Duitse overheid waarschuwt draadloos Abus-slot niet te gebruiken
De Duitse overheid heeft een waarschuwing gegeven voor een kritieke, niet te verhelpen kwetsbaarheid in een draadloos slot van fabrikant Abus en adviseert het product te vervangen. Het gaat om de Abus HomeTec Pro CFA 3000, een draadloze deurslotaandrijving voor het vergrendelen en ontgrendelen van deuren. Het slot is te bedienen met een afstandsbediening of draadloos toetsenbord.
Een kwetsbaarheid in het slot maakt het mogelijk voor een aanvaller in de buurt om deuren te openen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Abus heeft de kwetsbaarheid bevestigd, maar zegt die niet te kunnen verhelpen. Daarnaast is het kwetsbare model vorig jaar vervangen door een nieuwer model dat via bluetooth werkt en volgens het BSI niet kwetsbaar is.
De kwetsbare versie is echter nog wel te koop. Daarnaast lijkt de veiligere opvolger visueel erg veel op zijn voorganger. Vanwege het risico dat onbevoegden toegang kunnen krijgen doen gebruikers er verstandig aan het product te vervangen, aldus de Duitse overheidsinstantie. Details over hoe er precies misbruik van het slot kan worden gemaakt zijn niet door het BSI gegeven.
Ik vraag mij af of Chriet Titulaer dat bedoelde/voorzag met zijn huis van de toekomst...
https://nl.wikipedia.org/wiki/Huis_van_de_Toekomst_(Nederland)
https://nl.wikipedia.org/wiki/Huis_van_de_Toekomst_(Nederland)
Tja daar zeg je me wat. Nee, ik denk niet dat hij dat voorzag, maar hij zag natuurlijk ook niet de bende mediocre ontwikkelaars die zoveel schade veroorzaken, en ik denk ook niet dat hij de initiatieven overzag om snel even geld te genereren.
Hier wordt mijn kaka een beetje vloeibaar door......
Er was spul, dat dermate slecht was ontworpen, dat je niet van beveiliging maar van regelrechte rotzooi kon spreken.
En nu hoor je dit geval weer, nu van Abus.
En ja, de werkgever eiste natuurlijk een geheimhoudingsverklaring te tekenen.
Verder mag ik er dus niets over kwijt.
Het ondermijnd het spontane menselijk gedrag,
het sloopt zelfvermogen om te denken en te creeren van creativiteit
mensen worden slaven en hangen in een digitaal vierkantje aan
het digitale cloudsysteem van de eu.
Je mag steeds minder maar moet steeds meer en burgers beginnen het langzaam maar zeker
in te zien waar het heen gaat,mensen kunnen het tij keren,
techbedrijven en overheden veranderen pas mee als de burger het niet meer wilt.
The Matrix
Dat heeft hij meerdere keren gedaan, op verschillende manieren. Die methode waar jij het over hebt klinkt als een van de bekende kwetsbaarheden waarbij je door met een hamer tegen de zijkant te tikken een van de mechanische onderdelen kan manipuleren, zoals de actuator. Dat is een aanval tegen de mechanische componenten van het slot, net zoals bijv het gebruik van een krachtige magneet. In dit geval betreft het een aanval tegen een kwetsbaarheid in het digitale deel van het slot.
Die zijn net zo goed kwetsbaar als elk ander digitaal apparaat, alhoewel Abus over het algemeen behoorlijk zorgvuldig is.
De geteste slot is de bluetooth versie, hier gaat het om een RF variant. Die "garage deur openers" zijn zo lek als een mandje.
Er is ook nog een Z-wave versie (niet veel veiliger).
De BLE versie verklaart men wel dat "veilig" is maar BLE is van nature een vrij insecure protocol; low power, weinig cpu/geheugen mcu's, compatibiliteit. = ook afhankelijk van de versie natuurlijk (5.2 is beter dan 5.0) en van degene die het implementeert
A survey on Bluetooth Low Energy security and privacy
https://www.sciencedirect.com/science/article/pii/S1389128621005697
previous section, it may seem very hard to design a secure BLE device.
However, as we have also seen, the Bluetooth SIG responded to most
threats and provided ways to mitigate them. Therefore, building a
secure BLE device can be achieved for the most part by making use
of all security mechanisms provided by the specification in its most
current version
Eens zo'n slot bestellen we hebben hier veel lol met hacken van die dingen en het is meestal verbazend makkelijk als je die koffer met apperatuur hebt zoals hier.
Het ondermijnd het spontane menselijk gedrag,
het sloopt zelfvermogen om te denken en te creeren van creativiteit
mensen worden slaven en hangen in een digitaal vierkantje aan
het digitale cloudsysteem van de eu.
Je mag steeds minder maar moet steeds meer en burgers beginnen het langzaam maar zeker
in te zien waar het heen gaat,mensen kunnen het tij keren,
techbedrijven en overheden veranderen pas mee als de burger het niet meer wilt.
The Matrix
Of het prikkelt juist om dingen te proberen, het is maar hoe je in het leven staat.
Harry Potter en de Geheime kamer.
Bestaat er eigenlijk wel een veilig digitaal deurslot?
Zomaar even een vraag. Heb er heel wat voorbij zien komen in de afgelopen jaren.
Heb een vermoeden dat dit een utopie is, zolang slotenboeren denken dat ze ICT specialisten zijn zal het ook wel niet veilig worden. Het zijn stuk voor stuk cowboys waar niet goed testen en time to market alles is. En het mag qua ontwikkeling niks kosten....
Kortom: als je iets te beveiligen hebt moet je niet je slot vervangen door iets draadloos/electronisch, dat is vragen om ellende. Blijf erbij weg!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
