Start today, secure tomorrow.
Blogs
Just another day at work. Ik klap m’n laptop open en begin aan de klus van vandaag: het testen van het netwerk van een klein bedrijf dat onder meer met gevoelige klantdata werkt. Hacken is hot en happening, en omdat klanten van de opdrachtgever daadwerkelijk zijn gehackt, wil hij weten hoe het met zijn security gesteld is. Zijn gevoel? We vinden vast wel wat, maar over het algemeen heeft hij zijn ICT aardig op orde.
Het NCSC gebruikt een handige vragenlijst om de kans te berekenen op misbruik van een kwetsbaarheid, The S-Unit heeft daar een handige webpagina omheen gebouwd om de impact voor organisaties zelf te berekenen.
Deze "NCSC-NL matrix kans calculator" kan gebruikt worden om risico's voor organisaties intern te beoordelen. De informatie is gebaseerd op de informatie gedeeld door het NCSC
Hack in the Box 2017 in Amsterdam zit erop, het paasweekend was nodig om bij te komen, maar het was toch weer een geslaagd event! Hard werken, rondrennen, veel nieuwe mensen, gezelligheid en natuurlijk heel belangrijk: heel erg veel hacks!
Op The S-Unit booth was er de mogelijkheid om diverse IoT (Internet of Things) systemen te hacken. We hadden een variatie van apparaten liggen, waaronder een alarmsysteem, een NAS, netwerk-camera, diverse smart-verlichting oplossingen (over het WiFi je verlichting aansturen) en een weerstation (wind-, luchtvochtigheids-, regen-, temperatuurmetingen).
Diverse conferentie- en CommSecgangers hebben pogingen gedaan om de IoT apparaten te hacken. We hebben meerdere inzendingen ontvangen van potentiele hacks die uit te voeren zijn met de apparaten. Onder de inzendingen hebben we een selectie gemaakt van de tofste hacks en op vrijdag rond 16:30 uur hebben de winnaars van de hacks hun gehackte apparaat in ontvangst mogen nemen. Gefeliciteerd! Hieronder enkele bevindingen die we hebben ontvangen.
Een van de bevindingen van het alarmsysteem geeft een aanvaller de mogelijkheid om een replay-aanval uit te voeren. De sleutel (vergelijkbaar met de sleutel van een garage of auto) communiceert met het alarmsysteem over een radiosignaal. Dit radiosignaal kan worden opgevangen en op een later moment nogmaals worden verstuurd om toegang te krijgen tot het apparaat (in dit geval het aan- en uitzetten van het alarm). Geeft toch een veilig gevoel, terwijl jij op werk of vakantie bent, kan een aanvaller gewoon je alarmsysteem bedienen.
De netwerkcamera heeft een kwetsbaarheid waardoor een aanvaller aanvallers de authenticatiegegevens (username en wachtwoord) van de camera kan afluisteren en vervolgens kan inloggen via de webinterface om de camerabeelden te bekijken. Als er een tweede netwerkcamera op het netwerk wordt toegevoegd, worden de authenticatiegegevens van deze camera zonder encryptie over het netwerk verstuurd.
Een van de smart-verlichting apparaten was een smart-plug, waarmee je over het WiFi je lamp kan aansturen. Deze plug heeft geen enkele vorm van authenticatie. Hierdoor is het mogelijk om commando's naar de plug te sturen, het aanpassen van scheduled events (om 08:00 moet de lamp aan) en ook toegang te krijgen tot de Cloud-dienst van dit betreffende merk. Via deze Cloud dienst kan je al je apparaten vanaf afstand beheren. Dus ook eventuele camera's die je hebt hangen. Superfijn al die cloud-diensten waarmee alles gekoppeld is, vooral als aanvaller!
De andere systemen bevatten zeer waarschijnlijk ook kwetsbaarheden, maar met de beperkte tijd gedurende Hack in the Box 2017 zijn deze nog niet naar boven gekomen. Tijdens een van onze Slack-Fridays zullen we hier ongetwijfeld nog verder naar kijken. Zoals beloofd, de leveranciers zijn netjes op de hoogte gebracht van de gevonden hacks en hopelijk fixen ze het snel.
Al met al dus weer een geslaagd event en we kijken weer uit naar Hack in the Box 2018!
Hack in the Box 2017 in Amsterdam zit erop, het paasweekend was nodig om bij te komen, maar het was toch weer een geslaagd event! Hard werken, rondrennen, veel nieuwe mensen, gezelligheid en natuurlijk heel belangrijk: heel erg veel hacks!
