Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 57, views: 131.807 •

Tot slot

De eerder aangehaalde voorbeelden zijn de meest tot de verbeelding sprekende hacks van Nohl en zijn team. Toch lukt het de onderzoekers niet altijd om een systeem te hacken: "We zijn continu bezig om te kraken wat we in onze handen krijgen. Vaak lukt dat niet; dan leggen we het aan de kant en gaan we verder met iets anders. Het is vooral trial-and-error. Omdat iedereen binnen ons team een eigen specialisme heeft, zijn er genoeg vlakken waarop we onderzoek kunnen doen. Hierdoor hebben we veel expertise in huis. Je ziet dat bedrijven en overheden daar graag gebruik van maken."

Over de toekomst maakt Nohl zich dan ook weinig zorgen. Hij denkt dat zijn bedrijf de komende jaren nog veel verder kan groeien: "Bedrijven zoals Security Research Labs zijn er weinig. De komende jaren zal er steeds meer vraag naar onze adviezen komen. Het verbaast me dan ook dat niet meer mensen met kennis van zaken in dat gat springen."


Reacties (57)

Mooi artikel, maar wat ik me afvraag.

Hij zet met zijn bedrijf al zijn "resultaten" openbaar, kun je dan niet opgepakt worden voor aanzet tot criminaliteit? (je geeft immers de middelen, het zelfde als waarom die vuurwerkbom filmpjes opgespoord en verwijderd worden)

Jammer dat het maar kort over de OV-chipkaart ging, dat was toch wel een grote hype in Nederland doordat het zeer makkelijk was te doen (even een kaartlezertje kopen en je kon zelf je kaart opwaarderen).

Ik zie graag meer van dit soort artikels op tweakers.net Dit zijn de echte tweakers artikelen _/-\o_
Inderdaad. Ik vraag me ook weleens af of ze gelijk naar de media stappen of een bedrijf de kans te geven voor fix/verbetering ?

Is echt een leuk artikel Tweakers!
Ik lees dat ze ook opdrachten krijgen om system te testen. In zo'n geval zullen ze zeker de opdrachtgever eerst op de hoogte stellen. Als ze iets testen waarvoor geen opdracht is gegeven... dan denk ik dat ze dat niet voorleggen. Temeer omdat ze dat dan in delen naar buiten brengen, hebben de verantwoordelijken genoeg kans om zelf dingen aan te pakken.
Ze geven de resultaten, maar ik neem niet aan op een presenteerblaadje. Het is wat anders dan een bewijs te laten zien dat je hebt kunnen inbreken bij de Nederlandse Bank dan kant en klaar een methode te geven hoe je kunt inbreken. Het zal wel een signaal geven aan criminelen, omdat het kn, maar ook aan gebruikers van het blijkbaar zwakke systeem: "let op, dit systeem is niet veilig". En dat is wat je juist wl wilt: openheid. Daarom is Nohl uitamerika vertrokken, vanwege het gesloten karakter van de samenleving en het discutabele nut dus van zijn werk.
Als je rainbowtables publiceert dan is dat toch wel zo'n beetje 'op een presenteerblaadje'. Maar wat hij zelf ook al aangeeft: door lekken openbaar te maken wordt er sneller iets aan gedaan.
Er valt best iets te zeggen voor de aanname dat een openbaar lek sneller wordt gedicht, maar het klinkt ook nog steeds wel als de kat op het spek binden.
Dit soort publicaties is vooral PR voor het bedrijf. Het toont aan wat ze kunnen. Een klant zal vragen om problemen met een bepaald soort beveiliging op te sporen. Vaak dient dat als input voor verbeteringen van het produkt. De resultaten van dat soort onderzoek te publiceren, staat gelijk aan commerciele zelfmoord.
Waarschijnlijk maken ze bepaalde hacks openbaar (bv. de OV-chip kaart) voor naamsbekendheid. Eigenlijk dus gewoon reclame.
Hoezo nou weer meteen reclame.
Ooit van trots gehoord?
Meestal geven hackers die zichzelf serieus nemen het bedrijf eerst de info om het te kunnen fixen. Veelal zal het afhangen van de reaactie van het bedrijf hoe de hacker er hierna mee om gaat. Ik kan me voorstellen dat als je als hacker gevraagd wordt mee te helpen het probleem op te lossen (lees je wordt ingehuurd) dat je milder bent voor je klant dan als het bedrijf er niets aan doet.
Hij zet met zijn bedrijf al zijn "resultaten" openbaar, kun je dan niet opgepakt worden voor aanzet tot criminaliteit? (je geeft immers de middelen, het zelfde als waarom die vuurwerkbom filmpjes opgespoord en verwijderd worden)
In de USA dus in elk geval wel; het aantonen van een lek wordt daar niet als nuttig gezien maar als crimineel. Bedrijven daar houden 't liefts alles onder de pet zodat ze door kunnen gaan met hun brakke maar goedkopere systemen en die paar criminelen die misbruik maken van niet-gepubliceerde exploits liever voor lief nemen ten koste van de gemiddelde consument/klant.

