Een team van universitaire onderzoekers, waaronder twee van de Universiteit Nijmegen, is er in geslaagd Volkswagens autosleutel-encryptiesysteem te kraken. Zij wilden hierover publiceren, maar de rechter stak hier, na een kort geding van VW, een stokje voor.
Moderne autosleutels zijn voorzien van een unieke code, zonder deze code kan de auto niet gestart worden, de zogeheten immobiliser. Volkswagens eigen systeem, Megamos Crypto, schijnt gekraakt te zijn door een team van onderzoekers van de Universiteit van Birmingham, dat hierbij samen werkte met een tweetal academici van de Radboud Universiteit Nijmegen, Baris Ege en Roel Verdult.
Zij zeggen het algoritme achter de encryptie te hebben ontleed, en wilden hun bevindingen in augustus publiceren in een paper tijdens het Usenix Security Symposium in Washington DC. De Volkswagen-groep (VAG) was hier logischerwijs niet blij mee, en verzocht ze hun paper te censureren door de codes niet te publiceren.
De onderzoekers weigerden hun publicatie te ‘kuisen’, onder het mom: ‘degenen die kwaad in de zin hebben (autodieven dus) zijn al goed op de hoogte van de lekken, maar het grote publiek niet’, waarop VAG een kort geding aanspande. De Britse rechter gaf VAG gelijk, waardoor de publicatie nu op losse schroeven staat.
Door beveiligingslekken te publiceren trachten de onderzoekers de auto-industrie te dwingen actie te ondernemen, aangezien het hun mening is dat zwakke schakels in encryptiesystemen al bekend zijn, maar er niet voldoende actie tegen ondernomen wordt.
Vorig jaar kwam de Radboud Universiteit ook al in het nieuws, toen onderzoekers van dezelfde groep er in slaagden een BMW X5, voorzien van een ‘kraakgevoelige’ chip te starten.
Roel Verdult is geen onbekende als het gaat om het kraken van chipbeveiligingen: hij schreef zijn master thesis in 2008 over hetzelfde onderwerp.
Wij hebben contact opgenomen met de Nederlandse onderzoekers, met enkele vervolgvragen. Zodra hier antwoord op is zal het artikel ge-updated worden.
Update 14:15 – Na contact met een woordvoerder van de universiteit kunnen we het volgende melden: er zal in augustus op het symposium door de rechterlijke uitspraak geen paper worden gepubliceerd. Onbekend is of de heren onderzoekers desalniettemin aanwezig zullen zijn.
In een reactie op de uitspraak zal een bodemprocedure worden aangespannen. Zo lang het juridische getouwtrek loopt kunnen er inhoudelijk weinig mededelingen gedaan worden. Het is verder onduidelijk of dit Megamos Crypto-systeem in elk model van de VW-groep wordt toegepast, of in een deel van de range.
In dit artikel is gebruik gemaakt van informatie uit een artikel in The Guardian.
Niet dat dat zin heeft.. Je hebt altijd nog lockpickstore.nl. (1 van de…), schandalig.
Door de staat betaalde onderzoekers die spelen met autosleutels…..
@norge: Eens! En ik ben bang dat we niet eens willen weten hoeveel subsidie hier voor getrokken is.
@awesome: Wees blij dat er mensen zijn die onderzoek doen naar dingen waar jij je vertrouwen op gevestigd hebt omdat jij denkt dat ze veilig zijn. In het criminele circuit wordt dit soort onderzoek ook gedaan, maar dan in de week dat zo’n sleutel uit komt. Ondertussen worden er massaal, met het grootste gemak, auto’s gejat. Volkswagen doet niks publiekelijk, want dat kost hun geld en imago.
@tmon:
yep .. een straat-crimineeltje doet zoiets in een weekje ipv een jaar ..
ere-doctoraat voor de boefjes dus ..
@lincoln: Je moest eens weten hoe hard ze in het oostblok werken voor een vergoeding die vele malen hoger is dan hun jaar inkomen.Criminaliteit loont in harde cash, universiteits onderzoeken worden weggemoffeld door de rechter. En slimme koppen heb je overal, niet alleen op universiteiten.
@lincoln: De tijd gaat zitten in het rapport schrijven zonder taalfouten…
@lincoln: Alle grote beveiligingssystemen worden gehackt. Microsoft en andere bedrijven spenderen miljoenen en hebben tientallen mensen in dienst om hun producten te beveiligen. Een week nadat ze in de winkel liggen is er altijd wel een hacker zonder doctoraat die de hele beveiliging op zijn eentje kraakt.
Een doctoraat is leuk voor iemand die in hokjes denkt of voor mensen die in een bedrijf willen werken dat is opgericht door iemand zonder diploma.
leuke universiteit ..
ligt Nijmegen tegenwoordig in Somalie ??
en kan je ook scripties inleveren over afpersen moorden en bank-overvallen ??
Ik begrijp dit soort onderzoeken niet.
Solliciteer dan bij een autofabrikant of leverancier van dergelijke systemen zodat je preventief kunt voorkomen dat de lekken aanwezig zijn, in plaats van reactief te roepen dat de systemen slecht beveiligd zijn.
Waarschijnlijk vonden de onderzoekers het makkelijker om op zoek te gaan naar lekken in plaats van een systeem te ontwikkelen dat wel goed werkt…
@awesome: En hoe maak je dingen beter…? Juist, door te kijken waar het oude op faalt.
@tmon: en dat kun je alleen van subsidie? dus niet in dienst van een bedrijf zelf?
@awesome:
Waar staat dat ze subsidie hebben gekregen? Zelfs als dat zo zou zijn dan gaat het om Engels geld (university off Birmingham), de Nederlanders hebben met hen samen gewerkt.
Gewoon een goede zaak dat dit aan de kaak gesteld wordt en typisch VAG dat het in de doofpot moet….
@jrk68: Dus als het jouw pincode was geweest mag het gewoon op straat.
@E34M5Touring:
Volgens mij begrijp je mij nu even verkeerd. Ik vind het een goede zaak dat dit aan de kaak gesteld wordt zodat voorkomen kan worden dat minder betrouwbare lieden hiermee aan de haal gaan.
Als het daarvoor nodig om het onderzoek openbaar te maken dan moet dat maar.
@jrk68: Dan melden ze dat alleen aan VW. Wat heeft het voor meerwaarde om die specifieke cijfers te presenteren. Zodat iedereen Jan Doedel met een beetje kennis zo die sleutelcode’s heeft. Dus om even jouw woorden te gebruiken, daarom de Doofpot…
@E34M5Touring:
Jan Doedel kan daar geen ruk mee en de echte crimineel weet al veel langer hoe het moet.
@awesome: Een bedrijf heeft dit misschien niet hoog op z’n to-do lijstje staan. Ook onderzoeken binnen bedrijven moeten ergens van betaald worden. Als het potje niet groot is, zal er ook weinig gebeuren.
@awesome:
Zolang een systeem niet te veel misbruikt wordt gaat zo’n bedrijf daar echt geen geld in steken. Pas als ze gezichtsverlies gaan lijden gaan ze er wat aan doen.
Dat gedrag komt overigens heel erg veel voor. Ook bij veel internetbedrijven zie je nu dat ze zeer laks zijn, totdat echt alle gegevens op straat liggen. Dan zijn ze ineens “gehackt”.
Wat de meeste bedrijven willen doen is “security through obscurity”. Gewoon alles geheim houden. Het grote probleem daaraan is dat ook de goeden niks kunnen controleren. En zodra de kwaden er wel op inbreken weet niemand ervan dat er een lek was.
Juist door beveiligingen te laten testen (al dan niet door een derde partij) kun je veel lekker eruit halen. Daarom heeft oa google ook een beloningssyteem. Vind jij een lek in hun systemen en jij geeft dat bij hun aan. Dan krijg jij, afhankelijk van het gevaar van het lek, een beloning uitbetaald. Dat maakt het interessant om je lek met hun te delen.
Doen ze dit niet, dan staan er zat louche partijen te wachten om het van je over te kopen.
