Gevaarlijke faxen
Op 12 december 2018 schreef Technite over het Britse verbod faxmachines aan te schaffen en het gevaar dat dit soort hardware kan betekenen. Op de eerste dag van het CCC congres stond de fax weer centraal. Yaniv Balmas en Eyal Itkin demonstreerden het hacken van een HP multifunctional. Het resultaat daarvan was dat ze door het versturen van een gemanipuleerde fax de CPU unit daarin kunnen aansturen en vandaar via de netwerkaansluiting (bedraad of wifi) het achterliggende netwerk.
De slides en de video opname van deze spectaculaire operatie zijn uiteraard online toegankelijk. Wat Balmas en Itkin hebben laten zien is extreem verontrustend. De zwakte gaat namelijk ook op voor de tot 300 (!) andere modellen van multifunctionele machines van de marktleider. Dat via de gangbare procedure is gewezen op de fout en dat er een firmware fix beschikbaar is klinkt goed. De realiteit is echter dat lang niet iedereen zijn 3-in-1 of 4-in-1 machine update (specifiek in het geval van HP is daar ook een goede reden voor).
De conclusie van de twee onderzoekers is voorspelbaar: stop met faxen. Dat is heel makkelijk te doen, gewoon de telefoondraad uit de multifunctional halen. Als dat niet mogelijk is: zorg ervoor dat die machine gescheiden van het netwerk is (dat klinkt als: “maak van de slimme multifunctional een domme fax”).
Onleesbare mails
De tweede talk die de business van zowel een providers als zijn klanten raakt ging over Efail. De ophef die in mei 2018 over het omzeilen van encrypte mails ontstond is grotendeels vergeten. Dat wil echter niet zeggen dat wat is geconstateerd nog steeds belangrijk is. In zijn talk ging Sebastian Schinzel op meer in dan alleen de ophef en de fixes die sindsdien beschikbaar zijn gekomen.
Wat Schinzel namelijk ook aangaf is dat de toekomstige versies van S/MIME encrypted mails consequenties kunnen zullen hebben. Als eenmaal de nieuwste versies is geïmplementeerd zullen mails, encrypt met de oudste protocollen, niet meer gelezen kunnen worden. Die opmerking was min of meer een tussenzin, er werden na afloop ook geen vragen over gesteld. Het is echter geen onjuistheid en dat maakt het een punt dat meer aandacht verdient.
Toekomst
Encryptie is goed en steeds vaker nodig en gevraagd. Maar wat als een mail of document in de toekomst niet meer geopend of gelezen kan worden, omdat het protocol niet meer wordt ondersteund? Bij S/MIME is dat op termijn realiteit en dat weten we omdat er op gewezen wordt door een specialist. Technite vraagt zich af of dit voldoende bekend is bij de sector en met name de eindgebruikers en of er andere protocollen zijn die richting EOL opschuiven met vergelijkbare impact.
Dus voor wie nog tijd over heeft: kijk naar deze twee goede 35C3 talks en probeer uit te vinden of het je business of die van je klanten (en leveranciers) raakt.
