Interview: Karsten Nohl, meesterhacker

Inleiding

De Duitser Karsten Nohl, die verantwoordelijk is voor het kraken van onder andere de chip in de OV-chipkaart, de gsm-versleuteling en betaalterminals, ontbreekt het in elk geval niet aan scherpte. Terwijl we onze telefoon van de vergrendeling halen om dit gesprek op te nemen, noemt de eenendertigjarige hacker nonchalant de vier cijfers van de toegangscode op.

Karsten Nohl Nohl staat bekend als Duitslands meest gerenommeerde hacker, maar noemt zichzelf liever beveiligingsexpert. "We kraken technieken, daar laten we het bij. De hacks die we uitvoeren, zetten we nooit in voor illegale praktijken."

Dat andere hackers zijn onderzoeken wel voor illegale praktijken gebruiken, ziet hij niet als zijn verantwoordelijkheid. "We maken inzichtelijk waar de gaten in een techniek zitten, zodat de verantwoordelijke partijen hun systemen beter kunnen maken."

Nohl is Chief Scientist van het in 2010 opgerichte Security Research Labs. Dit in Berlijn gevestigde bedrijf telt inmiddels 15 werknemers met ieder een eigen specialisme. Naast het hacken van beveiligingstechnieken geven ze advies aan bedrijven en overheden omtrent beveiligingsvraagstukken. "We doen onafhankelijk onderzoek en we laten ons betalen voor het geven van advies."

Eigen bedrijf

In 2008 promoveerde Nohl aan de universiteit van Virginia met een proefschrift over implementeerbare privacy voor rfid-systemen. "Na mijn studie heb ik eerst een tijdje gewerkt bij een consultancybureau. Uiteindelijk heb ik besloten mijn eigen bedrijf op te richten. Daarmee kwam een droom uit."

Een terugkeer naar Europa lag voor de hand. "Ik denk dat we in Amerika minder goed ons werk hadden kunnen doen, de securitywereld wordt daar veel meer door angst bepaald. Ze proberen problemen daar meer geheim te houden. In Europa is de aanpak van veiligheid - tot nu toe - veel meer proactief: problemen worden onderkend en opgelost."

Dat het bedrijf in Berlijn gevestigd zou worden was geen toeval. "Ik ben opgegroeid in het westen van Duitsland, na mijn studie ben ik terug naar Europa gekomen. Je zou het heimwee kunnen noemen. De keuze voor Berlijn was dan ook logisch. Deze stad bruist en veel jonge, creatieve mensen komen hier samen, waaronder veel hackers."

OV-chipkaart

In december 2007 maakten Nohl en collega Henryk Plötz op de hackersconferentie van de Chaos Computer Club in Berlijn bekend dat ze de werking van de Mifare Classic-chip gedeeltelijk hadden doorgrond. Een jaar later was de Crypto-1-versleuteling van deze rfid-chip compleet gekraakt.

De Mifare Classic heeft een oppervlakte van één vierkante millimeter, is opgebouwd uit zes lagen en maakt gebruik van 48bits symmetrische versleuteling. Door de chip laagje voor laagje onder een microscoop te bekijken, werd duidelijk dat de chip is opgebouwd uit 'blokjes' van transistors.

De chip bleek uit ongeveer 10.000 blokjes te bestaan, waarvan er 70 uniek bleken. Door deze data in tabellen te zetten en geautomatiseerd naar structuren te zoeken, wisten de onderzoekers de cryptografiemethodiek van de chip te achterhalen.

Van de Mifare Classic zijn er wereldwijd bijna twee miljard in omloop. Behalve voor de Nederlandse OV-chipkaart wordt de chip ook gebruikt voor toegangscontrole bij verschillende ministeries, andere overheden en het bedrijfsleven.

Nederlands onderzoek

Studenten van de Radboud Universiteit in Nijmegen zijn na Nohls onthullingen in 2007 ook met de chip aan de slag gegaan. Toen ze in maart 2008 een werkende hack presenteerden waarmee ze toegangspasjes konden kopiëren, kwam toenmalig minister Guusje ter Horst van Binnenlandse Zaken met een brief aan de Tweede Kamer, waarin ze waarschuwde voor de grote gevaren die de hack met zich mee bracht.

