Dansk låse-firma ignorerede hacker-advarsel i månedsvis: »Det er chokerende«

Plus9. december 2022 kl. 04:0010
Rejsekort
Magnus og Emil har kendt hinanden i mange år og bor nu sammen, mens de begge læser henholdsvis medicin og økonomi på Københavns Universitet. De håber på snart at få en ny og mere sikker lås installeret, da de bor i stuen. Illustration: Jakob Carlsen.
Et simpelt angreb udstiller sårbare digitale låse over hele Danmark. Udlejningsselskab og lejere raser, mens eksperter måber over Scantrons manglende håndtering af adskillige ­advarsler.
Artiklen er ældre end 30 dage

Et udbredt digitalt låsesystem er ramt af massive sikkerhedsproblemer, der gør det muligt at åbne hoveddøren i mindst 9.000 private boliger landet over med et simpelt hackerangreb.

Læs også: Tusinder af danske boliger står pivåbne for hackere

Gratis adgang i 30 dage

Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Ing.dk, Version2 og Radar, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement
remove_circle
Har du allerede et PLUS-abonnement eller klip?
close

Velkommen til PLUS

Da du er ved at tilmelde dig en gratis prøve beder vi dig hjælpe os med at gøre vores indhold mere relevant for dig, ved at vælge et eller flere emner der interesserer dig.

Vælg mindst et emne *
Du skal vælge en adgangskode til når du fremover skal logge ind på din brugerkonto.
visibility
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Ing.dk, Version2 og Radar
Fuld digital adgang til PLUS-indhold på Ing.dk, Version2 og Radar, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
10 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
14. december 2022 kl. 08:52

Scantron mener desuden, at angrebet kræver så specialiseret viden, at kun meget få vil kunne udføre det i praksis.»Som vi forstår det, er der tale om et muligt ulovligt ­hackerangreb af høj kompleksitet rettet mod et beboersystem. Det forudsætter specialiseret hardware, software kombineret med fagspecifik viden og kompetencer inden for ­MIFARE Classic kort. En kombination af specifikke forudsætninger som vil være sjælden,«

Hvis nu virksomheden havde brugt de sidste 9 måneder på at fikse problemet og på at hjælpe kunderne videre. Så kunne man tage ovenstående en smule seriøst. Men alt hvad der mangler lige nu er at en 15 årig laver en youtube video om problemet. Så kan alle gøre det.

Når det er sagt er det vigtigt at dele problemet op:

  • Mulighed for at kopiere nøglebrikker. Dette er ikke i sig selv noget stort problem hvis man har en fornuftig audit og udskiftningskultur. Hvis man ikke låner sin egen nøgle ud til andre men i stedet laver nye hver gang med begrænset levetid så er problemet til at overse.
  • Mulighed for nemt at lave universalnøgler ud fra en almindelig nøgle. Her har virksomheden helt klart lavet en absurd idiotisk løsning. Det er ganske enkelt svært at forstå at nogen kunne tænke at det ville være sikkert. Alas, det virker som et problem en almindelige software opgradering kan fikse.

I øvrigt er sikkerheden ved fysiske universalnøgler også meget begrænset. Det er uforståeligt at folk har tillid til den slags. På mange måder er ScanTrons løsning ikke meget værre.

8
9. december 2022 kl. 12:02

Der findes ikke systemer der er 100% sikre.

Fysiske nøgler svare lidt til et password med salt, hvor en rainbow attack ikke kan bruges. Den sårbarhed som Scantron har, svare lidt til et password der ikke er saltet, dvs. at et rainbow attack er muligt.

10
2. januar kl. 15:31

Der findes ikke systemer der er 100% sikre.

Det mener jeg ikke er nogen valid undskyldning. Systemet skal være sikkert nok til den pågældende anvendelse og det mener jeg ikke det er her. At virksomheden betegner det som en hypotetisk mulighed mener jeg vidner om et utrolig lavt fagligt niveau.

6
9. december 2022 kl. 11:35

Gad vide hvordan forsikringsselskaber vil se på en indbrudanmeldelse hvor yderdør kun er låst med Scantron lås. Vil de vurdere at det svarer til at lade et vindue stå åbent og sige at boligen ikke er tilstrækkeligt aflåst og derfor nedsætte eller afvise erstatning? Vil man så som lejere kunne rette et erstatningskrav mod udlejer for ikke at sætte tilstrækkelig lås på den udlejede bolig (eller have gjort opmærksom på at boligen ikke kan aflåses).

4
9. december 2022 kl. 10:45

LPL

Den er for indforstået, og min google-fu utilstrækkelig

5
9. december 2022 kl. 10:51

LPL er en youtube kanal under navnvet LockPickingLawyer.

1
9. december 2022 kl. 08:31

[...] Scantron mener desuden, at angrebet kræver så specialiseret viden, at kun meget få vil kunne udføre det i praksis.» Så chefen har ikke hørt om internettet eller google?

3
9. december 2022 kl. 09:11

Ja det svarer jo til at sige at det kræver specialiseret viden at logge ind på en computer med ssh.

Ja selve krypteringsalgoritmerne mm er komplicerede, men enhver kan google sig til en fiks og færdig ssh klient og brugte den......

Godt at vores døre staidg har fysiske nøgler, der kan man i det mindste se hvis nogen har forsøgt noget (ok nok ikke hvis det er LPL der har været der men alligevel :-) )

2
9. december 2022 kl. 08:58

"Specialiseret viden" er et gummibegreb. Det kan sagtens være at det kræver "specialiseret viden" at opdage sikkerhedshullet. Men, når hullet er 14 år gammelt og kan udføres af enhver med moderate søgeskills og lidt lommepenge, så er det ikke længere "specialiseret viden".