Sponsored: KPN over de gevaren van intelligente internetapparaten

0 reacties

Apparatuur wordt steeds meer aan internet gekoppeld; in bedrijven, maar ook thuis kom je het vaker en vaker tegen. Van thermostaat, televisie en auto's tot controllers die je luxaflex op het juiste moment omhoog en omlaag laten gaan. Heel mooi, maar hoe zit het met de veiligheid?

KPN spreekt met Sander Peters, verantwoordelijk voor het Security Operations Center en het Security Research Team. Hij is werkzaam bij het in cybersecurity gespecialiseerde DearBytes, dat sinds 2017 een dochtermaatschappij van KPN is. Sander vertelt over zijn bevindingen.

Bij jullie werken ethische hackers? “Dat betekent dat we vooral penetratietests uitvoeren in opdracht van bedrijven en organisaties. Dat kan als black box en dan heb ik van tevoren geen informatie van de organisatie. We simuleren dan een aanval en kijken wat er gebeurt. Met een grey box krijg ik bijvoorbeeld een inlog voor een klantenportaal en dan gaan we kijken wat we precies kunnen doen. Kan ik bijvoorbeeld bij gegevens van andere klanten komen? Met deze gevoelige data gaan we heel zorgvuldig om. Ook voeren we interne penetratietests uit. Dan pluggen we ons in op het netwerk van de klant en kijken we waar we bij kunnen, met behulp van de eerder genoemde methodieken. Ook houden we ons bezig met social engineering en kijken bijvoorbeeld of mensen in een organisatie reageren op een phishingmails die wij versturen terwijl we ons voordoen als collega’s van de geadresseerde."

De opmars van slimme apparaten in bedrijven en huizen gaat razendsnel. Volgens een grove schatting zijn in Nederland al zo’n 300.000 slimme Toon-thermostaten verkocht en dan hebben we de bekende Nest en de producten van andere merken nog niet meegeteld. De gemiddelde alarminstallatie is ook van buiten uit te lezen en wat te denken van zonnepanelen, automatische stofzuigers en nog veel meer. We staan aan de vooravond van huizen en bedrijven die feitelijk internetapparaten zijn. De volgende stap is al gezet met de zelfrijdende auto’s van Tesla. Waar de slimme techniek vaak nu nog voorbehouden is aan de woonkamer, zal ook de keuken binnenkort ‘connected’ zijn. Wat betekent dit eigenlijk?

“Je praat over slimme technologie die vaak in een mooi doosje zit. Vaak worden belangrijke veiligheidsupdates niet afgedwongen. Updates worden serieus genomen op Windows-apparaten, maar printers en andere slimme apparaten ontsnappen vaak aan de aandacht. In bedrijven zie je steeds meer slimme apparatuur die de operatie ondersteunt of zelfs verfijnt. Vanuit de operationele optiek is dat natuurlijk super efficiënt en effectief. Vanuit het veiligheidsperspectief is dat nog maar de vraag! Hoe zo’n controller gekoppeld is aan internet? Het zou niet voor het eerst zijn dat een camerasysteem wordt overgenomen door onze ethische hackers. Je moet er niet aan denken wat de gevolgen zijn als kwaadwillenden zich toegang hadden verschaft tot dezelfde functionaliteit. Erg handig als ze ’s avonds of ’s nachts een bezoekje zonder uitnodiging willen brengen.” 

“Je ziet dat de gemiddelde eindgebruiker niet verder kijkt dan naar de look-and-feel en de geleverde functionaliteit van een bijvoorbeeld een ip-camera, waarbij meestal de prijs van doorslaggevend belang is. Hij valt voor de voordelen van een product en kijkt meestal niet naar de risico’s die eraan kleven. De meeste leveranciers geven onvoldoende prioriteit aan de beveiliging. Mensen realiseren zich bijvoorbeeld vaak niet wat al die apparaten doorsturen; denk aan spraakgestuurde functionaliteit, zoals bij de Amazon Echo of Google Home.

"Aan veel dingen ontkom je eigenlijk niet. Dat komt vooral doordat ze veel gemak en mogelijkheden bieden. De vraag is ook vaak: hoe werken die apparaten? Soms wordt bijvoorbeeld een versleutelde verbinding naar een centrale server opgezet. Het is als hacker in dat geval heel interessant om daarin binnen te dringen met de optie om in te breken bij andere gekoppelde apparaten en daardoor binnen te dringen in netwerken bij mensen thuis of nog erger: in bedrijfsnetwerken."

