UZI-pas Elektronisch Patiënten Dossier gekraakt
De chip in de pas waarmee zorgverleners toegang tot het Elektronisch Patiëntendossier (EPD) krijgen, is gekraakt en wordt vervangen, zo heeft minister van Volksgezondheid Ab Klink laten weten. Ook de Defensiepas, Digitale Tacho-graaf en Boordcomputer Taxi gebruiken de kwetsbare chip. In een laboratoriumomgeving lukte het experts om de private sleutel van de chip te achterhalen. Om een private sleutel te achterhalen moet een aanvaller wel beschikken over de smartcard én bijbehorende pincode. Daarnaast is volgens Klink "grote deskundigheid en gespecialiseerde apparatuur" vereist voor het achterhalen van de private sleutel. "Deze is overigens dan alleen te gebruiken zolang de originele smartcard niet ingetrokken is door de rechtmatige eigenaar", zo merkt de bewindsman op.
Na contact met leveranciers stelde Volksgezondheid vast dat er "een zeer gering operationeel risico" is in het gebruik van de UZI-passen om toegang tot het EPD te krijgen. De pas zou namelijk niet de enige beveiligingsmaatregel zijn. "Een zorgaanbieder moet bijvoorbeeld vóór aansluiting op het landelijk schakelpunt voldoen aan de eisen voor een Goed Beheerd Zorgsysteem", zo stelt Klink de Tweede Kamer gerust. Ondanks de geringe risico's wordt de kwetsbare chip wel vervangen. Halverwege het derde kwartaal van dit jaar zou elke nieuwe UZI-pas van de nieuwe chip moeten zijn voorzien. Daarnaast krijgen huidige gebruikers van de UZI-pas het advies om de pas en pincode gescheiden te houden en zorgvuldig te beheren.
Defensiepas
Aangezien Defensie de private sleutel nog niet gebruikt, is de kwetsbaarheid hier nog niet relevant. Defensie heeft volgens Klink maatregelen getroffen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen. In het geval van de Boordcomputer zegt de leverancier dat de chips niet per 1 november zijn te vervangen. Daarom wordt de invoering met drie tot vijf maanden verschoven. Wat betreft de Digitale Tachograaf-pas gaat men de gevolgen hiervoor nog verder onderzoeken.
Met dank aan Willem voor het melden van dit nieuws
Slechte zaak, want één van de verkoopargumenten voor smartcard is juist dat de private keys niet te kopieren zijn.
Het is wel degelijk heel erg gevaarlijk: het verlies van een private key schakelt de beveiligingslaag van het in bezit hebben van de kaart uit en maakt de zaak dus lek.
Als iemand de PIN weet en de pas lang genoeg kan bemachtigen om de private key te kopieëren, is de pas gecompromiteerd zonder dat de reguliere gerbuiker dat weet.
Vanaf dat moment heeft de aanvaller in theorie toegang tot ALLE patienten dossiers van alle Nederlanders (de paar slimmeriken die deelname hebben geweigerd uitgesloten).
En dat zonder dat de reguliere eigenaar van de kaart daar kennis van heeft.
Erger nog als iemand ooit gegevens over misbruik zou opvragen krijgt de eigenaar van de orginele kaart de schuld van misbruik.
Wat ik me nu ook afvraag in hoeverre dat dan nog een beveiliging is? Als de inhoud van de schatkist te kopiëren is, hoe zit het dan met de sloten op die kist? In hoeverre zijn die betrouwbaar? 1 verkoop argument is al om zeep, nu de volgende nog :-)
Nope, dat is het besturingssysteem. De chip is naar verluidt de smartmx van nxp.
Ik begrijp van de minister dat dat kan wanneer er een pas. een pin,. een batterij wetenschappers en een stapel apparatuur beschikbaar zijn. Volgens meneer Westerhoven (NRC van gisteren) heb je alleen een pas. een pin, meneer Westerhoven, en 3 PC's in zijn kelder nodig, en kan eigenlijk iedereen het. Uitglijder van de minister?
Nu is het ook zo dat de certificaten van een pas onmiddelijk moeten worden ingetrokken. Hoeveel van de (zorg-)applicaties vereisen een geldige, recente CRL (of doen aan OCSP) om iets zinvols met de pas te kunnen doen?
Broodje aap verhaal van Mijnheer Westerhoven...de onwaarschijnlijkheid ten top!
Er zullen altijd theoretische en praktische lekken zijn in de verschillende componenten in een systeem, het gaat hier om het totale systeem en om Philips produkten die aan het einde van de lifecycle zitten.
Westerhoven is in het verleden nimmer in staat gebleken bewijs aan te voeren... tja dan word het makkelijk je als security "authoriteit"
Wat mij ernstig stoort is het speculeren van Westerhoven obv van halve waarheden. Het begint nu tevens achteloos te worden gekopieerd door bloggers, journalisten en andere media die hem blijkbaar beschouwen als expert. Ronduit triest !.....
Kortom: belastingcenten verspillen en procesoptimalisatie in de gezondheidszorg dwarsbomen door semi-wetenschappelijke prietpraat..
Nope, dat is het besturingssysteem. De chip is naar verluidt de smartmx van nxp.
Je kan gemakkelijk vinden dat het de P8WE5033 is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.