image

Schneier: Sloten bedienen via internet niet slim

maandag 17 augustus 2009, 17:27 door Redactie, 11 reacties

Fysieke sloten zijn over het algemeen niet effectief als beveiligingsmaatregel, maar als je ze ook nog eens via het internet gaat besturen heb je de poppen aan het dansen, aldus beveiligingsgoeroe Bruce Schneier. In tegenstelling tot wat veel mensen denken, is het kinderspel om sloten zonder sleutel te openen. Inmiddels zijn er op het internet tal van artikelen en handleidingen verschenen, waarin zaken als het openen van een fietsslot met een pen, "key bumping" en andere technieken worden besproken. "Slotenmakers probeerde deze kennis te onderdrukken, denkend dat hun gilde-achtige geheimhouding beter was dan openheid." Uiteindelijk moesten de slotenmakers in het stof bijten, er is nog nooit zoveel informatie beschikbaar over het kraken van kluizen en sloten.

Volgens Schneier zijn er beperkingen aan hoe veilig je een mechanisch slot kunt maken, ook omdat het publiek geen lastig te gebruiken sleutels zal accepteren. Daarom kijken meer en meer fabrikanten naar andere technologieën. "Als security technoloog maak ik me zorgen dat we deze technologieën en de nieuwe soorten problemen die ze introduceren, niet goed begrijpen." Het is goed mogelijk dat we een slechte technologie voor een nog slechtere inruilen. "Elektronische sloten zijn vaak op nieuwe en verrassende manieren kwetsbaar."

Als voorbeeld geeft hij keypads, waar de gebruikte toetsen langzaam afslijten, wat het aantal combinaties voor een potentiële inbreker enorm vereenvoudigt. Daarnaast kun je iemand niet de sleutel voor een dag geven om dan weer terug te vragen. "Over tijd zal de security daardoor afnemen, hoe langer het keypad in gebruik is, des te meer mensen weten hoe ze moeten binnenkomen." Of wat te denken van sloten die op een batterij lopen en het feit dat de meeste mensen de standaard code nooit veranderen.

Internet
Schneier is ook geen fan van biometrische oplossingen, zoals vingerafdruklezers. De apparaten hebben zowel operationele als security problemen. "Ze zijn lastig te gebruiken als het koud is of met bezwete handen." Sommige bedrijven gaan nog verder. Zo lanceerde slotenfabrikant Schlage een aantal sloten die via sleutel, pincode of het internet zijn te openen. Gebruikers kunnen het slot via SMS-berichten of een website bedienen, en het slot kan vervolgens een bericht terugsturen als die wordt geopend, of als iemand dit probeert.

"Dit klinkt sjiek, maar het bereikbaar maken van een slot via het internet brengt een hele reeks problemen met zich mee, waarvan we er geen één helemaal begrijpen. Erger nog: Beveiliging is net zo sterk als de zwakste link." Het systeem van Schlage combineert in dat licht het openbreken van een fysiek slot, de nieuwe beveiligingslekken van elektronische keypads en het hacking risico van het internet. "Voor de meeste toepassingen is dat gewoon teveel risico."

Reacties (11)
17-08-2009, 17:43 door [Account Verwijderd]
[Verwijderd]
17-08-2009, 17:58 door Anoniem
Slijtage aan een keypad is ook tegen te gaan door te zorgen dat en op geregelde tijdstippen de code wordt aangepast.
Hierdoor zullen alle toetsen slijtage vertonen.
Dit lijkt me net zo logisch dat je dit moet wijzigen als dat je paswoorden moet wijzigen.

Waar ik eerder aan denk is dat je vingerafdrukken achterlaat op de gebruikte toetsen waardoor men ook achter de cijfers van de combinatie kan komen (ja, dit komt natuurlijk uit de film, maar is realistisch lijkt me).
17-08-2009, 18:29 door MrBil
Helemaal met Peter V eens!
17-08-2009, 20:22 door Anoniem
Door Peter V:
Het goedgekeurde SKG hang- en sluitwerk, weerstaat zeker 95% van alle inbrekers, maar daar is het materiaal ook speciaal voor ontworpen.

http://en.wikipedia.org/wiki/Lock_bumping
17-08-2009, 20:25 door Kukel
Ik niet. Althans niet helemaal. Als je het oorspronkelijke artikel leest zegt hij:

They keep the honest out, but any burglar worth his salt can pick the common door lock pretty quickly

Een statement dat met een flink aantal links gestaafd wordt.

Een 'common door lock' is mogelijk dus niet een SKG keurmerk slot. (Hier zou ik kunnen stoppen) Maar daarnaast zegt hij ook dat

as well as a limit to how large and unwieldy a key the public will accept.

Nu ken ik niet alle sloten en bijbehorende sleutels EN de kosten van het laten bijmaken man een sleutel voor al het kroost, maar ik kan me zomaar voorstellen dat men ook daar een afweging in maakt.

Maar nog belangrijker in het artikel is de *rest* ervan. Dat is waar hij voor wil waarschuwen, de eerste deel was maar een (voor jullie dan onjuiste) introductie. Ben trouwens wel benieuwd wat jullie van de rest van zijn statements vinden...
18-08-2009, 08:24 door Anoniem
Door Peter V:
Meneer Schneier zou eens bij zijn eigen vak en schoenmakersleest moeten blijven. Zijn opmerkingen worden steeds lachwekkender. In Nederland gaat zijn stelling al helemaal niet op, zeker niet als het over traditionele SKG-keurmerksloten en beslag gaat (dus geen internetsloten). Het goedgekeurde SKG hang- en sluitwerk, weerstaat zeker 95% van alle inbrekers, maar daar is het materiaal ook speciaal voor ontworpen. Zelfs in het buitenland, waar men geen SKG-keurmerksloten kent, wordt die in Nederland aangeschaft.

Het SKG-keurmerk is gebaseerd op een standaard gereedschapset waarmee een slot getest wordt op zijn braakwerendheid en het minimaal een aantal minuten moet volhouden, afhankelijk van het aantal sterren. Het vervelende is alleen dat een inbreker zich niets aantrekt van deze standaard gereedschapset. Bovendien bestaat het keurmerk al een aantal jaren en wordt een ooit toegekende goedkeuring van een slot niet meer bijgesteld. En dan hebben we het nog niet over gebrekkige installatie, zoals bijvoorbeeld een SKG *** met daarachter een niet goedgekeurde afdekplaat.
Kortom dat SKG-keurmerk heeft nogal wat haken en ogen, zeker indien dit geen deel uitmaakt van een totaalconcept voor gebouwbeveiliging. Als je geluk hebt zal een inbreker een deurtje verder lopen als hij SKG ** of *** hang- en sluitwerk tegenkomt, maar het is geen enkele garantie.
18-08-2009, 08:43 door Anoniem
Elke oplossing heeft wel een nadeel, wat is nu de oplossing? Alles moet onderhouden worden en slijt in verloop van de tijd. Voor de particulier zullen de meeste degelijk oplossingen prima zijn, inclusief de Internet sloten. Voor bedrijven is het een andere zaak en zal men moeten kijken naar een combinatie van de verschillende oplossingen.

Meneer Schneier zegt eigenlijk helemaal niets en waarschuwt alleen maar voor de boze nieuwe technieken.
18-08-2009, 08:59 door Anoniem
Als voorbeeld geeft hij keypads, waar de gebruikte toetsen langzaam afslijten, wat het aantal combinaties voor een potentiële inbreker enorm vereenvoudigt. Daarnaast kun je iemand niet de sleutel voor een dag geven om dan weer terug te vragen.

Dat is juist wel een voordeel van keypads. Je voert een nieuwe code in in het systeem dat alleen geldig is op dag X en alleen 's morgens en 's middags. Dus niet 's avonds en 's nachts. Of alleen iedere dinsdagmorgen omdat dan de schoonmaakster binnen moet kunnen komen.

En als je meer codes uitreikt (schoonmaakster, kattenverzorgster, buren, ieder gezinslid) krijg je wel een veel mooiere verdeling van afgesleten toetsen.

Natuurlijk is dat wel duurder dan een "common lock" maar dat zijn de SKG-keurmerk sloten ook.

Peter
18-08-2009, 11:33 door Anoniem
je hebt binnen anderhalve minuut een werkende sleutel (met wat oefening)
http://www.youtube.com/watch?v=LfmxsXlL-o8
18-08-2009, 12:10 door Anoniem
Nog mooier zijn keypads waarbij de cijfers vd toetsen ad random verwisselen. Elke toets is dan een klein displaytje.
Zo voorkom je ook mensen die op een afstandje de bewegingen van de vingers afkijken.
01-10-2009, 16:47 door Anoniem
http://www.youtube.com/watch?v=TlUEHxn2I-E
Ook zonder vijlen, dit is een SKG ** (ik geloof dat 2 jaar geleden de *** binnen 4 minuten open was).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.