Een van de doeleinden van Black Hat is problemen begrijpen en erachter te komen hoe ze kunnen worden opgelost om ons allemaal te helpen veiliger te zijn. Schuilen achter een zwarte doos in de hoop dat niemand het zal hacken, is onverstandig en minder veilig gebleken. Hopelijk zijn de mensen verantwoordelijk voor de communicatie waarin we vertrouwen hebben voor hulp bij kritieke gebeurtenissen, niet zomaar onwetende slachtoffers.
Zich verstoppen achter een zwarte doos in de hoop dat die niet gehackt wordt, is roekeloos en onzeker gebleken.
18 augustus 2023 – We hebben al artikels gelezen over het hacken van radiosystemen voor wetshandhaving. Bij het bijwonen van de sessie over het onderwerp tijdens Black Hat 2023 kan men zich alleen maar afvragen wat de motivatie voor dit type aanval is. Jaren geleden was alles veranderen een prioriteit. Maar binnenkort moeten we ons verwachten aan meer aanvallen, van het soort waar men misschien niets over hoort.
Aanvallen op kritieke infrastructuur
Bij de eerste aanvallen op kritieke infrastructuren vroegen we ons af of ze slechts punctueel waren of er wellicht meer zouden volgen. Later begreep iedereen dat de dreiging reëel was, zeker voor aanvallers met ideologische motieven, zoals tijdens oorlogsoperaties.
Ransomware was een natuurlijke uitbreiding, maar het roept een andere vraag op over nationaal gemotiveerde aanvallers die zo lang mogelijk onopgemerkt informatie willen verzamelen. Bij uitbreiding stelt het ook de vraag over wie er al op netwerken voor wetshandhaving zit.
Legacy-netwerken, die in veel robuuste communicatieomgevingen gebruikt worden, zullen naar verwachting tientallen jaren blijven werken – zelfs bij een natuurramp – net als dammen, waterzuiveringsinstallaties, enz. Ze zijn meer begaan met betrouwbaarheid, maar beduidend minder met veiligheid. Zelfs als hun beveiliging plotseling een prioriteit zou worden, is het niet zeker dat deze systemen, en meer specifiek oudere legacy-systemen, over de middelen beschikken om beveiliging, op significante wijze, op een hoog niveau te implementeren.
Huiverige vendors
Op de conferentie sprak een van de presentatoren over de algemene terughoudendheid van het team van de Tetra radiosystemen om iets anders te gebruiken dan eigen codering – wat de presentatoren op verschillende manieren terzijde schoven. Het The European Telecommunications Standards Institute (ETSI) was van mening dat het hebben van obscure, eigen codering veel veiliger leek dan het gebruik van een open en algemeen goedgekeurd algoritme, zelfs als het meerdere zwakke punten vertoont.
Ze presenteerden ook bewijsmateriaal dat natiestaten grote interesse hadden getoond in, en mogelijk toegang hadden tot, op Tetra gebaseerde apparatuur in contexten van nationale veiligheid. Dus dit is echt niets nieuws, het is gewoon obscuur.
Een van de obstakels voor onderzoekers om naar de apparatuur te kijken, is de extreme onwil van hardwareleveranciers om toegang te verlenen tot hardware en software. Weinig onderzoekers hebben het nodige budget om grote bedragen uit te geven om de kans te krijgen te bewijzen dat er problemen zijn. Daarom doen ze het niet. Dit betekent dat enkel natiestaten, die het grootste potentiële belang hebben, voldoende gemotiveerd zouden zijn… om er “gebruik” van te maken, maar niet om het op te lossen.
Met de steeds dreigender wereldwijde omgeving rond de export van technologie die door een toekomstige vijand kan gebruikt worden, is er een huiveringwekkend effect op de waarschijnlijkheid dat de beste codering op grote schaal zal gebruikt worden (Tetra-radio’s zijn bijna overal ter wereld aanwezig in de ene of andere vorm) wegens exportbeperkingen die zo de toekomstige veiligheid nog verder zouden kunnen verminderen.
Een van de doeleinden van Black Hat is problemen begrijpen en erachter te komen hoe ze kunnen worden opgelost om ons allemaal te helpen veiliger te zijn. Schuilen achter een zwarte doos in de hoop dat niemand het zal hacken, is onverstandig en minder veilig gebleken. Hopelijk zijn de mensen verantwoordelijk voor de communicatie waarin we vertrouwen hebben voor hulp bij kritieke gebeurtenissen, niet zomaar onwetende slachtoffers.