image

Digitale slotenmaker dreigt onderzoeker wegens ontdekte lekken

donderdag 7 mei 2015, 08:03 door Redactie, 13 reacties

Een fabrikant van digitale sloten heeft een onderzoeker van beveiligingsbedrijf IOActive met mogelijke stappen gedreigd wegens de publicatie van kwetsbaarheden in één van de producten. CyberLock levert zwaarbeveiligde sloten en cilinders, waaronder de CyberKey. Dit is een digitale sleutel die volgens de slotenmaker niet te klonen is en voor allerlei belangrijke omgevingen kan worden gebruikt.

Onderzoeker Mike Davis ontdekte echter dat de sleutels eenvoudig te klonen zijn en nieuwe sleutels eenvoudig aan de hand van verloren cilinders en sleutels zijn te maken, ongeacht de permissies die aan de sleutel zijn toegekend. Daarnaast bleek dat de tijdsrestrictie door de sleutel wordt gehandhaafd en niet de cilinder, waardoor een aanvaller op elk moment van de dag toegang kan krijgen, ongeacht de configuratie.

Davis waarschuwde CyberLock op 31 maart van dit jaar en stuurde in totaal zes herinneringen naar verschillende afdelingen. Daarin had de onderzoeker laten weten dat hij de advisory met zijn bevindingen over een maand zou publiceren. Hij kreeg echter geen reactie. Een dag voor de publicatiedatum van 30 april ontving Davis een brief van een advocatenkantoor dat door CyberLock in de arm was genomen. In de brief werd de onderzoeker gevraagd om de kwetsbaarheden niet te publiceren totdat ze verholpen waren. Ook werd er gedreigd dat het onderzoek mogelijk in strijd met de Digital Millennium Copyright Act zou zijn.

Tweede brief

De onderzoeker besloot de advisory (pdf) toch te publiceren, waarop er een tweede brief van het advocatenkantoor volgde. Daarin werd gesteld dat het rapport van de onderzoeker niet volledig was en er belangrijke zaken ontbraken. Ook zouden de bevindingen van Davis niet voor alle producten van CyberLock gelden. Verder zou het bedrijf continu firmware-updates uitbrengen om gevonden problemen te verhelpen. Het advocatenkantoor schrijft daarnaast dat het onderzoek niet door het publiek is uit te voeren en specialistische kennis en kostbare tools vereist.

Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren. In een reactie zegt Davis dat hij best de deadline had willen verschuiven, maar dat CyberLock ervoor koos om een advocaat in te schakelen in plaats van contact te leggen met het beveiligingsbedrijf.

Reacties (13)
07-05-2015, 09:19 door Anoniem
Gewoon onder een anoniem account de wereld in slingeren.

Als je een beveiligings product levert of pretendeert dat iets veilig is, dan heb je dat onderzocht toch?? Als het vervolgens zo lek als een mandje is en je daar via responsible disclosure op gewezen wordt dan verdien je op zijn minst naming and shaming . Persoonlijk hoop ik dat goed werkende concurrentie zulke bedrijven de markt uit werken. Dan zijn we allemaal weer iets veiliger...
07-05-2015, 09:46 door Anoniem
Dit is natuurlijk weer een schoolvoorbeeld van domheid en arrogantie van deze slotenmaker.
07-05-2015, 10:32 door Anoniem
Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren.

Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.

Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.
07-05-2015, 11:33 door Anoniem
CyberKey moet oprotten, ze hebben ruim de tijd gehad om met deze onderzoeker rondt de tafel te zitten om uit te vissen wat er mis is, en of er wel iets mis is of niet.
CyberKey heeft gewoon verzuimt om contact op te nemen, en moet nu op de blaren zitten...
Wat een idioten...
07-05-2015, 13:20 door Anoniem
Door Anoniem: Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren.

Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.

Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.

Nonsens. Cyberkey had op z'n minst kunnen reageren en 'm bedanken voor de heads-up. Samen met de mededeling dat ze de 30 dagen niet zouden halen, had er dus niets aan de hand hoeven zijn. Naming and shaming is zeker op z'n plaats.
07-05-2015, 16:03 door Anoniem
http://cyberlock.com/case-studies/amsterdam-metro
07-05-2015, 16:26 door Anoniem
Door Anoniem: Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren.

Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.

Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.

Iedereen weet dat je met mail documentatie in handen hebt die als bewijs kan worden gebruikt.
Bij telefonisch contact ontbreekt dit en heb je niets in handen.
07-05-2015, 16:52 door Anoniem
Door Anoniem: Een ander punt in de brief gaat over de gehanteerde deadline van 30 dagen en dat IOActive mogelijk een uitgebreider rapport met werkende exploit voor de CyberKey zal publiceren.

Dat is ook niet netjes inderdaad.
En als je enkel mailt, ik bedoel je kan ook natuurlijk even bellen.
Zo kom je veel makkelijker bij de juiste persoon uit.

Media aandacht hongerige researchers, altijd leuk maar meer een dreiging als een goed.

Hij heeft meerdere pogingen gedaan om in contact te komen. CyberKey heeft die mail gehad. CyberKey heeft echter besloten om niet naar hem te reageren, maar de tijd te laten verstrijken door een advocaat in te schakelen. Dat heeft hen meer tijd en geld gekost dan een mail aan IOActive.

peter
07-05-2015, 17:22 door softwaregeek
Het is als de Titanic die niet kon zinken; als je als fabrikant zegt dat een cyberslot niet te kraken is, moet je niet gek staan te kijken als iemand het probeert en er in slaagt!
07-05-2015, 21:23 door EKTB
Door Anoniem: http://cyberlock.com/case-studies/amsterdam-metro
Grammaticaal correct Engels is ook moeilijk voor die stumperts bij Cyberluck.
We have not had to adjust a single lock,
08-05-2015, 07:33 door [Account Verwijderd]
[Verwijderd]
08-05-2015, 08:32 door Anoniem
Vrij vertaald: ze verkopen crap en de wereld mag het niet weten, want dat is slecht voor de business.

Goede actie dat er toch gepubliceerd wordt. Niet dat de gebruikers er wat aan gaan doen, maar ze hadden het kunnen weten...
09-05-2015, 20:58 door Anoniem
Door Anoniem: Gewoon onder een anoniem account de wereld in slingeren.

Als je een beveiligings product levert of pretendeert dat iets veilig is, dan heb je dat onderzocht toch?? Als het vervolgens zo lek als een mandje is en je daar via responsible disclosure op gewezen wordt dan verdien je op zijn minst naming and shaming . Persoonlijk hoop ik dat goed werkende concurrentie zulke bedrijven de markt uit werken. Dan zijn we allemaal weer iets veiliger...[/quote]
Dan loopt hij zijn 'gehoopte vergoeding' denk ik mis???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.