Hackers hebben hoofdsleutels gemaakt voor door TSA goedgekeurde sloten, en de TSA kan het niet schelen

TSA-slot2

Jarenlang heeft de Amerikaanse TSA (dat is de Transportation Security Agency, een divisie van Homeland Security) aanbevolen dat reizigers in de Verenigde Staten hun bagage kopen en uitrusten met een TSA-goedgekeurd slot. De ogenschijnlijke reden hiervoor is dat het agentschap onmiddellijk toegang heeft tot uw tas in het geval dat het uw bagage moet inspecteren, in plaats van dat agenten het slot fysiek moeten doorknippen om de inhoud te inspecteren. Nu heeft een team van hackers aangetoond dat de zeven hoofdsleutels die gezamenlijk elk TSA-goedgekeurd slot openen dat ooit is vervaardigd, zijn verbroken.

Eerst wat achtergrondinformatie. In 2003 introduceerde Travel Sentry een nieuw type TSA-goedgekeurd slot met een ingebouwde achterdeur. Een TSA-agent, gewapend met het juiste gereedschap, zou het slot kunnen openen, het item kunnen inspecteren en vervolgens de bagage op weg kunnen sturen. Het hele systeem was bedoeld om ervoor te zorgen dat ambtenaren nog steeds bagage konden doorzoeken zonder de consument te dwingen al hun beveiliging op te geven.



De TSA heeft passagiers aanbevolen deze sloten meerdere keren te gebruiken, ondanks de groeiende bezorgdheid dat de apparaten mogelijk gecompromitteerd zijn. Deze week Ars Technica bewezen dat 3D-printen zou kunnen worden gebruikt om nieuwe hoofdsleutels af te drukken, waardoor het hele punt van het kopen van een TSA-sleutel in de eerste plaats (althans wat de beveiliging betreft) overbodig is. Toegegeven, bagage is niet bijzonder veilig, met of zonder sleutel, omdat bagage met zachte zijkanten kan worden doorgesneden of de ritssluiting kan worden aangetast, maar het is nog steeds gênant voor een organisatie die zichzelf als de gouden standaard beschouwt in beveiliging theater veilig reizen.



Oeps

Oeps

De onderschepping nam contact op met de TSA om te ontdekken hoe de organisatie van plan was te reageren op het nieuws en ontdekte dat het echt niets kon schelen. 'De gerapporteerde mogelijkheid om sleutels voor TSA-goedgekeurde koffersloten te maken op basis van een digitale afbeelding, vormt geen bedreiging voor de luchtvaartbeveiliging', schreef TSA-woordvoerder Mike England in een e-mail aan The Intercept.



'Deze consumentenproducten zijn apparaten voor 'gemoedsrust' en maken geen deel uit van het luchtvaartbeveiligingsregime van TSA', schreef Engeland.

Het behoeft geen betoog dat de TSA nooit 'gemoedsrust' heeft genoemd als reden om een ​​specifieke, door TSA goedgekeurde sleutel te kopen. Maar er staat hier meer op het spel.

Achterdeur metafoor

Het probleem met de TSA-sleutel is dat deze vertrouwde op het idee dat alleen de 'juiste' mensen (lees: TSA-functionarissen) toegang zouden hebben tot de juiste sleutels. Zolang dat waar was, was bagage aantoonbaar veilig (hoewel de TSA in de loop der jaren in verschillende blogposts zijn eigen problemen met diefstal heeft erkend). Zodra een enkele foto echter liet zien hoe de sleuteltanden een patroon hadden, was de kat uit de tas.



Dit is de reden waarom achterdeurversleuteling van het soort dat door verschillende overheidsinstanties wordt onderschreven, zo ongelooflijk gevaarlijk is. In de echte wereld worden sleutels gefotografeerd, ontdekken spionnen codes en lekken ze codes, en zelfs cryptografische systemen van het hoogste niveau, zoals de Duitse Enigma van WO II, kunnen teniet worden gedaan door slechte beveiligingspraktijken, een gebrekkige werking of een toevalstreffer. Hackers hebben bewezen bedreven te zijn in het aan elkaar koppelen van persoonlijke informatie om aanvallen op individuen uit te voeren door de zwakke punten van meerdere services te misbruiken. Luchthavenbagage lijkt misschien voetganger in vergelijking met de geavanceerde hacks die over het moderne internet zwermen, maar spear phishing - de praktijk om gebruikers voor de gek te houden om kritieke gegevens over zichzelf te onthullen aan een persoon die volgens hen een legitiem bedrijf vertegenwoordigt - is springlevend. De apparaten die we vergrendelen, zijn misschien radicaal anders, maar de principes die ervoor zorgen dat ze worden beveiligd, zijn niet zo erg veranderd.

Ontdekken dat de TSA-sloten net zo waardeloos zijn als je waarschijnlijk dacht dat ze je leven niet zouden veranderen, maar het is een praktisch voorbeeld van hoe achterdeurtjes de beveiliging van een systeem onmiddellijk kunnen vernietigen.

Copyright © Alle Rechten Voorbehouden | 2007es.com