De verantwoordelijkheid voor deze problemen ligt volgens Nohl primair bij de organisaties die de chip toegepast hebben. "Het bedrijf NXP Semiconductors, dat de chip produceert, maakt naast de Mifare Classic ook rfid-chips die beter beveiligd zijn. Het is de keuze van de overheid en bedrijven geweest om de goedkopere en minder goed beveiligde chips te implementeren."

Nohl maakt scherp onderscheid tussen het gebruik van de Mifare Classic bij toegangscontrole en het gebruik in de OV-chipkaart: "De grote gevaren van deze hack zitten bij toepassingen voor identiteitscontrole. Het is erg gevaarlijk als iemand zich met een valse identiteit toegang weet te verschaffen tot beveiligde locaties. De gevolgen hiervan kunnen veel verstrekkender zijn dan bij fraude in het openbaar vervoer."

Toch zorgde het gebruik van de Mifare Classic in de OV-chipkaart in Nederland voor de meeste opschudding. Tegen toenmalig verantwoordelijk staatssecretaris van Verkeer en Waterstaat Tineke Huizinga werd een motie van wantrouwen ingediend, die door 62 Kamerleden werd gesteund. Het bedrijf Translink Systems, dat het OV-chipkaart-project beheerde, kreeg zware kritiek toen het aankondigde de gehackte chip niet meteen te vervangen, maar alleen nieuwe kaarten uit te rusten met een sterkere encryptie.

Dat Translink Systems indertijd voor de Mifare Classic koos was volgens Nohl niet vreemd. "Het kiezen van een chip gebeurt op basis van een kostenanalyse. Translink wist dat ze niet de chip met de allerbeste beveiliging hadden, dus ze hebben in de analyse waarschijnlijk ook de kosten van zwartrijden na een eventuele hack meegenomen."

Van grootschalig misbruik door criminelen is volgens Nohl nooit sprake geweest: "Criminelen maken gebruik van marktprincipes. Als ze er niet genoeg aan kunnen verdienen, zal het misbruik geen extreme vormen aannemen. De periode totdat de gekraakte chip is uitgefaseerd, is te kort om er veel geld aan te verdienen. Translink weet dat, en heeft dus geen aanleiding gezien om het hele systeem direct te vervangen. Naast dat het relatief weinig oplevert, is het ook simpelweg strafbaar. Door gebruik te maken van andere technieken, zoals beveiligingscamera's, kan misbruik alsnog opgespoord worden."

Gsm en pinnen

Antenne - © Rotorhead/SXC Een jaar na de hack van de Mifare Classic presenteerde Nohl een nieuwe primeur: het was gelukt om de A5/1-gsm-encryptiemethode te hacken. Deze encryptiemethode wordt gebruikt om gespreksverkeer van een mobiele telefoon naar een gsm-mast te versleutelen.

Bij communicatie met een gsm-mast wordt channel hopping gebruikt. Dat wil zeggen dat er zestig verschillende radiofrequenties worden gebruikt waartussen vaak wordt gewisseld. Afluisteren wordt daardoor bemoeilijkt, maar Nohl maakte inzichtelijk hoe het algoritme voor het wisselen van kanalen werkt. Daarnaast publiceerde hij rainbow tables met 80 procent van de sleutels die de 64bits A5/1-encryptie gebruikt.

Nohl presenteerde verschillende stadia van de hack tijdens de CCC-congressen van 2009, 2010 en 2011. Hierop gaf de AIVD een waarschuwing uit waarin het gevaar van afluisteren werd aangekaart. Nohl ziet dit als een positief signaal van de overheid: "In andere landen is dit niet gebeurd. Het is goed dat een geheime dienst, en daarmee de overheid, de problemen erkent. De techniek om gesprekken af te luisteren bestond al voordat wij die volledig inzichtelijk maakten. Juist geheime diensten maken veel gebruik van deze technieken. Het is natuurlijk wel grappig dat juist een geheime dienst een waarschuwing afgeeft. Uiteindelijk is het toch allemaal een spelletje Spy versus Spy."

Nederland

Via de website gsmmap.org houden de onderzoekers bij hoe het gesteld is met de beveiliging van telefoonnetwerken in verschillende landen: "Hackers kunnen data uit hun eigen land aanleveren. Er is ook data uit Nederland, maar de inbreng van Nederlanders valt me tot op heden tegen; Nederland heeft toch een vrij grote hackerscommunity."

Nohl verbaast zich erover dat Nederlandse providers kennelijk weinig moeite doen om hun beveiliging te verbeteren. "Er zijn in verschillende landen providers die veel hebben gedaan om de beveiliging beter te maken. Je ziet dat Nederlandse providers bij de middenmoot zitten, maar daar zaten ze al voordat ons onderzoek openbaar werd."

Volgens Nohl kan het gebrek aan een betere beveiliging geen financiële reden hebben: "Omdat beveiliging van het netwerk een kleine kostenpost op de begroting is, zien ze het misschien niet als belangrijk onderwerp. De uitrol en implementatie van bijvoorbeeld een nieuwe techniek als 4g kost vele malen meer dan het verbeteren van de beveiliging."

Pinnen

PIN In juli van dit jaar liet Nohl op de Duitse televisie zien dat hij een exploiteerbaar lek in de firmware van Artema Hybrid PIN-terminals had gevonden. Met een proefopstelling in een televisiestudio toonde hij aan dat hij data van de terminals kon monitoren.

In Duitsland zijn er ongeveer 300.000 van zulke terminals in omloop. In andere landen, waaronder Oostenrijk en België, worden deze terminals ook gebuikt.

Door het apparaat te overspoelen met informatie kan het op tilt slaan; op dat moment is het voor de hackers mogelijk eigen, gemanipuleerde software op de terminal te installeren. Het is de onderzoekers onder andere gelukt om een spelletje pong op een gekraakte terminal te spelen.

Het bedrijf Verifone, dat deze terminals produceert, gaf na het bekend worden van de hack een verklaring uit waarin werd gesteld dat een real world attack niet realistisch is. Volgens Nohl maakt Verifone zich er hiermee te makkelijk vanaf: "Bij deze hack is er zeer zeker sprake van een ernstig risico. Iedereen die toegang heeft tot een lokaal netwerk met terminals kan veel geld opstrijken. Het is bovendien niet eenvoudig om erachter te komen wie dat gedaan heeft. Het is erg kwalijk dat Verifone het probleem bagatelliseert."

Twee weken na de presentatie van Nohl gaven onderzoekers van het Britse MWR InfoSecurity op de Black Hat-conferentie in Las Vegas een demonstratie waarin ze gaten in de beveiliging van drie andere terminals openbaarden. Voor Nohl was dat geen verrassing: "Dat systemen elders ter wereld ook te kraken zijn, ligt natuurlijk voor de hand. Uiteindelijk is de hele techniek voor communicatie met bankkaarten verouderd, en dat maakt het systeem kwetsbaar. Het is moeilijk om daar een enkele partij verantwoordelijk voor te houden, omdat er wereldwijd zoveel verschillende partijen bij betrokken zijn."

Tot slot

De eerder aangehaalde voorbeelden zijn de meest tot de verbeelding sprekende hacks van Nohl en zijn team. Toch lukt het de onderzoekers niet altijd om een systeem te hacken: "We zijn continu bezig om te kraken wat we in onze handen krijgen. Vaak lukt dat niet; dan leggen we het aan de kant en gaan we verder met iets anders. Het is vooral trial-and-error. Omdat iedereen binnen ons team een eigen specialisme heeft, zijn er genoeg vlakken waarop we onderzoek kunnen doen. Hierdoor hebben we veel expertise in huis. Je ziet dat bedrijven en overheden daar graag gebruik van maken."

Over de toekomst maakt Nohl zich dan ook weinig zorgen. Hij denkt dat zijn bedrijf de komende jaren nog veel verder kan groeien: "Bedrijven zoals Security Research Labs zijn er weinig. De komende jaren zal er steeds meer vraag naar onze adviezen komen. Het verbaast me dan ook dat niet meer mensen met kennis van zaken in dat gat springen."

3. Gsm en pinnen
4. Tot slot
57Reacties

Multipage-opmaak

IT-banen

Reacties (57)

Verwijderd 30 september 2012 10:20

Prachtig artikel Tweakers!

"Terwijl we onze telefoon van de vergrendeling halen om dit gesprek op te nemen, noemt de eenendertigjarige hacker nonchalant de vier cijfers van de toegangscode op."

En hoe is dat nu weer mogelijk? Ik dacht dat zoiets toch geen netwerk gebruikt?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:11]

Squ1zZy @Verwijderd • 30 september 2012 10:25

Door mee te kijken misschien?

iChaos @Squ1zZy • 30 september 2012 22:54

Even iets creatiever om het technisch mogelijk te maken:

Ergens in Android zit wel een bestand waarin de beveiligingscode staat. Het staat sowieso in /data, maar ik ben de locatie even kwijt. Een toestel wat ADB open heeft staan kan via een terminal dus een rm commando krijgen om dat bestand te verwijderen. Reboot erachteraan, en het toestel vraagt niet meer naar een wachtwoord.

Nu we weten dat dat bestand er is: hij laat je een app installeren, of gebruikt een website die een stukje code draait, whatever, iig iets om zijn code werkend te krijgen op jouw toestel. Het bestand overzetten naar zijn server, iemand die een OV kan kraken zal ook wel weten hoe je dat bestand decodeert, en je bent al klaar. Of nog leuker: Android recompiled, met aangepast lockscreen zodat hij na 3 tries niet blokkeert voor 30 seconden. Daarna die code in een aparte functie zetten, en alle mogelijke pincodes erdoorheen jagen (in een terminal) om te kijken wanneer je positieve output krijgt.

Geen idee hoe lang dat zou duren, maar als iemand eenmaal een stukje code draaiend kan krijgen op je toestel is het alleen nog maar read wat hij nodig heeft, de beveiliging omzeilen doet hij zelf wel op zijn eigen apparatuur.

kimborntobewild @Verwijderd • 1 oktober 2012 01:58

En hoe is dat nu weer mogelijk? Ik dacht dat zoiets toch geen netwerk gebruikt?

Blijkbaar dus wel. Misschien om valse pogingen (en goede) om het unlocken van telefoons in kaart te brengen (door de providers). En men kan de fout gemaakt hebben niet alleen die poging zelf door te sturen, maar ook code die erop wijst welke code er gebruikt is. Het komt vaak voor dat men teveel informatie door de lucht stuurt.
Of de hacker had een ontvanger die relevante straling opvangt van het toestel; net zoals je bijv. ook bij stemmachines op afstand kan zien hoe er gestemd wordt.

BartBlackMagic 1 oktober 2012 10:27

Nederland heeft ook een dergelijk bedrijf: Fox-It! Man wat lijkt het mij zalig om daar te mogen werken. Persoonlijk ken 'k de man (toenmalig nog "jongen") van de eerste iPhone software hack. Als ik met hem praat realiseer ik mij hoe "dom" ik eigenlijk ben

het verbaast mij telkens hoe snel hij inzicht verwerft in software en hardware.

[Reactie gewijzigd door BartBlackMagic op 24 juli 2024 15:11]

Verwijderd @BartBlackMagic • 2 oktober 2012 18:56

Paar keer een meerdaagse cursus daar gevolgd, ik zou alleen al voor de kantinejuf en de faciliteiten van de kantine daar al willen werken

Jammer dat het interview met Karten Nohl niet gefilmd is, dat zou helemaal top geweest zijn. Erg interessant om te lezen, smaakt naar meer!

Verwijderd @BartBlackMagic • 3 oktober 2012 12:32

Nederland heeft ook een dergelijk bedrijf: Fox-It! Man wat lijkt het mij zalig om daar te mogen werken.

Al gesolliciteerd?
Ik denk dat je er nog wel een van terugkomt van dat "zalige"
Fox-IT werkt ook voor de overheid.
Het lijkt mij hard werken, en niet "spelen"of een beetje "babbelen"

Persoonlijk ken 'k de man (toenmalig nog "jongen") van de eerste iPhone software hack. Als ik met hem praat realiseer ik mij hoe "dom" ik eigenlijk ben het verbaast mij telkens hoe snel hij inzicht verwerft in software en hardware.

Ik lees niets over Iphone's
http://www.vn.nl/Standaar...n-van-een-supertapper.htm

aadje93 30 september 2012 08:20

Mooi artikel, maar wat ik me afvraag.

Hij zet met zijn bedrijf al zijn "resultaten" openbaar, kun je dan niet opgepakt worden voor aanzet tot criminaliteit? (je geeft immers de middelen, het zelfde als waarom die vuurwerkbom filmpjes opgespoord en verwijderd worden)

Jammer dat het maar kort over de OV-chipkaart ging, dat was toch wel een grote hype in Nederland doordat het zeer makkelijk was te doen (even een kaartlezertje kopen en je kon zelf je kaart opwaarderen).

Ik zie graag meer van dit soort artikels op tweakers.net Dit zijn de echte tweakers artikelen $_/-\o_$

flaskk @aadje93 • 30 september 2012 09:00

Inderdaad. Ik vraag me ook weleens af of ze gelijk naar de media stappen of een bedrijf de kans te geven voor fix/verbetering ?

Is echt een leuk artikel Tweakers!

Mickey77 @flaskk • 30 september 2012 09:20

Ik lees dat ze ook opdrachten krijgen om system te testen. In zo'n geval zullen ze zeker de opdrachtgever eerst op de hoogte stellen. Als ze iets testen waarvoor geen opdracht is gegeven... dan denk ik dat ze dat niet voorleggen. Temeer omdat ze dat dan in delen naar buiten brengen, hebben de verantwoordelijken genoeg kans om zelf dingen aan te pakken.

Nas T @Mickey77 • 30 september 2012 10:57

Ze geven de resultaten, maar ik neem niet aan op een presenteerblaadje. Het is wat anders dan een bewijs te laten zien dat je hebt kunnen inbreken bij de Nederlandse Bank dan kant en klaar een methode te geven hoe je kunt inbreken. Het zal wel een signaal geven aan criminelen, omdat het kàn, maar ook aan gebruikers van het blijkbaar zwakke systeem: "let op, dit systeem is niet veilig". En dat is wat je juist wèl wilt: openheid. Daarom is Nohl uitamerika vertrokken, vanwege het gesloten karakter van de samenleving en het discutabele nut dus van zijn werk.

Sn0zz @Nas T • 1 oktober 2012 11:31

Als je rainbowtables publiceert dan is dat toch wel zo'n beetje 'op een presenteerblaadje'. Maar wat hij zelf ook al aangeeft: door lekken openbaar te maken wordt er sneller iets aan gedaan.
Er valt best iets te zeggen voor de aanname dat een openbaar lek sneller wordt gedicht, maar het klinkt ook nog steeds wel als de kat op het spek binden.

miw @Nas T • 4 oktober 2012 10:34

Dit soort publicaties is vooral PR voor het bedrijf. Het toont aan wat ze kunnen. Een klant zal vragen om problemen met een bepaald soort beveiliging op te sporen. Vaak dient dat als input voor verbeteringen van het produkt. De resultaten van dat soort onderzoek te publiceren, staat gelijk aan commerciele zelfmoord.

JMaarse @flaskk • 30 september 2012 22:04

Waarschijnlijk maken ze bepaalde hacks openbaar (bv. de OV-chip kaart) voor naamsbekendheid. Eigenlijk dus gewoon reclame.

Verwijderd @JMaarse • 3 oktober 2012 13:23

Hoezo nou weer meteen reclame.
Ooit van trots gehoord?

kimborntobewild @aadje93 • 1 oktober 2012 02:04

Hij zet met zijn bedrijf al zijn "resultaten" openbaar, kun je dan niet opgepakt worden voor aanzet tot criminaliteit? (je geeft immers de middelen, het zelfde als waarom die vuurwerkbom filmpjes opgespoord en verwijderd worden)

In de USA dus in elk geval wel; het aantonen van een lek wordt daar niet als nuttig gezien maar als crimineel. Bedrijven daar houden 't liefts alles onder de pet zodat ze door kunnen gaan met hun brakke maar goedkopere systemen en die paar criminelen die misbruik maken van niet-gepubliceerde exploits liever voor lief nemen ten koste van de gemiddelde consument/klant.

Juist 't bewust achterhouden van relevante veiligheidsinformatie (als je eenmaal ontdekt hebt dat iets lek is) zou crimineel moeten zijn. Als zo'n hacker 't kan hacken, dan kan ook een crimineel dat en kan ie al dan niet ongezien daar misbruik van maken terwijl het publiek denkt dat de boel veilig is. Ook worden de kosten van niet-gepubliceerd misbruik gewoon afgewenteld op de gemiddelde consument/klant. Juist daarom zou openheid in dit soort zaken verplicht moeten zijn.[/quote]

harrydg @kimborntobewild • 1 oktober 2012 10:53

zeer triest inderdaad... een typisch geval van "shoot the messenger"!

supertheiz @kimborntobewild • 3 oktober 2012 11:16

Of het reageren op publicaties door bedrijven zou moeten worden gecontroleerd.
Er is al jaren aangetoond dat er een aantal flinke gaten zitten in Twitter. Niet opgepakt, niet opgelost. Zelfde geldt voor Linkedin.
Als je geinteresseerd bent: Voor Twitter staat op internet een beschrijving hoe je de account van iemand kan kapen via wachtwoord herstel.
Ik vind het crimineel om een bekend probleem te negeren. Linkedin vind ik nog erger, die wisten van problemen en deden niets. Toen kwam er een hacker die de publiciteit zocht, kwam het in alle kranten en was het ineens binnen 2 dagen opgelost!! Dus het kan wel!

Dat is dus het nadeel van security trough obscurity. Schijnveiligheid en geen dwangmiddel om problemen op te lossen.

still_the_same @aadje93 • 30 september 2012 09:35

Meestal geven hackers die zichzelf serieus nemen het bedrijf eerst de info om het te kunnen fixen. Veelal zal het afhangen van de reaactie van het bedrijf hoe de hacker er hierna mee om gaat. Ik kan me voorstellen dat als je als hacker gevraagd wordt mee te helpen het probleem op te lossen (lees je wordt ingehuurd) dat je milder bent voor je klant dan als het bedrijf er niets aan doet.

supertheiz @aadje93 • 3 oktober 2012 11:12

Security trough obscurity, de Amerikaanse aanpak die hij beschrijft.

Het is niet zo dat het publiceren van een hack leidt tot minder veiligheid.
Ik heb een cursus gehad in Zuid Afrika en daar had ik een aantal klasgenoten uit Negeria. Daar is de kennis van IT hoog, maar de kans op een baan minimaal. Hacken kunnen ze heel goed, reken er maar op dat ze voor een deel eerder een hack hebben gevonden als de meneer uit het artikel. Zelfde gaat op voor Rusland, China, etc. waarbij het in China zelfs regelmatig door de staat wordt georganiseerd.

Kortom: Wat heb je liever? Een hack die niet wordt gepubliceerd? Probleem is niet weg en de kans dat het gat gebruikt wordt is GROTER als wanneer de hack wel wordt gepubliceerd.
Zelfde geldt voor rainbow tables. Die kan je, als je wat tijd hebt, zelf maken. Of ongeveer overal op internet vinden. Zelf maken heeft de voorkeur, omdat je dan kan spelen met de data. Als je de lijsten pakt van de recente lekken waarbij de wachtwoorden zijn gepubliceerd, zie je dat 10% van de wachtwoorden, door 90% van de gebruikers als wachtwoord is ingegeven. Als je deze 10% tot een rainbowtable verwerkt, heb je een redelijk compacte lijst die je weer kan gaan gebruiken om mee te hacken.....

Dus: Publiceren is juist goed.

harrydg @aadje93 • 1 oktober 2012 10:50

ga je een messenfabrikant dan ook vervolgen voor het verkopen van moordwapens?

BitJunky @harrydg • 20 oktober 2012 15:09

Deze vergelijking klopt niet:
Bijv. het verspreiden van spam via linkedin zou het zelfde zijn als een keukenmes gebruiken als moordwapen.
Het niet goed beveiligen van linkedin zou te vergelijken zijn het produceren van keukenmessen met een loszittend handvat.

Evolixe 30 september 2012 13:28

Oh, dus dat is waarom we nu altijd onze pinpas in de chip poort stoppen

Verwijderd @Evolixe • 30 september 2012 13:53

Ja, maar dat is ondertussen ook al gekraakt.

Bron;
http://www.crimesite.nl/c...euwe-pinnen-gekraakt.html

fre0n @Verwijderd • 2 oktober 2012 12:59

Sterker nog, het is gevaarlijker mbt skimmen, aangezien ze nu geen cameraatje meer nodig hebben. Ze lezen de pincode nu gewoon van de chip. Kijk dan ook uit met publiekelijk ter beschikking gestelde random readers en dergelijke bv

Jesserr 30 september 2012 10:33

"Toch lukt het de onderzoekers niet altijd om een systeem te hacken: "We zijn continu bezig om te kraken wat we in onze handen krijgen. Vaak lukt dat niet; dan leggen we het aan de kant en gaan we verder met iets anders."

Het zou ook best leuk zijn om dat eens in het nieuws te brengen. Maar dat is natuurlijk niet nieuwswaardig genoeg..
Ze zouden wel een soort review systeem op kunnen zetten zodat je ook kan zien welke bedrijven wél moeilijk hackbare hardware op de markt brengen. Nu zie je het alleen als iets slecht beveiligd is, maar dat wil nooit zeggen dat de rest dus 'goedgekeurd' is.

esak @Jesserr • 30 september 2012 18:13

Het probleem is vaak dat exploits bij toeval worden gevonden. Als je een exploit bij een product vind en bij een ander product niet betekent dat niet dat het een minder veilig product is.

Amanoo 30 september 2012 17:32

Mooi dat er hier wat meer aandacht aan wordt besteed. Ik zie soms mensen, zelfs op Tweakers, die lijken te menen dat hackers per definitie achter slot en grendel moeten. Sommigen maken hier echter een legaal beroep van. Zonder deze legale hackers zouden beveiligingen nog meer kak zijn en zouden criminele hackers nog makkelijker hun praktijken kunnen voortzetten. Ondertussen blijft de overheid falen in goede regelingen treffen en bouwt de overheid zelfs zelfstandig kreupele systemen. Mooi dat dit in het zonnetje wordt gezet.

Sinned123 @Amanoo • 1 oktober 2012 19:49

Leuk zo'n losse flodder.
Maar je bent je er hopelijk wel van bewust dat er diverse beheer partijen zijn binnen de overheid.
Dus alles over 1 kam scheren lijkt me nogal kort door de bocht.
Bovendien is het merendeel door externen opgezet die het vervolgens hebben overgedragen naar vast personeel.

Security is ongeveer overal een ondergeschoven kindje, en blijkbaar zelfs bij verfifone waar de pin terminals zijn gehackt.

Als gebrek aan security inkomstenderving kan veroorzaken dan kan er ineens wel een fatsoenlijk systeem worden uitgebracht.
Kijk bijvoorbeeld naar een ps3 die alleen door een domme menselijke fout (boot stick laten zitten) is gehackt.
Maar aan de andere kant is er vervolgens PSN gehackt en waren er 77miljoen user accounts gestolen.
Uiteindelijk hebben ze het enige juiste gedaan en het eerst fatsoenlijk opgelost ipv zo snel mogelijk de quick&dirty way.
Je kan er van uit gaan, dat security nu ineens veel belangrijker worden gevonden.

Squ1zZy 30 september 2012 09:51

"Door de chip laagje voor laagje onder een microscoop te bekijken, werd duidelijk dat de chip is opgebouwd uit 'blokjes' van transistors.

De chip bleek uit ongeveer 10.000 blokjes te bestaan, waarvan er 70 uniek bleken. Door deze data in tabellen te zetten en geautomatiseerd naar structuren te zoeken, wisten de onderzoekers de cryptografiemethodiek van de chip te achterhalen."

Leuk artikel, maar helaas wel "globaal" geschreven. Ik had meer willen lezen over de cryptografie methodiek die is gebruikt om de kaart te kraken en wat ze hadden kunnen doen om dit te verbeteren. Het artikel gaat nu meer over wat Karsten de laatste 5 jaar gedaan heeft terwijl hij veel meer interessante dingen heeft laten zien.

Dit had ook op wiki kunnen staan. Als je een interview kan geven aan ze een held dan had ik persoonlijk andere vragen gesteld.

Wiki (Duits): http://de.wikipedia.org/wiki/Karsten_Nohl
Website: https://srlabs.de/

"Het is de onderzoekers onder andere gelukt om een spelletje pong op een gekraakte terminal te spelen."

Helden! $_/-\o_$

Verwijderd @Squ1zZy • 30 september 2012 19:03

Goed interview. Gaaf.
Had graag meer gelezen. De diepte in, het liefst tot ik het niet meer kan volgen.

Verwijderd @Verwijderd • 3 oktober 2012 12:19

Goed interview. Gaaf.
Had graag meer gelezen. De diepte in, het liefst tot ik het niet meer kan volgen.

Download de tools en ga aan de slag, legaal.
https://srlabs.de/decrypting_gsm/
Diep genoeg?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:11]

donny007 @Squ1zZy • 30 september 2012 12:16

Prachtig artikel, deze man heeft laten zien dat technieken die we jaren lang, dag-in-dag-uit met een zeker veiligheidsgevoel gebruiken, zo lek als een mandje zijn. Er moeten meer van dit soort hackers in de wereld zijn.

Mifare classic had twee problemen, de voorspelbare en controleerbare 'random' number generator en de makkelijk te bruteforcen 48Bit key.

Dit is de presentatie waarin Karsten zijn Mifare classic hack presenteert op het CCC:
http://events.ccc.de/cong...1049_CCC-07-Mifare-v2.pdf

Niet veel later kwamen er tooltjes om het thuis te doen met een $40 RFID reader. Ik heb ooit een handleiding geschreven voor het verkrijgen van de keys en het uitlezen van RFID-kaarten met goedkope hardware. Hier is een hele community van Nederlandse RFID-enthousiastelingen omheen ontstaan. TLS was hier niet blij mee.

[Reactie gewijzigd door donny007 op 24 juli 2024 15:11]

Verwijderd 30 september 2012 11:48

Ze zouden wel een soort review systeem op kunnen zetten zodat je ook kan zien welke bedrijven wél moeilijk hackbare hardware op de markt brengen. Nu zie je het alleen als iets slecht beveiligd is, maar dat wil nooit zeggen dat de rest dus 'goedgekeurd' is.

Het probleem met een review systeem is demarcatie. Een hacker wordt geprikkeld om "outside of the box" te denken. Met een review systeem loop je het risico dat alleen binnen de "review-box" wordt getest en dus meer "policy-driven" wordt.
Heeft bijvoorbeeld de "stresstest van Europese banken" een transparant nut?

tweaker2010 30 september 2012 21:30

Interessant artikel, het was misschien wel leuk geweest als Nohl even de beveiliging van T.net onderzocht had. Als hij hem niet kan kraken weet je zeker dat je safe zit.

Verwijderd 3 oktober 2012 13:38

Leuk om te lezen.
Ik ben er ook helemaal mee eens dat de het bedrijf/instantie zelf verantwoordelijk is voor deze hacks. Als er dus iemand strafbaar is zijn zij het.

Ik weet niet veel van hacken maar ik kan me nog goed herinneren dat een bepaalde firmware van de PSP ook kwetsbaar was voor een buffer overflow zodat je een custom firmware kon installeren. Het lijkt mij dus een bekend probleem bij beveiligingen.

Absurd dat ze er dus niet zelf achter zijn gekomen of te lui waren om te fixen! En dan nog zon reactie ook...

Op dit item kan niet meer gereageerd worden.