Beheer

Security

Black Hat 2013: 
alles is te hacken

5 april 2013

De Chinese elektronicafabrikant Huawei, die al langer onder vuur ligt van de Amerikaanse overheid omdat zijn producten al dan niet moedwillig onveilig zouden zijn, kreeg het tijdens Black Hat zwaar te verduren. Zo blijken enkele series 3G- en 4G USB-modems van Huawei niet veilig. Volgens de Russische onderzoeker Nikita Tarakanov die samen met collega Oleg Kupreev drivers van vijftien modems van Huawei onderzocht, is die software niet veilig maar de hardware ook niet. Dat kan grote gevolgen hebben, want Huawei is inmiddels een van de grootste leveranciers van modems wereldwijd.

Een belangrijk zwak punt is de updateserver die in Nederland staat, volgens Taraklanov. “De gehele beveiliging van de 3G- en 4G-modems van Huawei leunt op één website die werkt op Windows IIS 6.0.” En dat, zo stelt hij, is zeer gammele code. Als die server wordt aangevallen – wat niet al te moeilijk is volgens Tarakanov – kan een hacker malware distribueren naar miljoenen gebruikers van deze modems en tamelijk eenvoudig botnets opzetten.

De software van Huawei installeert een applicatie en een driver met een auto-updatecomponent op elke computer waar de modems voor gebruikt worden. Er wordt elk kwartier contact gemaakt met de Nederlandse server voor mogelijke updates. Windows Internet Information Server (IIS) 6.0 is verouderde software, nog onderdeel van Windows Server 2003. Tarakanov onderzocht samen met zijn collega Oleg Kupreev USB-modems die Russische telecombedrijven als MegaFon hun klanten leveren. De onderzoekers zijn ervan overtuigd dat wat voor deze modems geldt, ook voor vergelijkbare apparaten geldt die in andere landen worden geleverd. Zij hebben dit keer de software onderzocht, maar zouden ook graag de hardware onder handen nemen en dan vooral de Qualcomm-chips waar de modems gebruik van maken. Dat is echter volgens de Russische wet verboden. “Dan moeten we misschien maar een paar maanden verhuizen naar een ander land om het alsnog te doen. Want ik weet bijna zeker dat ook de hardware lek is”, aldus Tarakanov.

Doordat de beveiliging van de modems zo slecht op orde is, kunnen hackers met gemak hun slag slaan. Zo kan een hacker het DNS dat de modems gebruiken wijzigen, waardoor gebruikers naar kwaadaardige websites worden doorgestuurd. Ook gaven de onderzoekers het voorbeeld van een ingebouwde antivirus-installerparameter die zodanig bewerkt kan worden dat hij malware installeert.

De Russische onderzoeker waarschuwt dat dit ook een “beveiligingsgat in je laptop” kan opleveren. “Veel laptops worden geleverd met zulke 3G/4G-modems. En aangezien Huawei op dit gebied bijna monopolist is, zijn de risico’s groot.”

De oplossing? Huawei heeft toegezegd de lekken in de software te dichten. Maar in de tussentijd?

Smartphones: ideale spionnen

Eén op de duizend smartphones is besmet met spyware waardoor al het verkeer op de telefoon kan worden afgeluisterd, alle data gekopieerd en gestolen kunnen worden, de gebruikers van de gebruiker gevolgd kunnen worden en zelfs de omgevingsgeluiden af te luisteren zijn. En dat komt doordat de meeste beheersoftware voor Bring Your Own Device, makkelijk te hacken is, volgens de Israëlische onderzoeker Daniel Brodie van Lacoon Security. Een steekproef van 250.000 smartphone-gebruikers van een wereldwijd opererende netwerkoperator wees uit dat in oktober 2012 al één op de duizend apparaten besmet is met spyware. Saillant detail: 52 procent van de besmette telefoons is een iPhone en 35 procent draait onder Android. Het vermeende veilige imago van Apple blijkt hier niet geheel terecht.

Volgens de onderzoekers van Lacoon is de zogeheten mobile device management-software (MDM) vooral een tool om het BYOD-beleid af te dwingen en om de apparatuur te configureren. De software is voornamelijk gericht op de scheiding van persoonlijke en zakelijke data op smartphones en tablets. Daarbij wordt de data opgeslagen in een zogeheten secure container. Die werkt als een app die op beveiligde manier communiceert over SSL of VPN. Dat moet man-in-the-middle-aanvallen voorkomen. De data worden versleuteld opgeslagen. Maar door zeer gerichte phishingaanvallen kunnen de telefoons toch getroffen worden. “Het zijn ook ideale spionagewapens”, zegt Brodie. “Ze zijn altijd online, laten de locatie van de gebruiker zien en er zitten een microfoon en een camera op.”

Er zijn een paar methodes om de spyware op de telefoon te zetten. Daarvoor moet in elk geval een jailbreak worden uitgevoerd. De app wordt dan geïnstalleerd en de jailbreak wordt weer hersteld of verborgen. De orginele applicatie wordt dan herverpakt waardoor de kwaadaardige code gewoon onderdeel wordt van de originele applicatie. Er hoeft geen lek voor te worden misbruikt. De MDM-containers zijn domweg niet in staat zich te beschermen tegen een besturingssysteem dat gecompromitteerd wordt, stelt Brodie. “De security container is afhankelijk van de sandbox die door het besturingssysteem van de host wordt gefourneerd. Als dat besturingssysteem gecompromitteerd is, kan de security container het apparaat niet langer beschermen.”

Dat betekent niet dat de MDM-software totaal nutteloos is, benadrukt Brodie. “Als basislaag is het prima. Het is handig voor selectieve verwijdering op afstand (wipe) van data bij verlies of diefstal en bescherming tegen wangedrag van de gebruiker zelf.”

Maar hoe zie je dan dat je telefoon bespioneerd wordt? “Je moet de bescherming op de netwerklaag plaatsen en dan vooral kijken naar gedrag dat afwijkt. Worden er ’s nachts berichten gestuurd? Verandert je profiel als je een nieuwe app downloadt? Tools die dat monitoren geven dan een alarm af en dan kun je verder controleren. Maar het is nooit 100 procent.”

De spyware is voorhanden in alle soorten en maten en tegen zeer uiteenlopende prijzen, variërend van 5 dollar tot honderden dollars per maand. Brodie: “Het prijsverschil zit vooral in de infectievector. Hoe makkelijker het is om een telefoon ermee te infecteren, hoe duurder de software.” Tot de meest geavanceerde software rekent hij Fin Spy, Da Vinci, RCS, Lucky Cat en Leo Impact.

Gehackte pacemakers

Ook in het ziekenhuis of bij de dokter ben je niet meer veilig voor computercriminaliteit. Rod Rasmussen van Internet Identity voorspelde al een paar maanden geleden dat in 2014 de eerste moord wordt gepleegd door bijvoorbeeld een pacemaker of insulinepomp op afstand te ontregelen, daarbij gebruik makend van het feit dat steeds meer apparaten een internetverbinding hebben. En moeilijk kan dat niet zijn, want ze werken vrijwel zonder uitzondering met verouderde software, aangezien het updaten ervan op zeer grote problemen stuit, constateert Jay Radcliffe. Hij is suikerpatiënt en cyber threat intelligence analist bij IBM. In 2011 ontdekte hij dat de draadloze verbinding van zijn eigen insulinepomp een lek bevat waarmee een kwaadwillende de hoeveelheid insuline die hij krijgt toegediend kan manipuleren en wel zodanig dat hij eraan kan sterven.

En het geldt niet alleen voor insulinepompen, maar voor veel meer medische apparatuur. Voor de software daarvan worden maar zelden updates doorgevoerd, ook al gaat het om veelgebruikte besturingssystemen als Windows en Linux. En dat komt niet alleen doordat leveranciers hierin laks zouden zijn, maar vooral doordat het complex is. De apparaten die gebruikt worden in de medische branche moeten goedgekeurd worden door overheidsorganisaties als de FDA en Europese evenknieën. Dat kan maanden tot jaren duren. “Als dan de softwareversie wordt veranderd, is niet meer zeker of de licentie nog geldt en bestaat de kans dat het proces voor goedkeuring weer helemaal opnieuw moet worden gedaan. Wat het extra onveilig maakt is dat de levensduur van een medisch apparaat vaak langer is dan die van het besturingssysteem.”

