Beveiliging Belgische politietoren eenvoudig te kraken
In België is ophef ontstaan over de slechte beveiliging van een nieuwe politietoren van de federale politie in Brussel. Tijdens een geplande beveiligingstest bleek een expert met alleen het gebruik van een smartphone binnen negen seconden binnen te komen. In de toren liggen gevoelige dossiers opgeslagen.
Het gaat om het RAC-gebouw in het centrum van Brussel, dat volgens de politie naar eigen zeggen met een "ultramodern badgesysteem" werkt. Het systeem blijkt echter gedateerd en is eenvoudig te omzeilen. Een aanvaller kan de badge kopiëren en zo iemands identiteit aannemen om het gebouw binnen te dringen, zo laat de Belgische krant De Morgen weten.
Badge
Elke badge bevat een chip met een code. Dit nummer staat echter ook gewoon op de kaart. Personeel dat de kaart iets te opzichtig toont geeft daarmee de code weg. De code kan vervolgens op een lege kaart worden weggeschreven. Het is daarna voldoende om de gekloonde kaart langs de paslezer bij de deur te halen. Er is namelijk geen aanvullende pincode nodig. In het geval de code niet bekend is, is het mogelijk om die via NFC te kopiëren. Een aanvaller die over een smartphone met NFC beschikt kan het toestel in de buurt van een badge houden en zo de informatie van de chip uitlezen.
Een woordvoerster van de politie noemt de situatie zeer vervelend. "We vroegen een high performance security en kregen slechts dit", zegt woordvoerster Kaatje Natens. "We hebben van de verantwoordelijke firma geëist om maatregelen te nemen. We hebben het gebouw nu beveiligd met extra personeel en andere maatregelen waar ik niets over kwijt kan, omdat we niemand op ideeën willen brengen."
Een begrip wat (dus duidelijk) niet echt binnen de scope van een beveiligingsproject past, anders krijg je dit!
Je kan zaken wel vragen, maar je moet ook komen met functionele eisen, en verifieren dat de geboden oplossing daaraan voldoet. In de publieke sector lijkt men daar echter weinig oog voor te hebben.
En deze mensen moeten cybercriminelen pakken ? ..... Veel succes ;) .....
Maareh, high performance security? Geen crypto in je rfid-kaartjes zodat de paslezer sneller werkt ofzo? Lachen... todat je je realiseert dat het echt is en geen fictie...
En zo heb je een mensenprobleem geprobeerd op te lossen met techniek, iets wat keer op keer faalt. Valt mee dat ze er nog redelijk vlot achter gekomen zijn, en niet na twintig jaar gebruik en een lange, lange historie van ontraceerbare lekken.
Leuk dat er al maanden rechercheurs in het gebouw zitten die dit zelf dus niet opgemerkt hebben, nadat er bij de bouw ook niemand opgemerkt heeft dat het systeem zo werkt.
Wat dat betreft ben je eigenlijk altijd beter af met mensen aan de poort, al dan niet gesteund door wat zorgvuldig erbijgezochte technologie. En dan niet technologie-technologie maar hulpmiddelen die de gebruikers zelf goed snappen. Getraind gezond verstand is gek genoeg nog steeds niet weg te automatiseren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
