image

"Vliegtuighacker": FBI-opmerking uit zijn verband gerukt

maandag 18 mei 2015, 10:55 door Redactie, 8 reacties

Afgelopen vrijdag publiceerde het Aboriginal Peoples Television Network (APTN) een artikel waaruit zou blijken dat een hacker tegen de FBI heeft bekend dat hij een vliegtuig had gehackt en bestuurd, maar volgens de hacker in kwestie is zijn opmerking uit zijn verband gerukt.

Het gaat om Chris Roberts, die in april van een vliegtuig werd gehaald vanwege een tweet. In het bericht stelde Roberts dat hij de beveiliging van het vliegtuig wilde controleren. Na zijn aanhouding werd hij vier uur door de FBI ondervraagd. Volgens de documenten die APTN in zag zou Roberts de controle over het vluchtsysteem kunnen overnemen. In totaal zou hij tussen 2011 en 2014 vijftien tot twintig keer het vluchtentertainmentsysteem hebben overgenomen. In één geval kreeg hij ook de controle over een vliegtuigmotor en liet het vliegtuig vervolgens van koers veranderen.

Volgens Roberts is die opmerking, waarvan hij dacht dat die achter gesloten deuren werd gedaan, uit zijn verband gerukt. "Die paragraaf is één van vele discussies, dus er ontbreekt duidelijk de nodige context waar ik niets over kan zeggen", zo laat de hacker tegenover Wired weten. "Het lijkt erop dat de agenten één paragraaf uit veel discussies en veel ontmoetingen en aantekeningen hebben genomen en gekozen in plaats van één van de anderen." Ook via Twitter laat Roberts weten dat veel van de verhalen die nu rondgaan de nodige context missen.

De hacker merkt op dat hij al vijf jaar aandacht vraagt voor de veiligheid van systemen en al die informatie door de nu gepubliceerde verklaring verkeerd wordt weergegeven. Wel stelt bevestigt hij ongeveer vijftien keer het in-flight netwerk te hebben benaderd, maar bekeek daarbij alleen het rondgaande netwerkverkeer. Zelf is Roberts alle aandacht inmiddels goed zat en hoopt dat de rust weerkeert en er vandaag "meer uitgeslapen geesten" opstaan. De hacker krijgt bijval van beveiligingsexpert Robert Graham, die opmerkt dat het verhaal van de FBI zo goed als zeker niet correct is.

Volgens Graham komt het vaak voor dat beveiligingsonderzoekers verkeerd worden begrepen. Ook als er onschuldige opmerkingen worden gemaakt over wat mogelijk is, wordt dit vaak als een dreigement of verklaring opgevat van iets dat al gebeurt is, zo merkt hij op. Eind april publiceerde de FBI nog dit bulletin waarin het ingaat op de berichten in de media over een mogelijke vliegtuighack, waarin de opsporingsdienst laat weten dat het niet over bewijzen beschikt om deze berichten ook te bevestigen.

Reacties (8)
18-05-2015, 11:42 door Anoniem
Als je jezelf "hacker" noemt ben je bij voorbaat schuldig. Kun je lullen wat je wil maar "hacken" is precies dat wat "hackers" doen en aangezien er een wet bestaat die "computer hacking" strafbaar stelt hoeft zo iemand maar een computer vast te houden en hij is er gloeiend bij. In het cachot!

Al het andere is onnodig drama. Maargoed, dat is nou precies waar het de beveiligingsindustrie om te doen is geweest, dat is precies waarom ze zichzelf deze onverdiende term hebben aangemeten en dat is precies waarom politici het nodig vonden effectief de hele term te criminaliseren.

Dus kun je zeggen wat je wil, deze figuur heeft precies gekregen waar hij op ingezet heeft: Hij is een hacker en dus schuldig. Verkeerd begrepen? Nee, hij en de zijnen hebben moedwillig de verkeerde dingen gezegd.

En dat wreekt zich nu. Jammer voor de onschuldigen, de "lisp hackers" en de knutselaars die zich nu maar identificeren met de "maker movement", maar het zijn precies de "security researchers" die het voor iedereen verpest hebben. Ze hebben hier op ingezet en ze hebben gekregen waar ze op aanstuurden.

Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.
18-05-2015, 12:52 door Anoniem
@Anoniem, de term is bedacht door een journalist en deze perso(o)n(en) hebben zich deze term dus niet zelf aangemeten. Het is de ontwetendheid binnen de overheid (en verschillende personen daarbuiten) dat deze personen onder die term worden gedrukt.
18-05-2015, 14:37 door Anoniem
Door Anoniem: @Anoniem, de term is bedacht door een journalist en deze perso(o)n(en) hebben zich deze term dus niet zelf aangemeten. Het is de ontwetendheid binnen de overheid (en verschillende personen daarbuiten) dat deze personen onder die term worden gedrukt.

Ach ... een onderwijzer is toch ook niet onder wijs en daar bovenop ook niet bovenmeester!
Ze mochten zich leraren noemen en leraren gingen zich toen docenten noemen en docenten gingen zich gewoon weer hoogleraren noemen. Hacken is nog geen kapen. Aan veel woorden kun je een negatieve lading toedichten.
Het klimmen in een doodde boom van verbositeit kunnen takken afbreken en pluriformige domheid kan opgesloten zitten in een woordmanipulatie die men zichzelf toedicht voor rendementonderzoek. je heb een baan om te jagen en dan wil je ook graag schieten (in de roos).
18-05-2015, 15:11 door Anoniem
"Hacker" is net zo'n term als "drugsgebruiker". Mensen hebben bij beide woorden slechte associaties maar binnen beide termen zit een enorm verschil tussen beide uitersten. Zo is iemand die maar 1 trekje heeft genomen van een jointje al meteen een drugsgebruiker, maar dezelfde term slaat ook op die dakloze heroïne verslaafde op centraal... (p.s. alcohol is ook drugs, voor iedereen die claimt nooit drugs te hebben gebruikt...).
18-05-2015, 16:28 door Anoniem
Door Anoniem: @Anoniem, de term is bedacht door een journalist en deze perso(o)n(en) hebben zich deze term dus niet zelf aangemeten.
Nee hoor, ze hebben volmondig ingestemd; ze hadden ook een andere term kunnen gebruiken en luid protesteren als ze toch dit label opedrukt krijgen. Dat hebben ze niet gedaan. Ze hebben zichzelf onverdiend maar actief "hacker" genoemd --doen ze nog steeds-- en vonden de zweem van gevaar en de aandacht die dat genereerde maar wat mooi.

Het is de ontwetendheid binnen de overheid (en verschillende personen daarbuiten) dat deze personen onder die term worden gedrukt.
De overheid heeft het van de industrie overgenomen. En ook toen dat laatst in Nederland gebeurde kwam er alweer geen eenduidig verhaal terug uit de maatschappij.
18-05-2015, 16:40 door Anoniem
Door Anoniem: Als je jezelf "hacker" noemt ben je bij voorbaat schuldig. Kun je lullen wat je wil maar "hacken" is precies dat wat "hackers" doen en aangezien er een wet bestaat die "computer hacking" strafbaar stelt hoeft zo iemand maar een computer vast te houden en hij is er gloeiend bij. In het cachot!
.......................

Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.

Wat een onzin! Hier is iemand die aan kan tonen dat de vliegtuigsystemen niet veilig zijn, zodat dit verbeterd kan worden.
Realiseer je wel dat als hij het kan, een malafide persoon het ook kan. Maar die gaat het niet bekend maken...

Jij hebt liever dat dit soort kwetsbaarheden niet bekend raken, zodat ze niet opgelost worden, zodat er straks in een geplande actie van een terroristische organisatie tig vliegtuigen naar beneden komen?

Als er toch strafrechtelijke stappen genomen moeten worden lijken me de bestuurders van bedrijven die moedwillig onveilige systemen verkopen een betere target. Zo heeft de SarbanesOxley wetgeving (waarbij CEO's en CFO's van beursgenoteerde bedrijven hoofdelijk aansprakelijk gesteld worden voor fraude) een grote verbetering in financiële rapportage opgeleverd. Laat diezelfde aansprakelijkheid maar eens gelden voor CEO's en CISO's voor het moedwillig leveren van slecht beveiligde systemen.

Q
18-05-2015, 17:46 door Anoniem
Door Anoniem:
Door Anoniem: Als je jezelf "hacker" noemt ben je bij voorbaat schuldig. Kun je lullen wat je wil maar "hacken" is precies dat wat "hackers" doen en aangezien er een wet bestaat die "computer hacking" strafbaar stelt hoeft zo iemand maar een computer vast te houden en hij is er gloeiend bij. In het cachot!
.......................

Overigens, er zitten computers in vliegtuigen, dus is alleen al in een vliegtuig gaan zitten is voor hem hetzelfde als hem een computer in handen geven. Doe er ook maar een permanent vliegverbod bovenop.

Wat een onzin! Hier is iemand die aan kan tonen dat de vliegtuigsystemen niet veilig zijn, zodat dit verbeterd kan worden.
Realiseer je wel dat als hij het kan, een malafide persoon het ook kan. Maar die gaat het niet bekend maken...

Jij hebt liever dat dit soort kwetsbaarheden niet bekend raken, zodat ze niet opgelost worden, zodat er straks in een geplande actie van een terroristische organisatie tig vliegtuigen naar beneden komen?

Ik ben het helemaal met je eens dat het misschien beter is als een beveiligingsonderzoeker die dit via responsible disclosure heeft gemeld en daar over een hatelijke tweet maakte het ontdekt dan allerlei IS-achtige personen. Ik vlieg ook wel eens, dus ik heb ook belang bij veilige software.

Tegelijk hoeft niemand voor mij zijn nek uit te steken en zich reacties als "het cachot in en een levenslang vliegverbod" op de hals te halen voor mijn veiligheid. Als de misstanden er zijn en goedbedoeld melden levert dit soort reacties op, is mijn advies om geen onderzoek te doen en dus ook niets te melden. En dat dit betekent dat dan de slechterikken (die zich niet tegen laten houden) er als enige achter komen, daar is dan helaas niets aan te doen.

Voor de goede orde, in de VS is er een wet die Computer Fraud and Abuse strafbaar stelt. De omschrijving daarvan komt neer op het wederrechtelijk (dus zonder toestemming) binnendringen van een computer. Van wat ik eerder heb begrepen had deze persoon toen hij de kwetsbaarheden ontdekte toestemming middels een pentestcontract.
20-05-2015, 22:57 door Anoniem
Gaan ze nu een vliegtuig hacker oppakken en één af andere gek die een vliegtuig laat neerstorten dat kan wel allemaal gebeuren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.