Hackers publiceren TSA-loper voor openen van koffers
Hackers zijn erin geslaagd de loper van de Amerikaanse Transportation Security Administration (TSA) na te maken die wordt gebruikt voor het openen van door de TSA erkende sloten en hebben de blauwdruk ervan online gezet. De TSA is belast met veiligheidscontroles op Amerikaanse vliegvelden.
Om bagage te inspecteren heeft de overheidsdienst de bevoegdheid om sloten van koffers en tassen te forceren. In het geval het om een door de TSA erkend en geaccepteerd slot gaat kan die via een loper zonder schade worden geopend. Drie hackers genaamd DarkSim905, Johnny Xmas en Nite 0wl hebben de "Safe Skies" loper nagemaakt en de blauwdruk hiervan gepubliceerd, zodat iedereen met een 3d-printer een eigen loper kan maken. Eind vorig jaar werden er ook al blauwdrukken van een andere loper gepubliceerd, de Travel Sentry. Met de publicatie van de Safe Skies-loper zijn nu alle lopermodellen openbaar gemaakt.
Dat lieten de hackers vorige week tijdens de Hackers On Planet Earth! (HOPE) conferentie in New York City zien. Safe Skies is een fabrikant van de door TSA erkende sloten. Daarnaast is er nog Travel Sentry, maar deze partij maakt geen eigen sloten. Het bedrijf beheert een systeem van sleutels die kunnen worden gebruikt als standaarden voor andere slotenfabrikanten. De hackers willen met de publicatie het risico van overheidsbackdoors via een metafoor bij het grote publiek duidelijk maken. Namelijk wat het gevaar is als een derde partij die regelmatig wordt aangevallen over het gereedschap beschikt om al je spullen te doorzoeken, zo laten ze tegenover CSO Online weten.
Volgens de hackers introduceert een systeem zoals een 'key escrow', waarbij een partij over een meestersleutel of loper beschikt, een groter aanvalsoppervlak waar een aanvaller gebruik van kan maken en geeft een derde partij volledige controle over de veiligheid. "Tot hoe ver kun je deze derde partij vertrouwen? Als ze oneerlijk of hebzuchtig zijn kunnen ze je eigendommen stelen of je gevoelige informatie zonder je medeweten of toestemming benaderen", aldus Nite 0wl. Zelfs als de derde partij volledig is te vertrouwen moet zijn veiligheid minstens net zo goed zijn als die van de gebruiker, anders is het handiger voor een aanvaller om de derde partij aan te vallen in plaats van zich direct op het systeem of de gebruiker te richten.
Vorig jaar verschenen er al TSA sleutels in 3D.
Voor bage met ritsen heeft een slot weinig zin de rits kan opengemaakt worden met een balpen en daarna weer gesloten worden zonder dat er schade onstaan is.
Een alternatief zou kunnen zijn een plunjebaal als hoes met hangslot dat niet door de TSA is goedgekeurd. (bv Abloy)
https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
Zoals karma4 zegt, stop geen waardevolle spullen in bagage die je niet zelf in de gaten kunt houden.
https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
Ja, dat er foto's en 3D-modellen beschikbaar zijn voor de lopers van TSA-erkende sluitclips ("sloten" is een licht overdreven term voor die dingen, maar ze zijn dan ook slechts om een rits of zo mee vast te maken. In een 30cm hoog tuinhekje zet je ook geen high-security cilinder van >100 euro).
Maar is is wel iets nieuws.
Al lang geleden gepubliceerde loperset van Travel Sentry (grootste club (meerdere fabrikanten) die TSA-erkende sluitclips op de markt brengt, dit zijn die waar "TSA001" t/m "TSA007" naast het sleutelgat staat). Nu is ook de (enkele) loper van de veel kleinere speler Safe Skies (met "Safe Skies" naast het sleutelgat) gepubliceerd (dit staat fout in het artikel, Safe Skies is niet de (enige) fabrikant van TSA-erkende sloten). Leuk voor loperverzamelaars; verder niet zo schokkend.
https://www.wired.com/2015/09/lockpickers-3-d-print-tsa-luggage-keys-leaked-photos/
Er zijn verschillende sleutels, zoals in het oorspronkelijke bericht ook al werd vermeld.
Voor bage met ritsen heeft een slot weinig zin de rits kan opengemaakt worden met een balpen en daarna weer gesloten worden zonder dat er schade onstaan is.
Ik zet het slot aan de rits vast en aan een vast onderdeel van de koffer. De truuk met de balpen gaat er vnauit dat je het slot helemaal beide kanten op kunt bewegen.
Peter
Zoals karma4 zegt, stop geen waardevolle spullen in bagage die je niet zelf in de gaten kunt houden.
Als het om een kluisje bij de Media Markt zou gaan, zou ik het daarmee eens zijn. Voor hun kluisjes, tien (of meer) alternatieven. Maar die situatie gaat hier niet helemaal op. Je hebt nu eenmaal de alternatieven voor ruimbaggage, of voor wat dat aangaat voor vliegen, niet altijd voor het uitzoeken. En dan neigt een dergelijke opmerking tot een slap excuus om de zorgplicht te ontduiken.
Helaas. Maar in de praktijk zal een rechter ook in die situatie uitgaan van de stelling: Wie beschuldigt, bewijst. Dat zou je misschien kunnen met het ruwe bewijsmateriaal ter plaatse (timelining), maar zo lang je alleen maar een vage verdenking hebt, wegen andere belangen (privacy, economisch belang etc.) zwaarder. Die vlieger gaat dus niet op.
Nee, doe mij maar een niet-TSA approved slot. Niet alleen is het ronduit knullig om mensen in je baggage te hebben rotzooien omdat de organisaties die zeggen je te willen beschermen vrolijk de sleutels door de Washington Post te laten fotograferen (!!: https://twitter.com/sehnaoui/status/634740838673702912?s=09), maar zoals al opgemerkt heeft de braakschade een bewijzende functie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.