image

Volkswagen snoert hackers de mond wegens mega-lek

zondag 28 juli 2013, 12:52 door Redactie, 20 reacties

Onderzoekers die een zeer groot beveiligingslek in de startbeveiliging van luxe auto's zoals Porsches, Audi's, Bentleys en Lamborghini's ontdekten, mogen dit niet openbaar maken. De drie onderzoekers, waaronder Roel Verdult en Baris Ege van de Radboud Universiteit Nijmegen, zijn door de rechter verboden om tijdens het 22ste USENIX Security Symposium hun lezing te geven.

De drie onderzoekers zouden laten zien hoe ze de Megamos Crypto van Volkswagen, een algoritme dat de codes berekent die tussen de sleutel en de auto worden verstuurd, konden kraken. De drie onderzoekers zouden het algoritme hebben gekaakt en zouden zo draadloos voertuigen kunnen stelen.

Volkswagen werd over de kwetsbaarheden ingelicht, maar wilde niet dat de onderzoekers hierover een lezing zouden geven. De autofabrikant stapte daarop naar de rechter en liet weten dat de technologie in zowel de eigen auto's als die van andere fabrikanten wordt gebruikt.

Door het bekend worden van de details zouden miljoenen auto's risico lopen om gestolen te worden, waarop de rechter de lezing besloot te verbieden. Hoewel de uitspraak al drie weken geleden plaatsvond is er nu pas een discussie over ontstaan, zo meldt The Guardian.

Reacties (20)
28-07-2013, 13:13 door WhizzMan
Dit is totaal nutteloos van VolksWagen. Ze gaan nooit al die auto's terughalen en de beveiliging repareren, want dat kost minimaal honderden euro's per auto. Met andere worden, ga er van uit dat dat miljarden gaat kosten. Nu uitstellen heeft dus geen zin, want afstel gaan ze echt nooit voor elkaar krijgen en als ze dat al lukt, dan zal een andere researcher het onderzoek gewoon ook doen en publishen voordat VW de kans krijgt om ze stil te krijgen.

Oplossing: in de toekomst altijd 2 onafhankelijke leveranciers dit laten leveren en ze parallel implementeren. Dus 2 systemen in 1 sleutel die allebei "OK" moeten geven voordat je auto open gaat of gestart wordt. Als er dan eentje gehacked is, heb je tijd om de auto's terug te halen en de gehackte versie te vervangen. Je moet dan dus ook er voor zorgen dat je setup zodanig modulair is, dat achteraf upgraden/vervangen mogelijk is. Nee, ik heb er geen patent op aangevraagd. De eerste die dat doet waar ik van hoor gaat deze posting ook te lezen krijgen als "prior art".
28-07-2013, 13:13 door johanw
Zucht. Dit gebeurt iedere keer weer: bedrijven die mensen met een onwelkome boodschap juridisch de mond snoeren. Daarom doen onderzoekers er goed aan om eerst te publiceren en dan pas bedrijven in te lichten. Dat kan de schade misschien vergroten maar dat hebben de bedrijfsjuristen dan collectief zelf verooraakt.
28-07-2013, 13:58 door RickDeckardt
Door WhizzMan: Nee, ik heb er geen patent op aangevraagd. De eerste die dat doet waar ik van hoor gaat deze posting ook te lezen krijgen als "prior art".

Een of andere coole combo van
-Pub-priv key PKI (PGP oid)
-Serial based OTP
-Time based OTP
en afmaken met
-Pass[word/phrase/code]

Saillant detail: het betreft sleutels gebruikt door de VAG (Volkswagen-Audi-Gruppe). Dus naast VW zijn ook Seat, Skoda en Audi getroffen, mogelijk ook Lamborghini, Bentley, Bugatti, Porsche, Ducati, MAN. Ik snap de reactie wel van VW.
28-07-2013, 14:33 door Anoniem
Het artikel hierover bij tweakers.net is iets genuanceerder:
http://tweakers.net/nieuws/90454/onderzoeker-mag-niet-publiceren-over-gekraakte-startbeveiliging-dure-autos.html

Als dat waar is mogen ze alleen de gevonden *keys* niet publiceren. Dat klinkt nog enigszins redelijk en zou VAG de kans geven om iets te gaan ondernemen.
28-07-2013, 16:11 door Anoniem
Reparatie is erg makkelijk en goedkoop:
Afstandbediening uitschakelen in het management systeem. En dan gewoon de sleutel in het slot van de deur steken en een keer draaien.
Geen remote exploit voor mogelijk.
28-07-2013, 22:50 door Anoniemand
Wat was er nu eigenlijk zo ontzettend verkeerd aan een doodgewone sleutel? Men vraagt er gewoon om! Niets anders dan werkverschaffing als je het mij vraagt of lekker interessant doen ofzo? Sufferds!
28-07-2013, 23:37 door burne101
Door WhizzMan: Ze gaan nooit al die auto's terughalen en de beveiliging repareren, want dat kost minimaal honderden euro's per auto. Met andere worden, ga er van uit dat dat miljarden gaat kosten.

Miljarden. Laten we eens aannemen dat dat 2 miljard is. En 'honderden euro's' nemen we aan als 200 euro. Dat zijn tien miljoen auto's. Da's 5 jaar verkoop, voor de volkswagengroep. 1.96 miljoen auto's per jaar. Omzet 200 miljard, winst 20 miljard, per jaar.

Even voor de context: Toyota, Honda en Nissan zijn op dit moment 3.4 miljoen auto's aan het terugroepen voor een probleempje met een airbag van 700 euro.
29-07-2013, 08:13 door Anoniem
Door Anoniem: Reparatie is erg makkelijk en goedkoop:
Afstandbediening uitschakelen in het management systeem. En dan gewoon de sleutel in het slot van de deur steken en een keer draaien.
Geen remote exploit voor mogelijk.
Ik lees dat het de startbeveiliging/startblokkering raakt. Dat is wat anders dan het op afstand ontgrendelen van de sloten.
Anders gezegd, ze kunnen de auto starten. Raampje intikken/slot forceren en starten dat ding.
29-07-2013, 08:27 door Anoniem
Dat gaat niet lukken, in mijn passat kan ik echt de sleutel niet omdraaien deze moet gewoon in het dashboard gedrukt worden. het is dus geen sleutel meer.


Door Anoniem: Reparatie is erg makkelijk en goedkoop:
Afstandbediening uitschakelen in het management systeem. En dan gewoon de sleutel in het slot van de deur steken en een keer draaien.
Geen remote exploit voor mogelijk.
29-07-2013, 08:50 door Anoniem
Veel beter is het de afstand waarop het systeem werkt te verkleinen.
Dan heb je zicht op degene die je code probeert op te vangen.

En uiteraard het lek in het systeem aanpassen.

Met 2 systemen in 1 afstandsbediening werken is geen oplossing.
Als in 1 systeem een lek kan zitten kan dat ook in 2 systemen.
En als de fabrikant nu al geen haast heeft om er iets aan te doen
zal dat alleen maar afnemen als er een tweede systeem is.

Als eigenaar van een VW of ander merk auto met zo'n kwestbaar systeem zou ik de fabrikant in gebreke stellen.
Ik zou verlangen dat ze het systeem aanpassen.
Als VW er zo veel belang bij heeft presentatie af te dwingen hebben ze daarmee aangetoond het ernstig te vinden
en de risico's te erkennen.
29-07-2013, 08:52 door wica128
Vervelend voor de onderzoekers dat ze de key niet mogen publiceren, hierdoor kunnen andere onderzoekers, dit onderzoek niet controlleren.

Ze mogen dus niet de key('s) openbaar maken, maar mogen ze er wel de een hash van de key openbaar maken? Zodat andere het als nog kunnen controlleren?
29-07-2013, 09:30 door Anoniem
Zucht. Dit gebeurt iedere keer weer: bedrijven die mensen met een onwelkome boodschap juridisch de mond snoeren. Daarom doen onderzoekers er goed aan om eerst te publiceren en dan pas bedrijven in te lichten. Dat kan de schade misschien vergroten maar dat hebben de bedrijfsjuristen dan collectief zelf verooraakt.

...en nu hebben ze jou auto gestolen en mag jij gaan lopen/ov nemen totdat je vervangend vervoer hebt. Ja full dislosure heeft zo z'n voordelen maar als jij wil dat jou verzekingspremie omhoog gaat omdat de verzekering veel gestolen auto's moet vervangen dan moet je vooral zo blijven denken. Impact vs benefit en in dit geval ben ik het iig eens met de rechter.

Het lijkt me sterk als VW hier niet iets aan gaat doen. Het gaat hier om klanten die veel geld betalen en een paar honderd euro op zo'n investering is niet groot. Waarschijnlijk is er een software upgrade nodig maar die moet goed getest worden want je wil niet weer dezelfde fout maken. Hardware kost nog meer tijd want dat betekend dat het onderdeel ook nog eens gefrabriceerd moet worden. Ik weet niet hoelang VW dit al weet maar dit soort dingen kosten gewoon tijd.
29-07-2013, 09:36 door Orion84
Door Anoniem: Het artikel hierover bij tweakers.net is iets genuanceerder:
http://tweakers.net/nieuws/90454/onderzoeker-mag-niet-publiceren-over-gekraakte-startbeveiliging-dure-autos.html

Als dat waar is mogen ze alleen de gevonden *keys* niet publiceren. Dat klinkt nog enigszins redelijk en zou VAG de kans geven om iets te gaan ondernemen.
Niet helemaal. VAG heeft de wetenschappers gevraagd het paper aan te passen en het te publiceren zonder de codes. Dat hebben de wetenschappers geweigerd en vervolgens heeft VAG de hele publicatie laten verbieden via de rechter.

Door burne101:
Door WhizzMan: Ze gaan nooit al die auto's terughalen en de beveiliging repareren, want dat kost minimaal honderden euro's per auto. Met andere worden, ga er van uit dat dat miljarden gaat kosten.
Miljarden. Laten we eens aannemen dat dat 2 miljard is. En 'honderden euro's' nemen we aan als 200 euro. Dat zijn tien miljoen auto's. Da's 5 jaar verkoop, voor de volkswagengroep. 1.96 miljoen auto's per jaar. Omzet 200 miljard, winst 20 miljard, per jaar.

Even voor de context: Toyota, Honda en Nissan zijn op dit moment 3.4 miljoen auto's aan het terugroepen voor een probleempje met een airbag van 700 euro.
Sowieso gaat het (voor zover ik begrijp) alleen om auto's met contactloos starten. Het overgrote deel van de auto's die VAG verkoopt vereist nog steeds gewoon het insteken en omdraaien van de sleutel.
29-07-2013, 11:05 door Anoniem
Niet meer dan een terechte stap van VAG. Het wereldwijde risico is gewoon véél te groot. Feit is en blijft dat een dergelijk systeem altijd gekraakt kan worden. Het is immers een kwestie van tijd (zoals bij alle soorten cryptografie). Wat als het nu geen goedwillende onderzoekers waren, maar kwaadwillige criminelen?
29-07-2013, 12:07 door Anoniem
De auto criminaliteit is een miljoenen- zo niet miljarden-'industrie'
Nu de jongens/onderzoekers met naam en toenaam zijn genoemd lopen ze in mijn ogen een zeker risico.
Voertuig criminelen zijn geen lievertjes. Zeker niet degene die het hebben gemunt op het duurdere segment.
Publicatie van de sleutels voegt niets toe. Het zorgt er alleen maar voor dat onschuldige auto bezitters verworden tot potentiele nodeloze slachtoffers. Je hoeft geen wiskude te hebben gestudeerd om te bedenken dat publicatie van de sleutels negatief uitpakt voor de risico/kansberekening.
29-07-2013, 13:32 door Anoniem
Door WhizzMan: Nee, ik heb er geen patent op aangevraagd. De eerste die dat doet waar ik van hoor gaat deze posting ook te lezen krijgen als "prior art".

In het kader van prior art: http://patents.stackexchange.com/

Peter
29-07-2013, 16:20 door Anoniem
pfff, we hebben 25 titanics gemaakt, allen zijn onzinkbaar, er zit echter wel een zwakke plek in. Zegt de rechter dan ook, ga maar lekker varen we zien het resultaat in de film wel? Struisvogel politiek.
29-07-2013, 22:05 door Anoniem
Dit is al langer bekend en in dit geval ben ik een ervaringsdeskundige. Twee jaar geleden is mijn VW gejat in het buitenland. Auto stond op een parkeerterrein van een grote winkel met cameratoezicht. Ik ging boodschappen doen, en iemand anders ook. Toen ik buitenkwam met mijn boodschappen was mijn auto weg.
Op de camerabeelden was te zien dat iemand de auto ontgrendeld, instapt, de auto start en ermee wegrijdt. "Gone is 30 seconds" dus. Auto was door mij op slot gedaan met de sleutel, niet met de afstandsbediening.

En hoe los je het nu echt op? Monteren van een alarm met startonderbreker van een ander merk als wat standaard op de auto zit in combinatie met een goed stuur op pedaalslot. Eventueel afschermen van de canbus steker.
De enige winst die je nu boekt is tijdwinst. Stelen van de auto duurt nu zoveel langer dat het risico op ontdekking te groot wordt.
En als ze je auto echt willen hebben, takelen ze hem gewoon weg of je wordt beroofd van je sleutel.

Het is wel zo dat met bekend worden van het artikel joyriding een enorme vlucht kan/zal nemen. Voor professionele bendes is dit volgens mij allemaal al bekende materie.
In die zin snap ik niet dat de onderzoekers perse ook de codes willen publiceren. Volgens mij voegt dat belangrijke detail op zich weinig toe aan het werk dat deze onderzoekers hebben verricht.
30-07-2013, 08:56 door Orion84
Door Anoniem: Niet meer dan een terechte stap van VAG. Het wereldwijde risico is gewoon véél te groot. Feit is en blijft dat een dergelijk systeem altijd gekraakt kan worden. Het is immers een kwestie van tijd (zoals bij alle soorten cryptografie). Wat als het nu geen goedwillende onderzoekers waren, maar kwaadwillige criminelen?
Kwaadwillende criminelen zouden VAG niet 9 maanden van tevoren op de hoogte hebben gebracht, om ze zodoende de kans te geven tijdig met een oplossing te komen.
30-07-2013, 11:36 door Anoniem
Ik ben eigenaar van Navishop.nl en wij zien een explosieve groei in de diefstal van de merken Audi, Vw Bmw etc. In 2013 is er alleen al een stijging te zien van 56% van deze merken (deze cijfers zijn openbaar in diversen rapporten te vinden).
Helaas steken de fabrikanten hun neus in het zand terwijl het doodeenvoudig op te lossen is. Gewoon een extra startblokkering monteren met eventueel een draadloze transponder kortom gewoon de auto openen en starten met de normale sleutel of keyless entry echter de auto start alleen als daadwerkelijk de transponder in de auto ligt. Kosten slechts paar honderd euro alleen zijn de fabrikanten waarschijnlijk bang dat ze zelf voor deze kosten op moeten draaien en is ook niet meer dan logisch.

Er is veel onduidelijkheid over de beveiliging van deze merken zelfs bij collega inbouwers belangrijke punten:
Laat niet een alarm monteren op de bestaande sleutel aangezien een Can bus alarm van alle A merken zoals Defa, Cobra etc etc gewoon mee uitschakelen. Kortom investering compleet zinloos.
98% van alle auto’s worden momenteel rijdend gestolen dmv een het deactiveren van alarm/startblokkering.
Daarnaast zijn de originele alarmsystemen niet gecertificeerd let dus goed op op de eisen van uw verzekeringsmaatschappij!

Oplossingen:
Losse startblokkering eventueel met een draadloze transponder.
Losstaand alarm zoals een Clifford met een dual zone radar en dubbele startblokkering.
Can bus alarm, gekoppeld aan een extra startblokkering die alleen met een extra transponder is te deblokkeren.

Hopende dat jullie hier iets aan hebben.
Mvg Vincent Broeksema – Navishop.nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.