Onderzoeker: Nederlandse alarmsystemen zijn zeer onveilig

Twee protocollen die in Nederland worden gebruikt voor communicatie tussen alarmsystemen en -centrales, zijn eenvoudig te kraken. Dat ontdekte een Nederlander bij toeval. Een kwaadwillende zou de problemen kunnen misbruiken om chaos te veroorzaken.

Nederlander Wilco Baan Hofman, die zijn bevindingen uit de doeken deed tijdens de Hack in the Box-beveiligingsconferentie in Amsterdam, stuitte bij toeval op de beveiligingsproblemen toen hij probeerde uit te zoeken hoe de alarmprotocollen in elkaar zitten. Op de hackerspace Bitlair in Amersfoort, waarvan Baan Hofman deel uitmaakt, was een alarmsysteem geïnstalleerd. Baan Hofman wilde bij een alarm zelf ook op de hoogte worden gesteld. "Waarom zou alleen de centrale die signalen krijgen?" vraagt hij zich af.

Als eerste onderzocht Baan Hofman het propriëtaire protocol van leverancier Alphatronics, dat in de hackerspace wordt gebruikt. Dat protocol bleek kinderlijk eenvoudig te kraken, hoewel het de naam 'sia highly secure' droeg. "De inhoud van de communicatie wordt niet versleuteld", zegt Baan Hofman tegen Tweakers. "Die wordt slechts vermomd." De afzender van de communicatie wordt bovendien niet gecontroleerd. Daardoor kan een kwaadwillende communicatie naar de alarmcentrale sturen, die afkomstig lijkt te zijn van een bepaald alarmsysteem, terwijl hij of zij daar niet eens toegang toe hoeft te hebben.

Wat daarbij helpt, is dat de communicatie erg eenvoudig verloopt. Daardoor is het mogelijk een handshake, waarmee de communicatie tussen alarmcentrale en -systeem begint, na te bootsen. Daarna kan bijvoorbeeld een signaal worden verstuurd waardoor de alarmcentrale denkt dat het alarm afgaat. De potentiële consequenties daarvan zijn enorm, denkt de Nederlandse onderzoeker. "Ik zou een script kunnen schrijven dat op alle alarmsystemen een inbraakalarm laat afgaan", zegt hij. De codes die worden gebruikt om bepaalde alarmsystemen aan te duiden, zijn namelijk vrij voorspelbaar.

Wanneer dat gebeurt, zou grote chaos kunnen ontstaan, omdat de vervalste alarmsignalen niet te onderscheiden zouden zijn van daadwerkelijke inbraakalarmen. Daarmee kan de politierespons op inbraakalarmen feitelijk onschadelijk worden gemaakt, omdat de politie nooit op alle oproepen kan reageren. Een kwaadwillende kan daar misbruik van maken. Dat het protocol eenvoudig te kraken is - Baan Hofman had vijf minuten nodig - maakt het probleem nog ernstiger.

Het SecIP-protocol van Vebon, de Nederlandse koepelorganisatie van de alarmsysteemindustrie, blijkt iets veiliger. Dat protocol past betere versleuteling toe, maar controleert evenmin de bron van de communicatie. Daardoor zou een vergelijkbare aanval mogelijk worden. Wel kan de afzender daarbij worden gecontroleerd, omdat dit protocol ondersteuning voor sessies heeft. Een aanvaller kan zijn ip-adres echter maskeren via bijvoorbeeld Tor. Daarnaast kan de versleuteling nog steeds beter.

De Nederlandse onderzoeker stelde de ontwerpers van de protocollen in de afgelopen zomer al op de hoogte, maar pas nadat hij het NCSC inschakelde, de ict-beveiligingsorganisatie van de Nederlandse overheid, kwam er schot in de zaak. Inmiddels is er een nieuwe versie van het SecIP-protocol, maar voordat die is geïmplementeerd in nieuwe firmware voor alarmsystemen en voordat die firmware overal is geïmplementeerd, is er waarschijnlijk flink wat tijd verstreken. "De meeste apparaten krijgen één keer per jaar onderhoud", aldus Baan Hofman. In de tussentijd zijn de systemen kwetsbaar. Ook voor het protocol van Alphatronics is nog geen update beschikbaar.

