Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

Hoe een hacker met een drone en een Raspberry Pi je netwerk leegplundert

Michaël Aussems

 
Het internet der dingen brengt een groot beveiligingsrisico met zich mee, niet alleen bij consumenten maar ook binnen bedrijven. Wat zijn de gevaren, en wat kan je er aan doen?

 

Slimme lampen, een wifi-rookdetector, een netwerkcamera, een draadloos deurslot en zelfs een smart-tv: allemaal vormen ze een potentieel beveiligingsrisico. Samen kunnen ze een bedrijf op de knieën krijgen. We praten met Oded Vanunu van het onderzoeksdepartement voor productkwetsbaarheid bij beveiligingsbedrijf Check Point. Hij loodst ons door een realistisch scenario waarbij een hacker een op het eerste zicht vooruitstrevende digitale kantooromgeving eerst virtueel en vervolgens fysiek binnendringt. We kijken naar de risico’s die de keerzijde zijn van het internet der dingen (IoT), en onderzoeken wat je zelf kan doen om kwetsbaarheid te voorkomen.

 

Het verhaal begint bij een fictief bedrijf dat Vanunu ‘Umbrella’ noemt. Umbrella heeft overal tentakels, waaronder ook op het zesde verdiep van een typisch kantoorgebouw. Daar zit een afdeling van het R&D-departement van het bedrijf. Hacker van dienst is David. Hij is actief als freelance black hat-hacker, en krijgt opdrachten van georganiseerde criminele organisaties maar ook van overheden. “Dat is de realiteit vandaag”, weet Oded. “Nationale actoren zoals de VS, Israël en Rusland zijn heel actief bezig met offensive security, terwijl organisaties van cybercriminelen veel middelen hebben en over een goed uitgebouwd netwerk beschikken, tot en met abonnementsservices en klantendiensten.”

 

Drone-aanval

David rust een drone uit met een kleine Raspberry Pi, voorzien van een externe batterij en module voor mobiele data. “Daarmee kan de Pi enkele dagen tot zelfs weken autonoom werken”, aldus Vanunu. De hacker vliegt in de vroege uurtjes met de drone naar het Umbrella-kantoor, en dropt de Pi uit het zicht op de vensterbank. Vanunu: “Zoiets is erg realistisch. Isis gebruikt vandaag zelfs consumentendrones om bommen te droppen, dus de Raspberry Pi afleveren is een peulenschil.”

 

De hacker maakt nu op zijn thuistoestel verbinding met de Pi via de mobiele datamodule. Van daaruit kijkt hij met de minicomputer naar de aanwezige draadloze netwerken. ‘Umbrella Research’ lijkt de perfecte SSID te zijn. Hij ziet dat het netwerk met WPA-2 beveiligd is, maar dat hoeft geen probleem te zijn. “Zelfs zonder gebruik te maken van het WPA-2-lek van enkele maanden geleden is het niet moeilijk om een wifinetwerk binnen te dringen. Dat gebeurt met een brute force-aanval die gebaseerd is op woordenboeken.” Die woordenboeken bevatten combinaties van letters die vaak voorkomen in wachtwoorden, en zijn op het dark web in geregionaliseerde versies beschikbaar.

 

 

Brute kracht

“Het is mogelijk om enkele honderden verbindingsverzoeken per seconde naar een wifinetwerk te sturen”, verduidelijkt Vanunu nog. “Bovendien hebben bedrijfsnetwerken vaak eenvoudige wachtwoorden, zodat werknemers zonder al te veel moeite op de wifi raken.” Hoe lang de hacker nodig heeft om het draadloze netwerk te kraken is moeilijk te voorspellen, maar met genoeg tijd voorhanden wordt het wifinetwerk zeker gekraakt. In veel gevallen heeft de hacker van daaruit toegang tot de rest van het netwerk.

 

De remedie: kies een complex wifiwachtwoord op je bedrijfsnetwerk. Zorg desnoods voor een afgeschermd gastnetwerk waar werknemers hun smartphone snel op kunnen verbinden. Een echte complexe wifisleutel is heel moeilijk te kraken, zelfs met voldoende tijd.

 

Zodra hij in het netwerk zit, kan David een scan uitvoeren naar verbonden toestellen. Specifiek zoekt hij naar IoT-devices. “Ieder toestel heeft een eigen digitale vingerafdruk waarmee je snel te weten komt om wat voor type apparaat het gaat”, verduidelijkt Vanunu. De hacker vindt een digitale rookdetector, een netwerkcamera, een smart tv en een slim deurslot in het kantoor. Hij richt in eerste instantie zijn ogen op de camera.

 

Een hacker met toegang tot de IoT-toestellen in je bedrijf, kan heel veel schade aanrichten.

 

Telnet en de CIA

“Vele camera’s worden zo snel en goedkoop mogelijk geproduceerd”, betreurt onze beveiligingsexpert. “Dat zorgt er voor dat heel wat exemplaren identieke inloggegevens bezitten voor hun telnet-service, die dan bovendien nog eens hard gecodeerd zit in het toestel.” Het Mirai-botnet maakt van die kwetsbaarheid gebruik. David heeft geluk: Umbrella’s R&D-departement heeft voor een vrij klassieke netwerkcamera gekozen en die bevat de kwetsbaarheid die hij nodig heeft. Was dat niet het geval, dan kon de hacker nog hopen dat de standaard inloggegevens van de webinterface onaangepast waren. Met gebruikersnaam-wachtwoordcombinatie Admin-Admin kom je vaak al een heel eind.

 

De remedie: Schakel telnet uit, en let er bij de aanschaf van je camera idealiter op dat de Mirai-kwetsbaarheid niet aanwezig is. Verander bovendien steeds de standaard gebruikersnaam-wachtwoordcombinatie en kies een voldoende complex alternatief.

 

David heeft nu beeld, maar geen klank. Daarvoor klopt hij aan bij de slimme tv die in de lobby hangt. Veel hoeft hij niet te doen: volgens Wikileaks heeft de CIA het gros van het werk al zelf verzet. De hacker is op de hoogte van de kwetsbaarheid die door de VS in tv’s werd geïntroduceerd, en misbruikt ze om zelf geluid af te tappen. Vanunu licht toe: “Hackers richten zich steeds meer op zogenaamde repositories. Dat zijn digitale databanken waarmee een toestel verbindt om bijvoorbeeld updates binnen te halen. Door in dit stadium een kwetsbaarheid te introduceren, tref je meteen miljoenen toestellen.” Hoe de vork precies in de steel zit met het CIA-hack in dit voorbeeld is niet duidelijk; dat de modus operandi werkt, wel. Denk maar aan de recente Ccleaner-hack, waarbij cybercriminelen de code van een update van de populaire optimalisatiesoftware aanpasten.

 

 

De remedie: Veel kan je hier niet tegen doen. Houd er rekening mee dat dergelijke zaken gebeuren, en vraag je af of het wel verstandig is om een smart tv op een plaats te zetten waar gevoelige informatie besproken wordt.

 

Onveilige techniek

Onze hacker bereid zich nu voor op een fysieke inbraak. Hij is er vrij zeker van dat het slimme slot naar het kantoor geen problemen zal geven. Het maakt immers gebruik van pijnlijk verouderde technologie, waarbij het commando om de deur te ontgrendelen telkens hetzelfde is. Dat wil zeggen dat hij het draadloze signaal met de Raspberry Pi kan ‘sniffen’. Zodra iemand de deur ontgrendelt, kent hij het signaal. Hij kan het nu klonen en zelf uitzenden.

 

“Slimme sloten met dergelijke gebreken zijn ook vandaag nog op de markt”, betreurt Vanudu zich. De kwetsbaarheid is nochtans niet nieuw: de eerste generatie draadloze autosleutels was er ook gevoelig aan. “Vrijwel alle slimme sloten kunnen op één of andere manier gehackt worden”, vreest hij.

 

De remedie: Een IoT-slot is op dit moment doorgaans geen veilige keuze, noch thuis, noch op kantoor. Kies voor een veiliger systeem met bijvoorbeeld een magnetische keycard, of een klassieke sleutel.

 

RFID is handig en snel, maar zonder een combinatie met een tweede identificatiemethode helemaal niet zo veilig.

