Het jaarcongres van de Chaos Computer Club (CCC) heeft na 38 edities nog niets aan betekenis en enthousiasme ingeboet. De vraag naar toegangskaarten was 1,4 keer zo groot als het beschikbare aantal tickets. En de meeste aandacht trok de onthulling dat de Volkswagen Groep altijd precies weet waar je auto staat.
Liefst 140 lezingen passeerden vier dagen lang de revue. Veel deelnemers haastten zich van de ene zaal naar de andere om maar niets te missen. Duizenden grote en kleinere projecten en ideeën zorgden voor een overweldigend aanbod van nieuws. Andere deelnemers bleven dagenlang onverstoorbaar doorhacken, sleutelen en pronken met hun projecten. Alleen defecte netwerkkabels of volle stopcontacten konden hun plezier bederven.
De datahonger van VW
Tijdens het Chaos Communicatie Congres, kortweg 38C3 geheten, leidde de ongebreidelde datahonger van de Volkswagen Groep tot veel beroering. Europa’s grootste autofabrikant houdt systematisch de bewegingsgegevens van honderdduizenden elektrische auto’s van de merken VW, Audi, Skoda en Seat bij. Het concern slaat deze data gedurende lange perioden op, aldus de CCC.
De gegevens, waaronder informatie over voertuig-eigenaren, waren ook onbeschermd toegankelijk op internet. Via de bewegingsgegevens krijgt Volkswagen inzicht in het alledaagse – en vooral het niet-alledaagse – privéleven van honderdduizenden autobezitters, aldus de CCC. Ook getroffen zijn wagenparkbeheerders, bestuursleden en commissarissen van grote beursgenoteerde bedrijven en verschillende politie-autoriteiten in Europa. Zo werden bewegingsgegevens van 35 elektrische patrouillewagens van de Hamburgse politie geregistreerd en opgeslagen op het VW-platform zodat derden deze konden bekijken. Ook werden gevoelige gegevens over inlichtingen en militaire activiteiten geregistreerd: er werden onder meer datasets gevonden uit de parkeergarage van de Federale Inlichtingendienst (BND) en van het militaire vliegveld van de Amerikaanse luchtmacht in Ramstein. De informatie verzameld door VW-dochter Cariad omvat nauwkeurige informatie over de locatie en het tijdstip waarop het contact werd uitgeschakeld. De bewegingsgegevens worden gekoppeld aan andere persoonsgegevens, meent CCC. Hierdoor zijn ook conclusies te trekken over leveranciers, dienstverleners en medewerkers van veiligheidsdiensten.
Cariad heeft de ernst van de situatie inmiddels erkend. De VW-dochter neemt maatregelen om de beveiliging van hun systemen te verbeteren en de getroffen klanten te informeren. VW wijt het lek aan een software-fout waardoor de gepseudonimiseerde locatiegegevens van 460.000 voertuigen in een Amazon-cloudopslagsysteem konden worden bekeken. Volgens het bedrijf had behalve de CCC niemand toegang tot de gegevens. Over individuele personen waren geen conclusies te trekken, aldus VW. Volgens het concern betrof het gegevens over laadgedrag om de batterij en laadsoftware te optimaliseren.
Treinen in winterslaap gebracht
Een andere affaire die tijdens het vorige congres in 2023 al speelde, is de vermeende manipulatie van treinen van de Poolse railvoertuig-fabrikant Newag. Drie hackers legden een jaar geleden uitgebreid uit hoe deze leverancier zijn treinen zo had gemanipuleerd dat ze alleen in de eigen werkplaatsen konden worden gerepareerd. Newag-treinen gingen in winterslaap als ze te lang geparkeerd stonden binnen de geo-coördinaten van de werkplaatsen van concurrenten of klanten, aldus de CCC. Of de treinen werden achtergelaten in omstandigheden die erop wezen dat ze een niet-geregistreerde reparatie hadden ondergaan.
Alleen door het inschakelen van een Newag-monteur konden dergelijke uitgeschakelde treinen ‘gered’ worden. De fabrikant reageerde furieus op de publicaties en klaagde de hackers zowel strafrechtelijk als civielrechtelijk aan. Afgelopen vrijdag deden de hackers verslag van hun juridische odyssee, die hen al veel geld heeft gekost.
Nederland
De belangrijkste Nederlandse bijdrage kwam van Shahram Rasoolzadeh, onderzoeker bij de Radboud Universiteit. Samen met twee Duitse collega’s van de Ruhr Universiteit Bochum, presenteerde hij fatale beveiligingsfouten in het Halfloop-24-coderingsalgoritme, dat wordt gebruikt door het Amerikaanse leger en de NAVO. Dit algoritme was bedoeld om het automatische verbindingsprotocol bij kortegolfradio veilig te stellen, maar hun onderzoek toont aan dat slechts twee uur onderschept radioverkeer voldoende is om de geheime sleutel te achterhalen.