Door Joost Schellevis

Redacteur

Feedback • 10-04-2013 12:57 44

10-04-2013 • 12:57

44

Lees meer

Zevende editie van open dag hackerspaces is op zaterdag 30 maart
Zevende editie van open dag hackerspaces is op zaterdag 30 maart .Geek van 27 maart 2019
Nederlandse hackerspaces houden open dag op 26 maart
Nederlandse hackerspaces houden open dag op 26 maart .Geek van 23 maart 2016
NS ruilt betalingen met ov-chipkaart in voor contactloos pinnen
NS ruilt betalingen met ov-chipkaart in voor contactloos pinnen Nieuws van 29 januari 2014
Onderzoeker kraakt beveiliging appartementencomplexen met skipas
Onderzoeker kraakt beveiliging appartementencomplexen met skipas Nieuws van 29 december 2013
OM: politie brak in op router vanwege 'acute dreiging'
OM: politie brak in op router vanwege 'acute dreiging' Nieuws van 6 november 2013
'Politie pleegde computervredebreuk tijdens onderzoek dreigement'
'Politie pleegde computervredebreuk tijdens onderzoek dreigement' Nieuws van 5 november 2013
Overheid wil cybersecuritybeleid meer richten op risicogebaseerde benadering
Overheid wil cybersecuritybeleid meer richten op risicogebaseerde benadering Nieuws van 28 oktober 2013
Malware-aanval via dns trof 18.000 domeinnamen
Malware-aanval via dns trof 18.000 domeinnamen Nieuws van 6 augustus 2013
NL Alert werkt nog steeds niet voor grote meerderheid smartphonegebruikers
NL Alert werkt nog steeds niet voor grote meerderheid smartphonegebruikers Nieuws van 4 februari 2013
Android 4.2 ondersteunt technologie achter NL Alert
Android 4.2 ondersteunt technologie achter NL Alert Nieuws van 13 november 2012
Kroes verplicht eCall-alarmsysteem vanaf 2015
Kroes verplicht eCall-alarmsysteem vanaf 2015 Nieuws van 8 september 2011
Hacker claimt autodeur te kunnen ontgrendelen via sms
Hacker claimt autodeur te kunnen ontgrendelen via sms Nieuws van 29 juli 2011
FCC onderzoekt sms'en en mms'en naar alarmnummer
FCC onderzoekt sms'en en mms'en naar alarmnummer Nieuws van 23 november 2010
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (44)

-Moderatie-faq
44
43
38
7
0
1
Wijzig sortering
Defnox 10 april 2013 14:10
Ach, dit valt binnen de verwachting. Eigenlijk zijn dit soort systemen alleen maar nuttig ter geruststelling van de bewoners en voor het afschrikken van potentiële inbrekers. De klanten van deze bedrijven hebben geen verstand van ICT waardoor dit totaal geen issue is bij het ontwerpen van dergelijke systemen. En dat scheelt weer een investering denken de topmensen.

Zelf hebben wij ook een systeem dat werkt met warmtedetectie. Een aantal sensoren in een aantal kamers en een centraal kastje dat alles aanstuurt. Bij uit/ inschakeling en afgaan van het alarm wordt er een seintje verstuurd naar een controlekamer die vervolgens gaat bellen ter controle. Dit zijn mijn ervaringen met het systeem:
  • Regelmatig vals alarm (door vergeten uit te schakelen / dieren of insecten die op en/of voor de sensor gaan zitten / gewoon vals alarm met een niet traceerbare oorzaak)
  • Wanneer er weer eens alarm wordt geslagen zit iedereen zich te stressen
  • Duur (ik geloof 400 euro in het jaar en 6 cent per verstuurd bericht bij uit/inschakeling).
  • Als er wel ingebroken is kom je de inbreker zelf tegen. En wat dan? Belt de controlekamer een halfuurtje later naar de politie die vervolgens ook zijn tijd neemt.
Wanneer je geen waardevolle bezittingen hebt, moet je niet beginnen aan een alarmsysteem. Beter neem je gewoon een hond die veel gezelliger zijn en bijna net zo afschrikkend / geruststellend werkt.

