IoT - Internet of Things

Het is wel duidelijk dat security experts extreem sceptisch staan tegenover de mateloze populariteit van ‘smart’ devices. De scepsis richt zich vooral op de fabrikanten die met enorme gretigheid op de trend inspringen, zonder daarbij na te denken over de mogelijke zwakke plekken en gevaren. Een IoT-apparaat met een veilige architectuur en een gebruiksvriendelijke wijze om standaardwachtwoorden te wijzigen en beveiligingsupdates en patches te installeren is echt een zeldzaamheid.

Al vanaf het begin van deze trend, zo’n twee á drie jaar geleden, waarschuwen wij tegen de gevaren die slecht beveiligde slimme apparaten mogelijk met zich meebrengen. Meestal hebben wij daarbij gewaarschuwd voor privacyproblemen. Denk bijvoorbeeld aan IP-camera’s die niet met een wachtwoord beveiligd zijn en dus aan iedere geïnteresseerde live beelden van baby’s, kinderdagverblijven, voordeuren en bedrijfsterreinen laten zien.

Een ander gevaar dat wij doorlopend voorspelden, is dat van de zwakke plek in het netwerk. Een goed voorbeeld is de slimme koelkast, die gelinkt is aan de Google Calendar, om daarin boodschappenlijstjes te maken van producten die niet meer in de koelkast staan en dus waarschijnlijk op zijn. Door deze koppeling kan via een aanval op de koelkast de inloggegevens van de Google Account van de eigenaar worden gestolen. Een Google Account beperkt zich, zoals bekend, allang niet meer tot e-mail. Het geeft ook toegang tot afspraken en plannen middels de Google Agenda, tot (huis)adressen en bezochte plaatsen middels Google Maps en – indien in gebruik- tot geld middels Google Wallet.

Een gevaar dat wellicht wat onderbelicht is gebleven in onze waarschuwing is hetgeen zich nu voltrekt: botnets. Door de zwakke beveiliging van IoT-apparaten, zijn ze gemakkelijk te infecteren en op te nemen in een botnet. 

Met het botnet Mirai, zijn we in een nieuwe fase aangekomen. Nog nooit eerder werd een botnet met zó veel gekaapte apparaten en machines waargenomen. Mirai was door zijn enorme omvang en brute kracht verantwoordelijk voor de DDoS-aanval die DNS-provider en internetreus Dyn op de knieën kreeg. Het Mirai-botnet is in ieder geval te huur voor geïnteresseerden met voldoende liquide middelen en ik verwacht dan ook dat er de komende tijd nog veel DDoS-aanvallen zullen volgen. En daarmee sluit de cirkel zich: iedereen – en dus ook de eigenaars van de geïnfecteerde devices – heeft vanaf nu last van botnets.

Alles bij de bron; ZDNet [Thnx-2-Luc]


Fabrikanten van Internet of Things-apparaten moeten meer beveiligingsmaatregelen nemen om hun apparaten tegen aanvallen te beschermen, zo stelt het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Aanleiding zijn de ddos-aanvallen op dns-aanbieder Dyn van afgelopen vrijdag waardoor populaire websites slecht of niet bereikbaar waren. De aanvallen waren onder andere afkomstig van gehackte Internet of Things-apparaten, zoals digitale videorecorders en ip-camera's. Het BSI wil dat fabrikanten van deze apparatuur gepaste beveiligingsmaatregelen doorvoeren. "Het incident laat zien dat de digitalisering geen succes zonder cybersecurity zal worden", zegt BSI-president Arne Schönbohm."We roepen daarom de fabrikanten van netwerkapparaten op om de veiligheid van hun producten te verbeteren en bij het ontwikkelen van nieuwe producten zich niet alleen op functionele en prijsaspecten te richten, maar ook op de noodzakelijke veiligheidsmaatregelen." Volgens Schönbohm zal het BSI het gesprek met de fabrikanten aangaan.

Verder wil het BSI dat IoT-apparaten geen Universal Plug and Play (UPnP) gebruiken om onveilige aanpassingen in de router door te voeren om zo met onveilige diensten te verbinden. Verder moeten fabrikanten regelmatig beveiligingsupdates uitbrengen. Het uitrollen en installeren van deze updates moet via encryptie zijn beschermd. Als laatste punt stelt het BSI dat de firmware van IoT-apparaten voldoende is beveiligd om bijvoorbeeld het ongecontroleerd herladen van internetcontent te voorkomen. 

Alles bij de bron; Security


Zo'n 130.000 ip-camera's en digitale videorecorders (DVR's) van fabrikant AVTech zijn kwetsbaar voor aanvallen via het internet, maar de fabrikant weigert om de problemen op te lossen. Een jaar geleden werd AVTech gewaarschuwd door onderzoekers van Search-Lab.

De onderzoekers hadden in totaal 14 verschillende beveiligingslekken ontdekt. Zo wordt het beheerderswachtwoord in platte tekst opgeslagen, is er geen bescherming tegen csrf-aanvallen, is het mogelijk om afgeschermde gegevens zonder authenticatie te benaderen, kan een aanvaller zonder inloggegevens systeemcommando's met rootrechten uitvoeren, is het mogelijk om op verschillende manieren de inlogcaptcha's en authenticatie te omzeilen en wordt het certificaat voor de https-verbinding niet gecontroleerd.

Eén van de verschillende "command injection" kwetsbaarheden maakt het mogelijk om willekeurige systeemcommando's met rootrechten uit te voeren en wordt actief gebruikt om AVTech-apparaten aan te vallen, aldus de onderzoekers. Volgens de zoekmachine Shodan zijn er meer dan 130.000 AVTech-apparaten op internet te vinden en is het één van de populairste zoekopdrachten bij de zoekmachine.

De onderzoekers waarschuwden de Taiwanese fabrikant op 19 oktober vorig jaar, maar ontvingen geen reactie. In totaal werd er vier keer geprobeerd om contact op te nemen, maar alle keren zonder succes. Daarop zijn nu de details van de kwetsbaarheden openbaar gemaakt. Gebruikers krijgen het advies het standaard beheerderswachtwoord aan te passen en het beheerderspaneel van de apparaten niet aan het internet te hangen.

Bron; Security


Onderzoekers van Keen Security Lab zijn erin geslaagd de controle over een Tesla over te nemen. Hiervoor misbruikten de beveiligingsspecialisten een lek in de CAN-bus van de wagen. Een Controller Area Network is een seriële databus die in wagens wordt gebruikt om verschillende systemen aan te sturen.

Om de controle van de wagen over te nemen, diende het voertuig aangesloten te zijn aan een kwaadaardige wifi-hotspot. De onderzoekers demonstreren in een video hoe dit kon gebeuren wanneer een Tesla-eigenaars op zoek ging naar het dichtstbijzijnde laadpunt via het touchscreen van zijn wagen. Eenmaal de hackers verbinding hadden gemaakt met de Tesla konden ze onder andere de deur ontgrendelen en de remmen controleren.

Ook wanneer de Tesla reed, konden de onderzoekers allerhande kattenkwaad uithalen. De beveiligingsspecialisten konden de ruitenwissers aanzetten en sproeivloeistof laten spuiten. Tot slot toonden de hackers in hun video hoe een medewerker die 20 kilometer verwijderd wasde remmen van de wagen kon inschakelen.

De onderzoekers hebben hun bevindingen met Tesla gedeeld. Binnen de tien dagen was het lek gedicht en had Tesla een update uitgestuurd over-the-air.

Alles bij de bron; ZDNet [Thnx-2-Luc]


Wie heel erg aan zijn privacy hecht koopt beter geen nieuwe auto, en al helemaal geen Tesla. Dankzij een directe verbinding weet Palo Alto alles wat u doet. Maar het wordt nog Orwelliaanser, want er schijnt ook heimelijk gefilmd te worden.

Het Autopilot-systeem is een belangrijke pijler in Tesla's strategie, en ook al gaat er zo nu en dan iets (heel erg) mis, er wordt inmiddels een flinke database opgebouwd aan vlekkeloos verlopen autonome kilometers. Wat we echter niet wisten is dat het Autopilot-systeem in staat is filmbeelden te maken van het rijgedrag van de klant, en dit ook daadwerkelijk doet wanneer zich een ongeluk afspeelt. 

De functie werd ontdekt door een programmeur uit North Carolina, die bezig was met een display van een gecrashte Model S. Hier kwam hij beelden op tegen van de crash zelf. Op zich weten we dat de camera's van de Autopilot (tijdens de switch naar Autopilot 8 gaat het systeem meer op radar leunen) altijd draaien, maar niet dat er daadwerkelijk beelden opgeslagen werden. Weliswaar in een lage framerate en in zwart-wit, maar toch.

Alles bij de bron; AutoBahn [Thnx-2-Luc]


De Finse politie adviseert eigenaren van een auto die met een 'slimme' sleutel kan worden geopend en gestart om de sleutel in de koelkast te bewaren. Het signaal van de sleutel zou namelijk door criminelen kunnen worden opgevangen, die zo toegang tot de auto kunnen krijgen.

 "Het klinkt misschien raar, maar het slaat echt ergens op", zegt Jari Tiiainen van de Finse politie. Hij krijgt bijval van Eero Heino van een Fins verzekeringsbedrijf hij adviseert echter niet het gebruik van koelkasten, aangezien aluminiumfolie ook volstaat. Vorige maand demonstreerden onderzoekers hoe ze het draadloze signaal van Volkswagen-sleutels kunnen opvangen om vervolgens toegang tot het voertuig te krijgen.

Alles bij de bron; Security


Een vrouw uit Chicago klaagt de maker van een slimme vibrator aan, omdat het apparaat gevoelige gegevens over het gebruik van het seksspeeltje zou hebben doorgegeven aan het bedrijf. De vrouw kocht in mei voor 130 dollar (116 euro) een We-Vibe Rave. Die vibrator kan worden gekoppeld aan de app We-Connect om het vibratieniveau te reguleren en om te chatten met een partner.

Volgens de aanklacht werden gegevens over het gebruik van de vibrator echter zonder toestemming vastgelegd en doorgestuurd naar het bedrijf Standard Innovation, dat de We-Vibe maakt. In augustus toonden hackers op de conferentie Def Con al dat een ander We-Vibe-model op onveilige wijze communiceert met de app. Daardoor zouden kwaadwillenden hem ineens kunnen activeren. De hackers merkten toen ook al op dat de temperatuur van de We-Vibe elke minuut naar Standard Innovation wordt gestuurd. Dat gebeurt ook elke keer dat de vibratie-intensiteit wordt aangepast.

Alles bij de bron; NU


Het Amerikaanse ministerie van Justitie doet onderzoek naar de beveiliging van zogenoemde Internet of Things-apparaten, zoals zelfrijdende auto's, medische apparatuur en slimme thuisapparaten.

Het zogenoemde bedreigingsanalyseteam is opgezet om de apparaten beter te kunnen beveiligen tegen cyberaanvallen van terroristen, hackers of kwaadwillenden. Een betere beveiliging moet voorkomen dat er mensen om het leven kunnen komen of dat er gevoelige economische en politieke informatie kan worden buitgemaakt via het netwerk van Internet of Things (IoT).

IoT-apparaten gebruiken af en toe internet om een kleine hoeveelheid data te versturen of ontvangen. Steeds meer apparaten, zoals slimme thermostaten en zelfrijdende auto's, worden op die manier verbonden met internet. Het is niet de bedoeling dat de groep als "alarmistisch" over nieuwe technologieën wordt gezien maar juist dat het in een vroeg stadium kwetsbaarheden kan blootleggen.

Alles bij de bron: NU


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha