D3NH4CK 2018: een greep uit de hoogtepunten (DEEL 1)

D3NH4CK 2018: een greep uit de hoogtepunten (DEEL 1)

DearBytesBlogD3NH4CK 2018: een greep uit de hoogtepunten (DEEL 1)

woensdag 13 juni 2018

Zet een paar honderd securityprofessionals bij elkaar, trakteer hen op inspirerende sessies, een CTF-challenge, een boardroomgame en natuurlijk liters Club-Mate. Dat kan alleen maar veel goeds opleveren. Wat ons betreft was de tweede editie van D3NH4CK een meer dan geslaagde dag. Wij doen in een tweeluik een willekeurige greep uit de vele hoogtepunten.

1. Het Internet der dingen, of het internet van alles?

Mattijs van Ommeren, Principal Security Consultant bij Nixu Corporation, wond er tijdens zijn presentatie geen doekjes om: het IoT is zo lek als een vergiet. In 2012 stuitte hij op een enorme kwetsbaarheid in een consumenten-NAS. Alles bleek mogelijk, van code-executie tot toegang tot de opgeslagen data. Een melding bij de betreffende fabrikant leidde in eerste instantie tot radiostilte, maar die veranderde later in dreigementen en biedingen van zwijggeld. Het bleek bovendien te gaan om een OEM-model dat onder allerlei merknamen en modellen wereldwijd werd verkocht. Over een groot aanvalsoppervlak gesproken.

In 2018, zes jaar later, bleek er nog weinig verbeterd. Ditmaal nam hij een een populair model IP-camera onder de loep. Volgens de marketingtaal op de verpakking ging het om een ‘extra goed beveiligd model’. Die claim bleek totaal ongegrond. Het apparaat lekte schaamteloos het unieke identificatienummer op het netwerk, waarmee een beetje handige hacker eenvoudig toegang krijgt tot de onversleutelde (!) videostream. Eenmaal ‘binnen’ bleek zelf het wifiwachtwoord van het thuisnetwerk niet meer geheim. Last but not least ‘praatte’ het apparaat met allerlei servers, waaronder in China en Noord-Amerika.

Volgens Mattijs ligt het grote probleem bij de manier waarop IoT-apparaten tot stand komen. De leveranciersketen bestaat onder andere uit de fabrikant van de PCB en de SoC, de leverancier van het besturingssysteem en softwareontwikkelaars. Overal in die keten kunnen kwetsbaarheden ontstaan. Dat terwijl krappe marges en korte time-to-market weinig ruimte laten voor grondige securitymaatregelen. Bovendien wordt nauwelijks gebruikgemaakt van open standaarden, zijn versleutelingsmechanismen veelal het resultaat van eigen knutselwerk en zijn updateprocedures doorgaans brakker dan het water uit de Dode Zee. Zijn advies? Laat alle IoT-apparatuur alsjeblieft in de schappen liggen.

2. Hackers knuffelen

De grootste vijand van een veilig internet? Volgens Edwin van Andel, CEO van Zerocopter, is daar geen twijfel over mogelijk: het Internet of Things. Ook volgens Edwin draait het in de IoT-markt om volume, krappe marges en overhaaste marktintroducties. In die ratrace hebben maar weinig producenten oog (en budget) voor security.

Dat zorgt soms voor hilarische kwetsbaarheden, die tijdens de presentatie in hoog tempo de revue passeerden. Zo kun je een Tesla vleugellam maken door met krijt een dubbele cirkel om de auto te trekken: een stippellijn aan de buitenkant en een doorgetrokken streep aan de binnenkant. Gevangen door zijn eigen verkeersregels. En zo kun je de pincode van een smartphone achterhalen door analyse van de gyroscoopdata.

Gelukkig zijn er hackers die deze kwetsbaarheden opsporen en zo de wereld een beetje veiliger maken. Want in tegenstelling tot wat Google Images doet geloven, zijn deze mensen lang niet altijd enge criminelen met hoodies en maskers, maar best knuffelbaar. Zolang bedrijven ze maar niet direct aangeven wanneer ze met de beste bedoelingen inbreken en hun kwetsbaarheden netjes aan hen bekendmaken. Een responsible-disclosureprogramma is dan ook een absolute must voor iedere zichzelf respecterende organisatie.

Er is wel een bijzonder kwetsbare groep hackers die volgens Edwin bescherming verdient: jongeren. Ze worden in tegenstelling tot ‘normale’ jonge criminelen niet gecorrigeerd door ouders, politie of school. Zo vallen ze gemakkelijk ten prooi aan criminele organisaties, waaraan het lastig ontsnappen is. Hij riep dan ook op om deze jongeren te omarmen en op te leiden tot waardevolle ethische hackers.

3. Responsible disclosures

Victor Gevers, oprichter van GDI Foundation, is een ware held. Hij zet zijn securitykennis al meer dan tien jaar compleet belangeloos in voor een veiligere wereld. GDI Foundation is een stichting die wereldwijd kwetsbare systemen opspoort en hun eigenaren via nette responsible disclosures hierover inlicht.

Aan kwetsbare systemen blijkt geen gebrek. Jammer genoeg komt Victor dagelijks ook gaten tegen die allang gedicht zijn en dus eigenlijk niet meer zouden mogen bestaan. Zo zijn er volgens hem wereldwijd een half miljoen apparaten niet gepatcht voor Heartbleed, een OpenSSL-kwetsbaarbaarheid die al geruime tijd geleden gedicht is.

Een andere kwetsbaarheid die met regelmaat de kop opsteekt, is de opensource database mongoDB. Oudere versies vereisen van de gebruiker dat ze zelf nog iets aan de security doen, maar dat blijkt in de praktijk lang niet altijd het geval. Het gevolg: duizenden databases die hun poorten wagenwijd hebben openstaan voor de buitenwereld.

Victor en zijn medehackers gebruiken geavanceerde opensourcetooling en dankzij het huren van servers in de Google Cloud is de benodigde rekenkracht en bandbreedte slechts een paar muisklikken verwijderd. Op die manier hebben ze een gigantische Google Spreadsheet met niet of slecht afgeschermde mongoDB-databases samengesteld en openbaar gemaakt.

Ander wapenfeit: via het opensourceplatform MISP heeft de GDI Foundation duizenden bitcoinminers in China opgespoord en de Chinese regering hierover ingelicht. Het bestaan van Chinese miners moesten ze overigens wel met screenshots bewijzen, want de overheid schoot natuurlijk direct in de ontkenning.

Nieuwsgierig naar meer D3NH4CK-hoogtepunten? Lees hier deel 2

Meer foto’s, maar ook video-reportages en presentaties vind je op denhack.nl