Pas op: IoT in uitvoering!

Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cycle van Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus. Een security-expert ontdekt zijn eigen hackbare huis.

Het IoT (Internet of Things) zit volgens de marktkenners van Gartner nu op het toppunt van de hype, op de zogeheten ‘piek van opgeblazen verwachtingen’. Het duurt naar schatting van het onderzoeksbureau nog een jaar of vijf à tien na het bereiken van die piek voordat een technologie is gestabiliseerd en geaccepteerd. Eerst volgt traditioneel een snelle instorting van de hype.

Wie het verleden niet kent ...

De voorspelde dip in de IoT-hype valt mede te wijten aan security. Of eigenlijk: gebrek aan security. De diverse apparaten die het Internet of Things vormen, lijken eerder geleerde IT-beveiligingslessen te zijn vergeten. Dat gebrek betreft niet alleen toekomstige smart devices, maar ook de things die nu al connected zijn in ons werk en leven.

Zoals de doodgewone consumentenelektronica die onze senior securityspecialist David Jacoby in zijn eigen huis heeft. Hardware als NAS-systemen (network attached storage), waarvan Jacoby er twee heeft van twee verschillende leveranciers. Maar ook apparaten als een smart-TV, een satellietontvanger, een internetrouter, en een printer. Systemen die qua mogelijkheden en rekenvermogen menig oude pc voorbijstreven.

Het Internet of Things is al in huis

Onze security-onderzoeker besloot die doodgewone apparatuur eens kritisch te bekijken, om het gehypte IoT tastbaarder te maken. “We kunnen veel artikelen vinden over hoe hackers en onderzoekers kwetsbaarheden vinden in bijvoorbeeld auto’s, koelkasten, hotels en residentiële alarmsystemen”, leidt Jacoby zijn eigen onderzoek in. Hij stelt echter dat veel van dergelijk beveiligingsonderzoek te ver van de lezer afstaat. Die heeft immers geen smart car, geen connected koelkast, geen volledig digitaal huis.

Tenminste, niet in de vorm zoals die doorgaans wordt gezien voor het Internet of Things. In de praktijk hebben veel mensen al behoorlijk wat connected systemen in huis en thuiskantoor. “Een gemiddeld modern huishouden kan zo’n vijf apparaten hebben die zijn aangesloten op het lokale netwerk, waarbij dat geen computers, tablets of mobiele telefoons zijn.” Jacoby heeft het over tv-toestellen, printers, gameconsoles, netwerkopslagsystemen, mediaspelers en satellietontvangers.

Apparaten die hij zelf ook heeft en die hij als security-expert natuurlijk goed onderhoudt. Jacoby onderwierp zijn eigen huis aan een onderzoek, waarbij hij de gebruikelijke doelwitten van pc’s, tablets en smartphones links liet liggen. Zijn verwachting was dat zijn huis behoorlijk veilig zou zijn. “Ik werk al meer dan vijftien jaar in de security-industrie, en ik ben nogal paranoïde als het aankomt op het toepassen van security-patches.”

Apparatuur te vondeling gelegd

Jacoby kwam van een koude kermis thuis. Hij ontdekte flink wat connected apparaten op zijn thuisnetwerk, de meeste voor home entertainment. Voordat hij zijn onderzoek begon, had hij alle apparaten voorzien van de nieuwste firmwareversies. Dat is een securitymaatregel die veel consumenten niet of niet geregeld nemen. Deels uit laksheid, deels uit onwetendheid. Want wie is zich er goed van bewust dat een Blu-Ray speler of een opslagapparaat in wezen een computer is, die ook onderhoud nodig heeft?

Tijdens het updaten ontdekte Jacoby ook dat niet alle apparaten zelf automatisch konden controleren of er nog updates waren voor hun firmware. Erger nog: de updates waren zelfs handmatig niet altijd gemakkelijk te vinden op de websites van de fabrikanten. “Dat maakte het hele proces nogal tijdrovend,” geeft onze securityspecialist aan. Daarnaast bleken veel van de betreffende producten te zijn afgeschreven door de makers, dus niet langer ondersteund met nieuwe updates. “Hebben deze producten voor thuiskantoren en entertainment maar ongeveer een jaar ‘te leven’ voordat ze ‘discontinued’ worden?” vraagt Jacoby zich af.

Ingangen genoeg

Na alle voorbereidingen kon Jacoby beginnen aan het echte onderzoek: het aanvallen van zijn eigen elektronica. Als een buitenstaander, dus zonder bestaande inlogrechten te benutten. De twee NAS-apparaten waren als eerste aan de beurt, omdat daar kostbare gebruikersdata staan en omdat daar relatief complexe omgevingen draaien. Een Linux-versie, met webserver, beheeromgeving en meer mogelijke ingangen voor een kwaadwillende.

Beide NAS-systemen gingen al gauw voor de bijl. Jacoby wist diepgaande toegang te krijgen, voorbij de beheeromgeving en op niveau van het besturingssysteem. Daarmee had hij een ingang in het thuisnetwerk. Een blijvende ingang. Want een volledige reset door een eindgebruiker zou dit hackprobleem niet wegnemen. Hetzelfde bleek te gelden voor de verborgen functies die de ‘huishacker’ aantrof op de router die bij zijn internetabonnement hoort. Ook zijn digitale tv-ontvanger Dreambox sneuvelde, via de default beheer-login. Het beheeraccount gaf bovendien root-rechten op het onderliggende Linux-systeem.

Opstapjes naar meer

Kortom, voor cybercriminelen zijn er genoeg interessante mogelijkheden om alternatieve, kwaadaardige firmware te installeren op die handige, met internet verbonden apparaten in huis. Software die weer kan dienen als opstapje naar bijvoorbeeld de smart-tv, die content vanaf een mogelijk gecompromitteerde NAS haalt en die ook online-aankoopmogelijkheden biedt. Of beter gezegd: fraudemogelijkheden.

Overigens, wie slim denkt te zijn door een smart-tv niet aan het thuisnetwerk te koppelen, is niet per definitie veilig. Dit blijkt uit de verschillende kwetsbaarheden in het HbbTV-protocol, dat ervoor zorgt dat smart-tv’s extra content kunnen tonen die van internet gehaald wordt. Inloggegevens voor bijvoorbeeld social media op smart-tv’s zijn buit te maken, en toestellen zelf zijn te kapen voor malafide doeleinden zoals het minen (delven) van de virtuele valuta Bitcoin voor een kwaadwillende. Kortom, waar het IoT verbonden wordt, vallen security-spaanders. Wees alert.