De ernst van deze situatie lijkt nu door te dringen bij regulerende overheidsorganisaties. Maar dat stelt Radcliffe zeker niet gerust. “Er staat nu druk op die organisaties en daardoor lijken ze de verkeerde kant op te gaan. Zij moeten dat regelen, maar hebben totaal geen kennis van IT-beveiliging. Ze hebben er ook de infrastructuur niet voor; er is al een tekort aan beveiligingsexperts in de markt. Om dit goed te kunnen regelen zou je er een paar duizend nodig hebben. Waar halen ze die vandaan?” Hij is bang dat die overheidsorganen niet gehinderd door al te veel kennis straks voor zullen schrijven hoe er bijvoorbeeld encryptie moet worden toegepast in medische apparatuur. “Daardoor zal innovatie stagneren. Laat leveranciers daar zelf oplossingen voor aandragen en laat derden dan bepalen of dat goede zijn.”

Radcliffe op zijn beurt zal binnenkort een framework voor beveiliging aanbieden aan de FDA en zijn Europese tegenhangers binnen de EU. Zijn belangrijkste adviezen daarin:

  • Maak gebruik van de bestaande infrastructuren om de verbeteringen te versnellen. Nieuwe optuigen is te duur en duurt te lang. En laat derden de testen doen voor het goedkeuringsproces.
  • Zorg voor goede procedures voor de aanpak van beveiligingsproblemen zodat duidelijk is wat een bedrijf moet doen als er lek gedicht moet worden.
  • Zorg voor duidelijke procedures voor patchen en updaten. Radcliffe geeft als voorbeeld een Amerikaans ziekenhuis dat niet wist wie of hoe de antimalwaresoftware van McAfee geüpdatet moest worden op een MRI-machine toen daar lekken in bleken te zitten. Dus deden ze maar niets en viel de apparatuur stil.

Navigatiesoftware riskant

Ook het gebruik van navigatiesoftware kan een bedreiging opleveren voor gebruikers. De gegevens die de leveranciers daarvan gebruiken, persoons- en locatiegegevens, kunnen door hackers worden misbruikt. Google Navigation en bijvoorbeeld Waze gebruiken GPS-gegevens en WiFi in smartphones om verkeersadviezen te kunnen gegeven. Als hackers in het systeem inbreken waarin die gegevens worden verzameld, of het berichtenverkeer van de smartphones onderscheppen, kunnen ze die data manipuleren en het verkeer een bepaalde kant opsturen. Als zij de data aanpassen waardoor het lijkt alsof er op bepaalde punten files staan, wordt het verkeer een andere route aangeraden, waarop dáár een file kan ontstaan.

Maar ook is de privacy van de gebruiker in het geding, meent Tobias Jeske, onderzoeker bij de TU Hamburg-Harburg. En dat laatste is eigenlijk niet nodig. “Google wil dat de GPS-data gekoppeld zijn aan persoonsgegevens. Dat zou een garantie geven dat die data betrouwbaar zijn. Google zegt dat dat onmisbaar is voor de werking van het systeem. Immers: zo kan Google erop vertrouwen dat hier geen corrupte data worden doorgegeven. En voor de gebruiker zou het nodig zijn om sneller goede informatie te krijgen over persoonlijke omrijroutes. Je kunt dus volgens deze redenering niet én privacy én geauthentificeerde gegevens hebben. Maar ik ben er van overtuigd dat het wel kan. Het is niet nieuw en voodoo is het ook niet”, zegt Jeske. “Het is een protocol dat al bijna dertig jaar geleden is ontwikkeld en bekend staat als zero knowledge proofs of knowledge.” Je moet dan bewijzen dat de gegevens die je doorgeeft echt afkomstig zijn van jou, terwijl je verder geen gegevens doorgeeft over jezelf. Dat bewijs wordt geleverd in de vorm van een interactief protocol waarbij in dit geval Google vragen stelt aan de smartphone. Als die alle vragen correct beantwoordt, is het bewijs geleverd. “Dat is heel goed te doen hierbij. Dan is er geen enkele reden voor Google om jouw persoonsgegevens te vragen.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!