Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 25.110 •

Twee protocollen die in Nederland worden gebruikt voor communicatie tussen alarmsystemen en -centrales, zijn eenvoudig te kraken. Dat ontdekte een Nederlander bij toeval. Een kwaadwillende zou de problemen kunnen misbruiken om chaos te veroorzaken.

Nederlander Wilco Baan Hofman, die zijn bevindingen uit de doeken deed tijdens de Hack in the Box-beveiligingsconferentie in Amsterdam, stuitte bij toeval op de beveiligingsproblemen toen hij probeerde uit te zoeken hoe de alarmprotocollen in elkaar zitten. Op de hackerspace Bitlair in Amersfoort, waarvan Baan Hofman deel uitmaakt, was een alarmsysteem geïnstalleerd. Baan Hofman wilde bij een alarm zelf ook op de hoogte worden gesteld. "Waarom zou alleen de centrale die signalen krijgen?" vraagt hij zich af.

Als eerste onderzocht Baan Hofman het propriëtaire protocol van leverancier Alphatronics, dat in de hackerspace wordt gebruikt. Dat protocol bleek kinderlijk eenvoudig te kraken, hoewel het de naam 'sia highly secure' droeg. "De inhoud van de communicatie wordt niet versleuteld", zegt Baan Hofman tegen Tweakers. "Die wordt slechts vermomd." De afzender van de communicatie wordt bovendien niet gecontroleerd. Daardoor kan een kwaadwillende communicatie naar de alarmcentrale sturen, die afkomstig lijkt te zijn van een bepaald alarmsysteem, terwijl hij of zij daar niet eens toegang toe hoeft te hebben.

Wat daarbij helpt, is dat de communicatie erg eenvoudig verloopt. Daardoor is het mogelijk een handshake, waarmee de communicatie tussen alarmcentrale en -systeem begint, na te bootsen. Daarna kan bijvoorbeeld een signaal worden verstuurd waardoor de alarmcentrale denkt dat het alarm afgaat. De potentiële consequenties daarvan zijn enorm, denkt de Nederlandse onderzoeker. "Ik zou een script kunnen schrijven dat op alle alarmsystemen een inbraakalarm laat afgaan", zegt hij. De codes die worden gebruikt om bepaalde alarmsystemen aan te duiden, zijn namelijk vrij voorspelbaar.

Wanneer dat gebeurt, zou grote chaos kunnen ontstaan, omdat de vervalste alarmsignalen niet te onderscheiden zouden zijn van daadwerkelijke inbraakalarmen. Daarmee kan de politierespons op inbraakalarmen feitelijk onschadelijk worden gemaakt, omdat de politie nooit op alle oproepen kan reageren. Een kwaadwillende kan daar misbruik van maken. Dat het protocol eenvoudig te kraken is - Baan Hofman had vijf minuten nodig - maakt het probleem nog ernstiger.

Het SecIP-protocol van Vebon, de Nederlandse koepelorganisatie van de alarmsysteemindustrie, blijkt iets veiliger. Dat protocol past betere versleuteling toe, maar controleert evenmin de bron van de communicatie. Daardoor zou een vergelijkbare aanval mogelijk worden. Wel kan de afzender daarbij worden gecontroleerd, omdat dit protocol ondersteuning voor sessies heeft. Een aanvaller kan zijn ip-adres echter maskeren via bijvoorbeeld Tor. Daarnaast kan de versleuteling nog steeds beter.

De Nederlandse onderzoeker stelde de ontwerpers van de protocollen in de afgelopen zomer al op de hoogte, maar pas nadat hij het NCSC inschakelde, de ict-beveiligingsorganisatie van de Nederlandse overheid, kwam er schot in de zaak. Inmiddels is er een nieuwe versie van het SecIP-protocol, maar voordat die is geïmplementeerd in nieuwe firmware voor alarmsystemen en voordat die firmware overal is geïmplementeerd, is er waarschijnlijk flink wat tijd verstreken. "De meeste apparaten krijgen één keer per jaar onderhoud", aldus Baan Hofman. In de tussentijd zijn de systemen kwetsbaar. Ook voor het protocol van Alphatronics is nog geen update beschikbaar.

