Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Hackers beveiligen laptop met nagellak

dinsdag 31 december 2013, 13:19 door Redactie, 15 reacties
Laatst bijgewerkt: 31-12-2013, 17:04

Wie zijn laptop of andere apparatuur op reis of vakantie meeneemt en niet wil dat anderen er ongezien mee knoeien krijgt het advies om nagellak te gebruiken. Glitternagellak om precies te zijn. Dat lieten Eric Michaud en Ryan Lackey tijdens het Chaos Communication Congress in Hamburg weten.

Michaud, CEO van Rift Recon en hacker, en Lackey, oprichter van de CryptoSeal VPN-dienst, waarschuwden voor het gevaar als mensen fysiek toegang tot bijvoorbeeld een laptop krijgen. Dit kan bij de douane gebeuren, maar ook bijvoorbeeld in een hotel. Zodra een aanvaller fysiek toegang heeft kan hij allerlei zaken aanpassen, van firmware en software tot zelfs de hardware.

Encryptie

Ook het gebruik van encryptie biedt in dit geval geen voldoende bescherming meer. Een bekende aanval is de "Evil maid attack", waarbij een aanvaller in het geval van een met TrueCrypt versleutelde laptop de passphrase probeert te stelen. De eerste keer dat de aanvaller fysiek toegang heeft installeert die een keylogger in de bootloader van TrueCrypt.

Zodra de gebruiker inlogt en zijn passphrase invult, wordt die door de keylogger opgeslagen. Aangezien het systeem verder gewoon werkt, heeft de gebruiker niets door. De aanvaller probeert vervolgens een tweede keer fysiek toegang tot de laptop te krijgen zodat hij de opgeslagen passphrase kan bemachtigen en de versleutelde harde schijf kan ontsleutelen.

Oplossing

Om fysieke aanvallen te voorkomen wordt soms het gebruik van "seals" aangeraden, die over schroeven en poorten worden aangebracht. De twee hackers stellen dat die eenvoudig te vervangen en ongezien te openen zijn, zelfs door iemand met minimale training, zo meldt Wired. Als oplossing stellen de twee daarom het gebruik van "Physically Unclonable Functions" (PUFs) voor. Dit is een zegel dat onmogelijk is na te maken. Een goed voorbeeld van een PUF is glitternagellak.

Eenmaal aangebracht op schroeven en stickers op toegangspoorten beschikt het over een willekeurig patroon. De gebruiker maakt met zijn smartphone, die hij altijd bij zich draagt, een foto van de aangebrachte nagellak. Zodra de gebruiker bijvoorbeeld op zijn hotelkamer terugkomt maakt hij weer een foto en vergelijkt beide foto's met een speciaal programma. Op die manier kan hij redelijk zeker weten dat er niet met het systeem is geknoeid.

De twee hackers werken zelfs aan een tweetrapsverificatiesysteem, waarbij iemand eerst de foto's moet vergelijken voordat er bijvoorbeeld op een VPN mag worden ingelogd. De tool die dit mogelijk maakt zou binnen een paar maanden moeten verschijnen.

Security.NL wenst iedereen een gelukkig nieuwjaar!
Top 20 security-tools van 2013
Reacties (15)
31-12-2013, 13:31 door [Account Verwijderd]
[Verwijderd]
31-12-2013, 14:10 door Anoniem
Door Peter V.:
Eenmaal aangebracht op schroeven en stickers op toegangspoorten beschikt het over een willekeurig patroon. De gebruiker maakt met zijn smartphone, die hij altijd bij zich draagt, een foto van de aangebrachte nagellak. Zodra de gebruiker bijvoorbeeld op zijn hotelkamer terugkomt maakt hij weer een foto en vergelijkt beide foto's met een speciaal programma. Op die manier kan hij redelijk zeker weten dat er niet met het systeem is geknoeid.
Lijkt mij een heel goed idee. Dank voor de tip!

En net als bij de gemakkelijk te vervangen sealbag lijkt het me niet heel erg moeilijk nieuwe nagellak aan te brengen op de schroeven. Oh ja, die heeft een uniek patroon. Hoe groot is de kans dat iemand deze foto's gaat maken bij elke terugkeer in zijn hotelkamer om te zien of er andere nagellak op zit? Het antwoord ligt voor de hand.

Mensen blijven mensen, en als de beveiliging afhangt van een zelfcontrole of handmatige test, dan doet slechts 50% dit de eerste paar keer, en na 5 keer gecontroleerd te hebben is nog slechts 5% van de mensen zo gedisciplineerd om dat telkenmale opnieuw te verifiëren.
31-12-2013, 15:06 door Anoniem
Tja da's toch een beetje jammer. Mijn ervaring (als vrouw zijnde) leert dat niks zo snel afbladdert als glitternagellak. Zeker als je iets anders doet met je laptop dan hem altijd heel netjes op dezelfde plaats laten staan lijkt vooral het laatste (voor inloggen op een vpn) een uitstekende manier om hier heel snel geen toegang meer tot te krijgen. Ik hoop dat ze bij het ontwikkelen van deze PUFs iets beters en langers houdens dan nagellak gebruiken.
31-12-2013, 16:16 door Briolet
Om fysieke aanvallen te voorkomen wordt soms het gebruik van "sealbags" aangeraden. De twee hackers stellen dat die eenvoudig te vervangen en ongezien te openen zijn, zelfs door iemand met minimale training, zo meldt Wired.

