image

Hackers publiceren TSA-loper voor openen van koffers

maandag 25 juli 2016, 13:58 door Redactie, 14 reacties
Laatst bijgewerkt: 26-07-2016, 09:27

Hackers zijn erin geslaagd de loper van de Amerikaanse Transportation Security Administration (TSA) na te maken die wordt gebruikt voor het openen van door de TSA erkende sloten en hebben de blauwdruk ervan online gezet. De TSA is belast met veiligheidscontroles op Amerikaanse vliegvelden.

Om bagage te inspecteren heeft de overheidsdienst de bevoegdheid om sloten van koffers en tassen te forceren. In het geval het om een door de TSA erkend en geaccepteerd slot gaat kan die via een loper zonder schade worden geopend. Drie hackers genaamd DarkSim905, Johnny Xmas en Nite 0wl hebben de "Safe Skies" loper nagemaakt en de blauwdruk hiervan gepubliceerd, zodat iedereen met een 3d-printer een eigen loper kan maken. Eind vorig jaar werden er ook al blauwdrukken van een andere loper gepubliceerd, de Travel Sentry. Met de publicatie van de Safe Skies-loper zijn nu alle lopermodellen openbaar gemaakt.

Dat lieten de hackers vorige week tijdens de Hackers On Planet Earth! (HOPE) conferentie in New York City zien. Safe Skies is een fabrikant van de door TSA erkende sloten. Daarnaast is er nog Travel Sentry, maar deze partij maakt geen eigen sloten. Het bedrijf beheert een systeem van sleutels die kunnen worden gebruikt als standaarden voor andere slotenfabrikanten. De hackers willen met de publicatie het risico van overheidsbackdoors via een metafoor bij het grote publiek duidelijk maken. Namelijk wat het gevaar is als een derde partij die regelmatig wordt aangevallen over het gereedschap beschikt om al je spullen te doorzoeken, zo laten ze tegenover CSO Online weten.

Volgens de hackers introduceert een systeem zoals een 'key escrow', waarbij een partij over een meestersleutel of loper beschikt, een groter aanvalsoppervlak waar een aanvaller gebruik van kan maken en geeft een derde partij volledige controle over de veiligheid. "Tot hoe ver kun je deze derde partij vertrouwen? Als ze oneerlijk of hebzuchtig zijn kunnen ze je eigendommen stelen of je gevoelige informatie zonder je medeweten of toestemming benaderen", aldus Nite 0wl. Zelfs als de derde partij volledig is te vertrouwen moet zijn veiligheid minstens net zo goed zijn als die van de gebruiker, anders is het handiger voor een aanvaller om de derde partij aan te vallen in plaats van zich direct op het systeem of de gebruiker te richten.

Reacties (14)
25-07-2016, 14:24 door Anoniem
ter info

Vorig jaar verschenen er al TSA sleutels in 3D.

Voor bage met ritsen heeft een slot weinig zin de rits kan opengemaakt worden met een balpen en daarna weer gesloten worden zonder dat er schade onstaan is.

Een alternatief zou kunnen zijn een plunjebaal als hoes met hangslot dat niet door de TSA is goedgekeurd. (bv Abloy)
25-07-2016, 14:59 door Anoniem
Overheid vertrouwen is anno 2016 al helemaal niet meer aan de orde...
25-07-2016, 15:45 door Anoniem
Is dat geen oud nieuws? Dat was bijna een jaar geleden al aan de orde:

https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
25-07-2016, 15:47 door Anoniem
In zoverre..er zijn bij mij berichten binnen gekomen dat de lunchpakketten die in de koffers werden meegenomen, bij het openen in het hotel deels bleken te zijn opgegeten. Als personen recht hebben volgens de wet om je koffers te inspecteren, dan moeten ze wel van je spullen afblijven. Ook als dat boterhammetjes zijn.
25-07-2016, 16:19 door karma4
Was dit niet al enige tijd terug al bekend. Indien ja wat is nu het nieuwe. By the way: Het gaat om reiskoffers. Die dingen waar je niet waardevolle dingen in moet doen omdat ze makkelijk kwijtraken. Ik vind het voldoende om snel te zien dat er iemand anders aan gezeten heeft.
25-07-2016, 16:29 door User2048
Als iemand echt een koffer open wil maken, dan krijgen ze hem altijd open. Dat geldt voor autoriteiten en boeven en voor koffers met en zonder TSA slot.

Zoals karma4 zegt, stop geen waardevolle spullen in bagage die je niet zelf in de gaten kunt houden.
25-07-2016, 18:02 door Anoniem
Door Anoniem: Is dat geen oud nieuws? Dat was bijna een jaar geleden al aan de orde:

https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
ja oud nieuws, had ze toen al gedownload en er eentje geprint. Raar dat dit nu weer boven komt zetten.
25-07-2016, 18:38 door [Account Verwijderd] - Bijgewerkt: 25-07-2016, 18:46
[Verwijderd]
25-07-2016, 22:05 door Anoniem
Door Anoniem:
Door Anoniem: Is dat geen oud nieuws? Dat was bijna een jaar geleden al aan de orde:

https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
ja oud nieuws, had ze toen al gedownload en er eentje geprint. Raar dat dit nu weer boven komt zetten.
Geen oud nieuws. Vorig jaar was de Travel Sentry loper, nu de Safe Skies loper.
26-07-2016, 01:51 door Anoniem
Door Anoniem: Is dat geen oud nieuws?
Ja, op basis van niet meer dan een foto van een sleutel een kopie maken met een 3D-printer is oud nieuws.
Ja, dat er foto's en 3D-modellen beschikbaar zijn voor de lopers van TSA-erkende sluitclips ("sloten" is een licht overdreven term voor die dingen, maar ze zijn dan ook slechts om een rits of zo mee vast te maken. In een 30cm hoog tuinhekje zet je ook geen high-security cilinder van >100 euro).

Maar is is wel iets nieuws.

Al lang geleden gepubliceerde loperset van Travel Sentry (grootste club (meerdere fabrikanten) die TSA-erkende sluitclips op de markt brengt, dit zijn die waar "TSA001" t/m "TSA007" naast het sleutelgat staat). Nu is ook de (enkele) loper van de veel kleinere speler Safe Skies (met "Safe Skies" naast het sleutelgat) gepubliceerd (dit staat fout in het artikel, Safe Skies is niet de (enige) fabrikant van TSA-erkende sloten). Leuk voor loperverzamelaars; verder niet zo schokkend.
26-07-2016, 07:32 door Anoniem
Het gaat niet alleen om wat ze eruit kunnen halen, kwaadwillenden kunnen er ook iets in doen. Leg dan maar eens uit dat het niet van jou was.
26-07-2016, 09:19 door Anoniem
Door Anoniem: Het gaat niet alleen om wat ze eruit kunnen halen, kwaadwillenden kunnen er ook iets in doen. Leg dan maar eens uit dat het niet van jou was.
Er is nu idd een plausibele verklaring.
26-07-2016, 17:52 door Anoniem
Door Anoniem:
Door Anoniem: Is dat geen oud nieuws? Dat was bijna een jaar geleden al aan de orde:

https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
ja oud nieuws, had ze toen al gedownload en er eentje geprint. Raar dat dit nu weer boven komt zetten.

Er zijn verschillende sleutels, zoals in het oorspronkelijke bericht ook al werd vermeld.

Door Anoniem: ter info

Voor bage met ritsen heeft een slot weinig zin de rits kan opengemaakt worden met een balpen en daarna weer gesloten worden zonder dat er schade onstaan is.

Ik zet het slot aan de rits vast en aan een vast onderdeel van de koffer. De truuk met de balpen gaat er vnauit dat je het slot helemaal beide kanten op kunt bewegen.

Peter
26-07-2016, 20:06 door Anoniem
Door User2048: Als iemand echt een koffer open wil maken, dan krijgen ze hem altijd open. Dat geldt voor autoriteiten en boeven en voor koffers met en zonder TSA slot.

Zoals karma4 zegt, stop geen waardevolle spullen in bagage die je niet zelf in de gaten kunt houden.

Als het om een kluisje bij de Media Markt zou gaan, zou ik het daarmee eens zijn. Voor hun kluisjes, tien (of meer) alternatieven. Maar die situatie gaat hier niet helemaal op. Je hebt nu eenmaal de alternatieven voor ruimbaggage, of voor wat dat aangaat voor vliegen, niet altijd voor het uitzoeken. En dan neigt een dergelijke opmerking tot een slap excuus om de zorgplicht te ontduiken.

Door Anoniem:
Door Anoniem: Het gaat niet alleen om wat ze eruit kunnen halen, kwaadwillenden kunnen er ook iets in doen. Leg dan maar eens uit dat het niet van jou was.
Er is nu idd een plausibele verklaring.

Helaas. Maar in de praktijk zal een rechter ook in die situatie uitgaan van de stelling: Wie beschuldigt, bewijst. Dat zou je misschien kunnen met het ruwe bewijsmateriaal ter plaatse (timelining), maar zo lang je alleen maar een vage verdenking hebt, wegen andere belangen (privacy, economisch belang etc.) zwaarder. Die vlieger gaat dus niet op.

Nee, doe mij maar een niet-TSA approved slot. Niet alleen is het ronduit knullig om mensen in je baggage te hebben rotzooien omdat de organisaties die zeggen je te willen beschermen vrolijk de sleutels door de Washington Post te laten fotograferen (!!: https://twitter.com/sehnaoui/status/634740838673702912?s=09), maar zoals al opgemerkt heeft de braakschade een bewijzende functie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.