30 jul. 2013
1 minuut
De Radboud Universiteit Nijmegen vindt het onbegrijpelijk dat het Engelse High Court of Justice op dinsdag 25 juni 2013 een voorlopig verbod uitsprak op de publicatie van het paper Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer. Volkswagen Aktiengesellschaft had de procedure aangespannen. De onderzoekers zouden het paper presenteren tijdens het toonaangevende Usenix Security Symposium in Washington dat plaatsvindt van 14 tot 16 augustus 2013.
Roel Verdult en Baris Ege (beiden Radboud Universiteit Nijmegen) en Flavio Garcia (Universiteit van Birmingham) zijn de betrokken onderzoekers. In hun wetenschappelijke artikel tonen zij aan dat er sprake is van een gebrek in de beveiliging van de Megamos chip die gebruikt wordt in startonderbrekers in verschillende merken auto’s. De chip stamt uit het midden van de jaren negentig en is inmiddels verouderd, maar wordt desondanks nog veel gebruikt in de autoindustrie. Het artikel onthult in wiskundige termen de zwakheid van de chip, en is gebaseerd op een analyse van publiekelijk beschikbare informatie. In de publicatie wordt volstrekt niet beschreven hoe een auto gemakkelijk gestolen kan worden. Er is heel andere informatie nodig om dat te kunnen.
De onderzoekers hebben de chipfabrikant negen maanden voor de beoogde publicatie op de hoogte gesteld (november 2012) zodat deze maatregelen zou kunnen nemen. De Nederlandse overheid hanteert zes maanden als een redelijke notificatietermijn voor responsible disclosure. De onderzoekers hebben er van begin af aan bij de chipproducent op aangedrongen om de eigen klanten te informeren.
De uitspraak van de Engelse rechter legt ernstige beperkingen op aan de vrijheid van academisch onderzoek op een maatschappelijk uitermate relevant terrein (cyber security), maar de Radboud Universiteit respecteert de uitspraak van de rechter.
Omdat er inmiddels een bodemprocedure loopt, gaat de Radboud Universiteit niet verder in op de zaak en de verwachte afloop.
Anderen lazen ook
