Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: The Register

Def Con hacker conventie illustratie (klein)Hardware blijkt vaak slechter bestand te zijn tegen hackers dan verwacht wordt, aldus The Register. Net als software bevat hardware evengoed gaten in de beveiliging. PIN-codes van USB-sticks, bijvoorbeeld, staan vaak op onbeveiligde chips en kunnen met de juiste apparatuur makkelijk worden overschreven met een standaardcode. Biometrische apparatuur is ook niet veilig: vingerafdrukken kunnen van toetsenborden worden gehaald en stemmen kunnen worden opgenomen. Onderzoekers hebben het voor elkaar gekregen om de elektronische blokkeringmechanismen in auto's te misleiden met gekopieerde RFID-tags. Joe Grand, een beveiligingsexpert van Grand Idea Studio, vertelt dat deze problemen ontstaan doordat hardwarefabrikanten onvoldoende op de hoogte zijn van beveiligingstechnieken. Ook zijn technische schema's vrij verkrijgbaar en het geheugen van chips wordt slecht afgeschermd tegen aanvallen van buiten.

Moderatie-faq Wijzig weergave

Reacties (30)

Ik denk niet dat de fabrikanten te slecht op de hoogte zijn van de beveiligingstechnieken, maar dat die een afweging moeten maken tussen veiligheid en bruikbaarheid.
Vergeet niet dat -bijvoorbeeld het slot van een auto- bediend moet kunnen worden door allerlei mensen die meestal al moeite hebben met de bediening van een Senseo.
Dat systeembeheerders nog steeds de standaardwachtwoorden in routers, accesspoints en dergelijke niet aanpassen is natuurlijk diep triest, maar dat soort zwakke plekken zul je altijd houden.
je mist de pointe van het verhaal, het gaatt niet over de software (standaard wachtwoorden) maar de hardware (geheugenchips waarop de wachtwoorden worden opgeslagen). dan mag jij als systeembeheerder een pwd hebben a la é"534gdQrikkeQtikkeQtik=çà! dan nog kan die chip uitgelezen worden
De USB / Autosleutel-kraken gaan WEL om de software. Hier wordt geen fatsoenlijke (256 bits, liefst AES) encryptie gebruikt!
In het geval van TI (sleutels) was het maar 40 bit, in het geval van USB was de data OP de usb-sticks niet versleuteld. Als de data versleuteld zou zijn, zou een mechanische aanval geen zin hebben omdat de data hooguit vernietigd zou worden.
Nee, een sleutel is een sleutel, de bediening zal altijd hetzelfde zijn. De achtergrond hoe het werkt zal de gebruiker een worst zijn en kan geavanceerder zijn dan alleen een paar palletjes die op hun plaats vallen.

Ik denk eerder dat het marketing is, mensen willen veiligheid en de fabrikant kan zonder hoge onkosten een "stukje" veiligheid aanbieden hoe makkelijk dat dan ook kraakbaar is.
maar dat die een afweging moeten maken tussen veiligheid en bruikbaarheid
Het is vaker een afweging tussen veiligheid en kosten. De perfecte beveiliging is gewoon onbetaalbaar, dus er moet een keuze worden gemaakt in hoeverre een beveiliging veilig genoeg is en betaalbaar blijft.

Het dupliceren van mijn auto-sleutel koste mij $20, omdat er een soort RFID chip in zit (kan je toch al zien dat ze al lang bezig zijn met dit soort technieken, want mijn auto stamt uit 1992). En ik had geluk dat ik een oud model auto had, want de sleutels voor de nieuwe auto modellen kosten $80 en meer.
Ik snap het punt, maar als ik als autodief moet kiezen tussen een analoog slot, wat ik ter plekke kan openbreken, of op magische wijze aan de RFID komen en deze kopieren op een RFID chip, om dat weer naar de auto te gaan en 'm open te maken, dan ga ik toch voor het eerste.

