image

Hacker: floppydisks voor kernwapens geen probleem

zondag 29 mei 2016, 10:43 door Redactie, 26 reacties

Deze week verscheen er een rapport (pdf) van een Amerikaanse overheidsinstantie dat ervoor de kernwapens in het land nog steeds floppydisks worden gebruikt. Dit zorgde voor verbaasde reacties, maar is op zich geen probleem, zo stelt de bekende hacker Cris Thomas, beter bekend als Space Rogue.

Thomas was als Space Rogue lid van het hackerscollectief L0pht. "Het grootste beveiligingsprobleem hier is niet dat de computer 40 jaar oud is, maar meer de kwaliteit van het slot op de deur waar de computer zich bevindt", zo laat hij tegenover Business Insider weten. Voor de besturing van de kernwapens wordt een IBM Series/1-computer gebruikt. De kans is groot dat deze niet met het internet of andere netwerken verbonden is, aldus Thomas. Een hacker die schade wil aanrichten moet dan ook fysiek toegang tot de machine hebben.

Daarnaast zijn deze computers volgens de hacker zeer betrouwbaar. Het is dan ook geen verrassing dat ze nog steeds worden gebruikt. "Zolang ze regelmatig kopieën van de software op floppy's kunnen maken om te voorkomen dat ze worden aangetast, en ze hebben een voorraad reserveonderdelen, dan is er geen reden waarom het systeem niet nog eens 40 jaar kan meegaan", aldus Thomas. Er is echter één maar. Hoewel de computer lastiger is te hacken, is het ook lastiger om problemen te verhelpen mocht er iets misgaan. Er zijn steeds minder programmeurs die oude computertalen zoals Cobol of Fortran beheersen die voor dit soort systemen worden gebruikt.

Reacties (26)
29-05-2016, 11:17 door [Account Verwijderd]
Voor de besturing van de kernwapens wordt een IBM Series/1-computer gebruikt. De kans is groot dat deze niet met het internet of andere netwerken verbonden is,...

Laten we het hopen...
29-05-2016, 11:46 door Erik van Straten
Op zolder heb ik nog 5,25" floppydrives en een oude PC staan (en een 3,5" USB drive), voor het geval dat ik ooit bij een klant oude gegevens moet recoveren.

Het is natuurlijk een illusie om te denken dat kwaadwillende, gerichte aanvallers, geen spullen op zolder hebben en dus dat antieke systemen je veiliger zouden maken.
29-05-2016, 12:04 door Anoniem
Door Erik van Straten: Op zolder heb ik nog 5,25" floppydrives en een oude PC staan (en een 3,5" USB drive), voor het geval dat ik ooit bij een klant oude gegevens moet recoveren..

Dan hoop ik voor jou dat je niet de 5,25" floppen in die USB drive gaat proberen te steken. Past niet echt.
Controleer je de floppen regelmatig op bitrot?
29-05-2016, 12:31 door Anoniem
Door Erik van Straten: Op zolder heb ik nog 5,25" floppydrives en een oude PC staan (en een 3,5" USB drive), voor het geval dat ik ooit bij een klant oude gegevens moet recoveren.

Het is natuurlijk een illusie om te denken dat kwaadwillende, gerichte aanvallers, geen spullen op zolder hebben en dus dat antieke systemen je veiliger zouden maken.

Zeer waarschijnlijk zijn het gemodificeerde systemen van IBM, die speciaal voor betreffende taak ontwikkeld zijn. Van dergelijke systemen zijn er gen in open markt te vinden.
29-05-2016, 12:37 door Anoniem
Zeer tendentieus allemaal. Het artikel op http://www.techinsider.io/government-tech-antique-2016-5 doet net alsof het allemaal bagger is, die oude systemen. Wat boeit het alsof een "50 jaar oude programmeertaal" gebruikt is op een moderne PC? In de eerste plaats is het niet meer dezelfde taal als 50 jaar geleden. Je klaagt toch ook niet dat de gebruikersdocumentatie geschreven is in een 400 jaar oude taal, het Engels? Het gaat om de implementatie uiteindelijk. Het artikel noemt ook nog Cobol als "oude " taal, maar ook daar zijn moderne versies van beschikbaar (zelfs met OO).

En dan nog, ook al is de code heel oud, die is dan blijkbaar wel heel goed en bugvrij. Laat je dat opnieuw coderen door een jonge programmeur met weinig ervaring, klikkerdeklik, dan is die code waarschijnlijk erg buggie. "Oude" assembly of Fortran heeft geen side-effects, je weet precies wat er gebeurd op de CPU. Voor je het weet is WO3 begonnen door een codeerfout.

Verder vertalen al die oude programmeertalen rechtstreeks naar native assembly. Ze hebben geen onderliggende C-gebaseerde runtime zoals Perl, en dus ook geen last van alle issues daarmee.
29-05-2016, 12:55 door wizzkizz
Door Erik van Straten: Op zolder heb ik nog 5,25" floppydrives en een oude PC staan (en een 3,5" USB drive), voor het geval dat ik ooit bij een klant oude gegevens moet recoveren.

Het is natuurlijk een illusie om te denken dat kwaadwillende, gerichte aanvallers, geen spullen op zolder hebben en dus dat antieke systemen je veiliger zouden maken.
Dat is waar, maar het omgekeerde is ook waar: het is niet persé slecht of onveilig omdat het oud is. En dat is een argumentatie die je als reactie op het oorspronkelijke bericht her en der best wel zag.

Er is een reden dat NASA gebruik maakt van apparatuur die wij 20 jaar geleden al weggegooid hebben voor hun spullen die de ruimte in gaan. Netzo is er een reden dat de DoD dat ook doet. Upgraden "omdat het kan" is geen argument om het dan maar te doen.

In militaire organisaties merkt je heel erg sterk dat ze dingen doen "omdat we dat altijd al zo deden". Dat kan een grote valkuil zijn, maar als het gaat om automatisering op het slagveld is mijn persoonlijke overtuiging dat je alle moderne en hippe technologie moet gebruiken daar waar deze meerwaarde biedt, maar ook moet beseffen dat die technologie waarschijnlijk kwetsbaarder is dan je denkt. En kun je nog steeds je operaties uitvoeren die technologie je (tijdelijk) in de steek laat?
29-05-2016, 13:41 door Anoniem
Een van de belangrijkste IT lessen:

If it aint broke, don't fix it.

Wil niet eens weten hoeveel systemen ik door de jaren in m'n handen heb gehad omdat iemand 't nodig vond om:
- hardware/software te upgraden
- 't OS te optimaliseren (registry tools ftl)

Geef zelf nog altijd ondersteuning op 'n compaq exd met win98 omdat 'n meetinstrument nergens anders mee overweg kan en vervanging geen optie is. (stand alone, usb disabled) En heb idd 2 klonen van dat systeem op de plank liggen voor 't geval dat Murphy langskomt.
29-05-2016, 14:12 door Anoniem
Door wizzkizz:
[..]het is niet persé slecht of onveilig omdat het oud is.
[...]
Er is een reden dat NASA gebruik maakt van apparatuur die wij 20 jaar geleden al weggegooid hebben voor hun spullen die de ruimte in gaan. Netzo is er een reden dat de DoD dat ook doet. Upgraden "omdat het kan" is geen argument om het dan maar te doen.
[..]
En kun je nog steeds je operaties uitvoeren die technologie je (tijdelijk) in de steek laat?

En nu de politiek nog laten begrijpen dat deze argumentatie ook opgaat voor "de modernisering" van het stemproces.

If it ain't broke, don't fix it.
29-05-2016, 14:16 door Anoniem
Een zaak die ik in de lopende discussie nauwelijks ben tegengekomen, is verbindingsbeveiliging. Die oude programmatuur zal ook van verouderde encryptie gebruik maken, zoals (met een beetje geluk) DES, dat al voor de eeuwwisseling werd gekraakt. In 2006 slaagden medewerkers van de universiteiten van Bochum en Kiel er zelfs in DES in gemiddeld een week te kraken met behulp van enkele grafische processoren. De gecodeerde berichten die moeten worden verstuurd gaan niet alleen via kabels, maar ook via radio, denk b.v. aan bommenwerpers in de lucht, en dus kunnen die berichten worden onderschept en heel goed mogelijk worden gekraakt, hetgeen vervolgens de deur opent voor vervalsingen. Er zijn groeperingen die het zouden toejuichen als een onbedoelde Amerikaanse aanval op Rusland of China zou leiden tot wederzijdse vernietiging. In de Jaren '70 had men ook nog geen kennis van goede vercijferingsconstructies. In Crypto 1 van Coursera (Stanford) leert men de cursisten een bericht te ontsleutelen zonder enige kennis van de sleutel, ondanks dat voor de vercijfering ervan 128-bits AES wordt gebruikt, eenvoudig omdat TLS 1.0 een zware fout bevatte: men berekende eerst de MAC (message authentication code) en versleutelde daarna het geheel, hetgeen de zogeheten padding aanval mogelijk maakte. Hier is echt sprake van kriminele nalatigheid, hetgeen de lezer niet moet verbazen, gezien de autoritaire gezagsstructuur in militaire organisaties, waar geen plaats is voor kritiek van de werkvloer.
29-05-2016, 14:42 door karma4 - Bijgewerkt: 29-05-2016, 14:48
Het is niet de kans is groot dat er geen Internet aansluiting is. De betreffende apparatuur stamt uit een tijd dat het niet bestond. Je zult de hardware uitbreiding daarvoor niet vinden.
Het is eerder overwogen om die apparatuur te vervangen. Toen was ook dit een argument om niet te vervangen. Met nieuwe apparatuur weet je nooit zeker wat er over datalijnen gebeurt.

Ban dat de fysieke toegang een probleem is. Dan moet je ook bang zijn dat ze de raketten zelf benaderen. Het is in 1 gesloten complex. De zwakste schakel zit bij de mensen die de bediening moeten doen.
Er zijn rapportages over Google ze eens.

Overigens ibm had zijn eigen netwerktechnologie sna lu pu à gesloten als wat. Pas na 2000 accepteerde ibm dat tcpip de standaard werd.
Het gaat om 8 inch floppen nog voor die van de thuismarkt. Dat er hackers zijn die deze oude technologie eigen zouden maken is zeer onwaarschijnlijk. Geen verdienmodel.
29-05-2016, 15:24 door Anoniem
Gebruik van moderne apparatuur heeft veel nadelen. USB en allerlei andere vormen van toegang tot het systeem. Een BIOS die weer een besturingssysteem op zichzelf is, zelfs met netwerktoegang. De cpu's zijn zeer ingewikkeld, de chip sets idem dito.

Precies bij besturing van kritische systemen heb je eenvoudige en daardoor betrouwbare spullen nodig.
29-05-2016, 15:53 door jefdom
toch wel erg onverantwoord van de militaire kliek,bitrot,vertaalproblemen,hardware niet meer verkrijgbaar zijn militairen aan drugs (is meerdere keren gebeurd in usa en europa)ik voel me echt wel veiliger nu.groetjes jeffdom
29-05-2016, 16:20 door Anoniem
40 jaar oud = 1976. In dat jaar werd nog maar net de eerste 5¼ inch floppy drive geïntroduceerd.
Zal dus inderdaad om de 8 inch voorloper gaan. Stonden te boek als zeer betrouwbaar.
Gingen natuurlijk wel kapot als +5 volt en +24 volt van de voeding per ongeluk verkeerd om werden aangesloten.
(1x zo'n geval ter reparatie aangeboden gekregen: veel TTL logic chips kapot)
Maar op zich dus vrij goed voor lange tijd te onderhouden. Hadden alleen wel een nogal beperkte geheugencapaciteit.
Maar dat was toen de kunst van het programmeren: zoveel mogelijk functionaliteit betrouwbaar in zo weinig mogelijk geheugen proppen. En zolang er aan het systeem niets wordt veranderd, stelt softwareonderhoud ook niet veel voor.
In connectoren werd waarschijnlijk goud gebruikt. Ben wel benieuwd hoe één en ander gesoldeerd is.
Solderingen kunnen na jaren onbetrouwbaar worden. Maar dit hangt ook af van temperatuur en temperatuurvariaties.

Goeroehoedjes
29-05-2016, 16:31 door Anoniem
Tot op heden is het grootste gevaar niet de technologie geweest:
http://www.npr.org/2014/08/11/339131421/nuclear-command-and-control-a-history-of-false-alarms-and-near-catastrophes
29-05-2016, 22:13 door karma4
Dit is de link (CBSnews april 2014) http://www.cbsnews.com/news/whos-minding-the-nuclear-weapons/. Die 60 minuten inkijk op locatie is aardig om te zien (halverwege het artikel).
Als je het negatieve verhaal van http://www.infrastructurereportcard.org/executive-summary/ moet geloven zijn de VS hard aan het afglijden. Kan te maken hebben met het vastzitten van veel kapitaal bij enkele groepen.
30-05-2016, 00:01 door Anoniem
Door Anoniem: Een zaak die ik in de lopende discussie nauwelijks ben tegengekomen, is verbindingsbeveiliging. Die oude programmatuur zal ook van verouderde encryptie gebruik maken, zoals (met een beetje geluk) DES, dat al voor de

Bij elkaar een erg domme post.

Waarom denk je dat men voor kritische militaire systemen gebruik zou maken van een systeem wat (slechts) voor civiele data goedgekeurd was ?
Uberhaupt was het gebruik van software gebaseerde encryptie nauwelijks denkbaar voor ontwerpers van militaire systemen.
Daar werd typisch een doos hardware in een verbindingslijn geplugd.

De kennis van NSA over cryptografie liep zeker in die tijd *decennia* voor op wat er publiek bekend was , en je mag gerust aannemen dat wat er gebruikt werd voor *deze functies* door de NSA ontworpen/goedgekeurd moest zijn - en inderdaad naar hun beste kunnen , en rekening houdend met aanvallen door de beste tegenstanders.

Speculeren over de kwaliteit van militaire cryptografie op basis van de stand van techniek van publiek bekende systemen en fouten kan ik alleen maar erg dom noemen.
30-05-2016, 00:04 door [Account Verwijderd]
Functionaliteit van deze systemen via het Internet? Om veiligheidsredenen zullen de betreffende defensiespecialisten zich hierover niet uitlaten, maar ik vermoed dat er niets via het WWW wordt gecommandeerd met deze systemen.
Wij zijn teveel gefixeerd op Malware en andere gevaren die het Internet met zich kan meebrengen.

Verder ben ik eens met anoniem van 13:41 uur:

If it aint broke, don't fix it.

Waaraan ik nog wil toevoegen: ... but maintain it.
30-05-2016, 00:14 door [Account Verwijderd]
Door Anoniem: 40 jaar oud = 1976. (knip)
Solderingen kunnen na jaren onbetrouwbaar worden. Maar dit hangt ook af van temperatuur en temperatuurvariaties.

Goeroehoedjes

Wat dat betreft ben ik veel meer bevreesd voor soldeerlijnen/punten sinds - pak 'm beet - 2005 dan uit 1977:

Tin Whiskers

https://www.theguardian.com/technology/2008/apr/03/research.engineering

Meest recent is een mededeling uit mijn werkomgeving van een elektrotechnisch installateur die te maken had met IC's, ja die bestaan nog ;) die dit probleem hadden.
30-05-2016, 08:02 door PietdeVries
Het feit dat die systemen kennelijk al 40 jaar draaien zonder dat iemand een raket heeft weten te lanceren lijkt aan te geven dat het een veilig systeem is...
30-05-2016, 10:14 door Anoniem
Er is een reden dat NASA gebruik maakt van apparatuur die wij 20 jaar geleden al weggegooid hebben voor hun spullen die de ruimte in gaan. Netzo is er een reden dat de DoD dat ook doet.

NASA gebruikt oudere apparatuur omdat die minder gevoelig is voor straling. Zou mij niks verbazen dat DoD daar ook belang bij heeft.
30-05-2016, 10:20 door Anoniem
De hoofdreden dat deze technologie wordt gebruik is zijn weerbaarheid tegen EMP. De zelfde reden dat buistransistors worden gebruikt in fighter jets.
Een (vijandig) kernwapen genereert nu eenmaal een sterke elektromagnetische puls.
Door de grootte van de sectoren op de floppy en de grootte van de schakelingen in de IBM zijn ze bestand tegen extreme pieken in voltage waar IC's van doorbranden.
30-05-2016, 11:37 door Anoniem
Door wizzkizz:
Door Erik van Straten: Op zolder heb ik nog 5,25" floppydrives en een oude PC staan (en een 3,5" USB drive), voor het geval dat ik ooit bij een klant oude gegevens moet recoveren.

Het is natuurlijk een illusie om te denken dat kwaadwillende, gerichte aanvallers, geen spullen op zolder hebben en dus dat antieke systemen je veiliger zouden maken.
Dat is waar, maar het omgekeerde is ook waar: het is niet persé slecht of onveilig omdat het oud is. En dat is een argumentatie die je als reactie op het oorspronkelijke bericht her en der best wel zag.

Ik denk dat het zelfs beter is dan tegenwoordig. Toen werd er nog echt tijd besteed aan programmeerwerk. Tegenwoordig moet het allemaal snel af omdat de klant een mooi product wil hebben. Tegenwoordig wordt er geen aandacht besteed aan beveiliging en functionaliteit omdat de klant een mooi product wil hebben.

Peter
30-05-2016, 13:02 door Anoniem
Door Anoniem:
Er is een reden dat NASA gebruik maakt van apparatuur die wij 20 jaar geleden al weggegooid hebben voor hun spullen die de ruimte in gaan. Netzo is er een reden dat de DoD dat ook doet.

NASA gebruikt oudere apparatuur omdat die minder gevoelig is voor straling. Zou mij niks verbazen dat DoD daar ook belang bij heeft.

De 'omdat' is niet helemaal juist. Voor apparatuur die de ruimte ingaat moet NASA (en iedereen die dat doet) componenten gebruiken die bestand zijn tegen de omstandigheden, waaronder hoge(re) stralingsniveaus.

Dat zijn deels componenten daar vanzelf minder last van hebben omdat ze met grotere structuren werken, en deels omdat ze expliciet bescherming hebben. (rad-hard cpus : https://en.wikipedia.org/wiki/Radiation_hardening )

Er is nog een oorzaak/gevolgd relatie : apparatuur voor gebruik in de ruimte moet lang meegaan terwijl maintenance echt onmogelijk is . Het betekent dat er een enorm lange test en validatie procedure is voor alle componenten om echt geen onverwachte bugs te hebben.
De vernieuwingscycli zijn dus heel lang - er is weinig vraag naar rad-hard space rated devices, en het ontwikkelen en valideren van een nieuwere versie (cpu, component) duurt lang en is erg duur .

*vandaar* dat men uitkomt op relatief oude techniek .
In de Pathfinders zit echt wel nieuwere techniek dan in de Voyagers - alleen niet de techniek die 'current' was voor gewoon gebruik op aarde op moment van bouw.
30-05-2016, 16:34 door Anoniem
00:14 door Aha: Wat dat betreft ben ik veel meer bevreesd voor soldeerlijnen/punten sinds - pak 'm beet - 2005 dan uit 1977:

Tin Whiskers

https://www.theguardian.com/technology/2008/apr/03/research.engineering

Meest recent is een mededeling uit mijn werkomgeving van een elektrotechnisch installateur die te maken had met IC's, ja die bestaan nog ;) die dit probleem hadden.

Daar zeg je zoiets. Met die loodvrije soldeer en steeds kleinere IC-behuizingen waarbij de tussenruimte
tussen de aansluitingen maar een fractie van een millimeter bedraagt, is dit zeker iets om rekening mee te houden
in onze tijd. Bedankt voor de link, Aha. ;-)

Voor wat betreft printplaten uit de 60-er/70-er jaren:
in 1950 begon men al met lood toevoegen (wat tinwhiskers tegengaat), en de componenten waren toen een stuk groter evenals de afstanden tussen de aansluitingen. Daar in die periode dus niet zoveel zorgen over.
Kan me niet voorstellen dat ze na de 60-er jaren (toen de eerst 8-inch floppy drive verscheen) bij militaire printplaten
nog whiskergevoelige soldeermethoden hebben gebruikt. (tot 2005 dan, toen lood in soldeer werd uitgebannen;
mij onbekend of ze in militair gebruikte apparatuur sinds 2005 wel of geen lood zijn blijven gebruiken. Wat denk jij?)

Goeroehoedjes
30-05-2016, 18:23 door [Account Verwijderd]
Door Anoniem:
00:14 door Aha: Wat dat betreft ben ik veel meer bevreesd voor soldeerlijnen/punten sinds - pak 'm beet - 2005 dan uit 1977:

Tin Whiskers

https://www.theguardian.com/technology/2008/apr/03/research.engineering

Meest recent is een mededeling uit mijn werkomgeving van een elektrotechnisch installateur die te maken had met IC's, ja die bestaan nog ;) die dit probleem hadden.

Daar zeg je zoiets. Met die loodvrije soldeer en steeds kleinere IC-behuizingen waarbij de tussenruimte
tussen de aansluitingen maar een fractie van een millimeter bedraagt, is dit zeker iets om rekening mee te houden
in onze tijd. Bedankt voor de link, Aha. ;-)

Voor wat betreft printplaten uit de 60-er/70-er jaren:
in 1950 begon men al met lood toevoegen (wat tinwhiskers tegengaat), en de componenten waren toen een stuk groter evenals de afstanden tussen de aansluitingen. Daar in die periode dus niet zoveel zorgen over.
Kan me niet voorstellen dat ze na de 60-er jaren (toen de eerst 8-inch floppy drive verscheen) bij militaire printplaten
nog whiskergevoelige soldeermethoden hebben gebruikt. (tot 2005 dan, toen lood in soldeer werd uitgebannen;
mij onbekend of ze in militair gebruikte apparatuur sinds 2005 wel of geen lood zijn blijven gebruiken. Wat denk jij?)

Goeroehoedjes

Ik vermoed wel (gebruik van lood in soldeermiddel) Militaire technologie staat, heel sec gesteld, los van alles dat qua milieueisen wordt bepaald ten aanzien van produkten die primair en secundair niet als doel hebben te worden gebruikt om een aanvaller uit te schakelen (ik weet even geen andere omschrijving te verzinnen)

Het doel 'heiligt' denk ik alle middelen omdat wapentechnologie in elk opzicht een betrouwbaarheidsfactor moet hebben (bij voorkeur) die aan het onwaarschijnlijk grenst in vergelijking met - in dit geval - consumenten electronica.
30-05-2016, 21:48 door Anoniem
Over betrouwbaar gesproken:
In het Apple Museum in Orvelte draaien bijna 40 jarige computers nog alle dagen en hebben ze meer dan 800 bijbehorende floppy's die het nog allemaal doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.