[Reactie gewijzigd door Defnox op 23 juli 2024 10:37]

robindk @Defnox10 april 2013 14:15
Ik vind dit persoonlijk een non-issue

Ik heb zelf thuis ook een alphatronics hangen.

Het gaat hier om het protocol waarmee de centrale een bericht naar de alarmcentrale stuurt via IP.

Dit betekent dus niet dat iemand mijn alarmsysteem van afstand kan uitschakelen o.i.d.
Worst case scenario, iemand hacked mijn netwerk en zou zich kunnen voordoen als mijn systeem en valse meldingen kunnen afleveren bij de alarmcentrale.

ik zie dat niet zo snel gebeuren.

Verder kan je ook gewoon niet over IP melden maar via X25.
Dan wordt het wel heel lastig om hier tussen te komen.
Tsurany @robindk10 april 2013 14:33
Het probleem is niet dat iemand bij jou een vals alarm af kan laten gaan, het probleem is dat men bij iedereen die zo'n alarmsysteem heeft tegelijk een alarm kan laten afgaan. Wanneer in een half uur tijd elk huishouden en elk bedrijf in Nederland uitgerust met dit type alarm ook daadwerkelijk alarm gaat slaan ontstaat chaos. Door deze chaos kunnen beveiligers en politieagenten niet snel genoeg reageren aangezien ze niet weten welke meldingen wel en niet juist zijn.
Of een standaard particulier alarm nut heeft valt inderdaad te betwisten, echter bedrijven en vermogende particulieren die genoeg betalen krijgen wel snel beveiliging onderweg. Door verwarring te zaaien kunnen inbrekers meer dan genoeg tijd krijgen om meer spullen mee te nemen dan oorspronkelijk gepland. Derhalve wel een groot issue.
Bloodshot @robindk10 april 2013 15:22
Alleen jammer dat KPN stopt met hun X.25 dienstverlening, zowel Datanet-1 als Digi-access (waar de meeste X.25 alarmsystemen gebruik van maken). Ik meen halverwege 2014. Geen goed idee om nu nog een oplossing op basis van X.25 aan te schaffen dus. (Tenzij je al een alternatieve provider op het oog hebt die bijvoorbeeld XOT levert.

Ook is het X.25-protocol niet echt lastig om te faken. Voor zover ik weet, zetten de meeste centrales een SVC op en het aktief zijn van dit Virtual Channel, houdt in dat de centrale bereikbaar is. Een simpele black box ertussen die de dataset-signalen in stand houdt en keurig Receive Ready blijft sturen en je ben al een heel end.
nhede @Defnox10 april 2013 14:33
Denk er aan dat dit soort alarm protocollen ook worden gebruikt in de industrie. Zoals gas alarm, hoog water alarm, hoog temperatuur alarm.
Het is dus ook mogelijk om van afstand het alarm te annuleren of een bypass in te stellen op de centrale.
nhede 10 april 2013 14:05
Dat het SIA protocol implementatie op de centrales in veel gevallen onveilig is kan ik bevestigen. Vorig jaar schreef ik voor een bedrijf een implementatie voor SIA_DC09 , DC07, DC03 protocol, om communicatie met bestaande alarmcentrales mogelijk te maken.

Er bestaat wel een mogelijkheid binnen het protocol om AES encryptie te gebruiken, maar deze wordt in werkelijk eigenlijk zelden gebruikt.

Wanneer er communicatie toegestaan wordt met de centrale zonder encryptie, is het mogelijk om met een lus alle geregistreerde alarm nodes af te lopen en alarmen te genereren en hierbij dus de hele centrale te ontregelen.

