Onderzoekers luisteren FBI af met speelgoed
Onderzoekers hebben deze week gedemonstreerd hoe ze het P25 radiosysteem van de Amerikaanse overheid via speelgoed messengers van 20 euro kunnen afluisteren. Veel opsporingsdiensten gebruiken de draagbare radio's voor vertrouwelijke communicatie, maar het verkeer is onversleuteld. Daardoor kunnen kwaadwillenden het verkeer onderscheppen. "We hebben gevoelige berichten over operaties van elke wetshandhavingsdienst van het Ministerie van Justitie en het Ministerie van Homeland Security onderschept", aldus de onderzoekers van de Universiteit van Pennsylvania in dit document.
In totaal werd er voor honderden uren aan zeer gevoelige gesprekken onderschept. Het ging onder andere om namen en locaties van verdachten, onderzochte criminelen, namen en details van informanten en undercover agenten, locatie en beschrijving van surveillance agenten en voertuigen, details over de surveillance infrastructuur die tegen bepaalde verdachten werd ingezet, zoals verborgen camera's, en details over aanstaande arrestaties en andere vertrouwelijke operaties.
Speelgoed
Daarnaast was het systeem kwetsbaar voor denial of service-aanvallen. Hiervoor is geen dure apparatuur nodig, een Girltech IMME speelgoed messenger van twintig euro met aangepaste firmware volstaat hiervoor. Inmiddels hebben de onderzoekers, die de IMME al eerder verkenden, een website met aanbevelingen online gezet. Vorig jaar verscheen er al een rapport dat voor beveiligingslekken in het radiosysteem waarschuwde.
Het paper is wel erg de moeite waard.
Het probleem is het volgende : Het P25 systeem (digitale porto) biedt zowel gecrypt als ongecrypte mogelijkheden.
Een deel van het probleem zit in het gebruik, waar het erg makkelijk is , en lastig herkenbaar, wanneer een gesprek, of een enkele deelnemer in de groep, in ongecrypte mode werkt.
Dat kan soms bewust zijn (porto heeft geen key update gehad), of onbewust.
Het is meer dan lastig genoeg om niet simpelweg de roepen 'schuld van de agent, die moet beter opletten'.
Een ander (fundamenteel) probleem is dat het protocol het makkelijk maakt om porto's te laten antwoorden, en zonder dat dat op de porto zichtbaar is. Daarmee is het vrijwel onmerkbaar uitpeilen van waar de porto's (en dus agenten) ruwweg aanwezig zijn goed mogelijk.
Wat met het stukje speelgoed kan is het selectief, en met weinig vermogen, jammen van alleen gecrypt verkeer. Omdat de situatie "is er al weer iets mis met de keys" van nature ook al voorkomt, zullen de gebruikers, typisch "dan maar ongecrypt gaan" , want het werk moet wel doorgaan. (een hele actie afblazen als een enkele porto weer eens een keyprobleem heeft gebeurt natuurlijk niet; Niet als dat soort keyproblemen toch vaak genoeg gebeuren).
Het is een mooi voorbeeld dat protocol design eigenlijk helemaal integraal moet zijn, tot aan de gebruikers interface en gebruikersstijl toe.
Dat is iets wat vaker, en bij IT (en security) in het algemeen misgaat.
Er worden, in afzondering (of achteraf, of allebei) regels en voorwaarden opgesteld waar _allemaal_ aan voldaan moet worden wil het systeem "veilig" zijn.
En die regels zijn, gezien vanuit de gebruiker die _gewoon wil werken_ , niet logisch , noch zijn ze noodzakelijk om toch het werk te doen. Dat wil zeggen, als je de regels negeert "werkt" alles prima en zelfs beter en sneller. Afgezien natuurlijk van een kans op een security incident.
En dan zijn security nerds en IT'ers nog verbaasd en verontwaardigd (pebkac) dat mensen niet door hun doolhof en hoepeltjes willen springen.
Het is lang niet altijd mogelijk om protocol en "workflow" integraal te ontwerpen, maar het blijkt vaak genoeg dat als een protocol of systeem (en device implementatie) naadloos aansluiten bij wat "handig werkt", en er in de praktijk shortcuts zijn die geen direct zichtbaar nadeel hebben, die shortcuts ook genomen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.