Device assessment IoT.

Het hacken van slimme apparaten is interessant voor allerlei kwaadwillenden. Via gehackte apparaten kunnen hackers kritieke infrastructuur beschadigen, mensen bespioneren of doordringen tot het interne netwerk. Bij Qbit sporen we deze kwetsbaarheden op (voordat de slechteriken dat doen) en helpen we je met het oplossen ervan.

De voordelen van een IoT apparaat beoordeling:

  • Onderscheid jezelf in de markt met een veilig apparaat;
  • Wees de wetgeving IoT beveiliging voor (verwacht eind 2020);
  • Krijg inzicht in het inherente niveau van beveiliging en echte kwetsbaarheden;
  • Ontvang praktische en haalbare aanbevelingen.

Contactaanvraag Device Assessment


Waarom zou je IoT-systemen testen?

Voorheen werden IoT-systemen niet met elkaar verbonden of blootgesteld aan een vijandige omgeving. Nu deze apparaten wel worden verbonden met het internet, moeten ze ineens een extreem vijandige omgeving aankunnen.

Je kunt je voorstellen dat het omgaan met deze vijandige omgeving voor veel mensen geen simpele taak is. Er worden vaak fouten gemaakt die hackers in staat stellen de apparaten te misbruiken voor slechte doeleinden. Zelfs als je denkt dat jouw IoT-apparaat “onbelangrijk” is, kan het nog steeds interessant zijn voor een hacker met kwaadaardige bedoelingen. De aanvaller kan de apparaten namelijk onderdeel maken van een groter botnet, zoals het Mirai botnet. Zo wordt het apparaat gebruikt als een opstapje om andere systemen binnen hetzelfde lokale netwerk in gevaar te brengen (bijvoorbeeld URGENT11), of zelfs sensorwaarden te vervalsen. Dit kan leiden tot ernstige fysieke en veiligheidsconsequenties. Denk bijvoorbeeld aan systemen die sensorwaarden gebruiken om automatisch beslissingen te nemen, zoals het aanpassen van de temperatuur in een kamer of de vergrendeling van deuren. Combineer deze twee en je hebt een mogelijke catastrofe. De scenario’s zijn bijna eindeloos en elk IoT-apparaat moet zichzelf als een doelwit beschouwen.

De IoT-markt in het algemeen is zeer concurrerend en zeer slecht beveiligd. Dit geeft leveranciers, die kunnen bewijzen dat ze veiligheid en beveiliging serieus nemen, een unique selling point (USP).  

Hoe helpt Qbit?

Qbit helpt je om te gaan met deze veranderende (vijandige) omgeving. Onze ethische hackers nemen de rol van slechterik op zich. Ze stellen apparaten bloot aan een uiterst vijandige omgeving. Hierbij gebruiken professionele hackers de nieuwste technieken en tools, maar ook handmatige en eigengemaakte tools. Ze gaan op zoek naar kwetsbaarheden in IoT-apparaten en de gerelateerde applicaties en clouddiensten. In tegenstelling tot kwaadwillende hackers benutten de hackers van Qbit de bevindingen niet voor eigen doelen, maar informeren wij gedetailleerd over de ontdekte kwetsbaarheden (reproductiestappen, bewijs, impact, waarschijnlijkheid, algemene risico’s, etc.). Vervolgens geven wij aanbevelingen voor het verhelpen van deze kwetsbaarheden.

IoT gerelateerde dienstverleningen

Naast het vinden van kwetsbaarheden bieden wij ook nog andere aan IoT gerelateerde dienstverleningen, namelijk:

  • Trainingen voor ingenieurs en ontwikkelaars om veilig te kunnen programmeren;
  • Hacking workshops om te laten zien hoe een hacker denkt en waar u zich op moet voorbereiden;
  • Design reviews;
  • Code reviews.

Onze aanpak

Qbit hanteert een risicogestuurde testaanpak. Dit betekent dat het aanvalsoppervlak dat het meest waarschijnlijk een groot aantal apparaten zal treffen als een kwetsbaarheid wordt gevonden, of het meest waarschijnlijk wordt aangevallen door kwaadwillende actoren, eerst grondig wordt getest. Een netwerkdienst die kan worden aangevallen vanaf het internet met behulp van algemeen beschikbare tools en technieken, wordt bijvoorbeeld intensiever getest dan een Bluetooth-protocol dat specifieke hardware en een aanvaller binnen een straal van 10 meter van het apparaat vereist. Hier blijft het niet bij. Vervolgens gebruiken we meer geavanceerde technieken. Daarover later meer op deze pagina.

Naast onze eigen testmethodieken en checklists gebruikt Qbit de ‘Baseline Security Recommendations for IoT’ van ENISA (november 2017) als referentie voor het testen van de beveiliging van (IoT-)apparaten.

Geavanceerde technieken - voor de experts

We gebruiken geavanceerde technieken zoals hardware-hacking om verbinding te maken met JTAG-, UART- of soortgelijke hardware debug-interfaces, geheugenchips zoals EEPROM uitlezen en gebruik maken van glitchingtechnieken en logic analyzers om informatie en kwetsbaarheden te vinden op het niveau van de hardware of het besturingssysteem van het apparaat. Denk hierbij aan toegang krijgen tot een root-shell, het vinden van eigengemaakte uitvoerbare programma’s, encryptiesleutels, privé-certificaten, hard gecodeerde wachtwoorden, etc. De verkregen informatie wordt vervolgens geanalyseerd en gebruikt als input om verdere aanvallen van alle mogelijke aanvalsvectoren op te zetten. Een achterdeuraccount dat door hardwarehacking is ontdekt en dat op alle apparaten hetzelfde is, kan dan bijvoorbeeld worden gebruikt om een aanval uit te voeren op alle apparaten via het internet!

Regelmatig maken apparaten deel uit van een oplossing die communiceert met een back-end systeem en gebruikmaakt van een (mobiele) applicatie. Wij controleren dan ook het verkeer tussen het apparaat en gerelateerde software of servers op kwetsbaarheden. Waar mogelijk (afhankelijk van wetgeving limitaties en beschikbare tijd) worden de mobiele applicatie en back-end servers ook (in beperkte mate) gecontroleerd op kwetsbaarheden. Als het nodig is om de mobiele applicatie en back-end server volledig te controleren, maakt Qbit gebruik van de infrastructuur assessment of applicatie assessment.

Contactaanvraag Device Assessment

Wilfred Hanekamp

Wilfred Hanekamp

Director Sales

Ik kan je meer vertellen. E-mail me of bel me op +31 6 54 712 968.

    Offerte aanvragen

    Vraag een vrijblijvende offerte aan voor: Device assessment (IoT)

    Waarmee kunnen we je helpen? Stel je vraag en we komen er zo snel mogelijk bij je op terug.

    Bedankt! We hebben je bericht ontvangen.

    We hebben je bericht ontvangen en komen hier zo snel mogelijk bij je op terug.

    Vul de velden in voor je offerte aanvraag.
    We gebruiken je e-mail alleen voor ons antwoord op je vraag.
    Hoe kunnen we je helpen?

    Newsletter