? Of nog beter, eerst de kans aan de autofabrikant geven om het euvel te verhelpen, om vervolgens wel wat meer in de details te kunnen treden?

Fabrikanten kunnen 'fouten' maken, elke software is te kraken. Het belang van de fabrikant / consument lijkt me in deze groter dan de two minutes of fame van de betreffende ondezoekers.

stroopwaffle @-Tom • 29 juli 2013 08:14

Kort door de bocht, het doel van publiceren: In de wetenschap is publiceren nagenoeg de enige manier om je onderzoek kenbaar te maken. Voor mijn baan word ik afgerekend op het aantal publicaties wat ik heb... Sterker nog, het aanvragen van beurzen is hier ook van afhankelijk. Het is tegenwoordig "publish or perish".

mjtdevries @stroopwaffle • 29 juli 2013 09:11

Ze mochten ook best publiceren, zolang ze de sleutels zelf maar achterwege laten. Dat was het simpele verzoek van de fabrikanten.
Had voor de wetenschappelijke waarde van de publicatie geen zier uitgemaakt. (Zeker omdat de fabrikanten bevestigen dat het de juiste sleuteles zijn)

Verwijderd @Xanaroth • 28 juli 2013 17:32

Precies.

Had VAG maar moeten zorgen dat ze ook dingen als key management processen ingereicht hebben - dus ja, inclusief scenario bij verlies master encryptiesleutels zoals terugroepprocedures, schadevergoedingsregelingen, whatever.

Waarom? Als iemand die zich professioneel bezighoudt met het ontwerpen van dit soort systemen nog denkt dat zijn systeem onkraakbaar is, verdienen ze op z'n minst naming en shaming.

Jammer voor het risico dat kwaadwillenden door publicatie van de onderzoekers met het lek aan de haal gaan - zoals een ander al zei is het best waarschijnlijk/mogelijk dat black hat hackers nu al of zeer binnenkort het lek uitbuiten.... ongeacht of publicatie plaatsvindt.

freaky @Verwijderd • 28 juli 2013 17:50

Allemaal lekker makkelijk geroepen maar:
a) De gemiddelde auto hangt niet aan internet/3G/etc. en er 'even' op afstand mee communiceren zal dus niet zo evident zijn als jij graag zou willen;
b) Er is niet veel bekend (bij mij iig) over de hack - maar als het protocol/algoritme zelf fouten bevat waardoor die sleutels makkelijk te achterhalen zijn is het wijzigen van de keys ook een 2 minuten oplossing.

Even afgezien van het feit dat als je de encryptie keys in de auto verandert die waarschijnlijk ook in de sleutel (en zijn reserve variant) gewijzigd moeten worden.

Ramoncito 28 juli 2013 13:23

Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creëer je een probleem door de sleutels openbaar te maken...

De fabrikanten hebben echter nu de verplichting updates uit te voeren op de systemen, zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen. Als het systeem niet te updaten is moeten ze dat maar uitvechten met de leverancier en hem aansprakelijk stellen.

locke960 @Ramoncito • 28 juli 2013 13:57

Het is tweeledig: Enerzijds moet je bewijzen dat wat je zegt ook waar is, anderzijds creëer je een probleem door de sleutels openbaar te maken...

Ik wil even vaststellen dat het probleem niet gecreëerd wordt door de beveiligingsonderzoekers maar door de fabrikant die een ondeugdelijk product heeft gemaakt.

Daarnaast heeft het helemaal geen nut de sleutels niet te publiceren als wel de zwakheden in de technologie en de gebruikte methode gepubliceerd mogen worden. Een beetje competente onderzoeker herhaalt dan binnen een dag of zo de aanval en heeft dan ook de sleutel.
En als de publicatie een beetje volledig is (inclusief gebruikte tools e.d.) dan kan een script kiddie het ook.

Het geheim ligt op straat, het probleem is daar en er is niks meer aan te doen tenzij je bereid bent het hele onderzoek te censureren. En zelfs dat zou alleen maar een korte tijdwinst opleveren.

huntedjohan @locke960 • 28 juli 2013 14:43

jemig zeg, ga je nu werkelijk zeggen dat ze een ondeugdelijk product leveren omdat het na weet ik hoe lange tijd gekraakt is? dat jij +1 krijg vind ik al vreemd, maar dat je zoiets durf te zeggen vind ik wel echt het toppunt van verdraaien van de waarheid.

Teijgetje @huntedjohan • 29 juli 2013 08:52

De +1 is omdat het over het onderwerp gaat, meningen staan vrij.
De +1 heeft niets van doen met dat iedereen het daar mee eens is, Dan krijg je +2.

Dat het een niet correct weergeven van de waarheid ben ik met je eens.

thegve @locke960 • 28 juli 2013 14:17

Ondeugdelijk product? Het product bevat een fout. Een bug, aangezien het zelfs om een softwarefout gaat waarschijnlijk.
Een product word niet ondeugdelijk door één fout.

Verwijderd @thegve • 28 juli 2013 17:39

Behalve als die fout de kern van het product raakt, zoals hier dus.

Het is overigens wel vaker gebeurd dat een produkt ondeugdelijk was door 1 enkele softwarefout (ontploffing Arianeraket, een ander ruimtevaartuig wat geloof ik op Mars is gecrasht).

Zer0 @Verwijderd • 28 juli 2013 19:18

Behalve als die fout de kern van het product raakt, zoals hier dus.

De auto zal er echt niet minder om rijden, en afaik is dat nog steeds de kern functionaliteit van een auto.

koelpasta @Zer0 • 29 juli 2013 13:07

Maar niet van het beveiligingssysteem.

Phoenix_the_II @Ramoncito • 28 juli 2013 13:27

zeker als het gaat om het dure segment auto's waar hun klanten toch ook veel geld voor betalen.

Ja, want klanten die miinder betalen krijgen die verplichting niet.

Wat is dat nou weer voor kromme redenatie?

cantate @Phoenix_the_II • 28 juli 2013 13:47

Klanten die minder betalen krijgen waarschijnlijk heel die encryptie niet. Een audi A3, een Passat of een Golf is nu al zonder schade leeg te roven (is bij 6 van bovengenoemden gebeurd in onze straat, zonder dat iemand wat heeft gemerkt, alle navi en airbags weg)

Zoals in het artikel staat gaat het dus voornamelijk om de duurdere modellen waarbij de sleutel meer functies heeft.

thegve @cantate • 28 juli 2013 14:15

Ik heb het voor elkaar gekregen om sleutel in mijn 2011 Fiat Punto te laten liggen. Deze kon zonder problemen binnen een minuut worden opengemaakt door de ANWB zonder sleutel. Als zij het kunnen, kan een 'gevorderde' crimineel dit ook wel.

Ik heb voorheen tegenover een autogarage gewoond waar ook 12 Ford Focussen waren opgebroken en airbags gestolen. De eigenaar woont er zelf naast, en allemaal stonden ze (volgens de handelaar, maar die vertrouw ik) op slot met autoalarm ingeschakeld.

Van een andere handelaar heb ik begrepen dat de oost Europese autodieven vrij 'vergevorderd' zijn in de diefstal. Zij weten precies hoe die auto's in elkaar zitten en hoe ze de beveiliging moeten omzeilen. Hij legde mij de werkmethode van een diefstal van een Mercedes bij een collega uit, en dat was inderdaad erg geraffineerd en zij wisten goed waar ze mee bezig waren.

chimnino @thegve • 28 juli 2013 15:02

Vind je het heel erg gek? Die dingen worden daar allemaal gebouwd in tsjechie, hongarije, noem maar op.

Panzy 28 juli 2013 13:24

Elke beveiliging is te kraken, ik begrijp heel goed dat Volkswagen niet wil dat dit openbaar wordt.

harrytasker @Panzy • 28 juli 2013 13:35

De vraag blijft natuurlijk gaan ze de beveiliging ook aanpassen, het zou me niks verbazen als ze het gewoon zo laten, de sleutels zijn toch nog niet gelekt!

CAPSLOCK2000

Netwerk en systeembeheer
Encryptie

28 juli 2013 13:54

Ik ken de achtergrond van deze zaak niet maar in de beveiligingswereld worden dit soort dingen voortdurend onder het kleed geveegd. Het is makkelijker om iemand het zwijgen op te leggen dan om het probleem op te lossen. Daarom hebben onderzoekers wel eens de neiging om flink wat druk te zetten zodat er naar hun geluisterd wordt. Daarnaast geeft het een hoop extra publiciteit als je de sleutel er wel bij doet (zoals nu al blijkt).

Zer0 @CAPSLOCK2000 • 28 juli 2013 14:22

Je had op zijn minst het artikel kunnen lezen, VAG heeft al toegegeven dat het lek er is, er is dus helemaal geen extra druk nodig. Er wordt ook niemand het zwijgen opgelegd, het onderzoek wordt gewoon gepubliceerd, VAG heeft alleen gevraagd de sleutels niet te publiceren.

CAPSLOCK2000

Netwerk en systeembeheer
Encryptie

@Zer0 • 28 juli 2013 16:53

Toegeven is een mooi begin maar niet meer dan dat. Nu moeten ze het ook nog oplossen en het liefst een beetje snel. Daar gaat het vaak fout. Bedrijven hebben geen zin om miljoenen producten terug te roepen om er een paar bytes aan te veranderen. Het gevaar bestaat dat ze eerst eens een paar maanden gaan vergaderen en dan besluiten om het alleen op te lossen voor nieuwe auto's.
Ik wil niet beweren dat er kwade opzet is of dat Volkswagen het zo zal doen, maar de ervaring leert dat klanten, aandeelhouders en (dus) managers niet geven om veiligheid tot het te laat is. (Anders hoefden we gordels en lampen niet wettelijk te verplichten).

mjtdevries @CAPSLOCK2000 • 28 juli 2013 17:26

(Anders hoefden we gordels en lampen niet wettelijk te verplichten).

Dat is een zeer slechte vergelijking.

Als je namelijk naar de geschiedenis van de autogordel gaat kijken, dan zul je vinden dat de fabrikanten zelf met de gordel zijn gekomen. En dat de gordel al lang vanzelfsprekend was in een auto voordat er een wet kwam dat ie verplicht werd in nieuew auto ontwerpen.
En daarna kwam de wet die het verplicht stelde het ding ook te dragen.

Autofabrikanten hebben ook regelmatig terugroep acties om dingen in autos te corrigeren. Wat dat betreft hebben ze een veel beter track-record dan de meeste andere bedrijven.

RetepV 28 juli 2013 14:50

De second-best optie na publicatie van alles is altijd om er een mediaspektakel van te maken.

Kinderen moet je dwingen hun verantwoording te nemen. Zo ook fabrikanten.

Mensen denken altijd maar: met meer koppen, meer resultaat. Maar je moet bedenken WAT voor resultaat. Meer koppen is meer intelligentie. Maar het gaat er uiteindelijk om waar die intelligentie voor ingezet wordt.

Wetenschappers doen dingen in het algemeen belang en zetten hun eigenbelang op de achtergrond. Bestuursleden doen dingen voor hun eigenbelang en zetten het algemeen belang op de achtergrond.

Voor bestuursleden is het een te verantwoorden taktiek om dingen verborgen te houden. Dus zetten ze hun intelligentie zonder gewetensbezwaren in om de doofpot in te zetten. Het begint altijd met tijd proberen te rekken.

Dus goed dat het een rechtszaak is geworden. Het resultaat is dat het breeduit in de media komt en dat de bestuursleden van de VAG direkt aan een oplossing moeten gaan werken, in plaats van over 3 maanden. Prima zo.

Edit:

Het lijkt ook een algemene natuurwet te zijn dat als iemand iets ontdekt, iemand anders vrijwel tegelijkertijd en onafhankelijk hetzelfde ontdekt. Ga er maar van uit dat iemand anders al die sleutels probeerde te ontrafelen en dat die ze al, of al bijna, gevonden heeft.

[Reactie gewijzigd door RetepV op 25 juli 2024 03:09]

mjtdevries @RetepV • 28 juli 2013 17:32

Wetenschappers doen dingen in het algemeen belang en zetten hun eigenbelang op de achtergrond.

Jij kent blijkbaar erg weinig wetenschappers. (of mensen die claimen wetenschapper te zijn)

Wetenschappers kunnen alleen vrolijk wetenschap bedrijven als ze voldoende geld hebben.
Daarom hebben ze altijd een gigantisch eigen belang: nieuw onderzoeksgeld.

Wetenschappers zijn op dat punt geen haar beter dan bestuursleden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (178)

Sorteer op:

Weergave: