Et udbredt digitalt låsesystem er ramt af massive sikkerhedsproblemer, der gør det muligt at åbne hoveddøren i mindst 9.000 private boliger landet over med et simpelt hackerangreb.
Læs også: Tusinder af danske boliger står pivåbne for hackere
- emailE-mail
- linkKopier link

Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Scantron mener desuden, at angrebet kræver så specialiseret viden, at kun meget få vil kunne udføre det i praksis.»Som vi forstår det, er der tale om et muligt ulovligt hackerangreb af høj kompleksitet rettet mod et beboersystem. Det forudsætter specialiseret hardware, software kombineret med fagspecifik viden og kompetencer inden for MIFARE Classic kort. En kombination af specifikke forudsætninger som vil være sjælden,«
Hvis nu virksomheden havde brugt de sidste 9 måneder på at fikse problemet og på at hjælpe kunderne videre. Så kunne man tage ovenstående en smule seriøst. Men alt hvad der mangler lige nu er at en 15 årig laver en youtube video om problemet. Så kan alle gøre det.
Når det er sagt er det vigtigt at dele problemet op:
- Mulighed for at kopiere nøglebrikker. Dette er ikke i sig selv noget stort problem hvis man har en fornuftig audit og udskiftningskultur. Hvis man ikke låner sin egen nøgle ud til andre men i stedet laver nye hver gang med begrænset levetid så er problemet til at overse.
- Mulighed for nemt at lave universalnøgler ud fra en almindelig nøgle. Her har virksomheden helt klart lavet en absurd idiotisk løsning. Det er ganske enkelt svært at forstå at nogen kunne tænke at det ville være sikkert. Alas, det virker som et problem en almindelige software opgradering kan fikse.
I øvrigt er sikkerheden ved fysiske universalnøgler også meget begrænset. Det er uforståeligt at folk har tillid til den slags. På mange måder er ScanTrons løsning ikke meget værre.
Der findes ikke systemer der er 100% sikre.
Fysiske nøgler svare lidt til et password med salt, hvor en rainbow attack ikke kan bruges. Den sårbarhed som Scantron har, svare lidt til et password der ikke er saltet, dvs. at et rainbow attack er muligt.
Der findes ikke systemer der er 100% sikre.
Det mener jeg ikke er nogen valid undskyldning. Systemet skal være sikkert nok til den pågældende anvendelse og det mener jeg ikke det er her. At virksomheden betegner det som en hypotetisk mulighed mener jeg vidner om et utrolig lavt fagligt niveau.
Gad vide hvordan forsikringsselskaber vil se på en indbrudanmeldelse hvor yderdør kun er låst med Scantron lås. Vil de vurdere at det svarer til at lade et vindue stå åbent og sige at boligen ikke er tilstrækkeligt aflåst og derfor nedsætte eller afvise erstatning? Vil man så som lejere kunne rette et erstatningskrav mod udlejer for ikke at sætte tilstrækkelig lås på den udlejede bolig (eller have gjort opmærksom på at boligen ikke kan aflåses).
LPL
Den er for indforstået, og min google-fu utilstrækkelig
LPL er en youtube kanal under navnvet LockPickingLawyer.
[...] Scantron mener desuden, at angrebet kræver så specialiseret viden, at kun meget få vil kunne udføre det i praksis.» Så chefen har ikke hørt om internettet eller google?
Ja det svarer jo til at sige at det kræver specialiseret viden at logge ind på en computer med ssh.
Ja selve krypteringsalgoritmerne mm er komplicerede, men enhver kan google sig til en fiks og færdig ssh klient og brugte den......
Godt at vores døre staidg har fysiske nøgler, der kan man i det mindste se hvis nogen har forsøgt noget (ok nok ikke hvis det er LPL der har været der men alligevel :-) )
"Specialiseret viden" er et gummibegreb. Det kan sagtens være at det kræver "specialiseret viden" at opdage sikkerhedshullet. Men, når hullet er 14 år gammelt og kan udføres af enhver med moderate søgeskills og lidt lommepenge, så er det ikke længere "specialiseret viden".