Academische vrijheid versus Volkswagen

Volkswagen heeft met succes de academische vrijheid van Nederlandse en Britse onderzoekers ingeperkt. Een Britse rechter verbood de publicatie van een hack, waarmee de luxe auto’s van Volkswagen te kraken zijn.

Wat wil Volkswagen graag stilhouden?

De onderzoekers van de Radboud Universiteit in Nijmegen, Roel Verdult en Baris Ege, en de University of Birmingham, Flavio Garcia, hebben de chip gekraakt van de startonderbreker van Volkswagen AG, waarmee auto's van Porsche, Audi, Bentley en Lamborghini zijn beveiligd. Ze zouden op een wetenschappelijke conferentie in Washington vertellen hoe ze de chip kraakten. Volkswagen spande daarop een kort geding aan bij een Britse rechter.

Wat bepaalde de rechter?

Daar willen de universiteiten en Volkswagen nauwelijks iets over kwijt. In ieder geval heeft de rechter de onderzoekers verboden om hun gegevens te presenteren. Verder willen de universiteiten geen commentaar geven, omdat Volkswagen ook een bodemprocedure heeft aangespannen. Die loopt nog. Ook Volkswagen reageerde niet op een verzoek om informatie van deze krant. Volgens de Britse krant The Guardian oordeelde de rechter dat publicatie van de code van de startonderbreker ‘autodiefstal zou vergemakkelijken’. De gekraakte ‘Megamos-chip’ stamt uit de jaren negentig maar wordt volgens de Radboud Universiteit nog veel gebruikt in de auto-industrie.

Is de academische vrijheid niet belangrijker?

Misschien. Academische vrijheid is een vorm van vrijheid van meningsuiting, en is dus een grondrecht. In de Europese Verklaring van de Rechten van de Mens staat wel dat die vrijheid soms mag worden beperkt. Een van de redenen daarvoor is ‘het voorkomen van wanordelijkheden en strafbare feiten’. Mogelijk heeft Volkswagen zich hierop beroepen. De Nijmeegse universiteit noemt het verbod in een schriftelijke verklaring ‘onbegrijpelijk’. Europese rechters oordelen ook niet altijd zo. In 2008 kraakten (deels dezelfde) Nijmeegse informatici de chip waarmee de toenmalige ov-chipkaart en allerlei toegangspasjes werkten. De Nederlandse fabrikant NXP probeerde publicatie te voorkomen, maar de rechter in Arnhem vond de veiligheidsrisico's aanvaardbaar.

Wist Volkswagen niet van deze hack?

Gebruikelijk is dat computerwetenschappers eerst het bedrijf inlichten, voordat ze publiceren. Volgens de Radboud Universiteit is de fabrikant al in november 2012 ingelicht. Volkswagen vond dat niet voldoende. De autofabrikant vroeg de informatici om de codes uit het wetenschappelijk artikel te halen. Dat weigerden ze. Zij vinden dat ze ‘verantwoordelijk, eerlijk wetenschappelijk werk’ verrichten. Het kan ook zeker niet altijd kwaad. De hack van de ov-chipkaart leidde in 2008 tot verbeteringen. En ook een jaar geleden ging het goed. Toen kraakten de Nijmeegse computerwetenschappers een startonderbrekerchip van NXP. Die ‘Hitag2’ is ook verouderd (uit 1998) en werd gebruikt door onder andere Nissan en Opel.

Maar kun je dan geen auto stelen als je de startonderbreker hebt gekraakt?

Hoe het afliep met auto’s met de gekraakte Hitag2-chip is niet bekend, maar volgens chipsfabrikant NXP was het heel moeilijk om op basis van de code een auto te stelen: de dief moet minstens één keer vlakbij de autosleutel zijn, hij moet in de auto inbreken om via een computer te kunnen communiceren met de startonderbreker, en meestal zal hij ook nog het stuurslot en het contactslot moeten forceren. Volgens de Radboud Universiteit moet ook bij de Megamos-chip in de auto worden ingebroken.