maandag, 29. juli 2013 - 14:36 Update: 03-07-2014 0:54

Radboud onderzoekers vechten publicatieverbod kraken startonderbreker aan

Foto van auto stuur raam spiegeling VW | Archief EHF
Foto: Archief EHF
Nijmegen

De Radboud Universiteit Nijmegen vindt het onbegrijpelijk dat het Engelse High Court of Justice dinsdag 25 juni 2013 een voorlopig verbod uitsprak op de publicatie van een onderzoek waarbij wetenschappers er in slaagden om een chip van de startonderbreker van duurdere auto's te kraken.

Volkswagen Aktiengesellschaft had de procedure aangespannen. De onderzoekers zouden het paper presenteren tijdens het toonaangevende USENIX Security Symposium in Washington dat plaatsvindt van 14 tot 16 augustus 2013.

Megamos Chip
Roel Verdult en Baris Ege beiden van de Radboud Universiteit Nijmegen en Flavio Garcia, van de Universiteit van Birmingham, zijn de betrokken onderzoekers. In hun wetenschappelijke artikel tonen zij aan dat er sprake is van een gebrek in de beveiliging van de Megamos chip die gebruikt wordt in startonderbrekers in verschillende merken auto's.

Verouderde chip
De chip stamt uit het midden van de jaren negentig en is inmiddels verouderd, maar wordt desondanks nog veel gebruikt in de auto-industrie. Het artikel onthult in wiskundige termen de zwakheid van de chip, en is gebaseerd op een analyse van publiekelijk beschikbare informatie. In de publicatie wordt volstrekt niet beschreven hoe een auto gemakkelijk gestolen kan worden. Er is heel andere informatie nodig om dat te kunnen stelt de Radboud Universiteit.


Chipfabrikant op de hoogte gesteld
De onderzoekers hebben de chipfabrikant negen maanden voor de beoogde publicatie op de hoogte gesteld (november 2012) zodat deze maatregelen zou kunnen nemen.


De Nederlandse overheid hanteert zes maanden als een redelijke notificatietermijn voor responsible disclosure. De onderzoekers hebben er van begin af aan bij de chipproducent op aangedrongen om de eigen klanten te informeren.

De uitspraak van de Engelse rechter legt ernstige beperkingen op aan de vrijheid van academisch onderzoek op een maatschappelijk uitermate relevant terrein (cyber security), maar de Radboud Universiteit respecteert de uitspraak van de rechter.

‘Er loopt inmiddels een bodemprocedure’, aldus de Radboud Universiteit die nu niet verder wil ingaan op de zaak en de verwachte afloop.