In dergelijke gevallen is hardwarematige digitale beveiliging altijd nog beter dan analoge beveiliging. (tenzij we praten over een 2 meter dikke stalen deur, maar die past niet op een auto ;) )
Het is voor de georganiseerde dief toch een stuk goedkoper om een key te kopieren, dan een compleet slot te vervangen. Je moet als moderne auto-dief natuurlijk ook om de onkosten denken.
Voor zover ik weet kunnen codes van RFID-tags uit de lucht worden geplukt, omdat de chip namelijk de code uit zichzelf uitzendt. Neem vervolgens een laptop en een zender en je hebt een ongelimiteerde hoeveelheid sleutels aan je sleutelbos.
Ik geef TD-er gelijk , je moet ook zien wat die gestolen wagen opbrengt, als je er 2 min meer in moet steken om hem te stelen omdat hij 3x zoveel opbrengt, dan zal die dief er ook geen probleem in zien....

En dan nog, autodiefstallen à la gone in 60 secs met ultramoderne apparatuur zijn meestal wel uit den boze. Diegene die zich daar mee bezighouden kan je toch niet tegenhouden, ze verzinnnen er wel iets op...
Dure auto's? Georganiseerde misdaad heeft aangepastew trucks die auto laden ze binnen de minuut in een truck met aangepaste inlader en gevoerd met geluidsdempend en radiogolvenwerend materiaal. Uitgeladen op een veilige plaats wordt het alarm onklaar gemaakt en omgekat. Wellicht dat het dievengilde in nederland nog niet zover is en men ook nog eens enigzins beschermd is door de bevolkingsdichtheid waardoor zaken wat sneller gezien worden maar in Brazillie liggen sommige zaken wat anders.
Zal een paar centen kosten zo'n truck. Valt ook best nog wel aardig op als zo'n ding bij mij in de wijk een dure auto gaat inladen. Telefoontje naar de politie en de bad guys zijn niet alleen gepakt maar ook nog hun truck kwijt (levert wel een aardige achtervolging op misschien).

Ik kan wel zien dat jij geen crimineel bent ;)
Waarom zijn ze nog steeds zo verbaasd. Het nadeel van beveiliging is altijd dat je er zelf in wil komen, dus moet er een sleutel zijn. En of dat nou een code is, of een daadwerkelijke sleutel, of een vingerafdruk. Iemand zal altijd je sleutel na kunnen maken, of de deur op een lompe manier in kunnen trappen. Als je er voor zorgt dat de deur gewoon voldoende dik is, en de sleutel voldoende ingewikkeld is, dan vertraagd het in ieder geval zoveel dat de meeste mensen het niet eens meer proberen.
Dit soort onderzoeken worden al jaren gehouden, en steeds komen ze achter hetzelfde. Het is de verantwoordelijkheid van de mensen om inderdaad niet je usb stick te laten rondslingeren en je Pin code inderdaad niet op te schrijven. Er zijn ook maar 10 000 pincodes, en in theorie is dat dus ook niet absoluut veilig.
Er zijn ook maar 10 000 pincodes, en in theorie is dat dus ook niet absoluut veilig.
die 10000 red je bij lange na niet want simpele codes (0000, 1234, 1111 enz.) worden overgeslagen dus er blijven er maar 8000 over of zo
"Volgens Joe Grand, een beveiligingsexpert van Grand Idea Studio, vertelt dat deze problemen ontstaan doordat hardwarefabrikanten onvoldoende op de hoogte zijn van beveiligingstechnieken."

Of, zou het zelfs zo zijn, dat de fabrikanten niet, of slechts ten dele weten wat de risico's zijn?
En hoe "makkelijk" het voor een selecte groep mensen is om misbruik te maken.