 

Voor David zich een weg naar binnen kan forceren, moet hij het kantoorgebouw binnendringen. Werknemers raken enkel voorbij de lobby wanneer ze in het bezit zijn van een badge. Vanudu is geen fan van de dingen: “Zo’n RFID-badge is niet versleuteld en kan op een fractie van een seconde gekopieerd worden.” In het koffiehuis voor de lobby van het kantoor slaagt de hacker erin om de badge te kopiëren van een werknemer die ze aan zijn broek heeft hangen.

 

De remedie: RFID-badges hebben een ID die niet versleuteld is. Wie het kan kopiëren, heeft in essentie de badge in handen. Waar beveiliging belangrijk is, implementeer je best een tweede verdedigingslijn zoals biometrie.

 

Gevaarlijke kostenbesparing

Om zijn kans op succes te vergroten, ontketent David een afleidingsmanoeuvre. De rookdetector op het kantoor die zijn doelwit is, draait een goedkope webserver die de webinterface aandrijft. “Die werd door de fabrikant gekozen om de kosten van productie te drukken,” zucht Vanunu, “zonder dat hij enige vorm van beveiligingsaanpassing doorvoerde.” Pijnlijk, aangezien het toestel in kwestie vatbaar is voor een buffer overflow-aanval. Door het ding te overladen met gegevens is het mogelijk om instructies in het geheugen van de detector te plaatsen, en het ding te overtuigen om alarm te slaan. De verbonden verlichting flikkert netjes mee op de toon van het alarm, en het personeel van Umbrella R&D verlaat zijn kantoor.

 

De remedie: Waarom is de rookdetector toegankelijk via het internet? Sluit het toestel af van de buitenwereld, en verschaf alleen toegang aan één of twee administratoren, zo kan de hacker geen openstaande poort misbruiken voor zijn aanval.

 

Het verhaal dat Vanunu vertelt, is plausibel. In een demo-omgeving demonstreerde zijn bedrijf dat aan de hand van stuk voor stuk commercieel beschikbare toestellen. “Al te vaak zijn IoT-toestellen onveilig”, betreurt de expert. Hij denkt echter niet dat je als bedrijf connected devices moet afzweren tot ze in de toekomst veilig zijn. “Er zal altijd ergens wel een lek te vinden zijn.” Slecht nieuws dus, gelukkig is er ook goed nieuws.

 

Goed beleid als redmiddel

Vanunu legt uit hoe het gros van de kwetsbaarheden verholpen kan worden. “Bovenstaand scenario kan je vermijden door goede policies uit te rollen. In datacenters geldt er een strikt toegangsbeleid waarbij enkel bepaalde IP-adressen aan bepaalde systemen kunnen. In een IoT-omgeving moet je hetzelfde beleid implementeren. Selecteer wie toegang heeft tot connected devices, en scherm ze af van de rest van de buitenwereld. Als slechts een handvol IP’s de rechten heeft om verbinding te maken met de rookdetector, de tv of de camera, kan de hacker met zijn Raspberry Pi weinig bewerkstelligen.

 

Een slim management van het draadloze internet kan de aanval zelfs in de kiem smoren nog voor hij goed en wel begonnen is. Voor het gebruiksgemak kan je een gastnetwerk uitrollen met een relatief eenvoudig wachtwoord, dat werknemers kunnen gebruiken voor hun eigen toestellen. Het zakelijke wifinetwerk waaraan gevoelige toestellen gekoppeld zijn, kan je beveiligen met een beter wachtwoord of zelfs een whitelist met MAC-adressen. Besef ook dat een hacker niet met een drone moet aanvliegen om bovenstaande lekken uit te buiten. Er zijn tal van manieren waarop een crimineel je netwerk kan binnendringen. Een goed netwerkbeleid vormt een sterke verdedigingslinie, ongeacht de aanvalsvector of het opzet van de hacker.

 

“Het is vooral de mindset die moet veranderen”, denkt Vanunu. “De nodige systemen om trafiek te monitoren, logs te analyseren en toegang af te schermen zijn voorhanden. Het is belangrijk dat het IT-departement IoT-toestellen meeneemt in het veiligheidsbeleid.”

 

Zo breekt een hacker in op jouw computer

 

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS