NIJMEGEN, 13 augustus 2015 11:36

‘Verboden' artikel over gebrekkige startonderbrekerchip na twee jaar alsnog gepubliceerd

Drie computer security-onderzoekers van de Radboud Universiteit ontdekten in 2012 zwakheden in de Megamos-chip, die veel gebruikt wordt in startonderbrekers van verschillende merken auto's. De wetenschappers informeerden volgens goed gebruik direct de fabrikant en schreven een wetenschappelijk artikel, dat geaccepteerd werd op een prestigieuze security-conferentie (Usenix 2013). Van publicatie kwam het echter niet, omdat een Engelse rechter in juni 2013 op verzoek van Volkswagen een verbod oplegde. Het omstreden artikel dat in 2013 teruggetrokken moest worden verschijnt nu, augustus 2015, alsnog.

In 2008 onthulden Radboud-wetenschappers zwakheden in de OV-chipkaart. De Nederlandse rechter weigerde destijds een publicatie daarover te verbieden, mede omdat de Radboud Universiteit zich netjes aan responsible disclosure-regels hield.
Volkswagen stapte daarom in de ‘Megamos-zaak' in 2013 naar een Engelse rechter. Dat kon, omdat een van de onderzoekers in de tussentijd naar de Universiteit van Birmingham overgestapt was. De Engelse rechter bleek in juni 2013 wel bereid om een publicatieverbod op te leggen.

Verdediging

De Radboud Universiteit heeft, samen met de Universiteit van Birmingham, dit Engelse publicatieverbod direct aangevochten: de gegevens over de chip waarop de onderzoekers zich baseren, zijn op rechtmatige manier beschikbaar. Ook is de fabrikant meer dan negen maanden voor de beoogde publicatie geïnformeerd. Volgens de responsible disclosure-richtlijn van de Nederlandse overheid is een termijn van zes maanden voldoende.

Het omstreden artikel bevat een wetenschappelijke analyse van het niveau van beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De Radboud Universiteit is een fel verdediger van academische vrijheid en vindt dat autobezitters het recht hebben om te weten hoe goed of slecht de beveiliging van hun auto is.

Overleg en oplossing

Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij alsnog akkoord met publicatie, na het voorstel om één zin uit het oorspronkelijke artikel te verwijderen. Deze ene zin bevat een expliciete beschrijving van een onderdeel van de berekeningen op de chip. Het weglaten van deze zin maakt reconstructie van het gehele algoritme voor misbruik moeilijker, maar tast de wetenschappelijke inhoud niet aan.

Professor Bart Jacobs, hoofd van de onderzoeksgroep Digital Security in Nijmegen was nauw betrokken bij het gehele proces. "Als je bij Google een beveiligingslek meldt in hun software dan zijn ze daar blij mee. Dan betalen ze je tien tot honderdduizend dollar, afhankelijk van de ernst van het probleem", zei hij in het TV-programma Nieuwsuur. "Maar als je bij Volkswagen zo'n beveiligingsprobleem meldt, krijg je een proces aan de broek".

Jacobs kan goed met de tekstwijziging leven, zegt hij. "Wij academici hebben onze rug recht gehouden en blijven vinden dat het oplossen van securityproblemen het meest gebaat is met het verantwoord benoemen van zwakheden, niet met het onder de pet houden ervan. Het blijft vervelend dat hiermee zo veel tijd, geld en moeite verloren is gegaan. Dit is geen aanmoediging om gebreken alleen bij een fabrikant te melden."

Presentatie in Washington

De onderzoekers presenteren op woensdag 12 augustus (om 21.00 uur plaatselijke tijd) hun artikel op de plek waar ze dat twee jaar geleden al hadden willen doen: het Usenix Security congres in Washington. Het gaat om het artikel: Roel Verdult, Flavio D. Garcia, and Baris Ege, Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer.

Meer over het publicatieverbod in 2013:

 

 

Foto's:

‘Verboden' artikel over gebrekkige startonderbrekerchip na twee jaar alsnog gepubliceerd

De Megamos-chip in veel startonderbrekers is zwak beveiligd.

© Aandrijvenenbesturen.nl