Internet of Things: Door de ogen van een hacker

Het rapport Cybersecuritybeeld Nederland 2017 (CSBN 2017) van het Nationaal Cyber Security Center (NCSC) noemt cybercriminaliteit als een belangrijk aandachtspunt. De ontwikkeling van het IoT biedt kansen, maar maakt ons ook kwetsbaar voor cybercriminelen. Wat bedoelt NCSC met die kwetsbaarheid en hoe maken cybercriminelen hier misbruik van? Willem Westerhof geeft ons een kijkje naar IoT apparaten door de ogen van een hacker.

Posted on July 25, 2017 in Blog.

Wat zijn de risicos’ van IoT apparaten?

De meeste IoT apparaten worden puur ontwikkeld en ontworpen op basis van functionaliteit. Het security aspect wordt niet meegenomen in het ontwerp. Als argument noemen fabrikanten gebrek aan kennis, middelen, geld, en ook processor rekenkracht en hardeschijfruimte in het apparaat. Deze IoT apparaten worden vervolgens wel aan het netwerk, of in sommige gevallen zelfs rechtstreeks aan het internet verbonden om de functionaliteiten werkend te krijgen. De gebruiker hoeft simpelweg de “kabel” erin te steken en alles werkt. De meeste gebruikers kijken vanaf dat moment niet meer om naar het apparaat onder het motto “Het werkt toch?!”.

Waarom zijn IoT apparaten voor cybercriminelen een makkelijk doelwit?

IoT apparaten staan vaak op standaardwaarden en standaardwachtwoorden ingesteld, zijn vrijwel niet beveiligd, zitten vaak vol met potentiële kwetsbaarheden en zijn via het netwerk, internet benaderbaar. Cybercriminelen kunnen als het ware vanuit hun luie stoel een scriptje het internet af laten struinen en deze apparaten volledig geautomatiseerd aanvallen en uiteindelijk overnemen.

Naast de huis, tuin en keuken apparaten zijn er ook nog IoT apparaten die dusdanig kritische rollen vervullen, dat het hacken van zo’n apparaat grote gevolgen kan hebben in de fysieke wereld. Denk bijvoorbeeld aan het overnemen van een remfunctionaliteit in auto’s om botsingen te veroorzaken, of het uitschakelen van gaskleppen in grote industriële bedrijven wat uiteindelijk tot explosies kan leiden.

Wat doet een ethische hacker tijdens een penetratietest van IoT apparaten?

Een ethisch hacker gebruikt een IoT apparaat vooral als springplank een (intern/privé) netwerk in. We zoeken de zwakste schakel in het bedrijf (vaak een IoT apparaat, bijv. de IP-camera, of het liftpasjes systeem) en gebruiken dit apparaat om verder te kijken in het lokale netwerk. Vanaf internet kan je bijvoorbeeld alleen de webservers, of DMZ-apparaten (zoals bedrijfsmail) zien, maar via de IP-camera vaak ook lokale werkstations of database servers in het interne netwerk. Vervolgens stellen wij de IP-camera zo in dat hij ons verkeer doorstuurt, het netwerk van het doelwit in, en de uitkomst daarvan terugstuurt naar ons.

Op die manier is het mogelijk om via allerlei tools open netwerkpoorten, wachtwoorden, files, kwetsbaarheden etc. te ontdekken in het lokale netwerk. Alle nuttige informatie halen wij op die manier binnen. Zien we bijvoorbeeld een gebruiker zijn wachtwoord langskomen, dan gebruiken we dit wachtwoord om via een systeemadministratie protocol zoals RDP vanaf ons eigen apparaat, via de IP-camera, naar het apparaat van de lokale gebruiker te komen. Op die manier proberen we steeds de toegang verder uit te breiden en meer rechten te krijgen totdat we uiteindelijk bij de meest cruciale functies en bestanden kunnen komen.

Waarom zou je als kwaadwillende hacker IoT apparaten willen hacken?

Een kwaadwillende hacker (cybercrimineel) zal een bepaald doel voor ogen hebben en zich daarop richten, dat kan variëren van informatie achterhalen, (financiële) schade aanrichten, imago schade aanbrengen et cetera.

In sommige gevallen is het niet zo zeer dat een kwaadwillende hacker gebruik wil maken van een IoT apparaat om verder te kijken in het netwerk. Soms is het IoT apparaat zelf het doel. Vaak is dat om een botnet op te zetten voor bijv. DDOS-aanvallen. Je kunt immers vrij gemakkelijk een groot aantal IoT apparaten benaderen, die je vervolgens mooi aan jouw botnet toe kunt voegen. Een voorbeeld is het Mirai botnet.

Een ander doel van hackers (vaak bij spionage) is het hacken om “onder de radar” te blijven. Via IoT apparaten kunnen ze dan netwerkpakketten afluisteren en deze naar buiten lekken zonder dat dit snel opgemerkt wordt. Daarnaast kunnen ze deze apparaten gebruiken om opnieuw toegang tot het netwerk te verkrijgen, als andere ingangen ontdekt zijn door het betreffende doelwit.

In nog weer andere gevallen is de functie van het IoT apparaat zo cruciaal dat een hack daarop grote schade kan veroorzaken voor de maatschappij of het bedrijf zelf. Vaak spreken we in dit soort gevallen van sabotage aanvallen. Denk bijvoorbeeld aan een aanslag op een belangrijk persoon door zijn of haar auto te hacken of een cyberaanval op de controlemechanismes van het stroom- en gasnet.

Voorbeelden van mogelijke gevolgen van hacks op IoT apparaten

Er zijn helaas al veel voorbeelden te noemen. Het meest impactvolle voorbeeld dat ik ken wat ik zelf gedaan kan ik helaas nog niet noemen, omdat dit op dit moment nog als “classified” bestempeld is.

Om toch een tweetal interessante voorbeelden van onderzoeken uit het verleden van ITsec te noemen:

  1. De slimme meters waar privégegevens uit buitgemaakt konden worden en een enorm botnet mee opgezet kon worden. Effectief hadden door deze hack de privégegevens van iedereen met een slimme meter op straat kunnen liggen en een botnet met honderdduizenden apparaten kunnen vormen.
  2. Een hack op een telefoonapplicatie voor leaseauto’s waarmee via het internet alle auto’s van de betreffende maatschappij beïnvloed konden worden. Het doel van het onderzoek was deuren openen en de motor starten zonder sleutel, wat uiteindelijk ook mogelijk bleek. Iedere auto van deze leasemaatschappij kon dan ook zonder sleutel meegenomen worden. Daarnaast was het mogelijk om op andere manieren gevaarlijke situaties te veroorzaken. Beeld je maar eens in wat er gebeurt als rond 17:00 tijdens het begin van de spits op een stormachtige dag, alle auto’s van deze maatschappij tijdens hun rit beginnen te toeteren, de lichten aan en uit blijven gaan, of bij lagere snelheden de motor spontaan uitgezet wordt.

Kwaadwillende hackers zouden dergelijke apps kunnen onderzoeken om bijv. de cruise control of automatisch inparkeer functionaliteiten over te nemen en alle auto’s van een bepaald type een noodstop te laten maken terwijl ze op de snelweg rijden. De schade zowel in geld als in menselijk letsel van dergelijke hacks is bijna niet te overzien.

Dit zijn dus aanvallen die dankzij de penetratietests van het ITsec nooit het licht hebben gezien.

Als ethisch hacker ben ik het helemaal eens met het Cybersecuritybeeld 2017. IoT apparaten zijn erg kwetsbaar, terwijl ze soms de meest cruciale rollen vervullen. De functionaliteiten die deze apparaten bieden zijn erg prettig, maar we moeten niet vergeten wat voor risico’s het met zich mee brengt, niet alleen voor de individuele IoT apparaten, maar ook voor de netwerkomgeving waar ze zich in bevinden, en de maatschappij als geheel.

Willem Westerhof

Contact

Willem Westerhof

By Willem Westerhof

Hacking & Testing

Any questions about this post or our services? Just mail me or call me on +31 6 51 933 862.

Contact us