Verder zou ik gewoon zorgen dat je USB-stick altijd in jouw bezit is en niet ergens slingerd, daarbij, als je er geen één heb, zoals ik, kan je op dat punt iig ook weinig overkomen :)
Deze mijnheer Grand legt weet de gevoelige plek toch wel enigzins aan te wijzen, en dat is een vals gevoel van veiligheid.
Als ik een usb stick met een password zou hebben, dan zou ik daarvan verwachten dat het password niet is opgeslagen, en dat het ding dus tamelijk veilig is.
Als blijkt dat je met wat truukies gewoon alle data kan uitlezen, iets wat natuurlijk nooit zomaar bekend gemaakt zal worden, dan ben je in je veiligheids gevoel geschaad.
Verkopers en fabrikanten van dingen zoals usb sticks die pretenderen enige mate van veiligheid te geven, zelfs al is het met een password, die moeten hun pretenties wel waar kunnen maken. Doen ze dat niet, bijvoorbeeld door zo'n suffe ontwerp fout waar het password los op een stukje ram staat, zouden daarvoor op de vingers getikt moeten worden.
Veiligheid is een relatief begrip, en absolute veiligheid een illusie. Wil je je tuin bewaken neem je een herdershond, wil je een bedrijf bewaken gebruik je een bewakingsdienst, wil je een land bewaken gebruik je een leger. Consumenten lijden veel minder schade als informatie uitlekt en hebben dus al genoeg aan de meest elementaire beveiligingsvorm.

Als ik een wachtwoord beveiligde USB stick ergens laat rondslingeren en iemand wil daar de gegevens van afhalen is de persoon in kwestie in 99.99% van de gevallen een amateur - een pro heeft er echt totaal niks aan om jou dagboek te lezen of die ene toch-maar-niet-verstuurde liefdesbrief door te pluizen. Die pro kan nu welliswaar relatief makkelijk achter je data komen, je broertje of collega niet, heeft daar de apparatuur niet voor. Als die USB stick nu bedoelt is voor consumenten, die OOK nog eens graag een zo goedkoop mogelijk product willen, zet je daar ook een bijpassende beveiliging op.

Om een geheel ander voorbeeld te noemen: 3Com heeft een erg leuke beveiligingsopties voor draadloze netwerken, mits je enkel hun apparatuur gebruikt. Echter, de consument kiest vaak voor veel goedkopere apparatuur en moet zich dus behelpen met WEP en MAC-adres controle. Slecht beveiligd? Wederom, 99.99% van je buren zal mits je beide technieken gebruikt niet op je netwerk kunnen komen. Een bedrijf dat met gevoelige data werkt zal misschien wel voor 3Com kiezen, extra firewalls installeren, IPsec gebruiken etc, omdat ze een veel aantrekkelijker doelwit zijn.

IMHO is dit 'nieuws' dan ook weinigzeggend: alle beveiliging is te kraken, een beveiliging is pas slecht als'ie niet overeenstemt met de waarde van de te beschermen data.
Volgens mij heb jij niet teveel kaas van hardware gegeten?
Een password moet zoiezo worden opgeslagen, hoe is het anders te controleren?
Daarbij komt nog dat alles wat te programmeren is (de firmware van een usb stickie dus) ook weer uit te lezen is, anders heb je er namelijk niks aan!
In feite is dit hetzelfde als met audio cd beveiliging: zodra het te beluisteren is is het te copieeren.
Volgens mij heb jij niet teveel kaas van hardware gegeten?
Een password moet zoiezo worden opgeslagen, hoe is het anders te controleren?
Volgens mij heb jij niet teveel kaas van beveiliging gegeten?
Een wachtwoord hoeft niet opgeslagen te zijn om gecontroleerd te kunnen worden. Een heel simpele methode is al de 'one way hash' waarbij bijvoorbeeld "wachtwoord" omgezet wordt in "41734yh8fakjsdfk". Als nu het wachtwoord de gecontroleerd moet worden, wordt nogmaals dezelfde hash gedaan, als er dan weer "41734yh8fakjsdfk" uitkomt, weet je dus dat het wachtwoord correct ingevoerd is. Een goede one way hash is alleen maar brute force te kraken.
Dan is het dus een kwestie van de hash overschrijven met een hash waarvan het bijbehorende password bekend is. :Z
Nee de hardware fabrikanten doen het bewust, wat heb je nou aan geheugen die compleet gelocked is, of een gelockte harddisk.

