Slim bluetooth-deurslot door beveiligingslek te openen
Onderzoekers hebben in een slim bluetooth-deurslot verschillende kwetsbaarheden ontdekt waardoor onbevoegden het slot kunnen openen en het mogelijk is om gebruikers buiten te sluiten. De beveiligingslekken zijn aanwezig in het 250 dollar kostende Ultraloq van fabrikant U-tec.
Het slot is via een vingerafdruk, code en smartphone te openen. De programmeerinterface van de smartphone-app, waarmee gebruikers het slot kunnen openen en instellen, bleek geen enkele authenticatie te vereisen. Onderzoekers David Lodge, Andrew Tierney en Vangelis Stykas van securitybedrijf Pen Test Partners konden via de api persoonlijke gegevens van het gebruikersaccount uitlezen, waaronder informatie om de locatie van het betreffende huis en slot te vinden.
Via de programmeerinterface was het ook mogelijk om de pincode van het slot te resetten, waardoor gebruikers konden worden buitengesloten of het mogelijk was om de deur te openen. Daarnaast blijkt de code om het slot via bluetooth te openen uit zes cijfers te bestaan. Het is mogelijk om via de bluetooth-interface een bruteforce-aanval uit te voeren en zo de code te achterhalen.
U-Tec werd begin april over de kwetsbaarheden ingelicht. Op 1 mei werd het probleem met de programmeerinterface verholpen. De bruteforce-aanval via bluetooth is nog steeds mogelijk. De fabrikant stelde op 28 mei dat het nog een maand nodig had om deze kwetsbaarheid op te lossen. Er is echter nog een derde probleem. Het slot beschikt over een back-upslot mocht de elektronica niet meer werken. Dit back-upslot is echter eenvoudig door een amateur te openen. "Veel succes om dit met een firmware-update te verhelpen", aldus de onderzoekers.
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.
Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.
Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.
In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.
Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.
Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.
In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.
2 sterren heb je binnen een minuut open. die sterren rating is al lang niet meer actueel.
3 sterren is inmiddels verplicht voor nieuwbouw wegens het "slotje trekken" - ofwel, cylinder of kerntrekken.
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..
Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..
Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?
Kijk op youtube naar 'the lockpicking lawyer' .
Nu is het wel zo dat het _veel_ tijd kost voordat je vaardigheden op dat niveau zitten, maar 'onkraakbaar' is zeldzaam.
Aan de andere kant , waar elektronische exploits "overdraagbaar" zijn naar scriptkiddies (het zoeken/vinden van een exploit is ook een vaardigheid die weinig mensen hebben, maar het runnen van een exploit script is makkelijk) is dat minder het geval bij lockpicking .
Sleutelbeheer en gebruikslogging.
Als je de schoonmaakster opzegt , wil je de sleutel intrekken . (bij een mechanische sleutel weet je niet zo zeker of ze er geen kopie van heeft ).
En de sleutel van de schoonmaakster werkt alleen op de dagen / tijden dat ze langskomt.
Sleutel voor 'noodgevallen' bij de buren.
Als je AirBNB verhuurt is 'remote sleutelbeheer' nog meer noodzakelijk, en ook bij andere korte verhuur / gedeelde toegang (studenten , bergingen e.d.) wordt sleutelbeheer met mechanische sloten al snel een bezwaar.
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..
Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?
Ga de filmpjes van de Lock Picking Lawyer (https://www.youtube.com/channel/UCm9K6rby98W8JigLoZOh6FQ) eens bekijken. Je ziet dat hij de meeste sloten openkrijgt. En op Youtube zetten classificeer ik wel als aan de grote klok hangen.
Peter
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.
Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.
In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.
2 sterren heb je binnen een minuut open. die sterren rating is al lang niet meer actueel.
3 sterren is inmiddels verplicht voor nieuwbouw wegens het "slotje trekken" - ofwel, cylinder of kerntrekken.
U vergeet erbij te vermelden dat het SKG-keurmerk een dynamisch keurmerk is. Dat wil zeggen dat bij een nieuwe inbraakmethode het keurmerk wordt aangepast.
Ik heb al 14 security-jaren achter de rug, maar u weet kennelijk ook niet dat de meeste inbrekers binnen 30 seconden proberen binnen te komen, althans 90% is amateur en doet dat. Daarom is 2 sterren zeker voldoende om die 90% tegen te houden. Wil je de meer gespecialiseerde inbreker tegenhouden, dan is SKG*** zeker op zijn plaats. De meeste inbraken gebeuren bij woonhuizen aan de achterkant, en daar moet je zeker SKG*** hebben met kerntrekbeveiliging. Dat laatste is nodig om te voorkomen dat het cilinderslot eruit getrokken wordt. Ook de sluitkom dient niet alleen verschroeft te worden, maar net zo goed met een industriele kit worden vastgelijmd. Een doorbraak in het hout van het kozijn levert dan geen geslaagde inbraak op als de inbreker de sluitkom wil bereiken.
Wij vergeten nogal eens de schuurdeur op slot te draaien 'savonds, zou mooi zijn wanneer er een timer mechanisme op gemonteerd kan worden (aan de binnenkant) dat op de ingestelde tijd (bv. 11 uur 'savonds) de deur op slot draait. Mag zelfs 'sochtends om 7 uur het slot weer losdraaien, maar dat hoeft natuurlijk niet persé. Bestaat zoiets ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
