Via NOS Nieuwsuur:
Miljoenen auto’s zijn makkelijk te hacken, omdat de chip in de autosleutel en de code in de startonderbreker niet goed geprogrammeerd zijn. Dat meldt de Nederlandse publieke omroep NOS, die een onderzoek van de Radboud Universiteit in Nijmegen kon inkijken. Het gaat om de zogenoemde ‘Megamos Crypto Chip’, die vijftien jaar lang wereldwijd ingebouwd werd in auto’s van Volkswagen, Seat, Skoda, Audi, Fiat, Honda, Peugeot, Bentley, Porsche en Lamborghini.
Het is opmerkelijk nieuws, maar echt verrassend kan je het niet noemen. Toch niet als je beseft hoe argeloos er dikwijls met beveiliging wordt omgesprongen. Wat vooral opvalt aan de reportage, is de ronduit arrogante manier waarop de autobranche RAI reageert op het nieuws. Uiteraard kunnen ze vandaag moeilijk anders dan erkennen dat er inderdaad een probleem is. “Auto’s zijn vatbaarder voor diefstal.”
Een schoolvoorbeeld van hoe het niet moet
Alleen dateert het onderzoek van de Radboud Universiteit reeds van eind 2012. Onderzoekers Baris Ege, Roel Verdult en Flavio Garcia wilden hun bevindingen in augustus 2013 presenteren tijdens de USENIX computer security conferentie in augustus. Op die manier kreeg de eigenaar van de code meer dan zes maanden de tijd om de nodige maatregelen te nemen. Iets wat common practice is bij dit soort responsible disclosures. Volkswagen AG zag het echter anders en stapte naar de rechter die de publicatie van de onderzoeksresultaten verbood. Fout 1. In plaats van een rechtszaak aan te spannen, was Volkswagen AG beter met de onderzoekers aan tafel gaan zitten om te bespreken wat er aan de hand is en samen naar een oplossing te zoeken. Het zou hen zelfs gesierd hebben als ze de onderzoekers gefeliciteerd hadden om het probleem boven water te halen. Tenzij de automerken natuurlijk zelf al weet hadden van het beveiligingsprobleem en verzuimd hadden om dat te verhelpen. Dat zou de reactie kunnen verklaren, maar het is natuurlijk speculeren.
Ondertussen bleef het probleem door het publicatieverbod onder de radar en bleven de auto’s die van de bewuste sleutel gebruik maakten, kwetsbaar voor inbraken. Fout 2. Wie weet heeft van een onveilige code, heeft de plicht om dat te verhelpen. Het vermoeden bestaat zelfs dat verschillende automerken nog een tijd lang gebruik zijn blijven maken van de onveilige sleutel. Het is een vraag waar de autobouwers geen commentaar op wensten te geven.
Onlangs heeft Volkswagen het publicatieverbod laten opheffen. Maar zowel de autofabrikant als de automobielbranche hebben al gesteld dat het niet mogelijk is om bij miljoenen kwetsbare auto’s zowel de sleutel als de startonderbreker te vervangen. Wie een kwetsbare auto heeft, moeten zelf maar actie ondernemen om de auto beter te beveiligen. “De kosten zijn wel voor de eigenaar van de auto”, aldus brancheorganisatie RAI. Fout 3. Het is niet meer dan logisch dat wie een fout maakt, ook opdraait voor de kosten om het probleem te verhelpen. Dit is ook in de autobranche de normale gang van zaken. Bij alle andere fabricagefouten worden auto’s teruggeroepen om het probleem op te lossen. Alleen bij beveiliging zou dat dus niet moeten gebeuren en moet de eigenaar maar zelf zorgen voor een oplossing en opdraaien voor de kosten.
Het gedoe rond de Megamos sleutel laat in ieder geval zien hoe onverantwoord er nog te dikwijls wordt omgesprongen met beveiliging. Met daarbovenop de arrogantie van autobouwers die hun fouten eerst proberen onder tafel te schuiven en vervolgens alle verantwoordelijkheid afwijzen. Zelfs een bescheiden mea culpa kan er in dit geval niet vanaf. Het maakt van dit hele verhaal een schoolvoorbeeld van hoe je als bedrijf niet moet omspringen met beveiliging.
Meer lezen:
- Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer – presentatie (pdf) van Roel Verdult, BarisEge (Radboud University Nijmegen) en Flavio D. Garcia (University of Birmingham).
- Chris van ’t Hof: Dismantling Megamos. Hoe Volkswagen de Radboud publicatie over gekraakte autosleutels tegenhield. (Verantwoorde onthullingen #6, 24 april 2014)
- NOS Nieuwsuur reportage: Miljoenen auto’s te hacken door gebrekkige beveiliging chip autosleutel (11/08/2015)
- Via Security.nl: Onderzoeker mag niet publiceren over gekraakte startbeveiliging dure auto’s (28 juli 2013) en Radboud Universiteit noemt publicatieverbod Megamos-onderzoek onbegrijpelijk (29 juli 2013)
- Via The Guardian: Scientist banned from revealing codes used to start luxury cars (26 juli 2013)
[…] Via NOS Nieuwsuur: Miljoenen auto’s zijn makkelijk te hacken, omdat de chip in de autosleutel en de code in de startonderbreker niet goed geprogrammeerd zijn. Dat meldt de Nederlandse publieke omro… […]