IL TRIBUNALE DICE NO - Con un'ordinanza di tribunale, il Gruppo Volkswagen ha ottenuto il blocco di una pubblicazione accademica, relativa alla decifratura del codice di comunicazione tra il transponder e la centralina elettronica per l'accensione dell'auto: un colpo non da poco, visto che riguarda anche i prodotti di punta a marchio Porsche, Audi, Bentley e Lamborghini.
HACKING ETICO - Il sistema di cifratura di casa Volkswagen si chiama Megamos Crypto: è stato analizzato e violato dal ricercatore informatico Flavio Garcia, dell'Università di Birmingham, insieme ai colleghi di un'università olandese. I risultati sono in un documento dal titolo significativo: “Come disassemblare il Megamos Crypto: scassinamento senza fili di un immobilizer da auto”. Si è posta per la Volkswagen una problematica comune al mondo informatico: quello dell'etical hacking, vale a dire della violazione di sistemi di sicurezza senza volontà di trarne beneficio. Stando alle dichiarazioni di parte, l'algoritmo di cifratura alla base del codice è disponibile su Internet già da quattro anni.
UOMO NEL MEZZO - Nell'impossibilità di valutare il documento dell'Università di Birmingham, è solo possibile ipotizzare che la decifratura possa portare a un attacco di tipo man in the middle: con un secondo trasmettitore, posto tra quello legittimo e il ricevitore dell'auto, è possibile ricevere i codici del primo e ingannare il sistema di sicurezza previsto nella memoria della centralina. Inizialmente, la Volkswagen aveva chiesto all'Università di pubblicare i risultati della ricerca senza rendere pubblici i codici ottenuti; al rifiuto dell'Università, che sosteneva di svolgere “un lavoro accademico legittimo”, la vertenza è finita in tribunale.
OSCURAMENTO - A fronte del veto ottenuto, l'Università di Birmingham ha sottolineato come evidenziare bug di sicurezza in qualsiasi software costituisca in realtà un modo per migliorarne la robustezza, sottolineando come “il pubblico ha diritto di vedere eventuali debolezze di una sicurezza sulla quale fanno conto; le aziende e i criminali, per contro, sanno che la sicurezza è labile, mentre il pubblico non lo sa”. Una questione quasi filosofica, che l'ordinanza ha risolto applicando quello che gli informatici chiamano security through obscurity, sicurezza mediante l'offuscamento della conoscenza. Stavolta, evidentemente, non si trattava di crepe di sicurezza di un sistema operativo o di un'applicazione presente su un computer, vale a dire qualcosa di immateriale, quanto di un software chiamato a difendere auto da decine (se non centinaia) di migliaia di euro.