UZI-pas Elektronisch Patiënten Dossier gekraakt
De chip in de pas waarmee zorgverleners toegang tot het Elektronisch Patiëntendossier (EPD) krijgen, is gekraakt en wordt vervangen, zo heeft minister van Volksgezondheid Ab Klink laten weten. Ook de Defensiepas, Digitale Tacho-graaf en Boordcomputer Taxi gebruiken de kwetsbare chip. In een laboratoriumomgeving lukte het experts om de private sleutel van de chip te achterhalen. Om een private sleutel te achterhalen moet een aanvaller wel beschikken over de smartcard én bijbehorende pincode. Daarnaast is volgens Klink "grote deskundigheid en gespecialiseerde apparatuur" vereist voor het achterhalen van de private sleutel. "Deze is overigens dan alleen te gebruiken zolang de originele smartcard niet ingetrokken is door de rechtmatige eigenaar", zo merkt de bewindsman op.
Na contact met leveranciers stelde Volksgezondheid vast dat er "een zeer gering operationeel risico" is in het gebruik van de UZI-passen om toegang tot het EPD te krijgen. De pas zou namelijk niet de enige beveiligingsmaatregel zijn. "Een zorgaanbieder moet bijvoorbeeld vóór aansluiting op het landelijk schakelpunt voldoen aan de eisen voor een Goed Beheerd Zorgsysteem", zo stelt Klink de Tweede Kamer gerust. Ondanks de geringe risico's wordt de kwetsbare chip wel vervangen. Halverwege het derde kwartaal van dit jaar zou elke nieuwe UZI-pas van de nieuwe chip moeten zijn voorzien. Daarnaast krijgen huidige gebruikers van de UZI-pas het advies om de pas en pincode gescheiden te houden en zorgvuldig te beheren.
Defensiepas
Aangezien Defensie de private sleutel nog niet gebruikt, is de kwetsbaarheid hier nog niet relevant. Defensie heeft volgens Klink maatregelen getroffen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen. In het geval van de Boordcomputer zegt de leverancier dat de chips niet per 1 november zijn te vervangen. Daarom wordt de invoering met drie tot vijf maanden verschoven. Wat betreft de Digitale Tachograaf-pas gaat men de gevolgen hiervoor nog verder onderzoeken.
Met dank aan Willem voor het melden van dit nieuws
Slechte zaak, want één van de verkoopargumenten voor smartcard is juist dat de private keys niet te kopieren zijn.
Het is wel degelijk heel erg gevaarlijk: het verlies van een private key schakelt de beveiligingslaag van het in bezit hebben van de kaart uit en maakt de zaak dus lek.
Als iemand de PIN weet en de pas lang genoeg kan bemachtigen om de private key te kopieëren, is de pas gecompromiteerd zonder dat de reguliere gerbuiker dat weet.
Vanaf dat moment heeft de aanvaller in theorie toegang tot ALLE patienten dossiers van alle Nederlanders (de paar slimmeriken die deelname hebben geweigerd uitgesloten).
En dat zonder dat de reguliere eigenaar van de kaart daar kennis van heeft.
Erger nog als iemand ooit gegevens over misbruik zou opvragen krijgt de eigenaar van de orginele kaart de schuld van misbruik.
Wat ik me nu ook afvraag in hoeverre dat dan nog een beveiliging is? Als de inhoud van de schatkist te kopiëren is, hoe zit het dan met de sloten op die kist? In hoeverre zijn die betrouwbaar? 1 verkoop argument is al om zeep, nu de volgende nog :-)
Nope, dat is het besturingssysteem. De chip is naar verluidt de smartmx van nxp.
Ik begrijp van de minister dat dat kan wanneer er een pas. een pin,. een batterij wetenschappers en een stapel apparatuur beschikbaar zijn. Volgens meneer Westerhoven (NRC van gisteren) heb je alleen een pas. een pin, meneer Westerhoven, en 3 PC's in zijn kelder nodig, en kan eigenlijk iedereen het. Uitglijder van de minister?
Nu is het ook zo dat de certificaten van een pas onmiddelijk moeten worden ingetrokken. Hoeveel van de (zorg-)applicaties vereisen een geldige, recente CRL (of doen aan OCSP) om iets zinvols met de pas te kunnen doen?
Broodje aap verhaal van Mijnheer Westerhoven...de onwaarschijnlijkheid ten top!
Er zullen altijd theoretische en praktische lekken zijn in de verschillende componenten in een systeem, het gaat hier om het totale systeem en om Philips produkten die aan het einde van de lifecycle zitten.
Westerhoven is in het verleden nimmer in staat gebleken bewijs aan te voeren... tja dan word het makkelijk je als security "authoriteit"
Wat mij ernstig stoort is het speculeren van Westerhoven obv van halve waarheden. Het begint nu tevens achteloos te worden gekopieerd door bloggers, journalisten en andere media die hem blijkbaar beschouwen als expert. Ronduit triest !.....
Kortom: belastingcenten verspillen en procesoptimalisatie in de gezondheidszorg dwarsbomen door semi-wetenschappelijke prietpraat..
Nope, dat is het besturingssysteem. De chip is naar verluidt de smartmx van nxp.
Je kan gemakkelijk vinden dat het de P8WE5033 is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
