Het is nog nooit zo makkelijk geweest om bij bedrijven binnen te dringen. Digitaal, maar ook fysiek. En met weinig middelen. Met dank aan de doorbraak van Internet of Things. De perfecte inbraak in vier stappen.
Het was Oded Vanunu, head of products vulnerability research bij Check Point Software, die op Check Point Experience een scenario voorschotelde voor zo’n mogelijke inval. Voor alle duidelijkheid: hij deed dit bij een fictief bedrijf, gevestigd op een vijfde verdieping in een zakendistrict. Je zou het als de perfecte inbraak kunnen bestempelen, en die gaat als volgt:
1. Drone met Raspberry Pi
Dat is de eerste stap. ‘Met een drone vallen veel fysieke grenzen weg. Je kan zo’n drone inschakelen om een bepaalt toestel ergens achter te late’, opent Oded Vanunu. Dat toestel die die drone dichtbij het bedrijf dropt, is een Raspberry Pi, een singleboardcomputer gebaseerd op een ARM-processor die vandaag minder dan tachtig euro kost. Je bevestigt die dan dicht bij de buitenmuur van het bedrijf. ‘Zo’n Raspberry Pi beschikt dan over mobiele ontvangst en ook over een externe batterij, zo eentje die bijvoorbeeld twee weken mee gaat. Daar kom je al een eind mee.’
2. Snif het wifi netwerk (en kraak het)
Dat is de volgende stap: op afstand het wifi-netwerk zoeken en afspeuren. ‘Access points hebben meestal niet zo’n gesofisticeerde naam voor hun netwerk. Vaak gaat het om erg voor de hand liggende namen. Het moet ook makkelijk blijven voor de collega’s’, weet Vanunu. Zodra je het juiste access point kent, is het ook niet zo erg moeilijk om toegang te krijgen tot het netwerk en het draadloos netwerk dus te kraken. Eigenlijk gebeurt dat kraken, volgens hem, met brute kracht: talloze requests van paswoorden.
Veel wifi-netweken zijn ook al enkele jaren oud, en dat speelt ook mee. ‘Uit onderzoek blijkt dat een zeven jaar oud draadloos netwerk, wat geen uitzondering is, gemiddeld op elf minuten valt te kraken’, stelt hij en verwijst dat onlangs ook bekend raakte dat WPA2-beveiliging onbetrouwbaarder is dan altijd gedacht. Zo zit er serieuze kwetsbaarheid in de manier waarop de handshake gebeurt tussen een draadloos toestel en wifi-netwerken die met WPA2 beveiligd zijn..
3. Zoek en vind de IoT-toestellen
Als je het netwerk hebt gekraakt, vind je al allerlei info. Maar je wil meer. ‘Je scant het netwerk naar slimme toestellen of IoT-devices’, suggereert Vanunu. Hij somt er vier op: ip-camera’s, rookmelders, smart tv’s en smart doors. ‘Bijna elk bedrijf gebruikt deze en ze raken ook steeds meer ingeburgerd.’
Het grote probleem is dat IoT-devices een makkelijke prooi zijn. Denk aan het Mirai Botnet, waarbij voor een groot stuk ip-camera’s werden geïnfecteerd. Dat botnet kon, volgens hem, toeslaan omdat die IoT-devices simpelweg niet goed beveiligd waren. Of ze waren niet ontworpen met beveiliging als belangrijke component. ‘Blijkbaar liggen IoT producenten ook helemaal niet wakker van de beveiliging van hun toestellen’, klinkt het. Met de nodige gevolgen. Zo bleek deze zomer dat tientallen Belgische gezinnen begluurd werden via hun eigen webcam of bewakingscamera. De beelden waren live te volgen op Russische websites.
Wat voor ip-camera’s geldt, telt ook voor rookmelders. ‘Die kunnen bijvoorbeeld via een buffer overflow gekraakt worde’, stelt hij. En voor smart tv’s, want ongeveer 70 procent van de verkochte televisies zijn vandaag slim. ‘Die kunnen zodanig worden gehackt en ingeschakeld dat ze gebruikt kunnen worden als listening device. Alles wat in die ruimte wordt gezegd, kan dan worden opgenomen.’
4. Je krijgt fysieke toegang
Terwijl je al veel IoT-toestellen hebt weten in te palmen, ga je verder met je ultieme doel: fysieke toegang. Dat kan op diverse manieren, benadrukt Vanunu. ‘Je kan vandaag voor tien dollar technologie kopen om een toegangsbadge, gebaseerd op rfid, te klonen. Het is enkel voldoende om in de buurt van de oorspronkelijke badge te komen, maar met wat slimme social engineering lukt dat wel.’
En dan zijn er ook natuurlijk de opmars van smart doors, zo’n ander IoT-toepassing. Ja, ook die kunnen gehackt worden. Onlangs gaven twee beveiligingsspecialisten een presentatie hoe Bluetooth-enabled sloten konden worden gekraakt. Vaak lag de knoop al in het gebruik van eenvoudige wachtwoorden. Maar hiermee zet je dus zelfs letterlijk de deur open.
Besluit: meer aandacht voor IoT-toestellen
Dat is meteen al het punt dat Oded Vanunu wil maken: de opmars van IoT-devices thuis en op kantoor, creëert in de praktijk heel wat securitygaten. ‘Hoe meer toestellen verbonden, hoe meer open deuren een wifi-netwerk krijgt.’
Enerzijds moet de industrie die deze toestellen produceert, volgens hem, het aspect security ernstiger opvatten. Anderzijds is het natuurlijk een kwestie van de gebruiker zelf. ‘Bedrijven moeten meer bewust raken van de mogelijke gevaren. Heel vaak zitten camera’s, tv’s of deuren niet onder het oog van it of security, maar zit het bij de kerels van facility. En vaak maken die toestellen zelfs nog geen deel uit van de security policy’, stelt hij. ‘Maar hiermee hou je wel een virtuele achterdeur in stand.’
