[PWC-MEDIA] ‘Verboden’ artikel over gebrekkige startonderbrekerchip na twee jaar alsnog gepubliceerd

• From: "Media, RU" <Media@xxxxx>
• To: undisclosed-recipients:;
• Date: Tue, 11 Aug 2015 20:34:25 +0000

[logo RU NL.jpg]

** U kunt dit persbericht ook vinden op
http://www.ru.nl/nieuws-agenda/nieuws/vm/icis/informatica/2015/megamos_2015/ **

‘Verboden’ artikel over gebrekkige startonderbrekerchip na twee jaar alsnog
gepubliceerd


Drie computer security-onderzoekers van de Radboud Universiteit ontdekten in
2012 zwakheden in de Megamos-chip, die veel gebruikt wordt in startonderbrekers
van verschillende merken auto's. De wetenschappers informeerden volgens goed
gebruik direct de fabrikant en schreven een wetenschappelijk artikel, dat
geaccepteerd werd op een prestigieuze security-conferentie (USENIX 2013). Van
publicatie kwam het echter niet, omdat een Engelse rechter in juni 2013 op
verzoek van Volkswagen een verbod oplegde. Het omstreden artikel dat in 2013
teruggetrokken moest worden verschijnt nu, augustus 2015, alsnog.

Wat vooraf ging….

In 2008 onthulden Radboud-wetenschappers zwakheden in de OV-chipkaart. De
Nederlandse rechter weigerde destijds een publicatie daarover te
verbieden<https://cms.ru.nl/aspx/745778>, mede omdat de Radboud Universiteit
zich netjes aan responsible disclosure-regels hield.
Volkswagen stapte daarom in de ‘Megamos-zaak’ in 2013 naar een Engelse rechter.
Dat kon, omdat een van de onderzoekers in de tussentijd naar de Universiteit
van Birmingham overgestapt was. De Engelse rechter bleek in juni 2013 wel
bereid om een publicatieverbod op te leggen.

Verdediging

De Radboud Universiteit heeft, samen met de Universiteit van Birmingham, dit
Engelse publicatieverbod direct aangevochten: de gegevens over de chip waarop
de onderzoekers zich baseren, zijn op rechtmatige manier beschikbaar. Ook is de
fabrikant meer dan negen maanden voor de beoogde publicatie geïnformeerd.
Volgens de responsible disclosure-richtlijn van de Nederlandse overheid is een
termijn van zes maanden voldoende.
Het omstreden artikel bevat een wetenschappelijke analyse van het niveau van
beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De
Radboud Universiteit is een fel verdediger van academische vrijheid en vindt
dat autobezitters het recht hebben om te weten hoe goed of slecht de
beveiliging van hun auto is.

Overleg en oplossing

Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks
informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij
alsnog akkoord met publicatie, na het voorstel om één zin uit het
oorspronkelijke artikel te verwijderen. Deze ene zin bevat een expliciete
beschrijving van een onderdeel van de berekeningen op de chip. Het weglaten van
deze zin maakt reconstructie van het gehele algoritme voor misbruik moeilijker,
maar tast de wetenschappelijke inhoud niet aan.

Professor Bart Jacobs<http://www.cs.ru.nl/B.Jacobs/>, hoofd van de
onderzoeksgroep Digital Security in Nijmegen was nauw betrokken bij het gehele
proces. Hij kan goed met de tekstwijziging leven, zegt hij. ‘Wij academici
hebben onze rug recht gehouden en blijven vinden dat het oplossen van
securityproblemen het meest gebaat is met het verantwoord benoemen van
zwakheden, niet met het onder de pet houden ervan. Het blijft vervelend dat
hiermee zo veel tijd, geld en moeite verloren is gegaan. Dit is geen
aanmoediging om gebreken alleen bij een fabrikant te melden.’

Presentatie in Washington

De onderzoekers presenteren op woensdag 13 augustus (om 21.00 uur plaatselijke
tijd) hun artikel op de plek waar ze dat twee jaar geleden al hadden willen
doen: het USENIX Security congres in Washington. Het gaat om het artikel: Roel
Verdult, Flavio D. Garcia, and Baris Ege, Dismantling Megamos Crypto:
Wirelessly Lockpicking a Vehicle Immobilizer.
· Aankondiging van de special paper
presentation<http://https/www.usenix.org/conference/usenixsecurity15/technical-sessions>
op de USENIX-site (Wednesday, 9 pm), met inleidend
commentaar<https://www.usenix.org/sites/default/files/sec15_supplement_foreword.pdf>
van de organisatoren van het congres
· Meer over de Digital Security-onderzoeksgroep<http://www.ru.nl/ds/>
van de Radboud Universiteit
· Het tv-programma Nieuwsuur<http://nos.nl/nieuwsuur/> besteedde op
dinsdag 11 augustus 2015 aandacht aan deze zaak.

Meer over het publicatieverbod in 2013:
· Radboud Universiteit vindt verbod publicatie
onbegrijpelijk<https://cms.ru.nl/aspx/895841> (juli 2013)
· Uitspraak van de Engelse rechter<UrlBlockedError.aspx> (juni 2013)
· Uitgebreide externe analyse van het
vonnis<http://www.isg.rhul.ac.uk/~kp/Carolina-Paterson-Megamos-comment-20130828.pdf>,
door Royal Holloway, University of London (augustus 2013)


Meer weten? Neem contact op met

Wetenschapscommunicatie Radboud Universiteit
media@xxxxx<mailto:media@xxxxx>
(024) 361 6000



of met



prof. Bart Jacobs
b.jacobs@xxxxxxxx<mailto:b.jacobs@xxxxxxxx>

Attachment: image001.jpg
Description: image001.jpg

Other related posts:

• » [PWC-MEDIA] ‘Verboden’ artikel over gebrekkige startonderbrekerchip na twee jaar alsnog gepubliceerd - Media, RU

1. Home
2. pwc-media
3. Archive
4. 08-2015

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---