Sander vervolgt: “Beveiliging wordt duidelijk nog niet serieus genoeg genomen. Tot nu toe is geen van de bedrijven die van de beveiliging van hun producten een potje maakten, echt aangepakt. Langzaam maar zeker zie je steeds meer vraag van diverse belanghebbenden naar strengere richtlijnen voor de beveiliging van iot-apparatuur en voor de omgang met privacygegevens. Regulering en handhaving daaromtrent zijn dus heel belangrijk. Hier zou de overheid naar mijn mening meer aandacht aan moeten besteden om concrete stappen te realiseren."

Hoe erg is de situatie eigenlijk? “We zijn in dit onderwerp gedoken door diverse domoticacontrollers te onderzoeken. Hieruit blijkt dat het overgrote deel van de producten die we hebben onderzocht, kwetsbaarheden bevat waarvan kwaadwillenden misbruik kunnen maken. Soms bleek het mogelijk om het hele computersysteem dat alle slimme apparaten aanstuurt, over te nemen. Hiermee is het mogelijk om bijvoorbeeld alle lichten, gordijnen, verwarming en/of alarmsystemen bij mensen thuis te bedienen. Het domoticasysteem zou ook gebruikt kunnen worden als springplank naar de rest van het interne (thuis)netwerk, waarmee het in beginsel bijvoorbeeld mogelijk is om toegang te krijgen tot je nas met persoonlijke gegevens."

Sander: "Ik moet er persoonlijk niet aan denken dat al mijn data versleuteld wordt of zelfs op straat komt te liggen. Het blijft toch altijd een keuze tussen veiligheid en gebruiksgemak… Zelf heb ik bijvoorbeeld een smartwatch met het veelbesproken Tizen-besturingssysteem, dat Samsung gebruikt in tal van apparaten, van televisies en smartwatches tot slimme koelkasten. Zo'n smartwatch wordt vanwege tientallen kwetsbaarheden soms gekscherend een hackersdream genoemd. Waarbij ik toch twijfel of ik hem na dit artikel nog wel blijf gebruiken, nu iedereen het weet", glimlacht Sander...

Hij vervolgt: “Je kunt vrij gemakkelijk de locatie van apparaten bepalen aan de hand van mqtt. Dat is een eenvoudig messagingprotocol. Via dat protocol wordt soms de locatie meegegeven van bijvoorbeeld telefoons. Onlangs trof ik bij een onderzoek dat ik uitvoerde, een systeem online waarmee ik zicht had op locaties van de medewerkers en de status van het alarmsysteem, en waarmee ik dit laatste wellicht zelfs kon beïnvloeden. Dat was uit onwetendheid; de gebruikers hadden geen idee wat de systemen daadwerkelijk doorstuurden. Dat is toch wel een heel groot risico, want het kan natuurlijk nuttige informatie zijn voor inbrekers voordat ze hun slag slaan. Een ander voorbeeld waarbij mensen niet altijd evenveel van de gevaren zijn doordrongen, is het gebruik van Powerline-networking. Daarmee loop je ook een risico. Als je dan bijvoorbeeld een stopcontact in de tuin hebt, heb je daar ook direct een mooi internettappunt gecreëerd. Overigens geldt dit ook voor mensen die een huis hebben met een gedeelde hoofdaansluiting. Daar kun je soms bij de buren op deze wijze meeluisteren."

Bij veel iot-apparatuur zou tijdens het ontwikkelproces rekening moeten worden gehouden met beveiliging. Door dat vanaf het begin en bij alle facetten van het ontwikkelproces te doen (ook bekend als security-by-design) wordt een veilige basis gelegd en zijn leveranciers beter in staat om bij gevonden kwetsbaarheden adequaat en efficiënt op te treden. Op het vlak van ‘responsible disclosure' is er onvoldoende ervaring naar mijn mening, als ik kijk hoe lang het duurt en hoe wordt gereageerd op mijn bevindingen. Veel bedrijven moeten nog beleid maken hoe om te gaan met meldingen van ethische hackers, maar gelukkig zie je dat daarin al kleine stappen worden genomen."

« Vorig bericht Volgend bericht »
0
*