Autofabrikant Volkswagen heeft twee jaar lang geprobeerd om een publicatie over gebreken in de beveiliging van de Megamos-chip in zijn startonderbreker tegen te houden. Wetenschappers van de Nijmeegse Radbouduniversiteit werden voor de rechter gedaagd, maar hebben hun bevindingen twee jaar na dato toch openbaar gemaakt.
Het artikel dat in 2013 op verzoek van een Engelse rechter teruggetrokken werd is 11 augustus 2015 alsnog verschenen. In 2012 ontdekten drie computer security-onderzoekers van de Radboud Universiteit zwakheden in de Megamos-chip, die veel gebruikt wordt in startonderbrekers van verschillende automerken. De wetenschappers informeerden, zoals dat gebruikelijk is, de fabrikant en schreven een wetenschappelijk artikel, dat geaccepteerd werd op de prestigieuze security-conferentie Usenix 2013.
Eerder onthulden Radboud-wetenschappers zwakheden in de OV-chipkaart. De Nederlandse rechter weigerde destijds een publicatie daarover te verbieden, mede omdat de Radboud Universiteit zich aan de responsible disclosure-regels hield. Volkswagen koos ervoor een zaak via een Engelse rechter aan te spannen. Dat kon omdat één van de onderzoekers in de tussentijd naar de universiteit van Birmingham overgestapt was. De Engelse rechter legde in juni 2013 een publicatieverbod op.
De Radboud Universiteit heeft, samen met de Universiteit van Birmingham het Engelse publicatieverbod direct aangevochten. Volgens de universiteiten zijn de gegevens over de chip waarop de onderzoekers zich baseren, op rechtmatige manier beschikbaar. Ook is de fabrikant meer dan negen maanden voor de beoogde publicatie geïnformeerd.
Zin over cryptografie eruit
Volgens de responsible disclosure–richtlijn van de Nederlandse overheid is een termijn van zes maanden voldoende. Radboud: ‘Het artikel bevat een wetenschappelijke analyse van het niveau van beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De Radboud Universiteit is een fel verdediger van academische vrijheid en vindt dat autobezitters het recht hebben om te weten hoe goed of slecht de beveiliging van hun auto is.’
De universiteit licht toe: ‘Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij alsnog akkoord met publicatie, na het voorstel om één zin uit het oorspronkelijke artikel te verwijderen.’
Die zin bevat een expliciete beschrijving van een onderdeel van de berekeningen op de chip. ‘Het weglaten ervan maakt een reconstructie van het gehele algoritme voor misbruik moeilijker, maar tast de wetenschappelijke inhoud niet aan’, aldus professor Bart Jacobs, hoofd van de onderzoeksgroep Digital Security in Nijmegen. Hij was nauw betrokken bij het gehele proces en kan goed met de tekstwijziging leven: ‘Wij academici hebben onze rug recht gehouden en blijven vinden dat het oplossen van securityproblemen het meest gebaat is met het verantwoord benoemen van zwakheden, niet met het onder de pet houden ervan. Het blijft vervelend dat hiermee zo veel tijd, geld en moeite verloren is gegaan. Dit is geen aanmoediging om gebreken alleen bij een fabrikant te melden.’
Presentatie
De onderzoekers presenteren op woensdag 12 augustus in Washington (om 21.00 uur plaatselijke tijd) hun artikel op de plek waar ze dat twee jaar geleden al hadden willen doen. Het gaat om het artikel: Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer van Roel Verdult, Flavio D. Garcia en Baris Ege
“Tja… Je verwacht meer als je Volkswagen rijdt…”
Of bedoel ik nou een oudere slogan ? : “Volswagen natuurlijk”
Maar “Als je je kop niet houdt dan maak ik je kapot” is natuurlijk óók een houding :-). Zeker als je een rechter vindt die je daarin ondersteund.
Wat de heren bij de universiteiten niet begrijpen is dat een autofabrikant meer tijd nodig heeft om een foute chip of software te vervangen dan dat een softwarebedrijf nodig heeft om zijn software te updaten. Ik hoop dat ze de afgelopen jaren gebruikt hebben om dit te doen.
Als de onderzoekers een positieve bijdragen zouden willen leveren zouden ze niet alleen moeten aantonen dat iets niet werkt of onveilig is maar ook een mogelijke oplossing geven en de fabrikant de tijd geven om deze te implementeren, en ja daar kan flink wat tijd overheen gaan aangezien je moet wachten tot de auto voor een grote beurt langs komt.
@Onno Dat lijkt me nogal de omgekeerde wereld. Een universiteit zal toch niet gratis een oplossing hoeven te bieden voor een probleem dat een fabrikant veroorzaakt. Volkswagen zou zelfs moeten betalen voor het onderzoek! Overigens kan het wisselen van de Megamos-chip ook met een terugroepactie plaatsvinden. Dus twee jaar lijkt me ruim voldoende. Het is niet zo dat je een pakje boter bij de supermarkt koopt, maar een auto voor heel veel geld. Daar mag je wel wat voor verwachten.
Zo is dat Freek. Nu ze dit eindelijk toch moeten gaan toegeven, wat met al die wagens die reeds gestolen zijn (waaronder de mijne)? Nooit een commerciële korting of wat dan ook gezien…
Het enige wat ze me konden vertellen is dat Volkswagen niet langer dan 2 jaar kon garanderen dat een wagen niet gestolen wordt (na releasedatum). Uhum, leuk!
+ Een auto zou moeten geüpdated kunnen worden zoals een PC maar zo is het niet. Na aanschaf gebeurt er meestal niks meer aan de boordcomputer en zo… tja en dan zorgt dat samen met een slechte chip na verloop van tijd voor problemen.