[Reactie gewijzigd door nhede op 23 juli 2024 10:37]

mancide @nhede10 april 2013 17:32
Het probleem ligt volgens mij eerder bij de meldkamers dan bij de centrales.

Ik heb zelf 12 jaar aan alarmsystemen gewerkt maar niet van bovengenoemde fabrikanten.
Ik heb AES encryptie op SIA geïmplementeerd maar er was op dat moment geen enkele ontvanger beschikbaar die dit aankon...

VebonIP is een typisch Nederlands protocol dat in geen enkel ander land gebruikt wordt.
SIA daarentegen is een internationale standaard.

Het zijn dus niet altijd de centrales die aan de oorsprong van het probleem liggen.
Anoniem: 449142 11 april 2013 08:55
Het SIA protocol is geen versleuteld protocol. Het geeft dmv. bepaalde korte codes aan wat er met een bepaalde zone aan de hand is. Het SIAHS protocol is het protocol wat nog via de analoge telefoonlijn naar de PAC wordt verstuurd.
Ik weet zo de combinaties niet zeker maar het zou iets kunnen zijn van "8989 BA 9 voordeur"
De 8989 is het aansluitnummer van de centrale
DE code BA zou dan kunnen staan voor inbraak alarm.
9 is het zone nummer met daarachter de zonebeschrijving.

Waar het hier om gaat is dat de PAC (meldkamer) niet controleert waar de melding vandaan komt.

Theoretisch kun je dus vanaf een willekeurige locatie meldingen naar de PAC sturen van "een" installatie ergens in Nederland.

In principe weet alleen de installateur van de installatie welk aansluitnummer (promnummer) bij welke klant hoort. De PAC zelf natuurlijk ook maar wat ik hiermee wil zeggen is dat je niet zomaar weet welk aansluitnummer in de centrale geprogrammeerd staat.
Goed, het promnummer is natuurlijk te achterhalen door de lijn af te tappen en je voor te doen als de PAC, maar dat lijkt me lastig vanwege apparatuur die je daar weer voor nodig hebt.

Het is dus inderdaad zo dat je allerlei spook meldingen kan versturen, maar ik denk niet dat het mogelijk is om alle klantnummers van installaties in de buurt te achterhalen.
mancide @Anoniem: 44914211 april 2013 10:19
Het SIA protocol is geen versleuteld protocol.
De SIA DC-09 2007 standaard voorziet reeds sinds 2007 in AES encryption met cipher block chaining. In deze standaard staat dat ondersteuning voor AES encryptie aan de kant van de ontvanger verplicht is.

Blijkbaar zijn er op vandaag nog steeds meldkamers die met oude systemen blijven werken.

Hier kan je de huidige draft standaard lezen:
http://www.siaonline.org/WorkArea/downloadasset.aspx?id=9460

Aan de andere kant is een meldkamer met minder dan 50000 aansluitingen economische niet rendabel.
Anoniem: 502750 10 april 2013 13:08
allereerst tsja het is niet iets waarvan ik zeg proficiat.

andere kant is dit denk ik niet iets waar je als random hacker zomaar achterkomt.
je moet toch wel enige kennis hebben van alarmsystemen.
al is dit wel iets om voor op te passen vanwege inderdaad enorm veel alarmen via deze techniek tegelijk getriggerd kunnen worden.
wel vind ik het belachelijk dat dit zo lang moet duren om een patch in te voeren
DutchReaper @Anoniem: 50275010 april 2013 13:21
Veel alarmsystemen worden vaak simpel gehouden met weinig functionaliteit, zodat er minder kans is op bugs of exploits. Daarom zijn ze ook niet gebouwd om snel een patch te krijgen, de patches lossen vaak alleen bugs op die in zeer bijzondere gevallen voorkomen. Daardoor kan je het wel veroorloven om een jaar te wachten voordat je de patches released.

Hierbij moet je niet vergeten dat veel bedrijven een aantal weken wachten voordat ze hun nog veilige systeem een update geven, zodat er door onderzoekers kan worden gecontroleerd op lekken. Als hun systeem onveilig blijkt te zijn zullen ze eerder die update uitvoeren.
AuteurJoost @Anoniem: 50275010 april 2013 13:11
andere kant is dit denk ik niet iets waar je als random hacker zomaar achterkomt.
je moet toch wel enige kennis hebben van alarmsystemen.
Nee. Onderzoeker in kwestie ontdekte het bij toeval nodig en had vijf minuten nodig om het protocol van Alphatronics te kraken.
Megamind @Anoniem: 50275010 april 2013 13:14
Wat is nu een alarmsysteem? Uiteindelijk is het niks anders dan een embedded systeem met een protocool. Of het nu vliegtuigen aanstuurd of een alarmcentrale, voor een hacker maakt dat weinig uit.
Mickeyjhart 10 april 2013 13:03
Normaal gesproken zou je als je dit soort software / systemen levert dit toch goed hebben nagelopen of dit mogelijk is?
Tsurany @Mickeyjhart10 april 2013 13:22
Nee, normaal gesproken niet vrees ik. Nadrukt ligt nooit op dit soort zaken, er wordt getest of hetgeen dat mogelijk moet zijn met de software ook mogelijk is. Wanneer dit werkt zal de software goedgekeurd worden. Het komt vaak voor dat bedrijven enkel kijken of de software doet wat het moet doen en niet of het juist dingen doet die het niet zou moeten doen en of er dingen mogelijk zijn die niet mogelijk zouden moeten zijn.
Hiervoor heb je speciale testers nodig die gewoon ervaring hebben in het test vak en de kennis en kunde hebben om zulke scenario's te doorlopen.

Tevens heb je van te voren een ontwerp nodig waarbij de nadruk ligt op security, echter juist wordt dit soort software te vaak ontwikkeld door bedrijven die enkel fysieke security kennen met gewapende mannen en totaal niet nadenken over digitale security.

Vergeet niet dat een goed ontwerp opzetten voor het bouwen erg kostbaar is en dat het testen van software ook geen goedkope grap is. Voor veel bedrijven zit er geen verschil tussen software die doet wat het moet doen en software die daarnaast ook niet doet wat het niet moet doen. Die zien enkel maanden testwerk als overbodige kosten want "het werkt toch gewoon".
Cerberus_tm @Tsurany10 april 2013 23:04
Nou, ik vind het beveiligen van instructies van en naar de alarmcentrale toch wel een essentieel en voor de hand liggend onderdeel. Hoe hebben ze daar nou niet aan kunnen denken? Verder denk ik dat het ook niet zo heel moeilijk is om in plaats van de de huidige zwakke beveiliging een sterkere in te bouwen: daar zijn allerlei standaarden voor.
-Burner- 10 april 2013 13:03
Beter dat een onderzoeker het ontdekt dan een stelletje hackers... Nu kan er lijkt mij nog een aanpassing op gedaan worden. Of zou er nu toch een opening zijn voor criminelen?
BRAINLESS01 @-Burner-10 april 2013 13:48
Dit is een hacker die in zijn vrije tijd zijn eigen beveiligingssysteem eens onder handen genomen heeft. Jij denkt bij hackers direct aan kwaadwillenden, maar dat heeft in feite niks met hacken te maken.
EraYaN @BRAINLESS0110 april 2013 14:05
"kwaadwillenden" zijn officieel ook "crackers"
Tweakers zou zich ook aan die terminologie moeten houden. Want hackers heeft nu een verschrikkelijk negatieve lading met dank aan de media.
https://tools.ietf.org/rfc/rfc1392.txt
Tsurany @EraYaN10 april 2013 14:22
De terminologie waar jij mee aan komt is geen officiële standaard en derhalve geen terminologie waar iemand zich aan zou moeten houden. Hackers hebben inderdaad een niet altijd even positieve naam gekregen in de media en men probeert door alternatieven zoals "crackers" en de additieven "black hat" en "white hat" onderscheid te maken op basis van de motieven van de hacker.
Desalniettemin is er geen officiële standaard met betrekking tot naamgeving van hackers op basis van motieven en ethiek en lijkt het mij verstandig om derhalve de term "hacker" te gebruiken en geen officieuze standaarden te hanteren die enkel tot verwarring en discussie kunnen leiden.
Tha_Butcha @Tsurany10 april 2013 18:42
Of iets officieus of officieel is, maakt echt helemaal niks uit. Kijk maar naar het witte boekje, geïnitieerd door wat vroeger kwaliteitskranten werden genoemd.