Reacties (44)

Normaal gesproken zou je als je dit soort software / systemen levert dit toch goed hebben nagelopen of dit mogelijk is?
Nee, normaal gesproken niet vrees ik. Nadrukt ligt nooit op dit soort zaken, er wordt getest of hetgeen dat mogelijk moet zijn met de software ook mogelijk is. Wanneer dit werkt zal de software goedgekeurd worden. Het komt vaak voor dat bedrijven enkel kijken of de software doet wat het moet doen en niet of het juist dingen doet die het niet zou moeten doen en of er dingen mogelijk zijn die niet mogelijk zouden moeten zijn.
Hiervoor heb je speciale testers nodig die gewoon ervaring hebben in het test vak en de kennis en kunde hebben om zulke scenario's te doorlopen.

Tevens heb je van te voren een ontwerp nodig waarbij de nadruk ligt op security, echter juist wordt dit soort software te vaak ontwikkeld door bedrijven die enkel fysieke security kennen met gewapende mannen en totaal niet nadenken over digitale security.

Vergeet niet dat een goed ontwerp opzetten voor het bouwen erg kostbaar is en dat het testen van software ook geen goedkope grap is. Voor veel bedrijven zit er geen verschil tussen software die doet wat het moet doen en software die daarnaast ook niet doet wat het niet moet doen. Die zien enkel maanden testwerk als overbodige kosten want "het werkt toch gewoon".
Nou, ik vind het beveiligen van instructies van en naar de alarmcentrale toch wel een essentieel en voor de hand liggend onderdeel. Hoe hebben ze daar nou niet aan kunnen denken? Verder denk ik dat het ook niet zo heel moeilijk is om in plaats van de de huidige zwakke beveiliging een sterkere in te bouwen: daar zijn allerlei standaarden voor.
Beter dat een onderzoeker het ontdekt dan een stelletje hackers... Nu kan er lijkt mij nog een aanpassing op gedaan worden. Of zou er nu toch een opening zijn voor criminelen?
Wat is volgens jou dan het verschil tussen een onderzoeker en een hacker? Een hoop onderzoekers zien zichzelf als hackers, en andersom.
Oke, laat ik het anders definiŽren: een kwaadwillende hacker :)
Dit is een hacker die in zijn vrije tijd zijn eigen beveiligingssysteem eens onder handen genomen heeft. Jij denkt bij hackers direct aan kwaadwillenden, maar dat heeft in feite niks met hacken te maken.
"kwaadwillenden" zijn officieel ook "crackers"
Tweakers zou zich ook aan die terminologie moeten houden. Want hackers heeft nu een verschrikkelijk negatieve lading met dank aan de media.
https://tools.ietf.org/rfc/rfc1392.txt
De terminologie waar jij mee aan komt is geen officiŽle standaard en derhalve geen terminologie waar iemand zich aan zou moeten houden. Hackers hebben inderdaad een niet altijd even positieve naam gekregen in de media en men probeert door alternatieven zoals "crackers" en de additieven "black hat" en "white hat" onderscheid te maken op basis van de motieven van de hacker.
Desalniettemin is er geen officiŽle standaard met betrekking tot naamgeving van hackers op basis van motieven en ethiek en lijkt het mij verstandig om derhalve de term "hacker" te gebruiken en geen officieuze standaarden te hanteren die enkel tot verwarring en discussie kunnen leiden.
Of iets officieus of officieel is, maakt echt helemaal niks uit. Kijk maar naar het witte boekje, geÔnitieerd door wat vroeger kwaliteitskranten werden genoemd.

Probleem is dat de intentie van de hacker/cracker bepaalt in welke categorie hij valt en dat komt uiteindelijk op een waarde oordeel neer. En als nieuwssite wil je zo objectief mogeijk zijn. Daarnaast zijn intenties niet altijd duidelijk of te achterhalen.

Chinezen die Gmail plat leggen, zullen waarschijnlijk in China worden beschouwd als volkshelden en dus hackers worden genoemd en Google zal ze crackers noemen.

En onder welke categorie vallen Bradley Manning en Julian Assange? Blackhat of Whitehat?
De technieken die hackers/crackers white-hats/black-hats gebruiken zijn ook veelal dezelfde.

Je kan ook moeilijk verwachten dat technologisch begaafde mensen vantevoren een intentie-verklaring inleveren over hun bedoelingen.
En slechts door hun feitelijk gedrag kan achteraf bepaald worden of ze nou goed of slecht bezig waren. En dat aan de hand van de huidig geldende legislatie (hoe verouderd dan ook)

Geschiedenis wordt geschreven door de winnaars.
"attributed to Winston Churchill, but of unknown origin."
Jij denkt bij hackers direct aan kwaadwillenden, maar dat heeft in feite niks met hacken te maken.
Onzin. Je bent een hacker als je een systeem door en door kent om zo bepaalde dingen te bewerkstelligen. Of je nou kwaadwillend bent of niet. Dus ja, kwaadwillende "hackers" zijn ook gewoon hackers, ondanks wat het groepje white-hats dat zich zo graag wil distantieren je graag willen doen geloven.

.edit @ BramT: er is een reden dat ik "hacker" tussen aanhalingstekens zet in dat, volgens jouw nietszeggend, statement. Ik hanteer hier namelijk mijn eigen definitie van hacker die ik daarvoor heb uitgelegd, en dus specifiek niet de definitie van de persoon waar ik op reageer die zou zeggen dat de term "kwaadwillende hacker" een tegenstelling is.

[Reactie gewijzigd door .oisyn op 10 april 2013 17:53]

Onzin. Je eerst zin klopt, maar daarna gaat je logica mis. Een toetsenbord is niet per definitie goedkoop. Een iets wat goedkoop is, is niet per definitie een toetsenbord. Een goedkoop toetsenbord is inderdaad gewoon een toetsenbord. (Maar wat die statement nou toevoegd?)

Een kwaadwillende is niet per definitie een hacker, en een hacker is niet per definitie kwaadwillend.

Of je formuleert je zinnen gewoon even niet zo lekker nu... ;)

Anyway, ik denk dat we met z'n allen achterover vallen als we zouden weten hoeveel protocollen dit soort lekken hebben. Niet alleen in de beveiliging, maar denk ook aan de medische hoek, infrastructuur, nuts bedrijven, etc. Zijn het echt ddos-aanvallen die saldi op rekeningen laten fluctueren?
* BramT doet alu-hoedje op ;)

[Reactie gewijzigd door BramT op 10 april 2013 14:57]

De manier waarop .oisyn het formuleert is correct en duidelijk wat mij betreft. Hij definieert de populatie hackers als zijnde personen met veel kennis van een systeem die daardoor in staat zijn om daar, goedschiks of kwaadschiks, dingen mee te bewerkstelligen. Dus ja, een kwaadwillende is daarmee weldegelijk een hacker, en nee, niet iedere hacker is kwaadwillend.
Ik dacht dat we hier in Nederland onschuldig waren totdat het tegendeel bewezen was?

Iedereen is een hacker, totdat het tegendeel bewezen is en dan ben je een kwaadwillende hacker.

Maar tja, dat is mijn EIGEN definitie van hacker.

---ff ontopic---

Er is nu toch geen verzekeraar meer die z'n alarm systeem/protocol serieus neemt?

[Reactie gewijzigd door sHELL op 10 april 2013 18:44]

Wereldkundig maken is iets anders dan ontdekken.

Het is heel goed mogelijk dat dit al wijd en zijd bekend is.
Verbaast me niks, Alphatronics is ook een bedrijf dat snel een product op de markt wil zetten om mee te profiteren van de markt en uiteraard niet goed over de beveiliging nadenkt.

