'Verboden’ artikel over gebrekkige startonderbrekerchip na twee jaar alsnog gepubliceerd
Beveiligingsexperts van de Radboud Universiteit maken vanavond in Washington DC eindelijk een wetenschappelijk artikel openbaar dat ze van de rechter niet mochten publiceren. Volkswagen wilde niet dat zwakheden in de zogenoemde Megamos-chip, die veel gebruikt wordt in startonderbrekers van verschillende merken auto's, bekend zouden worden. De Engelse rechter honoreerde dat verzoek.
Het zijn dezelfde onderzoekers die in 2008 ook de zwakheden in de OV chipkaart onthulden. De Nederlandse rechter weigerde destijds een publicatie daarover te verbieden, ook al omdat de Radboud Universiteit zich netjes aan responsible disclosure-regels hield.
Het omstreden artikel bevat een wetenschappelijke analyse van het niveau van beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De Radboud Universiteit is een fel verdediger van academische vrijheid en vindt dat autobezitters het recht hebben om te weten hoe goed of slecht de beveiliging van hun auto is.
Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij alsnog akkoord met publicatie, na het voorstel om één zin uit het oorspronkelijke artikel te verwijderen. Deze ene zin bevat een expliciete beschrijving van een onderdeel van de berekeningen op de chip. Het weglaten van deze zin maakt reconstructie van het gehele algoritme voor misbruik moeilijker, maar tast de wetenschappelijke inhoud niet aan.
Het zijn dezelfde onderzoekers die in 2008 ook de zwakheden in de OV chipkaart onthulden. De Nederlandse rechter weigerde destijds een publicatie daarover te verbieden, ook al omdat de Radboud Universiteit zich netjes aan responsible disclosure-regels hield.
Het omstreden artikel bevat een wetenschappelijke analyse van het niveau van beveiliging van de Megamos-chip en is zeker geen handleiding voor hackers. De Radboud Universiteit is een fel verdediger van academische vrijheid en vindt dat autobezitters het recht hebben om te weten hoe goed of slecht de beveiliging van hun auto is.
Onderhandelingen via advocaten leverden lange tijd niets op. Een rechtstreeks informeel overleg in het najaar van 2014 in Londen wel. Volkswagen ging daarbij alsnog akkoord met publicatie, na het voorstel om één zin uit het oorspronkelijke artikel te verwijderen. Deze ene zin bevat een expliciete beschrijving van een onderdeel van de berekeningen op de chip. Het weglaten van deze zin maakt reconstructie van het gehele algoritme voor misbruik moeilijker, maar tast de wetenschappelijke inhoud niet aan.
Geen opmerkingen: