6 Internet of Things-hacks die u niet gemist mag hebben deze zomer

Article

6 Internet of Things-hacks die u niet gemist mag hebben deze zomer

Van rolstoelen tot auto’s en van erotische speeltjes tot ATM-systemen, deze zomer werd het gehackt

De afgelopen zomer was een druk seizoen op het gebied van security conferenties. Zo vonden zowel Defcon als Blackhat plaats, waar ook collega Jelle Niemantsverdriet een presentatie gaf (Security Through Design - Making Security Better by Designing for People). Niet alleen geven de hacks inzicht in nieuwe technologieën ook dragen ze bij aan het belang van awareness rondom cyber security en privacy. Wij vatten net als vorig jaar zes interessante Internet of Things-hacks van deze zomer voor u samen.

Jeroen Slobbe - 19 augustus 2016

Payment Point of Interaction & ATM systemen

Beveiligingsonderzoekers Nir Valtman en Patrick Watson lieten in hun presentatie zien hoe je met behulp van een RaspberryPi de beveiliging van Payment Point of Interaction systemen kan omzeilen. Daarnaast demonstreerde Weston Hecker een aanval waarna een cash machine cash uitspuugde.
 

Rolstoel

Stephen Chavez en Specter demonstreerde een hack op een rolstoel. Door een Raspberry Pi aan te sluiten op de rolstoel en direct tegen de CAN bus aan te praten waren zij in staat de rolstoel op afstand te bedienen. Alhoewel de hack fysieke toegang tot de rolstoel nodig heeft, gaven de hackers aan dat het aansluiten van het apparaat om de hack op afstand mogelijk te maken slechts enkele seconden duurt.

Over dit risico kunnen we een lange discussie voeren, echter laat de hack ook nog een andere meerwaarde zien. De meerwaarde van deze hack is dat het duidelijk laat zien dat hacken van ‘things’ ook als katalysator voor innovatie gebruikt kan worden. Waar eerst enkel de leverancier applicaties voor de stoel kon implementeren bestaat de mogelijkheid nu ook voor een kundige eindgebruiker. Is het risico nu dat een aanvaller hardware kan toevoegen en jouw rolstoel kan hacken of is het risico eigenlijk dat er nu in potentie honderden concurrenten voor slimme rolstoelen op de markt zijn bijgekomen?


Connected auto’s

Wederom lieten Charlie Miller en Chris Valasek kwetsbaarheden in auto’ s zien. Alhoewel de aanval nog spectaculairder is dan vorig jaar - de onderzoekers konden de auto een scherpe bocht laten maken tijdens het rijden - is het noodzakelijk dat een aanvaller fysiek toegang heeft tot het apparaat.

Alhoewel een nieuwe nog te ontdekken kwetsbaarheid aanvallers de mogelijkheid zou kunnen geven hier toch misbruik van te maken laat het ook een andere trend zien. Naast de aanval direct gericht op de auto demonstreerden Jianhao Liu, Chen Yan en Wenyuan Xu hoe autosensoren - welke bijvoorbeeld tijdens het inparkeren worden gebruikt - voor de gek gehouden kunnen worden.


Zonnenpanelen

Fred Bret-Mounet demonstreerde op Defcon hoe solarpanelen gehackt kunnen worden. Zijn eerste observatie was het gebruik van standaard wachtwoorden en de toegankelijkheid tot de panelen via WiFi. Daarnaast demonstreerde hij meer serieuze kwetsbaarheden zoals het kunnen uitvoeren van systeem commando’s op het onderliggende besturingssysteem. De onderzoeker gaf aan dat hij zo mogelijk duizenden huishoudens had kunnen bespioneren of met veiligheidsinstellingen ter voorkoming van verhitting had kunnen spelen.


Seismologie device’s

Beveiligingsonderzoekers Bertin Bervis en James Jara lieten zien dat seismologie meters wereldwijd opgespoord en gehackt kunnen worden. Ten eerste zat er een achterdeurtje in en daarnaast zaten er meerdere bekende kwetsbaarheden in. Omdat de apparatuur wereldwijd gebruikt wordt om de veiligheid van mensen te bewaken eindigde ze de presentatie met een oproep aan de leveranciers om meer aandacht te besteden aan de beveiliging van het product.


Sloten

Beveiligingsonderzoekers Anthony Rose en Ben Ramsey lieten zien hoe draadloze sloten te hacken waren via kwetsbaarheden in het Low Bluetooth Energy protocol. Een aanvaller die afdoende afstand tot een slot - van bijvoorbeeld een fiets - heeft, kan deze kraken en vervolgens het object stelen. Daarnaast kan het lokaliseren van deze sloten consequenties hebben voor de privacy van de consument.


Afsluitend

Ook deze zomer bleek weer dat meerdere apparaten te hacken waren. Wat het interessant maakt is dat zowel bij de aanval op de auto, de aanval op de PPI en de rolstoel aangenomen wordt dat een aanvaller fysiek toegang heeft tot het systeem. In de traditionele beveiligingswereld betekende fysieke toegang over het al gemeen al ‘game-over’, echter met IoT gaat fysieke toegang de standaard worden. Het is dan ook aan ontwikkelaars van apparatuur om een expliciete risico inschatting te (gaan) maken van de noodzaak van het afdekken van attacker-hardware of wellicht te werken met detectie methoden zoals het bekende lampje op het dashboard van een auto.

Cyber en privacy tips

De zomer-hacks laten zien dat de innovatie van IoT in rap tempo doorgaat. Het is van belang om de juiste balans tussen beveiliging en innovatie te vinden en daarbij beveiliging en privacy te omarmen als een innovatie kanalisator. Geïnteresseerd in hoe uw organisatie veilig en goed voorbereid kan innoveren? Volg deze tips om de voordelen van het internet der dingen optimaal te benutten.

Meer weten over Internet of Things?

Wilt u meer weten over Internet of Things en security & privacy? Neem dan contact op met Jeroen Slobbe via +31 (0)88 2882753

Vond u dit nuttig?

Gerelateerde onderwerpen