Probleem is dat de intentie van de hacker/cracker bepaalt in welke categorie hij valt en dat komt uiteindelijk op een waarde oordeel neer. En als nieuwssite wil je zo objectief mogeijk zijn. Daarnaast zijn intenties niet altijd duidelijk of te achterhalen.

Chinezen die Gmail plat leggen, zullen waarschijnlijk in China worden beschouwd als volkshelden en dus hackers worden genoemd en Google zal ze crackers noemen.

En onder welke categorie vallen Bradley Manning en Julian Assange? Blackhat of Whitehat?
Anoniem: 427436 @Tsurany10 april 2013 21:59
De technieken die hackers/crackers white-hats/black-hats gebruiken zijn ook veelal dezelfde.

Je kan ook moeilijk verwachten dat technologisch begaafde mensen vantevoren een intentie-verklaring inleveren over hun bedoelingen.
En slechts door hun feitelijk gedrag kan achteraf bepaald worden of ze nou goed of slecht bezig waren. En dat aan de hand van de huidig geldende legislatie (hoe verouderd dan ook)

Geschiedenis wordt geschreven door de winnaars.
"attributed to Winston Churchill, but of unknown origin."
.oisyn Moderator Devschuur® @BRAINLESS0110 april 2013 14:37
Jij denkt bij hackers direct aan kwaadwillenden, maar dat heeft in feite niks met hacken te maken.
Onzin. Je bent een hacker als je een systeem door en door kent om zo bepaalde dingen te bewerkstelligen. Of je nou kwaadwillend bent of niet. Dus ja, kwaadwillende "hackers" zijn ook gewoon hackers, ondanks wat het groepje white-hats dat zich zo graag wil distantieren je graag willen doen geloven.

.edit @ BramT: er is een reden dat ik "hacker" tussen aanhalingstekens zet in dat, volgens jouw nietszeggend, statement. Ik hanteer hier namelijk mijn eigen definitie van hacker die ik daarvoor heb uitgelegd, en dus specifiek niet de definitie van de persoon waar ik op reageer die zou zeggen dat de term "kwaadwillende hacker" een tegenstelling is.

[Reactie gewijzigd door .oisyn op 23 juli 2024 10:37]

BramT @.oisyn10 april 2013 14:51
Onzin. Je eerst zin klopt, maar daarna gaat je logica mis. Een toetsenbord is niet per definitie goedkoop. Een iets wat goedkoop is, is niet per definitie een toetsenbord. Een goedkoop toetsenbord is inderdaad gewoon een toetsenbord. (Maar wat die statement nou toevoegd?)

Een kwaadwillende is niet per definitie een hacker, en een hacker is niet per definitie kwaadwillend.

Of je formuleert je zinnen gewoon even niet zo lekker nu... ;)

Anyway, ik denk dat we met z'n allen achterover vallen als we zouden weten hoeveel protocollen dit soort lekken hebben. Niet alleen in de beveiliging, maar denk ook aan de medische hoek, infrastructuur, nuts bedrijven, etc. Zijn het echt ddos-aanvallen die saldi op rekeningen laten fluctueren?
* BramT doet alu-hoedje op ;)

[Reactie gewijzigd door BramT op 23 juli 2024 10:37]

Kwistnix @BramT10 april 2013 15:27
De manier waarop .oisyn het formuleert is correct en duidelijk wat mij betreft. Hij definieert de populatie hackers als zijnde personen met veel kennis van een systeem die daardoor in staat zijn om daar, goedschiks of kwaadschiks, dingen mee te bewerkstelligen. Dus ja, een kwaadwillende is daarmee weldegelijk een hacker, en nee, niet iedere hacker is kwaadwillend.
sHELL @.oisyn10 april 2013 18:39
Ik dacht dat we hier in Nederland onschuldig waren totdat het tegendeel bewezen was?