Veel grote bedrijven komen in de problemen die zich niet met de core van hun bedrijf bezig zijn maar alleen maar getalletjes draaien om geld te verdienen (zie Imtech bv).
allereerst tsja het is niet iets waarvan ik zeg proficiat.

andere kant is dit denk ik niet iets waar je als random hacker zomaar achterkomt.
je moet toch wel enige kennis hebben van alarmsystemen.
al is dit wel iets om voor op te passen vanwege inderdaad enorm veel alarmen via deze techniek tegelijk getriggerd kunnen worden.
wel vind ik het belachelijk dat dit zo lang moet duren om een patch in te voeren
andere kant is dit denk ik niet iets waar je als random hacker zomaar achterkomt.
je moet toch wel enige kennis hebben van alarmsystemen.
Nee. Onderzoeker in kwestie ontdekte het bij toeval nodig en had vijf minuten nodig om het protocol van Alphatronics te kraken.
Wat is nu een alarmsysteem? Uiteindelijk is het niks anders dan een embedded systeem met een protocool. Of het nu vliegtuigen aanstuurd of een alarmcentrale, voor een hacker maakt dat weinig uit.
Veel alarmsystemen worden vaak simpel gehouden met weinig functionaliteit, zodat er minder kans is op bugs of exploits. Daarom zijn ze ook niet gebouwd om snel een patch te krijgen, de patches lossen vaak alleen bugs op die in zeer bijzondere gevallen voorkomen. Daardoor kan je het wel veroorloven om een jaar te wachten voordat je de patches released.

Hierbij moet je niet vergeten dat veel bedrijven een aantal weken wachten voordat ze hun nog veilige systeem een update geven, zodat er door onderzoekers kan worden gecontroleerd op lekken. Als hun systeem onveilig blijkt te zijn zullen ze eerder die update uitvoeren.
als ja alarm centrale via een ethernet interface babbeld kan je hem achter een firewall zetten waarbij je alleen het ip van de centrale ingeeft in de security regel. dan ben je er ook ;)
Totdat iemand vanaf een andere locatie een fake melding afgeeft van niet alleen jouw centrale, maar van alle centrales in de stad. Meldkamer word overspoeld, en zodra er bij jou word ingebroken is dat niet te onderscheiden van alle fake meldingen.

Veel plezier met je firewall.
dat beschermt nog niet tegen de aanval zoals hier besproken. De hacker kan nogsteeds aan de centrale doorgeven dat jouw alarm is afgegaan ookal heeft hij geen toegang tot jouw systeem
ALs ik het goed begrijp hangen die dingen tegenwoordig dus (onversleuteld) aan internet?
Ik kom nog uit de tijd dat ze naar de centrales toe belden..

Dus nu is het wachten op een script kiddie die voor de lol allemaal alarmeringsmeldingen gaat aanmaken.
Iemand enig idee wat er met 'vermomd' wordt bedoelt?

Er worden wel vaker zwakheden in systemen per ongeluk ontdekt, maar dit lijkt me er toch een om wat verder onderzoek naar te gaan doen. Als een scriptkiddie dit had ontdekt hadden we een groot probleem gehad in Nederland. Het risico van deze zwakheid kan een behoorlijke impact hebben.
Dat het SIA protocol implementatie op de centrales in veel gevallen onveilig is kan ik bevestigen. Vorig jaar schreef ik voor een bedrijf een implementatie voor SIA_DC09 , DC07, DC03 protocol, om communicatie met bestaande alarmcentrales mogelijk te maken.

Er bestaat wel een mogelijkheid binnen het protocol om AES encryptie te gebruiken, maar deze wordt in werkelijk eigenlijk zelden gebruikt.

Wanneer er communicatie toegestaan wordt met de centrale zonder encryptie, is het mogelijk om met een lus alle geregistreerde alarm nodes af te lopen en alarmen te genereren en hierbij dus de hele centrale te ontregelen.

[Reactie gewijzigd door nhede op 10 april 2013 14:06]

Het probleem ligt volgens mij eerder bij de meldkamers dan bij de centrales.

Ik heb zelf 12 jaar aan alarmsystemen gewerkt maar niet van bovengenoemde fabrikanten.
Ik heb AES encryptie op SIA geÔmplementeerd maar er was op dat moment geen enkele ontvanger beschikbaar die dit aankon...

VebonIP is een typisch Nederlands protocol dat in geen enkel ander land gebruikt wordt.
SIA daarentegen is een internationale standaard.

