Device assessment IoT.

Het hacken van slimme apparaten is interessant voor allerlei kwaadwillenden. Gehackte apparaten kunnen kritieke infrastructuur beschadigen, kunnen worden gebruikt om mensen te bespioneren of als toegangspoort tot het interne netwerk. Bij Qbit sporen we deze kwetsbaarheden op (voordat de slechteriken dat doen) en helpen we je ze te verbeteren. 

Waarom zou je IoT-systemen testen?

Voorheen werden IoT-systemen niet met elkaar verbonden of blootgesteld aan een vijandige omgeving. Nu deze apparaten wel verbonden worden met het internet, moeten ingenieurs en ontwikkelaars er ineens voor zorgen dat het apparaat in staat is om een extreem vijandige omgeving aan te kunnen.

Je kunt je voorstellen dat het omgaan met deze vijandige omgeving voor veel mensen geen simpele taak is. Er worden vaak fouten gemaakt die hackers in staat stellen de apparaten te misbruiken voor hun eigen kwaadaardige doelen. Zelfs als je denkt dat jouw IoT-apparaat “onbelangrijk” is, kan het nog steeds interessant zijn voor een hacker met kwaadaardige bedoelingen. De aanvaller kan de apparaten onderdeel maken van een groter botnet (bijv. Mirai botnet), het apparaat gebruiken als een opstapje om andere systemen binnen hetzelfde lokale netwerk in gevaar te brengen (bijv. URGENT11) of zelfs gebruiken om een sensorwaarde te vervalsen die andere systemen die afhankelijk zijn van de input van de sensoren om automatisch beslissingen te nemen, wat (uiteindelijk) kan leiden tot een catastrofe met zeer ernstige fysieke en veiligheidsconsequenties (bijv. het naar een explosieve toestand brengen van een batterij). De scenario’s zijn bijna eindeloos en elk IoT-apparaat moet zichzelf als een doelwit beschouwen.

De IoT-markt in het algemeen is zeer concurrerend en zeer slecht beveiligd. Die leveranciers die kunnen bewijzen dat ze veiligheid en beveiliging serieus nemen, kunnen dit gebruiken als een unique selling point.

 

Hoe helpt Qbit?

Qbit helpt je om te gaan met deze veranderende (vijandige) omgeving. Onze ethische hackers nemen de rol van slechterik op zich. Ze stellen apparaten bloot aan een uiterst vijandige omgeving waar de nieuwste technieken en tools, maar ook handmatige en eigengemaakte tools worden gebruikt door professionele hackers. Ze gaan op zoek naar kwetsbaarheden in IoT-apparaten en de gerelateerde applicaties en clouddiensten. In tegenstelling tot kwaadwillende hackers benutten de hackers van Qbit de bevindingen niet voor eigen doelen, maar informeren wij gedetailleerd over de ontdekte kwetsbaarheden (reproductiestappen, bewijs, impact, waarschijnlijkheid, algemene risico’s, enz.) en geven wij aanbevelingen voor het verhelpen van deze kwetsbaarheden.

Naast het vinden van kwetsbaarheden bieden wij ook nog andere aan IoT gerelateerde dienstverleningen, namelijk:

  • Trainingen voor ingenieurs en ontwikkelaars om veilig te kunnen programmeren.
  • Hacking workshops om te laten zien hoe een hacker denkt en waar u zich op moet voorbereiden. 
  • Design reviews.
  • Code reviews.

Onze aanpak

Qbit hanteert een risicogestuurde testaanpak. Dit betekent dat het aanvalsoppervlak dat het meest waarschijnlijk een groot aantal apparaten zal treffen als een kwetsbaarheid wordt gevonden, of het meest waarschijnlijk wordt aangevallen door kwaadwillende actoren, eerst en grondig wordt getest (een netwerkdienst die kan worden aangevallen vanaf het internet met behulp van algemeen beschikbare tools en technieken zal bijvoorbeeld intensiever worden getest dan een Bluetooth-protocol dat specifieke hardware en een aanvaller binnen een straal van 10 meter van het apparaat vereist).   Maar daar stoppen we niet. We gebruiken ook geavanceerde technieken zoals hardware-hacking om verbinding te maken met JTAG-, UART- of soortgelijke hardware debug-interfaces, geheugenchips zoals EEPROM uitlezen en gebruik maken van glitchingtechnieken en logic analyzers om informatie en kwetsbaarheden te vinden op het niveau van de hardware of het besturingssysteem van het apparaat (bijv. toegang krijgen tot een root-shell, het vinden van eigengemaakte uitvoerbare programma’s, encryptiesleutels, privé-certificaten, hard gecodeerde wachtwoorden etc.). De verkregen informatie wordt vervolgens geanalyseerd en gebruikt als input om verdere aanvallen van alle mogelijke aanvalsvectoren op te zetten. (Een achterdeuraccount dat door hardwarehacking is ontdekt en dat op alle apparaten hetzelfde is, kan dan bijvoorbeeld worden gebruikt om een aanval uit te voeren op alle apparaten via het internet!)   Omdat apparaten vaak deel uitmaken van een oplossing die ook communiceert met een back-end systeem en gebruik maakt van een (mobiele) applicatie, wordt ook het verkeer tussen het apparaat en gerelateerde software of servers gecontroleerd op kwetsbaarheden. Waar mogelijk (afhankelijk van wetgeving limitaties en beschikbare tijd) worden de mobiele applicatie en back-end servers ook (in beperkte mate) gecontroleerd op kwetsbaarheden. Als het nodig is om de mobiele applicatie en back-end server volledig te controleren, maakt Qbit gebruik van de infrastructuur of applicatie assessment.

Naast onze eigen testmethodieken en checklists gebruikt Qbit de ‘Baseline Security Recommendations for IoT’ van ENISA (november 2017) als referentie voor het testen van de beveiliging van (IoT-)apparaten.

De voordelen van een IoT apparaat beoordeling:

  • Onderscheid jezelf in de markt met een veilig apparaat.
  • Wees de wetgeving IoT beveiliging voor (verwacht eind 2020).
  • Krijg inzicht in het inherente niveau van beveiliging en echte kwetsbaarheden.
  • Ontvang praktische en haalbare aanbevelingen.

Contactaanvraag Device Assessment

Erik Rutkens

Erik Rutkens

CEO and founder Qbit

Ik kan je meer vertellen. E-mail me of bel me op +31 6 53 317 977.

    Offerte aanvragen

    Vraag een vrijblijvende offerte aan voor: Device assessment (IoT)

    Waarmee kunnen we je helpen? Stel je vraag en we komen er zo snel mogelijk bij je op terug.

    Bedankt! We hebben je bericht ontvangen.

    We hebben je bericht ontvangen en komen hier zo snel mogelijk bij je op terug.

    Vul de velden in voor je offerte aanvraag.
    We gebruiken je e-mail alleen voor ons antwoord op je vraag.
    Hoe kunnen we je helpen?

    Newsletter