Iedereen is een hacker, totdat het tegendeel bewezen is en dan ben je een kwaadwillende hacker.

Maar tja, dat is mijn EIGEN definitie van hacker.

---ff ontopic---

Er is nu toch geen verzekeraar meer die z'n alarm systeem/protocol serieus neemt?

[Reactie gewijzigd door sHELL op 23 juli 2024 10:37]

Dutchy_ @-Burner-10 april 2013 13:12
Wat is volgens jou dan het verschil tussen een onderzoeker en een hacker? Een hoop onderzoekers zien zichzelf als hackers, en andersom.
-Burner- @Dutchy_10 april 2013 14:14
Oke, laat ik het anders definiëren: een kwaadwillende hacker :)
Anoniem: 428562 @-Burner-10 april 2013 14:22
Wereldkundig maken is iets anders dan ontdekken.

Het is heel goed mogelijk dat dit al wijd en zijd bekend is.
diehard889 10 april 2013 13:17
als ja alarm centrale via een ethernet interface babbeld kan je hem achter een firewall zetten waarbij je alleen het ip van de centrale ingeeft in de security regel. dan ben je er ook ;)
Foamy @diehard88910 april 2013 13:40
Totdat iemand vanaf een andere locatie een fake melding afgeeft van niet alleen jouw centrale, maar van alle centrales in de stad. Meldkamer word overspoeld, en zodra er bij jou word ingebroken is dat niet te onderscheiden van alle fake meldingen.

Veel plezier met je firewall.
sirono @diehard88910 april 2013 13:41
dat beschermt nog niet tegen de aanval zoals hier besproken. De hacker kan nogsteeds aan de centrale doorgeven dat jouw alarm is afgegaan ookal heeft hij geen toegang tot jouw systeem
Gratzip 10 april 2013 14:55
"In de tussentijd zijn de systemen kwetsbaar. Ook voor het protocol van Alphatronics is nog geen update beschikbaar."

Waarom wordt dit nu al gepubliceerd? Ik geef dit geen punten voor responsible disclosure :\
Rafe @Gratzip10 april 2013 17:12
De Nederlandse onderzoeker stelde de ontwerpers van de protocollen in de afgelopen zomer al op de hoogte, maar pas nadat hij het NCSC inschakelde [...] kwam er schot in de zaak.
Responsible disclosure != meewerken aan een vals gevoel van veiligheid. Als deze onderzoeker het al in vijf minuten kon kraken, is het niet ondenkbaar dat de georganiseerde misdaad dit ook al wist en er dingen mee deed.

Een wachttijd van weken tot enkele maanden is normaal - we hebben het hier over een ~driekwart jaar. Dat Alphatronics nu nog niets voor elkaar heeft lijkt (met de nu bekende info) een enorm falen van hun kant te zijn.
Megamind 10 april 2013 13:05
Verbaast me niks, Alphatronics is ook een bedrijf dat snel een product op de markt wil zetten om mee te profiteren van de markt en uiteraard niet goed over de beveiliging nadenkt.

Veel grote bedrijven komen in de problemen die zich niet met de core van hun bedrijf bezig zijn maar alleen maar getalletjes draaien om geld te verdienen (zie Imtech bv).
Durandal 10 april 2013 13:23
ALs ik het goed begrijp hangen die dingen tegenwoordig dus (onversleuteld) aan internet?
Ik kom nog uit de tijd dat ze naar de centrales toe belden..

Dus nu is het wachten op een script kiddie die voor de lol allemaal alarmeringsmeldingen gaat aanmaken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq