Ik ben het met de rechter eens, vooral indien het bekendmaken zou leiden tot diefstal van reeds lang verkochte auto's. Dan ben je namelijk medeplichtige, volgens mij.
Maar als rechter zou ik wel tegen Volkswagen zeggen dat ze eens verstandig moeten worden en juist moeten gaan samenwerken met dit soort slimme Jopies, die waarschijnlijk wel een waterdicht systeem kunnen maken.

@Hart:
Dan komt er ongetwijfeld een Super-Jopie evenals er vroeger Super-Mario verscheen...
Maar samenwerking zou dingen zeker verbeteren.
Nog beter zou zijn saaiere auto's maken waardoor ze niet goed verkopen en daardoor minder aantrekkelijk zijn voor dieven.

@nxttrain:
voor jou moet ik oppassen, jij hebt mij door
ik rijd al jáááren Franse diesels, eerst omdat die goedkoper waren, maar sinds ik als vrouw alleen de hobby kreeg om lange zwerftochten te maken, ook door Oost-Europa, is het feit dat die dingen veel minder worden gestolen dan Duitse 'statusbakken' één van de argumenten geworden

botte bijl: Dus eigenlijk zouden we allemaal in de Fiat Multipla gaan rijden....

Lelijker worden ze niet gemaakt, en ik kan me niet voorstellen wie er in dat ding wil rond rijden

@sleeper:
De originele Multipla 600 was leuker...
Maar nadeel is dat het een Fiat is en blijft...

@sleeper:
hier op het Zweedse platteland is het moeilijk om een kapotte Fiat gerepareerd te krijgen, en toen ik tussendoor eens een Fiat Croma TDI had, was mijn ervaring dat er vaak iets aan kapot was

Nee, natuurlijk ben je geen medeplichtige. Als ik een paper schrijf over beveiligingsproblemen met de Mifare-chip van de OV-chipkaart, dan ben ik niet ineens medeplichtig bij elke student die die informatie gebruikt om te frauderen. Dat zou de wereld op z'n kop zijn: "pas op met wat je zegt en schrijft, als iemand het gebruikt om een misdaad te plegen ben je medeplichtig." Gelukkig niet.


Nee, ik ben het niet met de rechter eens. Security through obscurity (beveiliging omdat het algoritme geheim is) is geen beveiliging. Dat weet elke beveiligingsexpert en dat weet Volkswagen ook. Banken worden bijvoorbeeld verplicht om zeer bekende, goed omschreven en door vele mensen geteste en onderzochte beveiligingsalgoritmes te gebruiken. Dat is de enige manier waarop je enigszins zeker kan zijn dat het een goed en degelijk algoritme is.

Maar doordat Volkswagen en haar zusterbedrijven hebben een groot probleem gecreëerd door een zelfgemaakt algoritme te gebruiken. De enige manier waarop Volkswagen kan proberen om de ontdekking van lekken de kop in te drukken is om het algoritme geheim te houden. En dan als er toch een lek wordt ontdekt gaat Volkswagen het probleem niet oplossen, maar censureren.

Want meeste bedrijven van wie een beveiligingslek boven water komt werken samen met de onderzoekers om het lek te dichten. Totdat het lek dicht is mogen de onderzoekers niks zeggen, maar dat is niet zo'n probleem want zowel de onderzoekers als de beveiligers hebben er belang bij dat het opgelost wordt. En de onderzoekers kunnen vaak ook nog een mooie vergoeding tegemoet zien.

En natuurlijk snap ik dat het voor reeds verkochte auto's lastiger is om het probleem op te lossen, maar het is niet onmogelijk. Die eigenaren hebben al de hoofdprijs voor hun auto betaald, en door een grove fout van de fabrikant lopen ze een groot risico dat hun auto gejat wordt. Wat Volkswagen op z'n minst kan doen is al z'n klanten compenseren als ze een nieuwe betere beveiligingsmodule in de auto laten zetten.

Maar dat doet Volkswagen niet. Dus nu is er een beveiligingsprobleem en weet iedereen dat de beveiligingscodes van Porsches en Bentleys gekraakt kan worden. Maar we mogen niet weten hoe. Als die onderzoekers het konden uitvinden dan kan ik het waarschijnlijk ook, misschien met hulp van een paar anderen. En ik hoef mijn bevindingen niet te documenteren en gedegen reproduceerbaar onderzoek te doen, dus ik kan het waarschijnlijk sneller.

Kortom: Volkswagen maakt een verkeerde zet qua beveiliging en weet dat, en het komt uit. Ze gaan dit niet oplossen, maar censureren het onderzoek via de rechter. Nu is het wachten op een groepje van drie minder ethische hackers die óók de beveiligingscode weten te kraken. En die publiceren dat niet in een mooi paper, maar als een instructie op duistere forums. En dan heb je helemaal de poppen aan het dansen.

Vind je beveiligingslek dan moet je het melden aan het bedrijf, en het bedrijf de tijd geven om het op te lossen. Als het bedrijf het heeft opgelost, of als het er niks aan wil doen, dan mag je over het lek publiceren.

Balen voor al die dieven die reeds een kaartje voor dat symphosium hadden gekocht.

botte bijl:
Op de foto ziet de auto er netjes uit...
Maar mijn ervaring met een Ritmo 65 waren ook niet positief. Slechte wegligging en allerlei ditjes en datjes die mankeerden.
Op een keer startte hij niet. Ik doe de motorkap open en ik zie dat er een draad los was. Bleek dat er een contactlip doorgerot was. Met een buurman de auto gestart en direct naar de garage gereden voor een nieuwe startmotor.
Maar ook bij lampen rotten de contactlippen door. Dat heb ik nooit bij een andere auto meegemaakt.

@nxttrain:
dat ding van mij was heerlijk, als hij het deed....
een zuinige reiswagen die muurvast op de weg lag (de Fiat Ritmo had bladveren achter, dus jouw ervaring met de bladveren kan kloppen) en heerlijk zat. Fiats van 1994 roesten minder dan sommige oudere jaargangen, dus daar had ik geen problemen mee, maar als er iets kapot ging, dan was het altijd iets duurs
zoals ik leef, is een wat grotere reisauto ideaal, en ik geef toe dat ik dan ook weleens naar Volvo, Volkswagen en Audi kijk, maar die zijn -hier in Zweden- niet alleen veel duurder in de aanschaf (gebruikt), maar ik denk nog steeds dat het geen toeval is dat toen mijn neef lang geleden in Polen werd 'gecarjacked', hij met een Mercedes van zijn werkgever onderweg was

@Virtlink: Je laatste alinea raakt precies dat waar ik het mee eens ben. geef de fabrikant wel de tijd om het op te lossen. Als (en dat proef ik uit jouw relaas) de fabrikant zo arrogant is om zijn fouten te bedekken door de rechter op zijn hand te krijgen en verder niets te doen: dan ben ik het helemaal met je eens. Is het echter zo dat de onderzoekers weigeren om de fabrikant tijd te geven: dan vind ik dat je de rechter mag vragen om verbod om zodoende tijd te winnen.

Het eerste gedeelte ben ik niet helemaal uit. Ik snap je relaas maar ik kan me heel goed voorstellen dat het vergelijkbaar is met het weten van een kluisnummer en dat bekend maken. Ik weet het, het zijn andere zaken, maar in beide gevallen maak je iets bekend waardoor diefstallen mogelijk worden gemaakt. Dan ben je dus medeplichtig.

@Virtlink:

De rechter doet daarmee, lijkt mij, een terechte uitspraak.
En als jij een paper schrijft, waarmee malafide zaken geschieden, dan mag jij je verantwoorden voor de rechter, zoals als @Hart: al zei. En jij hebt er dan, voor het gemak, je naam al op staan...

Er bestaat een programma op RTL Crime genaamd The Real Hustle. Daar laten ze ook oplichtingstrucjes zien met o.a creditcardsfraude en horloges van arm stelen of zelf geld van de bank die gedropt wordt pwe ongeluk aan dieven geven. De slachtoffers in dit programma krijgen wel hun geld terug en de hoofdpersonen van het programma leggen uit hoe je zulke dingen kunt voorkomen. Maar alsnog geeft dit ideetjes aan dieven en criminelen. Waarom wordt dit programma dan niet van de buis gehaald? (Het is een leuk programma opzich..)

@nxttrain: De voorstelling was volgende maand op Usnenix.
Wat er standaard gebeurd bij zoiets is dat de firma gebnoeg tijd gegeven wordt om voor een oplossing te zorgen.

Leuk detail is dat de software achter de code al online beschikbaar is sinds 2009. Dit wil dus zeggen dat anderen er al gebruik van (kunnen) maken en die hebben misschien niet de zelfde bedoeling. Het in de doofpot proberen te stoppen helpt niet.

Als de rechter echt bezorgd was over autodiefstallen, dan zou hij VW verplichten om een veilig systeem te maken, niet om een onveilig systeem op de mark te houden.

Deails gevonden op deze site.

Hahaha, geniaal. Iedereen een Postman Pat wagentje.

Maar het probleem is natuurlijk dat autofabrikanten 100 jaar achterlopen als het om automatisering gaat. Beveiliging is altijd een sluitpost geweest en dus is het nooit ingewikkeld geweest om welk slot dan ook binnen 1 minuut te openen.
Daarbij komt nog dat de auto-industrie helemaal geen belang heeft bij een goede beveiliging. Als een auto gestolen wordt moet er immers een nieuwe komen.

Dus dat de onderzoekers dit aan de kaak stellen is meer dan terecht en het is natuurlijk een kwestie van tijd dat anderen ook op het idee komen.

[quote=botte bijl: (..) Ik rijd al jáááren Franse diesels, eerst omdat die goedkoper waren (..) omdat die dingen veel minder worden gestolen dan Duitse 'statusbakken' [/quote]
Dat klinkt op het eerste gezicht niet slecht. Maar er zit toch een addertje onder het gras.
Het prijsverschil tussen Franse en Duitse auto's is niet zo heel groot, maar het moet gezegd: de Duitse auto's zijn degelijker. Na 12 jaar kan de gemdiddelde Franse auto al naar het autokerkhof (totaal doorgeroest), maar een Duitse auto, mits goed onderhouden, rijdt na 25 jaar nog steeds op de weg rond. Dit geldt overigens ook voor de meeste Japanse auto's, die ook goedkoper zijn dan de Duitse.
De dieven stelen natuurlijk altijd tweedehands wagens. Bovendien zit er vaak nog een tijd tussen de diefstal en de verkoop van de auto (die vaak eerst nog even overgespoten en/of omgekat moet worden) En een tweedehands Franse auto is, gezien het bovenstaande, duidelijk minder waard dan een Duitse wagen. "Diefstal moet lonen" Daarom hebben dieven weinig belangstelling voor tweedehands Franse auto's die als roestbakken bekend staan en die veel minder opleveren dan een Duitse auto en die ook moeilijker snel te verkopen zijn. Overigens schijnen Peugeots nog de beste Franse auto's te zijn.