Je leest steeds vaker berichten over hackers die systemen platleggen of organisaties afpersen. Het is tegenwoordig dus steeds belangrijker om beter na te denken over het beveiligen van onze technologie. We hebben onze telefoon, tablet en laptop, maar daarnaast vaak ook nog smarthome apparatuur (The Internet of Things – IoT). Het wordt immers steeds meer en dit dwingt ons daarom ook tot meer en beter te beveiligen. Dus beveilig je laptop maar ook je… aquarium?
In dit verhaal neemt onze collega Jup je mee in security risico’s van IoT en een casino dat gehackt is dankzij een ‘niet-zo-slimme’ aquarium thermometer.
In het global threat report van Darktrace (2017) stond een wel heel markant verhaal: Hackers hebben een casino gehackt, gebruikmakend van een slimme aquarium-thermometer. Deze hackers zijn erin geslaagd een database met informatie over highrollers – personen die in het casino spelen met hoge bedragen – te kopiëren, gebruikmakend van de zwakke plekken in deze (toch niet zo) slimme aquariumthermometer.
Best een rare gedachte dat data gestolen wordt door een thermometer, toch? Het is echter wel een bekend gevaar. Niet specifiek de aquariumthermometer, maar smartapparatuur is vaak minder goed beveiligd dan we willen. Vaak is men ook niet op de hoogte van de risico’s. Wat maakt het immers uit als iemand mijn slimme thermometer hackt en ziet welke temperatuur het water is?
Hackers zijn niet geïnteresseerd in het daadwerkelijke smartdevice, maar in de voet tussen de deur die ze hiermee kunnen krijgen (ook wel foothold genoemd). Met deze voet tussen de deur hebben ze toegang tot het netwerk en gaan ze opzoek naar waardevollere doelwitten. Hoe de hackers dit op technisch vlak klaargespeeld hebben houdt de firma Darktrace voor haar klant geheim. Wij nemen je daarom wél mee in de gevaren van IoT en hoe kwetsbaarheden van dergelijke apparaten worden uitgebuit.
De grote spindel van geconnecteerde apparaten aan het internet: The Internet of Things. Voor velen een bekende term. Het concept beschrijft het connecteren van voorwerpen, sensoren en apparatuur aan het internet. Hieronder vallen je smartlampen, bewegingssensoren, camera’s en nog veel meer. Naast dat het een veelgebruikte technologie is, is het ook een vaak bediscussieerd onderwerp onder securityprofessionals.
De gevaren ontstaan vaak door de behoefte dat smartapparatuur snel, goedkoop en makkelijk te gebruiken moet zijn. Dat resulteert erin dat er weinig tot geen aandacht besteed wordt aan security en privacy voor IoT-apparatuur. Daarnaast is deze apparatuur vaak open source (staat de code openbaar). En hoewel open source veiliger kan zijn omdat sneller patches uitgebracht worden voor het dichten gevonden lekken, worden fouten in de code ook eerder gevonden door hackers waardoor deze uitgebuit kunnen worden.
IoT-apparatuur wordt massaal geproduceerd en meestal geleverd met een ‘standaardset’ aan inloggegevens. Echter, net zoals jij deze op internet kan opzoeken als je ze vergeten bent, kan een hacker dit ook. Volgens onderzoek in 2021 gebruikt 15% van alle IoT-apparatuur deze standaard inloggegevens. Een aanval met een standaard wachtwoordenset is makkelijk te automatiseren. Zo zijn er websites met daarop meer dan 100.000 camerabeelden die rechtstreeks verbonden zijn met het internet en gebruik maken van standaard wachtwoorden, gewoon door iedereen te bekijken. Dit varieert van camera’s op straten tot camera’s op privacygevoeligere plaatsen zoals woonkamers, badkamers of slaapkamers, allemaal automatisch ingelezen.
Zo zijn er dus in essentie spionagewebsites vindbaar op het gewone internet en dan wordt er nog niet gesproken over het darkweb. Dit leidt dan toch wel tot zorgwekkende ‘lekken’ in je thuisnetwerk zonder je dit door hebt. Nu heb je het waarschijnlijk niet door dat je via je camera bekeken wordt, maar er is een ander voorbeeld waar een influencer op instagram vertelt hoe haar babymonitor gehacked was door het hacken van haar router. Na een aantal dagen zich afgevraagd te hebben waarom haar 3-jarig kind slecht sliep en last had van nachtmerries, kwam ze erachter dat een hacker iedere nacht met een vervormde stem tegen de baby aan het praten was door de babymonitor.[iv] De hacker had via het hacken van de router een manier gevonden om connectie te kunnen maken met deze babymonitor.
“Je hoeft geen specifiek doelwit te zijn om slachtoffer hiervan te worden. Dit vindt op een grote geautomatiseerde schaal plaats.”
Het gaat natuurlijk niet over het aquarium, maar over je IoT-apparatuur nu op een veilige en verantwoorde manier kunt gebruiken? In essentie kun je het antwoord uit de bovenstaande verhalen halen, maar er zijn nog een aantal andere zaken die belangrijk zijn om in acht te nemen.
Hieronder staat een lijst van de belangrijkste maatregelen tegen dit soort dreigingen:
In de verhalen van de camera’s en de babymonitor zit een overlappend detail. Waarschijnlijk gebruikt alle apparatuur een set aan standaard wachtwoorden. Het is cruciaal deze idealiter tijdens (of anders zo snel mogelijk erna) het installeren te wijzigen. Je hoeft geen specifiek doelwit te zijn om slachtoffer hiervan te worden. Dit vindt op een grote geautomatiseerde schaal plaats.
De meeste thuisrouters hebben de functionaliteit om je netwerk op te delen (een netwerksegment aan te maken) met als doel verbonden apparatuur van elkaar af te schermen. Zo is het mogelijk slecht beveiligde smarthome apparatuur af te schermen van de rest van je netwerk waar zich gevoelige gegevens bevinden.
Als het casino (in het eerdere genoemde voorbeeld) het netwerk beter had gesegmenteerd, was de hacker waarschijnlijk niet in staat geweest een database te vinden op hetzelfde netwerk. Deze was idealiter in een ander netwerksegment gezet (ook wel VLAN – Virtual Local Area Network genoemd).
“Het is belangrijk updates niet uit te stellen.” Bekend verhaal natuurlijk. Omdat IoT vaak open source is, worden lekken en fouten eerder gevonden, maar kunnen ze ook eerder benut worden door hackers. Ook het hacken van hardware met bekende ‘security exploits’ (zwakke plekken) kan geautomatiseerd op grote schaal gebeuren.
IoT-apparatuur is gebouwd om snel, goedkoop en makkelijk te zijn. Helaas heeft geen enkel van deze criteria raakvlakken met security. Vaak ontbreekt versleuteling van data waardoor het hacken en afluisteren erg makkelijk wordt. Ga er niet vanuit dat deze apparatuur beveiligd is en neem altijd eigen maatregelen. Zorg er bijvoorbeeld al voor dat je thuisrouter geen standaard wachtwoordenset gebruikt, dit is immers de ophaalbrug naar de rest van je netwerk. Controleer daarbij ook de fabrikant van de apparatuur op vertrouwelijkheid en reputatie.
Het uitschakelen van onnodige functionaliteiten wordt ook wel hardening genoemd. Zorg ervoor dat functionaliteiten die niet gebruikt worden uitgeschakeld worden. Als deze ingeschakeld zijn geef je de hacker meer mogelijkheden om misbruik te maken van zwakke plekken.
Lees over beveiliging van je thuisnetwerk ook dit artikel van David Jacoby op SecureList waar hij zijn eigen thuisnetwerk heeft gehackt om te bewijzen hoe onveilig thuisnetwerken eigenlijk zijn.
Benieuwd hoe Cuccibu jou of jouw organisatie kan helpen grip te krijgen op zwakke plakken in jouw netwerk?
Onze professionals kunnen helpen met het pentesten van het netwerk waardoor zwakke plekken boven water komen. Twijfel je over de waarde van dit soort testen? Daarvoor bestaat onze Proof of Value: Voor een beperkte investering voeren onze securityspecialisten een test uit binnen een met jou samen bepaalde scope. Met als resultaat een helder overzicht van de geconstateerde kwetsbaarheden.