@awesome:
Systemen die wel goed werken zijn er gewoon, VAG en enkele anderen zijn gewoon te gierig om een paar dubbeltjes extra te betalen. Dat is wat de onderzoekers willen aantonen.
VAG merken staan niet voor niets al sinds mensenheugenis aan de top van de diefstal lijsten.
VAG had i.p.v. te procederen ook met deze heren kunnen samenwerken….
@jrk68: wat een onzin.. VAG wordt gejat omdat het populair is en goed verkoopt.. Niet omdat de beveiliging slechter is dan bij alle andere merken.. Zet die anti-VAG-bril maar weer af, want je loopt weer wat te blaten uit frustratie..
@solmatje:
Prima knul, jij je zin….
Steek je kop maar lekker in het zand….
Volgens mij is een primaire taak van academici nog steeds onderzoek. Voor ontwikkeling is het bedrijfsleven er.
tis al belachelijk dat er een rechter aan te pas moet komen omdat die universiteits-kneuzen gewoon niet kunnen vatten dat je dit soort dingen netjes af kan handelen ..
dat de leraren hier nog aan mee werken is regelrecht schandalig ..
@lincoln: hoezo? Toen die nederlandse journalist zo even bij schiphol binnenliep moesten ze toch ook niet alles censureren omdat de “boefjes” anders het ook zouden proberen?..
@lincoln: dan heb jij er geen idee van hoe zoiets in z’n werk gaat. Natuurlijk wordt VAG eerst op de hoogte gesteld. Die krijgen ruimschoots tijd om te reageren. Zodra er een aantal maanden verstreken zijn en VAG waarschijnlijk nog niet gehandeld heeft, anders dan juristen aan het werk zetten om zoiets in de doofpot te stoppen, gaan de onderzoekers openbaar. Enerzijds om druk te zetten op VAG om werkelijk iets te ondernemen, anderzijds omdat dit waarschijnlijk publiek betaald onderzoek, wat dus ook inzichtelijk zou moeten zijn voor het publiek.
Een nobeler doel is dat ze het bekend maken om mensen in te lichten, zodat zij een betere keus kunnen maken bij de aanschaf van hun volgende auto. voor sommige mensen staat het beveiligen tegen diefstal hoog op het lijstje. Als die weten dat VAG niks doet met zo’n onderzoek, kunnen ze VAG voortaan links laten liggen. (evenals waarschijnlijk elk ander automerk).
Alle beveiligingen zijn te kraken, de tijd die daar voor nodig is neemt af naar mate de opbrengst van de kraak hoger is.
@tmon: “Alle beveiligingen zijn te kraken, de tijd die daar voor nodig is neemt af naar mate de opbrengst van de kraak hoger is.” Beweer jij nu dat Fort Knox minder zwaar beveiligd is als mijn WC deur?
Je kunt niet vertrouwen op de regering, je kunt niet vertrouwen op big bussiness en het onweert nu ook al wie heeft daar voor gezorgd want die kun je ook al niet meer vertrouwen….
O God I’m depressed…
Jahoor, en Scumbag-Autoblog gaat dit dus juist wèl publiceren. Ik snap wel dat VW dit liever niet heeft, maakt het voor potentiele dieven wel interessant en blijkbaar ook makkelijk.
@AMGJunk: organiseerde misdaad weet dit toch al lang..
Bij mij in de familie zijn twee VW’s gestolen. Allebei voor de deur weggenomen, zonder dat het alarm afging. Ze hebben dus sleutels gehad. Later via de verzekering te horen gekregen dat zij 5 vw’s per week hebben die gestolen zijn en dat er ongeveer 40,- euro per auto door VW aan beveiliging wordt uitgegeven.
De beveiliging is compleet lek. VW is een gewilde auto en ook erg diefstal gevoelig. Zolang hier niets aan gedaan wordt is het uiteraard geen VW meer voor mij. Dat is de enige druk die je als consument kan uitoefenen.
@slk55amg: dat is natuurlijk prachtige verjaardagspraat. Maar laten we wel nuchter blijven (hoewel dat sommige verjaardagen tot een zware bezoeking kan maken). Hoe zwaar kan je een apparaat überhaupt beveiligen dat 1] mobiel is 2] voor een groot gedeelte uit glas bestaat 3] na een ongeluk toegankelijk moet zijn 4] demontabel moet zijn 5] gemakkelijk in gebruik moet zijn.
@mashell: Uiteraard is een auto niet voor 100% te beveiligen en dat verwacht ik ook niet.
Maar als je als fabrikant weet dat een specifiek type (de golf, maar ook andere modellen) vaak gestolen worden omdat de beveiliging te wensen overlaat.
Of zoals met de zeer diefstalgevoelige ingebouwde VW navigatie (is uitneembaar ipv in het interieur verwerkt) welke ook minimaal twee keer aangeschaft moet worden na de aanschaf van de auto, dan doe je daar als fabrikant toch iets aan en ga je niet geld steken in het tegenhouden van publicaties over je slechte beveiliging, maar verbeter je de beveiliging.
Bereken het desnoods door naar de klant. Maar zorg in ieder geval dat je de beste beveiliging die er is, gebruikt.
Overigens is het geen verjaardagspraat (wat je daar eventueel onder verstaat). Want de twee auto’s zijn wel echt weg. De verzekeringsuitkering is niet zaligmakend en je komt er vaak aan tekort. Dus dat wil ik niet nog een keer meemaken. En als ik dat kan voorkomen door een auto te kopen met betere beveiliging of zelfs wel een iets minder gewilde auto, dan doe ik dat. Tot die tijd geen VW meer maar dat is ieder voor zich natuurlijk.
@slk55amg: De beveiliging van VW laat niet te wensen over. Ze worden veel gestolen omdat de auto’s gewild zijn in heel Europa, veel onderdelen tussen meerdere merken en modellen uitwisselbaar zijn en het aanbod groot is en de kans dus groter is dat een auto op een afgelegen plek staat geparkeerd. Voor dieven loont het dus het meest om uit te vogelen hoe ze VAG-modellen kunnen kraken. Misschien zijn Suzuki’s wel makkelijker te kraken, maar die auto’s zijn minder gewild en er worden er minder van verkocht. Valt dus minder geld mee te verdienen als dief.
Schilderijen die miljoenen waard zijn, zijn uitermate makkelijk te stelen zoals de laatste tijd wel is gebleken. Een intelligente dief begint er echter niet aan zonder opdracht, omdat je ze niet snel verkocht krijgt voor een goede prijs.
Met verjaardagspraat bedoelt mashell waarschijnlijk de harde statements die worden onderbouwd met kulargumenten, zoals jij hier doet. De beveiliging van VW is niet compleet lek, want jij en ik krijgen een Golf niet binnen no-time gekraakt.
Je hebt wel gelijk dat je op het moment beter geen VAG-auto kan kopen als je grote angst hebt dat je auto gestolen wordt. Alleen moet je daar niet de schuld van bij VW leggen, die is daar niet voor verantwoordelijk. Is helaas een nare bijkomstigheid van marktleider zijn. Mocht bijvoorbeeld Mazda ineens marktleider zijn volgend jaar, zal je zien dat die ineens veel gestolen gaan worden.
@slaapmutsje:
Welterusten, je hebt je mutsje al op dus slaap lekker….
Dit onderzoek toont dus het tegendeel van jouw epistel aan.
@jrk68: Wat een eer dat de nr.1 Autoblog-amoebe op mij reageert. Daar drink ik alvast een slaapmutsje op :-)
@slaapmutsje:
Proost.., graag gedaan….
@slaapmutsje: Er zijn twee VW auto’s voor de deur gestolen die in een ogenblik weg waren. En er is een onderzoek die binnenkort gepubliceerd wordt (hier op Autoblog?) die mijn mening (niet echt een statement) onderschrijft dat het systeem compleet lek is. Ook het chassisnummer waarmee kopiesleutels aangevraagd worden linksonder in het voorraam te zien voor iedereen, zal ook niet meehelpen. Maar dat terzijde.
Dat jij dat kul argumenten, of iemand anders verjaardagpraat, noemt is niet erg vriendelijk.
Ik zeg dus niet dat het bij andere auto’s niet hetzelfde is. En ik ben geen VW hater. Echter is er wel verschil in beveiligingsniveau tussen verschillende merken. Zijn volgens mij nog wel tests te vinden op het internet. De kwaliteit van een beveiligingssysteem kan afgemeten worden aan de vertraging die het oplevert, voordat de auto meegenomen kan worden door kwaadwillende. En is dus niet af te meten aan of ik of een andere brave burger een auto kan stelen. Als dat het criterium is, heb je geen beveiliging meer nodig. Want ik denk dat het overgrote deel van de mensen heel slecht is in stelen van auto’s.
VW is natuurlijk niet schuldig aan de diefstal, en dat heb ik ook niet gezegd. Wel zijn zij en andere automerken verantwoordelijk om beveiligingsissues aan te pakken en door te ontwikkelen zodat de consument zoveel mogelijk beschermd wordt tegen o.a. diefstal. Zeker als je gewilde auto’s produceert. Genoeg afzet, dus lijkt het me niet moeilijk om de best beveiligde auto op de markt te maken. Wat uiteraard niet betekend dat deze auto’s niet te stelen zijn. Het is echter geen prioriteit bij VW, want ze gebruiken al jaren hetzelfde systeem terwijl VW ook wel weet waar de zwakke punten liggen. En dat is ze wel aan te rekenen.
@slk55amg: Kijk, iets meer nuance, dat maakt een groot verschil. Die nuance mis ik in het artikel en waarschijnlijk in de publicatie ook omdat systemen van andere merken niet worden genoemd. Er zijn onderzoekers en professoren die vooral uit zijn op eigen gewin en het maatschappelijk belang naar een tweede plan hebben verwezen. Dit geval lijkt hier ook veel van weg te hebben.
Volkswagen zou haar auto’s ongetwijfeld beter kunnen beveiligen, maar geen enkele beveiliging is waterdicht en hooguit zouden dieven andere merken gaan stelen. Een auto zou er een stuk duurder van worden als een fabrikant constant haar beveiligingssystemen moet verbeteren en vernieuwen. Jij zou er misschien het geld voor over hebben, veel anderen waarschijnlijk niet. Ik neem bijvoorbeeld liever zelf voorzorgsmaatregelen. Mochten automerken hun wagens toch heel veel beter kunnen beveiligen, dan zullen dieven ongetwijfeld meer geweld gaan gebruiken. Dat is zeker iets wat we in mijn optiek moeten vermijden.
Ik respecteer jouw mening dat je vindt dat automerken hun verantwoording moeten nemen om diefstal tegen te gaan, echter ik ben van mening dat een auto voldoende beveiligd moet zijn om de simpele/luie dief tegen te kunnen houden (dat is het nu wat mij betreft). Een professionele dief vindt toch wel een manier om je auto afhandig te maken. De verantwoordelijkheid (wie neemt dat nog tegenwoordig?) ligt wat mij betreft vooral bij de autobezitter. Zorg dat jouw auto niet het ideale doelwit is (alarm, stuurslot, in het zicht en niet in foute buurt parkeren, dashboardkastje en bagagehoes open, etc.) en je vergroot de kans dat de dief een ander doelwit zoekt. Ook heel egocentrisch, maar zo werkt het bij het voorkomen van een inbraak in je huis ook.
Verbaast mij niks over die X5. Is al een tijdje, samen met de X6, een van de meest gestolen auto’s in Sint-Petersburg. Staat met de 5-serie zelfs in de top 10 volgens enkele bronnen. Overigens, veel van die kraak apparatuur komt uit Rusland waar computer geniën dit soort dingen bedenken.
Het valt me op dat in veel reacties de ondertoon ‘het bedrijfsleven is goed, de overheid is slecht’ is. Er wordt te veel vanuit ‘efficiëntie en marktwerking’ gedacht, en te weinig vanuit ‘checks and balances’ of ‘consumenten- (en daarmee burger) bescherming.