Het zijn dus niet altijd de centrales die aan de oorsprong van het probleem liggen.
Ach, dit valt binnen de verwachting. Eigenlijk zijn dit soort systemen alleen maar nuttig ter geruststelling van de bewoners en voor het afschrikken van potentiŽle inbrekers. De klanten van deze bedrijven hebben geen verstand van ICT waardoor dit totaal geen issue is bij het ontwerpen van dergelijke systemen. En dat scheelt weer een investering denken de topmensen.

Zelf hebben wij ook een systeem dat werkt met warmtedetectie. Een aantal sensoren in een aantal kamers en een centraal kastje dat alles aanstuurt. Bij uit/ inschakeling en afgaan van het alarm wordt er een seintje verstuurd naar een controlekamer die vervolgens gaat bellen ter controle. Dit zijn mijn ervaringen met het systeem:
  • Regelmatig vals alarm (door vergeten uit te schakelen / dieren of insecten die op en/of voor de sensor gaan zitten / gewoon vals alarm met een niet traceerbare oorzaak)
  • Wanneer er weer eens alarm wordt geslagen zit iedereen zich te stressen
  • Duur (ik geloof 400 euro in het jaar en 6 cent per verstuurd bericht bij uit/inschakeling).
  • Als er wel ingebroken is kom je de inbreker zelf tegen. En wat dan? Belt de controlekamer een halfuurtje later naar de politie die vervolgens ook zijn tijd neemt.
Wanneer je geen waardevolle bezittingen hebt, moet je niet beginnen aan een alarmsysteem. Beter neem je gewoon een hond die veel gezelliger zijn en bijna net zo afschrikkend / geruststellend werkt.

[Reactie gewijzigd door Furydante op 10 april 2013 14:12]

Ik vind dit persoonlijk een non-issue

Ik heb zelf thuis ook een alphatronics hangen.

Het gaat hier om het protocol waarmee de centrale een bericht naar de alarmcentrale stuurt via IP.

Dit betekent dus niet dat iemand mijn alarmsysteem van afstand kan uitschakelen o.i.d.
Worst case scenario, iemand hacked mijn netwerk en zou zich kunnen voordoen als mijn systeem en valse meldingen kunnen afleveren bij de alarmcentrale.

ik zie dat niet zo snel gebeuren.

Verder kan je ook gewoon niet over IP melden maar via X25.
Dan wordt het wel heel lastig om hier tussen te komen.
Het probleem is niet dat iemand bij jou een vals alarm af kan laten gaan, het probleem is dat men bij iedereen die zo'n alarmsysteem heeft tegelijk een alarm kan laten afgaan. Wanneer in een half uur tijd elk huishouden en elk bedrijf in Nederland uitgerust met dit type alarm ook daadwerkelijk alarm gaat slaan ontstaat chaos. Door deze chaos kunnen beveiligers en politieagenten niet snel genoeg reageren aangezien ze niet weten welke meldingen wel en niet juist zijn.
Of een standaard particulier alarm nut heeft valt inderdaad te betwisten, echter bedrijven en vermogende particulieren die genoeg betalen krijgen wel snel beveiliging onderweg. Door verwarring te zaaien kunnen inbrekers meer dan genoeg tijd krijgen om meer spullen mee te nemen dan oorspronkelijk gepland. Derhalve wel een groot issue.
Alleen jammer dat KPN stopt met hun X.25 dienstverlening, zowel Datanet-1 als Digi-access (waar de meeste X.25 alarmsystemen gebruik van maken). Ik meen halverwege 2014. Geen goed idee om nu nog een oplossing op basis van X.25 aan te schaffen dus. (Tenzij je al een alternatieve provider op het oog hebt die bijvoorbeeld XOT levert.

Ook is het X.25-protocol niet echt lastig om te faken. Voor zover ik weet, zetten de meeste centrales een SVC op en het aktief zijn van dit Virtual Channel, houdt in dat de centrale bereikbaar is. Een simpele black box ertussen die de dataset-signalen in stand houdt en keurig Receive Ready blijft sturen en je ben al een heel end.
Denk er aan dat dit soort alarm protocollen ook worden gebruikt in de industrie. Zoals gas alarm, hoog water alarm, hoog temperatuur alarm.
Het is dus ook mogelijk om van afstand het alarm te annuleren of een bypass in te stellen op de centrale.

Op dit item kan niet meer gereageerd worden.