Juist 't bewust achterhouden van relevante veiligheidsinformatie (als je eenmaal ontdekt hebt dat iets lek is) zou crimineel moeten zijn. Als zo'n hacker 't kan hacken, dan kan ook een crimineel dat en kan ie al dan niet ongezien daar misbruik van maken terwijl het publiek denkt dat de boel veilig is. Ook worden de kosten van niet-gepubliceerd misbruik gewoon afgewenteld op de gemiddelde consument/klant. Juist daarom zou openheid in dit soort zaken verplicht moeten zijn.[/quote]
zeer triest inderdaad... een typisch geval van "shoot the messenger"!
Of het reageren op publicaties door bedrijven zou moeten worden gecontroleerd.
Er is al jaren aangetoond dat er een aantal flinke gaten zitten in Twitter. Niet opgepakt, niet opgelost. Zelfde geldt voor Linkedin.
Als je geinteresseerd bent: Voor Twitter staat op internet een beschrijving hoe je de account van iemand kan kapen via wachtwoord herstel.
Ik vind het crimineel om een bekend probleem te negeren. Linkedin vind ik nog erger, die wisten van problemen en deden niets. Toen kwam er een hacker die de publiciteit zocht, kwam het in alle kranten en was het ineens binnen 2 dagen opgelost!! Dus het kan wel!

Dat is dus het nadeel van security trough obscurity. Schijnveiligheid en geen dwangmiddel om problemen op te lossen.
ga je een messenfabrikant dan ook vervolgen voor het verkopen van moordwapens?
Deze vergelijking klopt niet:
Bijv. het verspreiden van spam via linkedin zou het zelfde zijn als een keukenmes gebruiken als moordwapen.
Het niet goed beveiligen van linkedin zou te vergelijken zijn het produceren van keukenmessen met een loszittend handvat.
Security trough obscurity, de Amerikaanse aanpak die hij beschrijft.

Het is niet zo dat het publiceren van een hack leidt tot minder veiligheid.
Ik heb een cursus gehad in Zuid Afrika en daar had ik een aantal klasgenoten uit Negeria. Daar is de kennis van IT hoog, maar de kans op een baan minimaal. Hacken kunnen ze heel goed, reken er maar op dat ze voor een deel eerder een hack hebben gevonden als de meneer uit het artikel. Zelfde gaat op voor Rusland, China, etc. waarbij het in China zelfs regelmatig door de staat wordt georganiseerd.

Kortom: Wat heb je liever? Een hack die niet wordt gepubliceerd? Probleem is niet weg en de kans dat het gat gebruikt wordt is GROTER als wanneer de hack wel wordt gepubliceerd.
Zelfde geldt voor rainbow tables. Die kan je, als je wat tijd hebt, zelf maken. Of ongeveer overal op internet vinden. Zelf maken heeft de voorkeur, omdat je dan kan spelen met de data. Als je de lijsten pakt van de recente lekken waarbij de wachtwoorden zijn gepubliceerd, zie je dat 10% van de wachtwoorden, door 90% van de gebruikers als wachtwoord is ingegeven. Als je deze 10% tot een rainbowtable verwerkt, heb je een redelijk compacte lijst die je weer kan gaan gebruiken om mee te hacken.....

Dus: Publiceren is juist goed.
er zullen wel redelijk wat mensen/bedrijven pissig op hem zijn :D
Yep :P

Aan de andere kant, ze proberen de beveiligingssysteem alleen maar te verbeteren en dat is beter voor de toekomst. Dan kunnen we wat veiliger internetbankieren of iets dergelijks :P
Hij is hacker geen cracker.
Hij heeft een bedrijf opgericht om voor bedrijven beveiligings problemen te vinden.
Ik denk dat daar ook een hele verantwoordelijkheid bij komt kijken.
Als hij in de wilde weg sites zou gaan hacken zonder toestemming van bedrijfen dan denk ik niet dat andere bedrijven het fijn zouden vinden om met het in zee te gaan.
}:O
Als die mensen zich nu ook eens bewust worden dat waarschijnlijk al het hardware + software simpel gezien te hacken is.. Het is alleen een kwestie van tijd en of die mensen die het doen het op straat gooien of iig bekend maken ;)
Ik denk persoonlijk dat er nog veel meer gehackt wordt, alleen het wordt niet naar buiten gebracht (om wat voor reden dan ook) door de hacker cq de gedupeerde (en wie de gedupeerde is mag door 1 ieder zelf ingevuld worden ;))

Ik vind het nogal naef om te zeggen dat het niet zo is...

[Reactie gewijzigd door Audione0 op 30 september 2012 16:52]

Precies! En dat denkt Avi Ruben (en ik) ook (http://www.ted.com/talks/...evices_can_be_hacked.html).
"Anything that has software in it is going to be vulnerable, is going to have bugs."

Zelfs als je software 100% veilig is, dan zijn side-channel attacks nog altijd een mogelijkeid. Zelfs als je device daar 100% tegen beschermd is, ja, dan hebben we gelukkig nog de `domme' mens in de loop die kan falen.
"Anything that has software in it is going to be vulnerable, is going to have bugs."
Het is altijd al populair geweest bekende uitspraken steeds opnieuw te quoten... Ik weet 't niet, misschien om zichzelf op de borst te kloppen dat men op de hoogte is van al die quotes?
Enfin... deze quote is gewoon dikke onzin. Er bestaan honderdduizenden zo niet miljoenen bugloze (korte) computerprogramma's.
Jammer dat je het ziet als borst-klopperij. Ik zie het als een extra prikkel naar de lezer toe om de URL te volgen. Verder, als het toch al bekende uitspraken zijn onder de lezers (wat ik betwijfel), hoe kan het dan nog borst-klopperij zijn van het op de hoogte ervan zijn ... iedereen is tenslotte al op de hoogte.

Enfin... Ruben zegt ook niet dat er geen bugloze software bestaat, maar enkel dat alle devices---welke een combinatie zijn van hardware en (meerdere) stukken software---kwetsbaar zijn en hardware- en/of software bugs zullen bevatten.
"Door de chip laagje voor laagje onder een microscoop te bekijken, werd duidelijk dat de chip is opgebouwd uit 'blokjes' van transistors.

De chip bleek uit ongeveer 10.000 blokjes te bestaan, waarvan er 70 uniek bleken. Door deze data in tabellen te zetten en geautomatiseerd naar structuren te zoeken, wisten de onderzoekers de cryptografiemethodiek van de chip te achterhalen."

Leuk artikel, maar helaas wel "globaal" geschreven. Ik had meer willen lezen over de cryptografie methodiek die is gebruikt om de kaart te kraken en wat ze hadden kunnen doen om dit te verbeteren. Het artikel gaat nu meer over wat Karsten de laatste 5 jaar gedaan heeft terwijl hij veel meer interessante dingen heeft laten zien.

Dit had ook op wiki kunnen staan. Als je een interview kan geven aan ze een held dan had ik persoonlijk andere vragen gesteld.

Wiki (Duits): http://de.wikipedia.org/wiki/Karsten_Nohl
Website: https://srlabs.de/

"Het is de onderzoekers onder andere gelukt om een spelletje pong op een gekraakte terminal te spelen."

Helden! _/-\o_
Prachtig artikel, deze man heeft laten zien dat technieken die we jaren lang, dag-in-dag-uit met een zeker veiligheidsgevoel gebruiken, zo lek als een mandje zijn. Er moeten meer van dit soort hackers in de wereld zijn.

Mifare classic had twee problemen, de voorspelbare en controleerbare 'random' number generator en de makkelijk te bruteforcen 48Bit key.

Dit is de presentatie waarin Karsten zijn Mifare classic hack presenteert op het CCC:
http://events.ccc.de/cong...1049_CCC-07-Mifare-v2.pdf

Niet veel later kwamen er tooltjes om het thuis te doen met een $40 RFID reader. Ik heb ooit een handleiding geschreven voor het verkrijgen van de keys en het uitlezen van RFID-kaarten met goedkope hardware. Hier is een hele community van Nederlandse RFID-enthousiastelingen omheen ontstaan. TLS was hier niet blij mee.

[Reactie gewijzigd door donny007 op 1 oktober 2012 08:39]

Goed interview. Gaaf.
Had graag meer gelezen. De diepte in, het liefst tot ik het niet meer kan volgen.
Goed interview. Gaaf.
Had graag meer gelezen. De diepte in, het liefst tot ik het niet meer kan volgen.
Download de tools en ga aan de slag, legaal.
https://srlabs.de/decrypting_gsm/
Diep genoeg?

[Reactie gewijzigd door Nozem1959 op 3 oktober 2012 12:20]

Prachtig artikel Tweakers!

"Terwijl we onze telefoon van de vergrendeling halen om dit gesprek op te nemen, noemt de eenendertigjarige hacker nonchalant de vier cijfers van de toegangscode op."

En hoe is dat nu weer mogelijk? Ik dacht dat zoiets toch geen netwerk gebruikt?

[Reactie gewijzigd door Zehtuka op 30 september 2012 10:21]

Door mee te kijken misschien? :Y)
Even iets creatiever om het technisch mogelijk te maken:

Ergens in Android zit wel een bestand waarin de beveiligingscode staat. Het staat sowieso in /data, maar ik ben de locatie even kwijt. Een toestel wat ADB open heeft staan kan via een terminal dus een rm commando krijgen om dat bestand te verwijderen. Reboot erachteraan, en het toestel vraagt niet meer naar een wachtwoord.

Nu we weten dat dat bestand er is: hij laat je een app installeren, of gebruikt een website die een stukje code draait, whatever, iig iets om zijn code werkend te krijgen op jouw toestel. Het bestand overzetten naar zijn server, iemand die een OV kan kraken zal ook wel weten hoe je dat bestand decodeert, en je bent al klaar. Of nog leuker: Android recompiled, met aangepast lockscreen zodat hij na 3 tries niet blokkeert voor 30 seconden. Daarna die code in een aparte functie zetten, en alle mogelijke pincodes erdoorheen jagen (in een terminal) om te kijken wanneer je positieve output krijgt.

Geen idee hoe lang dat zou duren, maar als iemand eenmaal een stukje code draaiend kan krijgen op je toestel is het alleen nog maar read wat hij nodig heeft, de beveiliging omzeilen doet hij zelf wel op zijn eigen apparatuur.
En hoe is dat nu weer mogelijk? Ik dacht dat zoiets toch geen netwerk gebruikt?
Blijkbaar dus wel. Misschien om valse pogingen (en goede) om het unlocken van telefoons in kaart te brengen (door de providers). En men kan de fout gemaakt hebben niet alleen die poging zelf door te sturen, maar ook code die erop wijst welke code er gebruikt is. Het komt vaak voor dat men teveel informatie door de lucht stuurt.
Of de hacker had een ontvanger die relevante straling opvangt van het toestel; net zoals je bijv. ook bij stemmachines op afstand kan zien hoe er gestemd wordt.
Grappig dat jullie ook een pincode op jullie telefoon gebruiken ipv zo'n nutteloze swipe. Moet je natuurlijk niet mensen mee laten kijken op je scherm :).

Interessant artikeltje. Wat ik vooral interessant vond was dat hij zei dat ze in Amerika veel geslotener zijn wat betreft informatie en alles proberen geheim te houden. Ik las laatst een artikel van een persoon die interne audits hield bij bedrijven en die gaf ook al aan dat bijna niemand mee wil werken in Amerika. Dat persoon gaf aan dat het een neven-effect van het soepele ontslagrecht daar is, niemand wil dat er gekeken wordt naar zaken waar zij verantwoordelijk voor zijn omdat ze bang zijn dat als er iets fout is, dat zij de zak krijgen.
"Toch lukt het de onderzoekers niet altijd om een systeem te hacken: "We zijn continu bezig om te kraken wat we in onze handen krijgen. Vaak lukt dat niet; dan leggen we het aan de kant en gaan we verder met iets anders."

Het zou ook best leuk zijn om dat eens in het nieuws te brengen. Maar dat is natuurlijk niet nieuwswaardig genoeg..
Ze zouden wel een soort review systeem op kunnen zetten zodat je ook kan zien welke bedrijven wl moeilijk hackbare hardware op de markt brengen. Nu zie je het alleen als iets slecht beveiligd is, maar dat wil nooit zeggen dat de rest dus 'goedgekeurd' is.
Het probleem is vaak dat exploits bij toeval worden gevonden. Als je een exploit bij een product vind en bij een ander product niet betekent dat niet dat het een minder veilig product is.
Ze zouden wel een soort review systeem op kunnen zetten zodat je ook kan zien welke bedrijven wl moeilijk hackbare hardware op de markt brengen. Nu zie je het alleen als iets slecht beveiligd is, maar dat wil nooit zeggen dat de rest dus 'goedgekeurd' is.
Het probleem met een review systeem is demarcatie. Een hacker wordt geprikkeld om "outside of the box" te denken. Met een review systeem loop je het risico dat alleen binnen de "review-box" wordt getest en dus meer "policy-driven" wordt.
Heeft bijvoorbeeld de "stresstest van Europese banken" een transparant nut?
Oh, dus dat is waarom we nu altijd onze pinpas in de chip poort stoppen :p
Ja, maar dat is ondertussen ook al gekraakt.

Bron;
http://www.crimesite.nl/c...euwe-pinnen-gekraakt.html
Sterker nog, het is gevaarlijker mbt skimmen, aangezien ze nu geen cameraatje meer nodig hebben. Ze lezen de pincode nu gewoon van de chip. Kijk dan ook uit met publiekelijk ter beschikking gestelde random readers en dergelijke bv
Ik heb met heel veel genot gelezen bedankt.
Leuk artikel! Netjes Bart :)

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Smartphones Beheer en beveiliging Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013