Nieuws

Opstelten: vliegtuighack is theoretisch probleem

zaterdag 27 april 2013, 11:13 door Redactie, 6 reacties

Vliegtuigpassagiers hoeven niet bang te zijn dat het toestel waarin ze zitten door hackers wordt overgenomen en bestuurd, zo heeft minister Opstelten van Veiligheid en Justitie aan de Tweede Kamer laten weten. De minister reageerde op vragen van D66-Kamerlid Wassila Hachchi over een hack die tijdens Hack in the Box Amsterdam werd gedemonstreerd.

De Spaanse beveiligingsonderzoeker Hugo Teso liet zien hoe hij middels een zelf geschreven programma en via internet gekochte apparatuur de vliegplannen van een toestel kon wijzigen. Tegenover Security.NL liet Teso na de presentatie weten dat de hack niet zo eenvoudig was als in eerste instantie door sommige media werd voorgedaan.

Software
Volgens Opstelten gaat het vooral om een theoretisch probleem, zoals eerder door de EASA en de FAA (de Amerikaanse federale luchtvaartautoriteit) werd aangegeven. Die stelden dat de beveiliging van de simulatiesoftware die in het betreffende onderzoek is gebruikt wezenlijk lager is dan de gecertificeerde systemen die in de praktijk aan boord van vliegtuigen gebruikt worden.

"Bij voornoemd onderzoek betreft het nadrukkelijk een testopstelling en een theoretische kwetsbaarheid. De in de praktijk gebruikte en gecertificeerde systemen kennen een hogere mate van beveiliging, bijvoorbeeld waar het gaat om het aanpassen/beïnvloeden van bijvoorbeeld vluchtdata", aldus de minister.

Certificering
De EASA en FAA hebben daarnaast aangegeven dat de ontwikkeling van gecertificeerde on-boardsystemen al ruim 30 jaar plaatsvindt op basis van strikte normen voor robuustheid die niet in de simulatiesoftware aanwezig zijn.

"Dit betekent dat niet op voorhand kan worden aangenomen dat de geconstateerde theoretische kwetsbaarheden in het onderzoek daadwerkelijk van toepassing zijn op on-board systemen", gaat Opstelten verder.

Ondanks het theoretische karakter van de gepresenteerde resultaten, zullen de betrokken partijen die wel in systemen in de praktijk gaan testen.

Gaatje in tandartsensoftware lekt patiëntgegevens

Overheid start onderzoek elektronisch stemmen

Reacties (6)

27-04-2013, 14:50 door sjonniev

Zou ome Ivo het dit keer bij het rechte eind hebben? Dat zou pas nieuws zijn.

27-04-2013, 23:41 door Anoniem

Het ziet ernaar uit dat D66-Kamerlid Wassila Hachchi beter de blog van de auteur erop had nageslagen. Daar staan namelijk enkele verduidelijkingen op.

Voorbeeld van zo'n verduidelijking:
"The flight simulator: I did not found the vulnerabilities in the flight simulator; I found all the vulnerabilities on real software and hardware of on-board aircraft systems."

Bron: http://www.commandercat.com/2013/04/posthitb2013.html

28-04-2013, 17:38 door NumesSanguis

Er wordt zoveel geld gestopt in het aantasten van de privacy van mensen die gaan vliegen met bijvoorbeeld naaktscanners, maar iets dat een stuk minder risico geeft aan de aanvaller en makkelijker/effectiever is niet erg. The irony.

28-04-2013, 18:05 door Anoniem

Dat er ruim 30 jaar strikte normen zijn zegt niets over het wel of niet op voorhand aannemen dat de kwetsbaarheden in de praktijk niet bestaan. Het is een heel domme redenering om het vanwege die normering te richten op bagatelliseren van aannamen. Hugo Teso heeft heeft bij zijn presentatie duidelijk laten weten dat de normen zich richten op veiligheid, maar dat is niet hetzelfde als een goede beveiliging. Wie van de EASA en FAA kan aantonen dat niet alleen hun normen goed zijn wat betreft ICT-beveiliging maar ook in de praktijk goed toegepast worden? Domweg vinkjes zetten als een accountant kan iedereen.

28-04-2013, 23:31 door Anoniem

robuustheid in software is niet hetzelfde als hackbestendigheid.
Het maken van het ene levert niet vanzelf het andere op.
Groeten van een embedded sw krasser.

29-04-2013, 17:16 door Anoniem

Wassila Hachchi vraagt de minister om opheldering nav HITB? politici laten nu gewoon recht voor je neus zien dat ze de ballen snappen van het onderwerp en zich zeker niet hebben ingelezen en er absoluut niet bij waren.

er werd gewoon uitgelegd dat je de exploit en payload moest crosscompilen naar PPC en dat er nog andere componenten waren die nog onvoldoende waren verkend in het end-to-end exploit plaatje. maar even bij de minister informeren zal wel goed overkomen naar de kiezer. dan kan Opstelten ook even overkomen als onze internetGuardian :D

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer