"Vliegtuighacker": FBI-opmerking uit zijn verband gerukt
Afgelopen vrijdag publiceerde het Aboriginal Peoples Television Network (APTN) een artikel waaruit zou blijken dat een hacker tegen de FBI heeft bekend dat hij een vliegtuig had gehackt en bestuurd, maar volgens de hacker in kwestie is zijn opmerking uit zijn verband gerukt.
Het gaat om Chris Roberts, die in april van een vliegtuig werd gehaald vanwege een tweet. In het bericht stelde Roberts dat hij de beveiliging van het vliegtuig wilde controleren. Na zijn aanhouding werd hij vier uur door de FBI ondervraagd. Volgens de documenten die APTN in zag zou Roberts de controle over het vluchtsysteem kunnen overnemen. In totaal zou hij tussen 2011 en 2014 vijftien tot twintig keer het vluchtentertainmentsysteem hebben overgenomen. In één geval kreeg hij ook de controle over een vliegtuigmotor en liet het vliegtuig vervolgens van koers veranderen.
Volgens Roberts is die opmerking, waarvan hij dacht dat die achter gesloten deuren werd gedaan, uit zijn verband gerukt. "Die paragraaf is één van vele discussies, dus er ontbreekt duidelijk de nodige context waar ik niets over kan zeggen", zo laat de hacker tegenover Wired weten. "Het lijkt erop dat de agenten één paragraaf uit veel discussies en veel ontmoetingen en aantekeningen hebben genomen en gekozen in plaats van één van de anderen." Ook via Twitter laat Roberts weten dat veel van de verhalen die nu rondgaan de nodige context missen.
De hacker merkt op dat hij al vijf jaar aandacht vraagt voor de veiligheid van systemen en al die informatie door de nu gepubliceerde verklaring verkeerd wordt weergegeven. Wel stelt bevestigt hij ongeveer vijftien keer het in-flight netwerk te hebben benaderd, maar bekeek daarbij alleen het rondgaande netwerkverkeer. Zelf is Roberts alle aandacht inmiddels goed zat en hoopt dat de rust weerkeert en er vandaag "meer uitgeslapen geesten" opstaan. De hacker krijgt bijval van beveiligingsexpert Robert Graham, die opmerkt dat het verhaal van de FBI zo goed als zeker niet correct is.
Volgens Graham komt het vaak voor dat beveiligingsonderzoekers verkeerd worden begrepen. Ook als er onschuldige opmerkingen worden gemaakt over wat mogelijk is, wordt dit vaak als een dreigement of verklaring opgevat van iets dat al gebeurt is, zo merkt hij op. Eind april publiceerde de FBI nog dit bulletin waarin het ingaat op de berichten in de media over een mogelijke vliegtuighack, waarin de opsporingsdienst laat weten dat het niet over bewijzen beschikt om deze berichten ook te bevestigen.
Al het andere is onnodig drama. Maargoed, dat is nou precies waar het de beveiligingsindustrie om te doen is geweest, dat is precies waarom ze zichzelf deze onverdiende term hebben aangemeten en dat is precies waarom politici het nodig vonden effectief de hele term te criminaliseren.
Dus kun je zeggen wat je wil, deze figuur heeft precies gekregen waar hij op ingezet heeft: Hij is een hacker en dus schuldig. Verkeerd begrepen? Nee, hij en de zijnen hebben moedwillig de verkeerde dingen gezegd.
En dat wreekt zich nu. Jammer voor de onschuldigen, de "lisp hackers" en de knutselaars die zich nu maar identificeren met de "maker movement", maar het zijn precies de "security researchers" die het voor iedereen verpest hebben. Ze hebben hier op ingezet en ze hebben gekregen waar ze op aanstuurden.
Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.
Ach ... een onderwijzer is toch ook niet onder wijs en daar bovenop ook niet bovenmeester!
Ze mochten zich leraren noemen en leraren gingen zich toen docenten noemen en docenten gingen zich gewoon weer hoogleraren noemen. Hacken is nog geen kapen. Aan veel woorden kun je een negatieve lading toedichten.
Het klimmen in een doodde boom van verbositeit kunnen takken afbreken en pluriformige domheid kan opgesloten zitten in een woordmanipulatie die men zichzelf toedicht voor rendementonderzoek. je heb een baan om te jagen en dan wil je ook graag schieten (in de roos).
.......................
Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.
Wat een onzin! Hier is iemand die aan kan tonen dat de vliegtuigsystemen niet veilig zijn, zodat dit verbeterd kan worden.
Realiseer je wel dat als hij het kan, een malafide persoon het ook kan. Maar die gaat het niet bekend maken...
Jij hebt liever dat dit soort kwetsbaarheden niet bekend raken, zodat ze niet opgelost worden, zodat er straks in een geplande actie van een terroristische organisatie tig vliegtuigen naar beneden komen?
Als er toch strafrechtelijke stappen genomen moeten worden lijken me de bestuurders van bedrijven die moedwillig onveilige systemen verkopen een betere target. Zo heeft de SarbanesOxley wetgeving (waarbij CEO's en CFO's van beursgenoteerde bedrijven hoofdelijk aansprakelijk gesteld worden voor fraude) een grote verbetering in financiële rapportage opgeleverd. Laat diezelfde aansprakelijkheid maar eens gelden voor CEO's en CISO's voor het moedwillig leveren van slecht beveiligde systemen.
Q
.......................
Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.
Wat een onzin! Hier is iemand die aan kan tonen dat de vliegtuigsystemen niet veilig zijn, zodat dit verbeterd kan worden.
Realiseer je wel dat als hij het kan, een malafide persoon het ook kan. Maar die gaat het niet bekend maken...
Jij hebt liever dat dit soort kwetsbaarheden niet bekend raken, zodat ze niet opgelost worden, zodat er straks in een geplande actie van een terroristische organisatie tig vliegtuigen naar beneden komen?
Ik ben het helemaal met je eens dat het misschien beter is als een beveiligingsonderzoeker die dit via responsible disclosure heeft gemeld en daar over een hatelijke tweet maakte het ontdekt dan allerlei IS-achtige personen. Ik vlieg ook wel eens, dus ik heb ook belang bij veilige software.
Tegelijk hoeft niemand voor mij zijn nek uit te steken en zich reacties als "het cachot in en een levenslang vliegverbod" op de hals te halen voor mijn veiligheid. Als de misstanden er zijn en goedbedoeld melden levert dit soort reacties op, is mijn advies om geen onderzoek te doen en dus ook niets te melden. En dat dit betekent dat dan de slechterikken (die zich niet tegen laten houden) er als enige achter komen, daar is dan helaas niets aan te doen.
Voor de goede orde, in de VS is er een wet die Computer Fraud and Abuse strafbaar stelt. De omschrijving daarvan komt neer op het wederrechtelijk (dus zonder toestemming) binnendringen van een computer. Van wat ik eerder heb begrepen had deze persoon toen hij de kwetsbaarheden ontdekte toestemming middels een pentestcontract.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