De xbox van microsoft is mischien wel de slechtst beveiligde hardware. Als je ziet dat een extra chips alle hardware voor hem kan laten werken.
Nintendo doet het ook erg slecht hoor. Kijk maar naar GameCube en de DS :)
Ben benieuwd wanneer de PSP wordt gehacked.
"Beveiliging begint bij de deur" is één van de zaken die ik op school geleerd heb.
Als je je USB stickie niet overal rond laat slingeren, of in een afgesloten ruimte houdt, dan kunnen een berg problemen al voorkomen worden.
ik denk dat we beter de wetgeving verder uitbouwen ipv alles superbeveiligen, uiteindelijk blijven de beste systemen nog steeds kraakbaar

straks wonen we allemaal in een bunker en rijden we in een tank...
Dat is een beetje naïef. Als je iets verbiedt wil dat geenszins zeggen dat het daarna niet meer gebeurt.
Maar het schept wel de juiste kaders voor regressie beleid. Maar helaas, met mensen als Donner worden hooguit de mensen die juist hélpen (lees "white-hats") gepakt. Het is toch van de zotte dat als ik jou erop wijs dat je vergeten bent je voordeur dicht te doen dat ik dan een strafbaar feit pleeg (of beter: beken een strafbaar feit gepleegd te hebben)?

De oplossing is simpel: opvoeding. Alle misstappen die een mens begaat komen uiteindelijk terug op een verwrongen beeld van goed en kwaad. En dat beeld ontstaat door (een gebrek aan) opvoeding. Dus: ethiek in de schoolklas én thuis (de belangrijkste opvoeder is en blijft de voogd, of deze die verantwoording nu wel of niet wil. Wil je die verantwoording niet? Neem dan geen kinderen!).
Het voorbeeld is niet goed. Jij kan van buiten al zien of mijn voordeur open staat.

Het is beter te vergelijken met iemand die even kijkt of m'n voordeur wel op slot zit, m'n schuurdeur, m'n ramen, vervolgens aan de achterkant van het huis ook even overal aan voelt, lang het raam naar binnen kijkt om te zien wat voor sloten erop zitten, tenslotte met een ladder mijn balkon op gaat, en daar gaat kijken of mijn balkondeur wel dicht zit. Nee, dat zit hij niet. Je doet hem open en weer dicht, klimt weer naar beneden, belt aan en vertelt mij dat m'n balkondeur open staat.

Nou, daar heb ik absoluut niet om gevraagd en je moet gewoon oprotten en ik bel de politie als je hier nog een keer in de buurt komt.

Als de "white-hats" zo nodig beveiligingen willen testen WAAROM kunnen ze dat dan niet van tevoren vragen? Als ze dat niet doen, zijn het gewoon criminelen. Weliswaar niet zo heel ernstig, maar toch.
Wat zou jij dan verbeterd willen zien aan de wetgeving?
Voor zover ik weet is het nu ook verboden om je toegang te verschaffen tot systemen, zonder toestemming.
Een fiets jatten waar geen slot op zit is nog steeds strafbaar, zo ook het hacken van een apparaat waar alleen nog het standaard wachtwoord op staat.
Over die fiets klopt het, dat wachtwoord niet, het is namelijk legaal. Namelijk je dient enige beveiliging te doorbreken. Men neemt tegenwoordig aan dat een wachtwoord dat ouder is als 3 maand geen voldoende beveiliging meer is! Een standaard wachtwoord valt hier ook onder! Wel is het zo dat als je het systeem beschadigd/gegevens jat/ander misbruik maakt, je daar wel weer op kan worden gepakt. Effectief maakt het niet veel uit, maar je hebt kans dat de systeembeheerder ook een boete krijgt van de politie.

(dit is dus puur theoretisch)
Wat mij zorgen baart in het verhaal is de constatering dat het een probleem is dat de werking van de beveiliging bekend is:
Ook zijn technische schema's vrij verkrijgbaar
Ik heb altijd geleerd dat security by obscurity geen goed idee is. Het is beter om bekend te maken hoe het werkt, zodat anderen je kunnen wijzen op zwakke plekken, dan dat je alles angstvallig geheim houdt en maar hoopt dat niemand je zwakke plekken kan vinden. Op die manier is het namelijk ook veel moeilijker om van fouten (van jezelf en van anderen) te leren bij het ontwerp van nieuwe systemen.
geef iedereen een tattoo met een streepjes code. kan er niet afhalen. aanpassen maakt je illigaal dus niemand kloot er aan.

practies makkelijk. en hopelijk gaat het nooit gebeuren

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True