Hackers zijn erin geslaagd de loper van de Amerikaanse Transportation Security Administration (TSA) na te maken die wordt gebruikt voor het openen van door de TSA erkende sloten en hebben de blauwdruk ervan online gezet. De TSA is belast met veiligheidscontroles op Amerikaanse vliegvelden.
Om bagage te inspecteren heeft de overheidsdienst de bevoegdheid om sloten van koffers en tassen te forceren. In het geval het om een door de TSA erkend en geaccepteerd slot gaat kan die via een loper zonder schade worden geopend.
Drie hackers genaamd DarkSim905, Johnny Xmas en Nite 0wl hebben de "Safe Skies" loper nagemaakt en de blauwdruk hiervan gepubliceerd, zodat iedereen met een 3d-printer een eigen loper kan maken. Eind vorig jaar werden er ook al blauwdrukken van een andere loper gepubliceerd, de Travel Sentry. Met de publicatie van de Safe Skies-loper zijn nu alle lopermodellen openbaar gemaakt.
Dat lieten de hackers vorige week tijdens de Hackers On Planet Earth! (HOPE) conferentie in New York City zien. Safe Skies is de fabrikant van de door TSA erkende sloten. De hackers willen met de publicatie het risico van overheidsbackdoors via een metafoor bij het grote publiek duidelijk maken. Namelijk wat het gevaar is als een derde partij die regelmatig wordt aangevallen over het gereedschap beschikt om al je spullen te doorzoeken, zo laten ze tegenover CSO Online weten.
Volgens de hackers introduceert een systeem zoals een 'key escrow', waarbij een partij over een meestersleutel of loper beschikt, een groter aanvalsoppervlak waar een aanvaller gebruik van kan maken en geeft een derde partij volledige controle over de veiligheid. "Tot hoe ver kun je deze derde partij vertrouwen? Als ze oneerlijk of hebzuchtig zijn kunnen ze je eigendommen stelen of je gevoelige informatie zonder je medeweten of toestemming benaderen", aldus Nite 0wl. Zelfs als de derde partij volledig is te vertrouwen moet zijn veiligheid minstens net zo goed zijn als die van de gebruiker, anders is het handiger voor een aanvaller om de derde partij aan te vallen in plaats van zich direct op het systeem of de gebruiker te richten.
Bron: Security.nl