Zouden de onderzoekers het hele verhaal vertellen over hun onderzoek of dat ze het op een accoordje hebben gegooid met Volkswagen vanwege de advocaten? Een uitleg als Bij de aanbevelingen aan de fabrikanten staat ook . Geen verduidelijking van de fabrikant wat volgens hun responsible disclosure of ethisch hacken is. De fabrikanten hebben zelfs geen responsible disclosure beleid. Er lijkt bij de fabrikanten er meer aan gelegen om het onderzoek niet te bevorderen.
Vorige onderzoeken hebben al bewezen dat het fundamentele ontwerp van fabrikanten van voertuigen geen tot nauwelijks scheiding maakt tussen entertainment en cruciale functies van het voertuig. Het ontwerp van voertuigen die onderwerp waren van onderzoek zijn daarin niet bewezen verschillend en het is niet geloofwaardig dat de voertuigen veilig zijn als er toegang kan worden gekregen tot een onderdeel op het netwerk.

Niet verder onderzoeken en updates die pas bestaan na onderzoek maar niet toegepast worden maken honderdduizenden voertuigen mogelijk onveilig voor gebruik op de weg. Maar omdat de huidige wetgeving het niet verplicht om software in voertuigen te beveiligen en er geen testen zijn om de onveiligheid van voertuigen aan te tonen voor ze op de weg worden toegalaten valt dit risico voor fabrikanten en overheden weg. Het risico is verschoven naar de weggebruikers en omdat zowel de fabrikanten als de overheden er op dit moment geen belang bij hebben om wel verantwoordelijkheid te nemen houden we situaties waarbij fabrikanten onveilige software heel duur kunnen verkopen en daarmee kiezen om levens op het spel te zetten. We kopen die voertuigen toch wel en niemand die zich druk maakt over schijnveiligheid. De auto is immers goedgekeurd door de overheid en testcenters.

Is dat echt zo? Heeft iemand daar het antwoord op? Ik ben wel benieuwd naar wat Arnoud Engelfriet daar over kan zeggen...

Als een bedrijf een produkt maakt of verkoopt doen ze daar bijna altijd gebruiksvoorwaarden bij met een verbod op reverse engineering, disassembly of uitzoeken hoe het systeem werkt. Zelfs de grootste softwarebedrijven doen dat nog, ook al doen ze aan bug bounty of responsible disclosure. Als je het product wilt gebruiken dan hoor je rekening te houden met de rechten van de eigenaar en neem je een juridische gok door je eigen gang te gaan met hun product. Het is een afweging tussen ethiek en recht. En dan kan je bedrijven tegen komen die alleen maar aan recht denken en je als onderzoeker de mond willen snoeren door te dreigen met enorme schadeclaims vanwege reputatieschade en bescherming van bedrijfsgeheimen. Als een bedrijf geen responsible disclosure heeft kan het veiliger zijn om via een journalist de lekken te laten verhelpen en publiek te maken.

Volkswagen staat er om bekend dat ze liever geld uitgeven aan een rechtszaak tegen de onderzoeker dan aan het beveiligen en verbeteren van hun software.

Peter

ah kunnen we nu de sjoemel software zelf rooten?