Ik laat hier een extract van een extra technisch en lang artikel zien om je een indruk te geven waarover het allemaal gaat; dus ben gewaarschuwd!!!!
How to hack an IoT Device? June 10, 2019
Lees altijd de oorspronkelijke tekst!
Enkele fragmenten hieruit vertaald mbv Google Translate voor familie, vrienden en kennissen...
Voor een hacker-professional (en ook voor amateurs, zoals we later zullen zien), zouden IoT-apparaten een veel groter 'oppervlak' introduceren om systemen aan te vallen en bloot te leggen die zijn verbonden met IoT-apparaten.
F5 Networks, E&T heeft een lijst samengesteld met de eenvoudigste procedures die hackers kunnen gebruiken bij het hacken van IoT-apparaten. Het idee erachter: hoe beter je begrijpt hoe iemand anders je apparaten kan hacken, hoe waakzamer we kunnen worden.
Met het voorbeeld van een met internet verbonden camera, is de eerste vraag die Shepherd stelt, hoe je het hacken van een camera in de eerste plaats definieert.
“Kijk je gewoon naar de camera waarin je geïnteresseerd bent?
Of investeert je in toegang tot beheerderstoegang tot de console?
"Ik zou andere dingen kunnen doen, zoals het infiltreren met malware en dan kan de malware andere taken uitvoeren, zoals het opnemen van uw stemmen en het terugsturen naar het controlecentrum of noteer uw toetsaanslagen of soortgelijke dingen.”
Shodan
Een van de handigste tools, die nauwelijks bekend zijn bij het grote publiek, is het voorbeeld van het hacken van een camera via een website genaamd Shodan.io – het is de Google voor hackers, zegt Shepherd.
Slimme ontdekkingsreizigers krijgen het openbare IP-adres van die camera's en links zodat ze rechtstreeks verbinding kunnen maken met hun 'kijken'. 9 van de 10 keer hebben WebcamXP-camera's geen gebruikersnaam of wachtwoord of gebruiken ze nog steeds de standaard, wat neerkomt op 'admin /admin'.
De resultaten zijn even duidelijk als indrukwekkend. Als je erop klikt, krijg je directe toegang, sommige live-streaming op verschillende plekken over de hele wereld - of ze nu opnemen voor een privéwoning of worden gebruikt om een jacht te beveiligen.
John Matherly, over de kansen en bedreigingen die het platform voor de markt met zich meebrengt. Hij stelt dat mensen vóór Shodan op geen enkele manier konden beseffen hoeveel embedded apparaten er direct via internet beschikbaar waren. Het zou mensen helpen te begrijpen wat ze met internet hebben verbonden en het hen laten weten als er iets ongewoons opduikt. Als individu kunt u uw IP-adres invoeren op de hoofdwebsite om te zien of u iets openbaars heeft.
Shepherd herinnert zich de Mirai-botnetaanval - een zeer groot netwerk van bots, voornamelijk bestaande uit IP-camera's voor thuis. Dit botnet verspreidde zich door een lijst met standaardgebruikersnamen en wachtwoorden voor deze camera's te hebben en het zou uitgaan en het internet scannen en tools zoals Shodan.io gebruiken - automatisch natuurlijk - om de camera's te vinden, om in te loggen via de gebruikersnaam en het wachtwoord en vervolgens infecteren zoals gescript.
The desire to hack his own devices came when Shepherd realised he himself had three cameras safeguarding his home and valuables, perhaps posing a risk: one in his garage looking after his motorbikes and pushbikes, one in the front of the house and so on. Armed with the knowledge of the Mirai botnet attack, “that’s when the idea occurred to me to check on my own cameras”.
hij overwoog de mogelijkheid om te kijken of hij zijn camerabeelden lokaal in zijn huis op een harde schijf kon opnemen. Dit zou het veiliger hebben gemaakt. Het grappige aan het beveiligen van verbonden IoT-apparaten is dat ze het veiligst zijn als ze worden losgekoppeld of afgeschermd, wat alle doel en gebruik wegneemt: "De manier waarop mijn camera's werken, is dat ze dingen opnemen en naar de cloud sturen. Wat moet ik doen als ik niet wil dat mijn beeldmateriaal naar de cloud wordt gestuurd? Ik heb het geprobeerd en het liet me niet toe. Ik dacht: er moet een manier zijn".
Shepherd gebruikte de gebruikersnaam en het wachtwoord uit het gedeelte van de code. "Ik probeerde het en zie, het logde me in op mijn camera. Als ik dit binnen vijf minuten kan vinden, weet ik zeker dat iedereen die een botnet wil bouwen dit kan vinden; zoek uit dat er een achterdeur is; om Shodan te gebruiken voor alle soorten camera's die verbinding maken met internet en om in te loggen en ze te compromitteren. Een niet-zo-erg-geavanceerde aanval”, zegt hij.
De pure eenvoud van de meeste aanvallen is één groot probleem, zegt hij. De meeste zijn niet veel geavanceerder en hackers nemen doorgaans de weg van de minste weerstand. Slimme camera's, rekening houdend met hoe ze zijn verbonden, met name van de grote merken, zoals Alexa en Google, smartphones, horloges en smart-tv's, huisbewaking, verwarmingscamera's, speelgoed, voertuigen - de wereld van verbonden apparaten groeit exponentieel, zegt hij.
Het aanvallen van zoiets als een IP-camera zou angstaanjagend lijken op het aanvallen van een Iraanse nucleaire faciliteit, bijvoorbeeld met behulp van iets dat een Stuxnet-virus wordt genoemd, een vorm van een kwaadaardige computerworm of een Duitse staalfabriek, legt Shepherd uit.
"Het kan een groot apparaat zijn of een klein apparaat, een camera in iemands huis, het proces is echt vergelijkbaar. Alle apparaten die op internet staan, moeten met elkaar kunnen praten. Als je het veiligste apparaat ter wereld wilt, zou je het gewoon op slot doen, maar dan verlies je het belangrijkste gebruik', zegt hij.
De oprichter van Shodan, Matherly, is er niet zo van overtuigd dat het risico hetzelfde is. Met betrekking tot het exploiteren van deze systemen zou het aanzienlijk moeilijker kunnen zijn dan het hacken van een IoT-apparaat of webcam "omdat het systemen zijn waarmee de gemiddelde ontwikkelaar nog nooit heeft gewerkt. IoT-producten zouden grotendeels dezelfde technologie gebruiken als servers - Linux, Node.js - terwijl apparaten voor infrastructuurcontrolesystemen zich in een heel andere wereld bevinden die specifieke domeinexpertise vereist om ze te begrijpen", zei hij.
Apparaten praten met elkaar via opengaande poorten, virtuele poorten. Webbrowsers praten met poort 80. Als je veilig met een webbrowser wilt praten, zou je 'praten' op poort 443, een poort voor https- of SSL-verkeer, zegt Shepherd. Er zijn tal van andere poorten beschikbaar (Moot John ca. 2 x 64.000). "Het eerste wat je doet om ze te hacken, laten we mijn thuisnetwerk als voorbeeld nemen, je zou een tool gebruiken om mijn netwerk te scannen en te vertellen wat er is. Het hulpprogramma komt terug met een lijst met (Noot John interne) IP-adressen. Op basis van deze IP-adressen zou ik weten naar welke poorten IOT-apparaten 'luisteren'. Ik zou meteen een apparaat krijgen dat deel uitmaakt van mijn netwerk en luistert op poort 80. Het moet een soort webservice zijn, die geweldig is voor het soort taak dat we zoeken”.
Veel mensen zouden proberen de poort waarnaar hun apparaten luisteren te veranderen en nemen aan dat wanneer ze hen naar andere poorten laten luisteren, niet naar een standaardpoort, dit op een geldige vermomming zou lijken. Nu hoeft u alleen nog maar te proberen er verbinding mee te maken als webservice, bijvoorbeeld via een browser. Het zou meteen terugkomen en een gebruikersnaam en wachtwoord vereisen. Dan zou je naar de broncode kunnen kijken en de gebruikersnaam en het wachtwoord en bijvoorbeeld de Apache Services 2.0 ontdekken. Shepherd legt uit dat je als aanvaller dan bijvoorbeeld Google 'kwetsbaarheden in Apache 2.0' zou gebruiken en lijsten met kwetsbaarheden zou openen in het specifieke apparaatmodel en de betreffende versie. “Hier kon je bijvoorbeeld zien dat deze versie vorig jaar gepatcht had moeten zijn naar versie 3”, zegt hij.
Code actueel en up-to-date houden zou een van de grootste problemen zijn, zegt Shepherd. Consumenten van IoT-apparaten konden eenvoudigweg hun eigen code niet bijhouden om de uitdaging aan te gaan. Hoe konden ze? Het zijn geen deskundigen.
"Je zoekt die apparaten gewoon op internet, zoekt uit naar welke service ze luisteren, zoekt uit naar welke versie van de service en Google vervolgens op kwetsbaarheden. En dan lanceer je gewoon die kwetsbaarheid. Het is kinderspel”, zegt hij.
Andere plaatsen waar hackers momenteel zoeken en vaak een gouden ader vinden - vaak strategisch de dwaasheid van gebruikers oogsten - zou het code-sharingplatform Github zijn, het bedrijf voor het delen van bestanden dat in 2018 door Microsoft werd gekocht. Ontwikkelaars zouden onbewust hun standaardwachtwoord en API-sleutels en soortgelijke gevoelige informatie in de code en zou 'geheimen' uploaden, voor iedereen, inclusief hackers, vrij zichtbaar. Automatische tools, vergelijkbaar met de eerder genoemde, zouden de operaties van hackers ondersteunen - er zou weinig handmatig worden gedaan.
Het probleem is de impact van deze evolutie.
“Laten we eerlijk zijn,
wie gaat zijn eigen apparaten scannen?
Wie kan zelfs de moeite nemen om upgrades te controleren?
Toen ik mijn schoonvader vroeg - die een op internet aangesloten deurbel heeft die, wanneer hij rinkelt, een foto naar het web stuurt - 'wanneer heb je hem geüpdatet?', vroeg hij zich af hoe hij dat überhaupt kon doen", Shepherd zegt.
De technische barrières voor het uitvoeren van upgrades zouden nog steeds erg hoog zijn.
Het is voor bedrijven al moeilijk genoeg om van actieve consumenten te verwachten dat ze dat soort dingen doen, laat staan onbewuste consumenten, zegt hij.
De bedreigingen naarmate we meer verbonden raken "groeien exponentieel", zegt hij.
Om de operaties van hackers tegen te gaan, zou regelgeving voor apparaten die aan de overheid worden verkocht, in toenemende mate rekening houden met zaken als ingebouwde kwetsbaarheden.
Dit alleen zal niet genoeg zijn.
“Er is hier een dubbele verantwoordelijkheid.
Eén ligt bij de fabrikant, inclusief beveiligde code en up-to-date zijn”. De Amerikaanse regeringen zouden dit nu steeds meer afdwingen, onder de Cybersecurity Improvement Act van 2019. Als een bedrijf wil verkopen aan de Staten, is een minimaal beveiligingsniveau vereist.
Een daarvan is dat het apparaat automatisch moet worden bijgewerkt en moet worden geleverd met standaardgebruikersnamen en wachtwoorden.
Andere voorzorgsmaatregelen horen er ook bij, maar voor de consument blijven er enorme hiaten.
Shepherd zegt dat er in het VK een voorstel is gedaan voor een gedragscode die suggereert dat nieuwe online producten en diensten standaard beveiligd moeten worden, hoewel dit tot 2021 vrijwillig zal blijven.
E&T rapporteerde in mei 2019 over de voornemens van de Britse regering om raadplegen over plannen om alle op internet aangesloten apparaten te labelen met informatie over hoe veerkrachtig ze zijn tegen cyberaanvallen.
In de schoenen van de consument, zegt Shepherd dat het meer gaat om 'wat je krijgt is waar je voor betaald hebt'. Wanneer we naar een IPTV-camera kijken, is de vraag of consumenten durven (of niet betalen) te kiezen voor de goedkope Chinese kloon of het gerespecteerde bedrijf dat een service-omslag rond het product heeft, waarbij de softwarecode up-to-date en veilig blijft, hij zegt.
“Als je een Alexa-thuishub koopt, zal deze zichzelf van de ene op de andere dag updaten. Zo is het ook met camera's”.
Shepherd nam contact op met het bedrijf dat verantwoordelijk is voor de camera die hij heeft gekocht (degene met het beveiligingswachtwoord en de gebruikersnaam in de code). “Ze maken camera's voor luchthavens. Ze zijn een vrij groot bedrijf. Ik vroeg of ze een programma voor verantwoorde openbaarmaking hebben? Ik heb iets gevonden, ik dacht niet dat ik het moest vinden. Ik vond ook enig bewijs in sommige forums. Ze antwoordden dat ze wel wisten van de kwetsbaarheid die ik vond, maar dit was onderdeel van hun consumentencamera-arm, die ze een jaar geleden verkochten aan een bedrijf genaamd Hikvision". E&T berichtte ook over de geruchten die naar boven kwamen dat Hikvision, de grootste leveranciers van videobewakingsproducten ter wereld, door de Amerikaanse overheid op de zwarte lijst zou kunnen worden gezet. "Ik dacht, geweldig, ik ben nu thuis met een camera met een standaard gebruikersnaam en wachtwoord waar het meerderheidsbelang in handen is van de Chinese overheid", zegt hij.
Het probleem is nu dat het enorme aantal apparaten zo groot is en dat het vermogen van gebruikers om ze adequaat te verwerken en bij te werken buiten alle proporties afneemt.
Shepherd vraagt: "Hoeveel van je vrienden hadden vijf jaar geleden een smart-tv, vergeleken met nu?
Iedereen heeft er nu een omdat niemand genoegen wil nemen met een aparte box voor Netflix, een voor Amazon en Sky: ze willen gewoon een smart-tv, ze doen het allemaal, plug hem in hun wifi en vergeet het. Het maakt ze niet uit hoe het wordt geüpgraded, of het nu toegang heeft tot je microfoon of tot de camera op je tv. Ze willen gewoon dat het werkt. Dit is wat het probleem verergerde.
De meer bekende merken zouden, om hun reputatie te beschermen, net dat beetje extra doen om updates te pushen.
Het probleem ligt bij de white-label of goedkope producten, zegt Shepherd.
Het zijn die producten die goedaardig lijken - de koelkast met internetverbinding, of de goedkope camera die je op eBay hebt gekocht, van een merk waar je nog nooit van hebt gehoord, of de smart-tv die je bij een supermarktketen hebt gekocht, die misschien geen deel uitmaakt van een groter merk - dat waarschijnlijk de frequentie van updates zal zien afnemen en kwetsbaarheden, die overal op internet bekend zijn, voor chaos zullen zorgen.
Er zijn verschillende strategieën om openbare systemen te hacken, legt Shepherd uit. In tegenstelling tot de vorige benadering, zou om een systeem te hacken achteruit moeten denken en handelen.
Hackers zouden kijken welke apparaten er op dit moment beschikbaar zijn. Nogmaals, tools zijn je vriend als je een aanvaller bent. Een website met de naam CVE.mitre.org, een afkorting voor Common Vulnerabilities and Exposures, zou alle kwetsbaarheden op een enkele openbaar toegankelijke website vermelden met namen van modellen en hun identificatienummers.
U kunt in de CVE-database zoeken op leverancier, website of op type. “Laten we aannemen dat er een heel mooie kwetsbaarheid is voor één webcammodel. Het is alleen van invloed op de webcamversie 2.1. Zodra ik dit weet en dat het alleen van invloed is op een bepaalde versie, zou ik Shodan doorzoeken en alle webcamera's van dit model en versie 2.1 vinden. De lijst kan oplopen tot een paar honderd”. Boglarka Ronto, hoofd technisch bij Commissum, een cyberbeveiligingsbedrijf, legt aan E&T uit dat, omdat de time-to-market voor IoT-apparaten vaak erg kort is, leveranciers ernaar streven om producten zo snel mogelijk op de markt te brengen om de eerste te zijn om de markt te domineren. Als gevolg hiervan doen ze vaak concessies aan de beveiliging. Shepherd zegt dat het volgende dat een aanvaller zou doen, is om de verzamelde set van honderden doelen te gebruiken die zijn verbonden met internet en die allemaal op een zeer specifieke versie draaien en een zeer specifieke kwetsbaarheidsfout hebben.
"Ik zou een tool als Metasploit gebruiken - een gratis tool die zichzelf adverteert als een tool die 'beveiligingsteams kan helpen meer te doen dan alleen kwetsbaarheden te verifiëren, beveiligingsbeoordelingen te beheren en het beveiligingsbewustzijn te verbeteren', waarbij hackers een kwetsbaarheidsnummer zouden invoeren. Een doelwit wordt geselecteerd om te worden aangevallen en er wordt een IP-adres verstrekt. Metasploit voert vervolgens de kwetsbaarheid uit tegen de doelen en biedt de aanvaller controle erover. Het wordt geleverd met een hackdistributie genaamd Backtrack, of Kali Linux zoals het nu wordt genoemd, legt Shepherd uit.
In mei 2019 onthulde een internetbrede scan bijna een miljoen apparaten die kwetsbaar zijn voor BlueKeep, de Windows-kwetsbaarheid die de beveiligingsgemeenschap deze maand op scherp zet, waar ook Metasploit van kracht werd. Kortom, “je zou eerst kwetsbaarheden vinden; dan scan je het web om je doelen te verzamelen; dan gebruik je een distributietool om aanvallen uit te voeren. Van de honderden adressen die aanvankelijk werden verzameld, zou een kleiner aantal echt kunnen werken”, zegt hij. Dan kan een nog kleiner deel van belang zijn voor de hacker, waardoor het aantal tot een paar terugloopt. De aanval op de juiste paar kan echter nadelige gevolgen hebben. Als je toegang wilt tot een systeem, zou je hopen dat er bijvoorbeeld minstens één camera in een grote bank zou zitten. De beelden van de camera zouden ineens minder interessant worden. In plaats daarvan zou toegang tot de camera helpen bij toegang tot de server via beheerdersrechten, omdat de camera intern met de server zou praten. “Ik heb mijn aanval nu zijdelings doorkruist en ik zou proberen toegang te krijgen tot de server. En als ik dat eenmaal heb, kan ik bijvoorbeeld toegang krijgen tot de Swift-banksystemen
, zegt hij.
Het eerste wat hackers doen, is testen en de persoon achter een computer vragen om zelf inloggegevens te verstrekken, meestal via een phishing-e-mail.
Als dat niet werkt, gaan ze achter het systeem zelf aan en krijgen toegang tot een camera, open voor internet, zoals hierboven weergegeven.
Als alternatief kunt u uw eigen apparaat testen, op dezelfde manier als Shepherd deed.
Als de zoekopdracht op Shodan en Google honderden resultaten oplevert, wees dan voorzichtig:
Niet iedereen kent Shodan, zegt Shepherd.
Het zal helpen om dergelijke tools uit de schaduw naar het reguliere domein te slepen. Als ze meer algemeen bekend zijn en worden gebruikt door het publiek - in tegenstelling tot nu, waar ze grotendeels alleen bekend zijn bij de verkeerde soort mensen - zou dit kansen kunnen bieden om een groot deel van de eenvoudigere soort aanvallen te ondermijnen.
“Het gebruik van Shodan is niet moeilijker dan het gebruik van Google. Als je een bepaalde camera wilt kopen, onderzoek deze dan op Shodan op dezelfde manier als op Google. Als je rode vlaggen ziet, wees dan kritisch bij je aankoopbeslissing”, zegt Shepherd. Matherly van Shodan zegt dat hij een paar overwinningen heeft behaald bij het verminderen van veiligheidsrisico's.
Met name het aantal Lantronix-apparaten - dat in sommige gevallen grotere beveiligingslacunes vertoonde - is aanzienlijk gedaald dankzij Shodan's onderzoek en follow-upwerk met getroffen organisaties, zegt hij. Matherly zegt dat het waar is dat embedded systemen soms worden gebruikt als spil in de rest van het lokale netwerk, omdat IT waarschijnlijk niet had verwacht dat de koffiemachine in de kantine zou worden geïnfecteerd met malware.
Enterprise-organisaties zijn ook beter geworden in het beschermen tegen interne aanvallen, terwijl het voorheen vooral ging om het in de gaten houden van de perimeter”, zegt hij.
Zijn advies aan iedereen die een IoT-apparaat koopt, is eenvoudig: “Zet het niet op het openbare internet.
Als je externe toegang tot de webcam nodig hebt, plaats deze dan achter een VPN om ervoor te zorgen dat alleen vertrouwde bronnen deze kunnen zien”.
Dit zou van toepassing zijn op alle apparaten waartoe men op afstand toegang zou willen hebben.
Als individu zou het ook belangrijk zijn om ervoor te zorgen dat u geen wijzigingen aanbrengt in de router en in plaats daarvan de cloud-streaming-app gebruikt die veel webcams tegenwoordig bieden.
Onlineslim.nl IOT-devices security
....9.010.000 resultaten "how can a hacker reach an IOT device?"
Can someone hack my IoT devices and get into my network? Reddit ** actueel **
Are IoT Systems Too Easily Hacked, And What Would Be The Fix? 5 oktober 2021
How to secure IoT devices and protect them from cyber attacks - With just a handful of security measures, organizations and workers can prevent hackers from infiltrating IoT devices and protect user privacy. 8 juli 2021
IoT: How I hacked my home 21 AUG 2014 < interessant
Update 19.03.2022