Zijn slimme huizen en gebouwen de nieuwe war zones waar hackers en beveiligingsexperts ten strijde trekken?

Foto van Richard van Hooijdonk
Richard van Hooijdonk
  • Hoe groot is de siegeware-dreiging?
  • Krachtige malware ontwikkelen is veel makkelijker dan je denkt
  • Hacker krijgt het voor elkaar om Google Nest smart home-apparaten te infiltreren
  • Het kan: via je aquarium of modemrouters data exfiltreren
  • Google gehackt door eigen werknemer
  • Door datalek in ziekenhuissysteem ligt data van 1,5 miljoen patiënten op straat
  • Hoe kun je hackers te slim af zijn en je systemen beschermen?
  • Elk verbonden apparaat is een potentiële bedreiging

De meeste mensen zouden hun verwarmings-, ventilatie- en airconditioningsysteem (HVAC) nou niet bepaald beschouwen als een doelwit voor cybercriminelen. Maar naarmate we steeds meer slimme HVAC’s, intelligente camera’s en slimme deurbellen in onze huizen en kantoren implementeren, neemt de complexiteit van het IoT-ecosysteem toe. Onderzoeks- en adviesbedrijf Gartner voorspelt dat er tegen 2021 maar liefst 25 miljard aangesloten apparaten in gebruik zullen zijn. En veel van deze IoT-apparaten communiceren met elkaar via FHEM (Freundliche Hausautomatisierung und Energie-Messung, een in Perl geschreven server voor home-automation) en HASS (Home Assistant – een open source automation platform).

Technologie die je climate control en verlichting automatisch inschakelt wanneer je thuiskomt is natuurlijk heel handig, maar hoe zit het met de veiligheid van deze systemen? Building Automation Systems (BAS) die verbonden apparaten met elkaar integreren zijn vaak onvoldoende beveiligd en geconfigureerd. Hackers kunnen deze systemen – bijvoorbeeld via een zwakke plek op een onbeschermde inlogpagina van een branddetectiesysteem – infiltreren. Als hackers zo’n systeem eenmaal binnengedrongen zijn, kunnen ze zich verder verplaatsen en ook andere delen van het BAS overnemen om bijvoorbeeld alarm- of verwarmingssystemen uit te schakelen en vervolgens losgeld te eisen. Deze dreiging, ook wel bekend als siegeware, is aan een serieuze opmars bezig en veel bedrijven en individuen zijn al slachtoffer geworden van deze aanvallen.

Hoe groot is de siegeware-dreiging?

Volgens cybersecuritybedrijf ForeScout neemt het aantal kwetsbaarheden in automatiseringssystemen voortdurend toe. Met name ziekenhuizen en scholen zijn onvoldoende beveiligd tegen cyberaanvallen en vaak zijn er zo rond de 8.000 zeer kwetsbare apparaten op hun systemen aangesloten. En als hackers de volledige controle krijgen over deze apparaten kan dat enorme gevolgen hebben.

ForeScout legt uit hackers op deze manier toegang kunnen krijgen tot (financiële) privébestanden en andere informatie die in datacenters is opgeslagen. Bovendien kunnen ze gesprekken afluisteren, camerastreams bekijken, bestanden verwijderen, automatiseringscode herschrijven, malware verspreiden en onbevoegden fysieke toegang geven tot het gebouw. En hoewel veel van de kwetsbaarheden waar hackers gebruik van maken bekend zijn, is slechts de helft van deze ‘lekken’ in industriële en IoT-systemen gepatcht. Zelfs hackers met beperkte middelen kunnen effectieve malware ontwikkelen en slimme gebouwen hacken.

Krachtige malware ontwikkelen is veel makkelijker dan je denkt

Zo kostte het ForeScout maar $12.000 om proof-of-concept-malware te ontwikkelen om te laten zien hoe eenvoudig het is om een ​​slim gebouw te hacken. Tijdens dat proces hebben de cybersecurityexperts eerst enige tijd besteed aan het analyseren van verschillende automatiseringssystemen en het zoeken naar zwakke plekken. Ze vonden aanvankelijk acht kwetsbaarheden en kozen ervoor om er twee te exploiteren – deze waren beide al bekend bij de systeemleverancier. In de volgende fase schreven ze code in Java en Google’s programmeertaal Golang. De bestandsgrootte was slechts twee megabytes en kon in apparaten met een beperkte capaciteit gemakkelijk worden uitgevoerd.

 Een infographic met de kosten voor het ontwikkelen van malware waarmee je de systemen van slimme gebouwen kunt infiltreren

Het cybersecuritybedrijf ForeScout heeft aangetoond dat het ontwikkelen van malware waarmee je de systemen van slimme gebouwen kunt infiltreren slechts $12.000 kost.

Vervolgens zetten ze de malware in om kwetsbaarheden in IP-camera’s te gebruiken en het netwerk te infiltreren. De kwaadaardige code verspreidde zich door verschillende delen van het systeem, waardoor de aanvaller de centrale database kon infiltreren, nieuwe gebruikers kon toevoegen en fysieke toegang tot het gebouw kon verlenen. De ForeScout-onderzoekers konden ook bestanden verwijderen en BAS-operaties verstoren. De malware overleefde bovendien een reboot van het systeem en kon sporen van infiltratie verwijderen door logbestanden te veranderen. Na het afronden van de test maakte ForeScout bekend: “we zijn ervan overtuigd dat dit door grote groepen hackers gedaan kan worden die minder positieve bedoelingen hebben dan wij”.

Hacker krijgt het voor elkaar om Google Nest smart home-apparaten te infiltreren

Arjun en Jessica Sud uit Lake Barrington, een dorp in de Amerikaanse staat Illinois, zijn het ongetwijfeld eens met ForeScout. Zij waren het slachtoffer van een cybercrimineel die hun Nest-camera’s, luidsprekers en thermostaat gehackt had en via de apparaten tegen hun baby van zeven maanden had gesproken. Toen Arjun het kind oppakte en naar beneden ging, merkte hij op dat de temperatuur – die meestal was ingesteld op ongeveer 22°C – plotseling naar 32°C was gestegen. Een diepe mannenstem schreeuwde vervolgens racistische beledigingen door de luidspreker in de bewakingscamera. Arjun en Jessica hebben hun 17 Nest-apparaten ter waarde van $4000 direct verwijderd en teruggestuurd.

Volgens Nest ontstaat dit soort situaties door onvoldoende sterke of hergebruikte wachtwoorden. Het bedrijf adviseert bovendien om gebruik te maken van een tweefactorenverificatiesysteem en de software regelmatig te updaten. Christian Vezina, informatiebeveiligingsfunctionaris bij het mobiele beveiligingsbedrijf OneSpan, wijst erop dat smart home-apparaten “met een waanzinnige snelheid worden geproduceerd, maar dat ze niet worden beveiligd”. En de gevolgen kunnen werkelijk catastrofaal zijn. Hackers kunnen je diepste geheimen ontdekken en deze bijvoorbeeld gebruiken om je te chanteren. En diezelfde gevaren gelden uiteraard ook voor bedrijven, overheidsorganisaties, ziekenhuizen en elektriciteitscentrales met IoT-systemen en -apparaten die niet voldoende beveiligd zijn.

Het kan: via je aquarium of modemrouters data exfiltreren

Maar ondanks alle beveiligingsmaatregelen kunnen creatieve hackers soms elk obstakel doorbreken. In Las Vegas hebben ze bijvoorbeeld via een hightech, met het internet verboden aquarium een casino weten te hacken. De malware heeft tien gigabytes aan gegevens geëxtraheerd en naar een externe server in Finland verstuurd. De volledige omvang van de hack werd pas opgemerkt nadat het personeel deskundigen van cyberdefensiebedrijf Darktrace hadden ingeschakeld om verdachte activiteiten te onderzoeken. Volgens Darktrace is dit “een duidelijk geval van gegevensexfiltratie, maar veel subtieler dan de gebruikelijke pogingen van datadiefstal”. Dit is echter niet de enige manier waarop hackers hun voordeel weten te doen met de kwetsbaarheden van verbonden ecosystemen.

Zo hebben hackers in Brazilië door middel van IoT-apparaten geprobeerd bankgegevens van klanten te stelen. Ze kregen het voor elkaar om DLink DSL-modemrouters te kapen en alle gebruikers die de website van Banco de Brasil dachten te bezoeken door te linken naar een nepwebsite – niet alleen via desktops en laptops, maar ook via smartphones en tablets. Wanneer de slachtoffers hun gebruikersnaam en wachtwoord invoerden om op hun zogenaamde rekeningen in te loggen, gaven ze in werkelijkheid hun gevoelige gegevens direct vrij aan de hackers. Het was een zeer geavanceerde aanval, vooral ook omdat de URLs in de browser van de gedupeerden niet gewijzigd werden waardoor de aanval lange tijd onopgemerkt bleef.

Google gehackt door eigen werknemer

Zelfs grote technologiebedrijven zijn niet immuun voor beveiligingsfouten in IoT-apparaten. De ingenieur van Google, David Tomaschik, ontdekte bijvoorbeeld een manier om de controle over slimme deursloten over te nemen die in de Sunnyvale-kantoren van het bedrijf worden gebruikt. Hij deed dit door de coderingssleutel te repliceren en de office controllersoftware van het softwarebedrijf Software House te manipuleren. Tomaschik kreeg het vervolgens voor elkaar om zelfs zonder de vereiste RFID-keycard de deur te openen of vergrendelen – allemaal zonder enige digitale sporen achter te laten.

Hacker zit voor diverse computerschermen met binaire code en het Google-logo
De ingenieur van Google, David Tomaschik, ontdekte bijvoorbeeld een manier om de controle over slimme deursloten over te nemen die in de Sunnyvale-kantoren van het bedrijf worden gebruikt.

Als reactie heeft Google zijn netwerk vervolgens zo snel mogelijk gesegmenteerd om de kwetsbare code te beschermen tegen mogelijke externe interferentie. Software House beweert dat het nu een geavanceerdere vorm van codering gebruikt die bekend staat als TLS. Maar de bestaande hardware- en smart locksystemen die inmiddels op talloze locaties geïnstalleerd zijn, zijn niet krachtig genoeg om de nieuwe software te gebruiken. Dit betekent dat alle gebruikers van deze hardware kwetsbaar zijn voor cyberaanvallen – met alle potentiële desastreuze gevolgen van dien.

Door datalek in ziekenhuissysteem ligt data van 1,5 miljoen patiënten op straat

In Singapore wisten cybercriminelen de persoonlijke gegevens – zoals naam, geslacht, ID-nummers en adressen – van 1,5 miljoen patiënten buit te maken. Ze stalen zelfs informatie over het specifieke medicijngebruik van premier Lee Hsien Loong. De aanval vond plaats tussen 27 juni en 4 juli 2018, toen de hackers inbraken op het netwerk van SingHealth, de grootste zorginstellingengroep in Singapore. Gelukkig werden dossiers met diagnoses of medische onderzoeksresultaten niet gecompromitteerd, maar als gevolg van deze aanval zijn wel veel van de Smart Nation-initiatieven in het land voorlopig op ijs gezet.

Veel mensen vrezen natuurlijk dat hackers misbruik maken van hun identiteit. ID-nummers zijn bijvoorbeeld cruciaal voor toegang tot allerlei overheidsdiensten. Leonard Kleinman, senior directeur van IT Security bij de Australische belastingdienst en cybersecurity-adviseur van het beveiligingsbedrijf RSA, zegt dat “dit soort gegevens veel geld kunnen opbrengen”. In 2017 was een gestolen of verloren zorgdossier op het Dark Web bijvoorbeeld $408 waard.

Hoe kun je hackers te slim af zijn en je systemen beschermen?

Aangezien een groeiend aantal cyberaanvallen gericht is op IoT-apparaten en automatiseringsplatformen, moeten bedrijven en individuele gebruikers hun uiterste best doen om hackers het zo lastig mogelijk te maken. Het uitvoeren van een paar elementaire beveiligingsmaatregelen kan al een enorm groot verschil maken. Het is bijvoorbeeld van cruciaal belang om standaardwachtwoorden te vervangen door sterke en unieke varianten. Ook is het belangrijk om de software van al je slimme apparaten regelmatig te updaten. En wanneer je nieuwe slimme apparaten koopt, zorg er dan voor dat je de beveiligingsfuncties goed controleert.

Ian Heritage, ingenieur bij cybersecuritybedrijf Trend Micro, vertelt dat je slimme woningen en bedrijfspanden kunt beschermen door bijvoorbeeld “versleutelmethodes te gebruiken voor informatie-opslag, communicatie, WPA2 en wifi-routers. Bovendien is het beter om UPnP uit te schakelen (Universal Plug and Play die op modems/routers standaard aan staat) en alleen een hardgecodeerde lijst van apparaat-MAC-adressen te gebruiken voor toegang tot het netwerk”. Verder is het belangrijk om een backup te maken van de configuratie van de automatiseringsserver en installatie van verdachte applicaties te voorkomen. En door het introduceren van multi-factor-authenticatie en lockout bij mislukte wachtwoordpogingen, zullen BAS veel beter beschermd zijn en zelfs voor een vastberaden hacker moeilijk te doorbreken zijn. Deze maatregelen zorgen er bovendien voor dat je weet of merkt wanneer je IoT-apparaten gehackt zijn – slechts 48 procent van de bedrijven is namelijk in staat om dit soort aanvallen (tijdig) te herkennen.

Elk verbonden apparaat is een potentiële bedreiging

De miljarden IoT-apparaten en –sensoren die verbinding maken via automatiseringsplatforms maken gebruik van netwerken die je moeilijk kunt beveiligen en die kwetsbaar zijn voor softwarefouten. Hierdoor is het voor hackers relatief eenvoudig om in deze systemen te infiltreren en toegang te krijgen tot gevoelige gegevens. Het aanpakken van siegeware is echter niet eenvoudig en het succes ervan hangt bovendien af van verschillende factoren. Zijn wetshandhavingsinstanties er bijvoorbeeld op voorbereid om deze vorm van criminaliteit agressief te lijf te gaan? Hoeveel slachtoffers kunnen hackers met een aanval te grazen nemen? En betalen deze mensen allemaal losgeld?

Het belangrijkste wapen in deze strijd is waarschijnlijk om bewustwording te creëren. We moeten allemaal op de hoogte zijn van de gevaren. Hackers zijn gewetenloos en gaan zelfs zo ver dat ze ziekenhuizen gijzelen en de levens van grote groepen mensen op het spel zetten. Ze zijn bereid om persoonlijke informatie te stelen en deze te gebruiken om bedrijven schade toe te brengen. We moeten zelf onze cyberbeveiliging aanscherpen en ons realiseren dat elk apparaat dat verbinding maakt met het internet – of het nu een slimme koelkast of een slimme deurbel is – naast efficiëntie ook gevaren met zich meebrengt.

Share via
Copy link