Canada verbiedt gebruik Flipper Zero om autodiefstal tegen te gaan
De Canadese overheid gaat de import, verkoop en gebruik van de populaire geektool Flipper Zero, alsmede andere apparaten waarmee keyless entry-signalen van auto's zijn te onderscheppen, verbieden. Volgens de autoriteiten is de maatregel bedoeld om autodiefstallen in het land tegen te gaan.
De Flipper Zero wordt door de ontwikkelaars omschreven als een multitool voor penetratietesters en geeks. Het apparaat ondersteunt verschillende radioprotocollen, NFC, RFID, Bluetooth en infrarood en kan voor allerlei tests en onderzoeken worden gebruikt. Ook kan het als USB universal 2nd-factor (U2F) authenticatie token of security key fungeren en is het voor "BadUSB" aanvallen te gebruiken.
Gisteren kondigde de Canadese overheid 'federale maatregelen' aan om autodiefstallen tegen te gaan. Zo wordt er samengewerkt met de auto-industrie om nieuwe oplossingen te ontwikkelen om voertuigen tegen diefstal te beschermen en gestolen voertuigen terug te vinden. Daarnaast wordt de verkoop en gebruik van apparaten verboden waarmee signalen voor keyless entry zijn te onderscheppen, waarbij specifiek de Flipper Zero wordt genoemd.
De makers van de Flipper Zero laten in een reactie weten dat het apparaatje alleen bedoeld is voor test- en ontwikkeldoeleinden en er voorzorgsmaatregelen genomen zijn om ervoor te zorgen dat het apparaatje niet voor malafide doeleinden is te gebruiken, zo meldt Canadese media. Vorig jaar besloot Amazon.com de verkoop van het apparaatje te verbieden en nam de Braziliaanse overheid zendingen van de Flipper Zero in beslag. Het nieuws over het Canadese verbod zorgde voor honderden reacties op Reddit en Hacker News.
Het verbieden van tools gaat daarbij niet helpen, want mensen die auto's stelen houden zich dus sowieso niet aan de wet.
Je moet die auto's updaten zodat ze niet meer kwetsbaar zijn voor de meest simpele aanvallen.
En je moet ervoor zorgen dat de sociale structuur van je maatschappij op orde is.
Autofabrikanten hebben steken laten vallen bij de implementatie van beveiliging, waardoor de Canadese overheid tijd moet besteden aan een tijdelijke oplossing. Dit is op zijn beurt weer zuur voor het bedrijf Flipper, want zij kunnen er niets aan doen dat criminelen misbruik maken van de fouten van de autofabrikanten.
Daarnaast zit er ook op dat vlak nog veel te veel electronica in. Wat in wezen gewoon te irritant is. Zeker als je op het verkeer moet letten. Verlies je een afstandsbediening, dan moet heel de zooi veranderd worden, de fabrikant vertrouwt je niet en het kost een vermogen. Waarom moet dat?
Als ik in mijn voordeur thuis een nieuw slot wil dan is dat gewoon een paar tientjes en klaar. Zonder flipperkast.
Noem ik niet een oplossing, eerder "security through obscurity". Als niemand kan zien hoe slecht het is dan is het vast goed beveiligd.
Het verbieden van tools gaat daarbij niet helpen, want mensen die auto's stelen houden zich dus sowieso niet aan de wet.
Je moet die auto's updaten zodat ze niet meer kwetsbaar zijn voor de meest simpele aanvallen.
En je moet ervoor zorgen dat de sociale structuur van je maatschappij op orde is.
Daarnaast zit er ook op dat vlak nog veel te veel electronica in. Wat in wezen gewoon te irritant is. Zeker als je op het verkeer moet letten. Verlies je een afstandsbediening, dan moet heel de zooi veranderd worden, de fabrikant vertrouwt je niet en het kost een vermogen. Waarom moet dat?
Als ik in mijn voordeur thuis een nieuw slot wil dan is dat gewoon een paar tientjes en klaar. Zonder flipperkast.
Absoluut mee eens, al gebruik ik zelf een 3-sterren SKG slot met gehard staal om het breken van cilinders te voorkomen. (Bulgaarse methode, het zogeheten "kerntrekken", dat is een akelig makkelijke methode im binnen te komen, daarnaast gebruik ik anti-inbraakstrips tegen breekijzers, schijnt ook veel te gebeuren)
Maar de auto fysiek openen zou moeten helpen inderdaad.
Vaak is het zo dat de auto de encyptiesleutel onklaar maakt bij gebruik, maar als de auto het niet ontvangt en een flipper zero wel (of vergelijkbaar apparaat) dan zijn de rapen gaar, dan is die versleuteling nog niet onklaar gemaakt door de auto omdat deze nooit gebruikt is.
Ook mijn besturingsystemen beveilig ik met grote zorg, ik ben blij dat ik niet de enige ben aangezien ik vaak om me heen kijk en heel veel mensen geen goede ipsec hebben. (Op social media posten dat ze op vakantie gaan e.d., lol)
Precies. Een normaal persoon heeft geen reden om met zo'n apparaat door een woonwijk te lopen waar hij waarschijnlijk niet eens woont. Het is waanzin dat je moet wachten totdat je iemand op heterdaad kunt betrappen terwijl het zo ook al duidelijk is wat hij van plan is.
Deze tools zorgen er juist voor dat de leveranciers security nu eindelijk eens serieus moeten nemen. Nu wordt de verantwoordelijkheid hiervoor weggenomen bij de fabrikanten door een tool, waarmee je kunt aantonen dat security zwaar onder de maat is, te verbieden. Waanzin ten top.
PS. Ik moet mijn Flipper Zero/HackRF e.d. maar koesteren; deze zou zomaar binnenkort niet meer vrijelijk te verkrijgen kunnen zijn.
- Niet de juiste apparatuur/procedures in plaats hebben voor het op heterdaad betrappen.
- Het is te moeilijk om kwade intentie aan te tonen.
Ze lossen nu dus een symptoom op in plaats van het daadwerkelijke probleem.
Met wat andere hardware onderdelen kun je gewoon je eigen receiver maken die met meerdere frequenties kan werken. Is wel lastig te programmeren, dus voor veel mensen een stuk lastiger.
Maar wat lastiger zal worden is dat er steeds meer van dit soort hardware zal komen, en een deel daarvan zal als open-source hardware beschikbaar worden. Met bijbehorende code op GitHub of zo. En dan is er geen andere optie meer dan censuur, wat niemand zal willen. Want als de hardware ontwerpen openbaar worden, dan kan iedereen dit soort apparatuur camoufleren in andere producten. Die zijn dan onvindbaar tenzij je bereid bent om electronica helemaal uit elkaar te halen om te controleren of deze hardware erin verwerkt is.
Deze tools zorgen er juist voor dat de leveranciers security nu eindelijk eens serieus moeten nemen. Nu wordt de verantwoordelijkheid hiervoor weggenomen bij de fabrikanten door een tool, waarmee je kunt aantonen dat security zwaar onder de maat is, te verbieden. Waanzin ten top.
PS. Ik moet mijn Flipper Zero/HackRF e.d. maar koesteren; deze zou zomaar binnenkort niet meer vrijelijk te verkrijgen kunnen zijn.
Mee eens, code is als vrije spraak, als men een slechte beveiliging implementeert is het belangrijk dat deze fouten voortaan gemakkelijker kan worden verholpen in plaats van de gehele digitale wereld in een kluisje te stoppen, het is als een symbiotische relatie.
Als men code een apoaratuur gaat "censureren" zijn de rapen gaar...
Ik weet niet in wat voor auto jij rijdt? Als je een afstandsbediening verliest is het gewoon een nieuwe bestellen.
De oude uit het systeem van de auto halen en de nieuwe in leren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