Het is onzin dat seabags makkelijk te vervangen of ongezien te openen zijn. Ik werk er regelmatig mee en ongemerkt openen is onmogelijk. Alleen vervangen lukt, maar dan moet je wel beschikken over identieke exemplaren met gelijke opdruk. Ik praat hier natuurlijk over echte sealbags, en niet de dichtgesealde plasticfolie waar tijdschriften in zetten. Bij de eindexamens van dit jaar noemden ze deze verpakking ten onrechte ook 'sealbags'.

Echter, als ik de originele bron op de wired link nalees, hebben zij het niet over 'sealbags' maar over seals. Hoe de redactie deze foute vertaalslag kon maken zie ik zo even niet.
31-12-2013, 17:00 door Anoniem
Truecrypt heeft helemaal geen bootloader. Dat heeft Windows. Onzin tekst dus.
31-12-2013, 17:09 door Redactie - Bijgewerkt: 31-12-2013, 17:10
Door Briolet: .. hebben zij het niet over 'sealbags' maar over seals.
Dit is aangepast. De link naar de presentatie zelf is er tevens bij gezet.
31-12-2013, 18:05 door Anoniem
Door Anoniem: Truecrypt heeft helemaal geen bootloader. Dat heeft Windows. Onzin tekst dus.
Misschien dat je TrueCrypt niet kent, maar even iets uitzoeken voordat je wat schrijft kan natuurlijk nooit kwaad:

http://www.truecrypt.org/docs/system-encryption

"Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk."

Is toch niet zo moeilijk?
31-12-2013, 18:39 door Anoniem
Door Anoniem:
Door Peter V.:
Eenmaal aangebracht op schroeven en stickers op toegangspoorten beschikt het over een willekeurig patroon. De gebruiker maakt met zijn smartphone, die hij altijd bij zich draagt, een foto van de aangebrachte nagellak. Zodra de gebruiker bijvoorbeeld op zijn hotelkamer terugkomt maakt hij weer een foto en vergelijkt beide foto's met een speciaal programma. Op die manier kan hij redelijk zeker weten dat er niet met het systeem is geknoeid.
Lijkt mij een heel goed idee. Dank voor de tip!

En net als bij de gemakkelijk te vervangen sealbag lijkt het me niet heel erg moeilijk nieuwe nagellak aan te brengen op de schroeven. Oh ja, die heeft een uniek patroon. Hoe groot is de kans dat iemand deze foto's gaat maken bij elke terugkeer in zijn hotelkamer om te zien of er andere nagellak op zit? Het antwoord ligt voor de hand.

Mensen blijven mensen, en als de beveiliging afhangt van een zelfcontrole of handmatige test, dan doet slechts 50% dit de eerste paar keer, en na 5 keer gecontroleerd te hebben is nog slechts 5% van de mensen zo gedisciplineerd om dat telkenmale opnieuw te verifiëren.

Heel simpel, als je niet 2 matchende foto's hebt dan krijg je gewoon geen VPN toegang.
31-12-2013, 19:51 door Anoniem
Vroeger toen ik nog in de vliegtuigbouw werkte gebruikte we een flexibele zachte opdrogende rode transparante lak. Fabrikant was MESPOULET te parijs. We smeerden dan over het schroefje en op de achtergrond een dun lijntje rode lak die dan opdroogde. Zo worden bouten en schroeven gemerkt zodat zichtbaar wordt of ze verdraait zijn. Dit wordt ook wel BORGINGSLAK genoemd geloof ik. Wel slim eigenlijk om zo je pc te beveiligen want als je het vetvrij aanbrengt door eerst te ontvetten met alcohol oid. dan blijft het goed zitten. Eigenlijk is elke verf wel bruikbaar.
01-01-2014, 09:24 door Anoniem
Leuk en aardig allemaal, maar wat als je je gesealde laptop voor een garantiegevalletje moet inleveren? Kun je eerst zelf die laktroep er af pulken (om over de daarop volgende discussie over tampering, lees: geen garantie) maar te zwijgen..
01-01-2014, 11:26 door Anoniem
Heerlijk, de samenleving wordt steeds meer paranoïde....
01-01-2014, 12:19 door Briolet
Door Anoniem: Leuk en aardig allemaal, maar wat als je je gesealde laptop voor een garantiegevalletje moet inleveren?

Als jij zo met security van je laptop bezig bent, zul je hem nooit bij een onbekend reparatiebureau inleveren maar doe je de reparatie intern. Heb je die optie niet, dan schrijft je de laptop af, of je stuurt hem op zijn minst zonder harde schijf op ter reparatie, zodat je de lak er toch al zelf afgehaald hebt.
01-01-2014, 17:06 door Anoniem
ik maak zelf al jaren het patroontje met 2 kleurenlak. Ergens op vakantie gekocht in de hoop dat ze hier nergens verkrijgbaar zijn.
Schroeven op toetsenbord thuis en op kantoor ook. (security industrie).
foto-tool wel handige toevoeging idd.
01-01-2014, 22:46 door [Account Verwijderd] - Bijgewerkt: 01-01-2014, 22:46
[Verwijderd]
02-01-2014, 12:52 door SPlid
Beste mensen, weliswaar is het geen security issue (Integriteit/Vertrouwelijkheid) maar wel een beschikbaarheids issue.
Nagellak bevat vluchtige oplosmiddelen zoals bv. aceton of amylacetaat. Een laptop bevat veel plastic componenten, ik weet niet zeker of dit goede combinaties zijn. Als je ergens nagellak op smeert zal de damp ook je laptop intrekken en mogelijk pas na verloop van tijd componenten beschadigen .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

7 reacties
Aantal stemmen: 615
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter