Category Archives: InfoSec Archive

Bewaker hackt ziekenhuiscomputers

Een beveiligingsbeambte van een Amerikaans ziekenhuis is door de FBI gearresteerd wegens het hacken van verschillende ziekenhuiscomputers. De 25-jarige Jesse William McGraw, ook bekend als GhostExodus en PhantomExodizzmo, was leider van de hackergroep “Electronik Tribulation Army”. Hij wist toegang tot verschillende machines te krijgen, waaronder die de ventilatie en airconditioning regelden en patiëntgegevens bevatte. Volgens de aanklacht vormde het hacken van de ventilatie en airconditioning een beveiligingsrisico voor de patiënten.

Het ziekenhuis in kwestie bevindt zich in Texas en als de koeling door de aanval defect was geraakt, had dit nare gevolgen kunnen hebben. Ook de medicijnen die in het ziekenhuis waren opgeslagen liepen hierdoor gevaar. McGraw maakte filmpjes van hoe hij de systemen hackte en wilde de gehackte computers gebruiken voor het uitvoeren van een Distributed Denial of Service aanval (DDoS).

"Wie kraakt mijn wachtwoord als ik sterf?"

Langzaam maar zeker begint encryptie in steeds meer apparaten standaard te worden, maar wat als de eigenaar overlijdt, hoe komen de nabestaanden dan nog bij de data? Binnen een paar jaar zullen de meeste harde schijven gegevens kunnen versleutelen en ook programma’s als Windows BitLocker maken het eenvoudig om gegevens tegen buitenstaanders te beschermen. E-mail, foto’s, rapporten en brieven, alles is tegenwoordig digitaal. Het opschrijven van een passphrase om de gegevens mee te ontsleutelen is geen optie, wat het lastig maakt als de persoon in kwestie er niet meer is.

Cory Doctorow worstelde met dit probleem, aangezien hij zijn passphrase ook niet aan zijn vrouw of executeur wilde geven. Niet alleen is dat beter voor de passphrase, in veel landen is er wettelijke bescherming die voorkomt dat iemand zijn of haar encryptiesleutel moet afstaan. Een bescherming die minder sterk is als de sleutel bij meerdere mensen bekend is.

Shamir’s Secret Sharing Scheme
Doctorow overwoog Shamir’s Secret Sharing Scheme (SSSS), waarbij je een sleutel in verschillende delen deelt. Je zou de sleutel in tien stukjes kunnen splitsen en aan tien vrienden of kennissen geven. Dit zou echter voor de meeste mensen te complex zijn. Daarnaast zou het mogelijk zijn om, als je een deel van de mensen bij elkaar weet te krijgen, de sleutel te achterhalen. “En ik moet al die tien mensen de rest van mijn leven volgen, om er zeker van te zijn dat de sleutel te achterhalen is.”

Oplossing
Als oplossing bedacht de in Engeland woonachtige Doctorow dat hij zijn passphrase in tweeën deelt. De ene helft krijgt zijn vrouw, de andere helft de advocaat van zijn ouders in Toronto. Een bevel van een Britse rechter is niet op de advocaat van toepassing. In het geval de sleutel “heel” moet worden, kan de advocaat zijn deel mailen, doorbellen of naar Engeland vliegen om hem daar te vertellen.

Toch is ook deze oplossing niet waterdicht. “Wat doet mijn vrouw om haar deel van de sleutel te beschermen als ze met mij overlijdt?” In dit geval zou die aan een advocaat in Groot-Brittannië moeten worden toevertrouwd. Daarnaast moet de sleutel ook nog naar de advocaat toe. Daarvoor maakte hij een lijst met instructies die hij aan de Canadese advocaat zal overhandigen. Doctorow noemt het opmerkelijk dat er geen standaard oplossingen zijn voor het uitwisselen van sleutels via derde partijen. Hij concludeert. “Als je nog niet je gegevens versleutelt, dan moet je dit doen. En als je dit doet, dan moet je hierover nadenken voordat je door een bus wordt aangereden en je digitale leven in de crypto vergetelheid raakt.”

"Censureren geldautomaat hack in belang publiek"

Het annuleren van een presentatie over het hacken van geldautomaten is in het belang van het algemeen publiek, zo laat netwerkbedrijf Juniper weten. Het reageert op de onthulling dat de live demonstratie van werknemer en onderzoeker Barnaby Jack tijdens de Defcon hackerconferentie niet doorgaat. In eerste instantie had Juniper hier geen problemen mee, maar kwam hier later op terug. Barnaby heeft een manier gevonden zodat hij geldautomaten biljetten kan laten uitspugen.

Volgens de netwerkleverancier heeft het beveiligingslek dat Barnaby ontdekte vergaande gevolgen, aangezien ALLE fabrikanten van geldautomaten kwetsbaar zijn, wat uiteindelijk ook het publiek raakt. Door het geven van de demonstratie voordat alle fabrikanten hun machines konden repareren, zouden gebruikers van geldautomaten risico lopen. “Dat is iets wat we niet willen zien gebeuren”, aldus Juniper op het bedrijfsblog. Aangezien fabrikanten het probleem niet binnen vier weken kunnen oplossen, komt daarmee de presentatie van Barnaby te vervallen.

“We zijn niet zo maar tot deze beslissing gekomen. We vinden dat Barnaby’s onderzoek belangrijk is voor de ontwikkeling van security en in een open forum besproken moet worden. Juniper is voorstander van het op verantwoorde wijze melden van beveiligingslekken en het publiek hier tegen te beschermen. We kijken ernaar uit om op z’n tijd onze bevindingen met de security gemeenschap te delen, en wees gerust, dat zal zeker gebeuren.”

Conficker worm vernietigt 1600 verkeersboetes

1609 Britse verkeersovertreders mogen de makers van de Conficker worm dankbaar zijn, aangezien de worm ervoor heeft gezorgd dat ze geen boete krijgen. De worm wist in februari het stadhuis van Manchester te infecteren. De daarop volgende computerproblemen zorgde ervoor dat een aantal verkeersboetes niet binnen de geldende termijn van 28 dagen werden verstuurd, waardoor ze vervielen. Het ging om automobilisten die op de busbaan hadden gereden. Door het niet kunnen innen van de boetes, loopt de stad 50.000 euro mis. In totaal veroorzaakte Conficker een schade van 1,75 miljoen euro.

Daarvan komt 1,4 miljoen op rekening van de automatiseringsafdeling. Die moest experts van Microsoft over laten komen om het probleem op te lossen, wat 700.000 euro kostte. Verder ging 210.000 op aan het inzetten van extra personeel in het stadhuis, waaronder 200.000 euro voor het verwerken van de achterstallige administratie. Naast alle kosten is het personeel verboden om voortaan USB-sticks mee te nemen en zijn alle USB-poorten uitgeschakeld, aangezien de worm zich waarschijnlijk op deze manier verspreidde.