Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 167 reacties

Twee onderzoekers van het beveiligingsbedrijf PenTestPartners hebben op de Def Con-conferentie ransomware gepresenteerd die geschreven is voor een slimme thermostaat. Hiermee willen zij aantonen dat ook het internet-of-things niet van malware is uitgesloten.

De twee hebben niet bekendgemaakt van welk merk de betreffende thermostaat is, zo laat Motherboard weten. De kwetsbaarheid waarvan de onderzoekers gebruikmaakten, ligt in het feit dat het apparaat geen controle uitvoert op de code die het uitvoert. Daardoor is het bijvoorbeeld mogelijk om de malware in een afbeelding te verstoppen. Er is geen manier om de kwaadaardige code op afstand uit te voeren, dus het slachtoffer zou zelf een geïnfecteerd bestand naar het apparaat moeten kopiëren of downloaden. Dit is niet geheel onvoorstelbaar, omdat de thermostaat is voorzien van een sd-kaartlezer waarmee gebruikers bijvoorbeeld zelf achtergronden kunnen toevoegen.

De ransomware is een manier om aan te tonen dat het mogelijk is om internet-of-things-apparaten te infecteren. De onderzoekers lieten zien dat de proof of concept werkt en inderdaad in staat is om de inhoud van het apparaat te versleutelen. Daarna wordt een afbeelding getoond waarin de gebruiker om betaling van 1 bitcoin wordt gevraagd. De makers wijzen daarnaast op het feit dat veel 'slimme' apparaten gebrekkige beveiliging bezitten: "We hebben geen controle over onze apparaten en weten niet wat ze doen en op welke manier ze functioneren", stellen zij tegenover Motherboard.

De verwachting van ransomware voor internet-of-things-apparaten bestaat al langer, dankzij de populariteit van deze vorm van malware. Tot nu toe zijn er nog geen varianten bekend en is dit concept een van de eerste vormen van ransomware voor 'slimme' apparaten.

ransomware thermostaat Afbeelding via Motherboard

Moderatie-faq Wijzig weergave

Reacties (167)

De twee hebben niet bekendgemaakt van welk merk de betreffende thermostaat is, zo laat Motherboard weten.
Ik denk persoonlijk dat het gaat om een Venstar Colourtouch thermostaat.
Hmm ik dacht ff "1 bitcoin of we zetten je huis op 37 graden", maar ze encrypten gewoon het device. Ik word wel een beetje moe van die security onderzoekers, het zal wel nodig zijn maar ik heb wel eens het idee dat ze alleen maar idioten op een idee aan het brengen zijn of van twee walletjes eten.
Nee, ze zijn die idioten juist voor door aan te tonen dat het mogelijk is en dat er (heel snel) iets aan gedaan moet worden. Dat is beter dan het bekende ''je kop in het zand steken'' verhaal, en dan achteraf allemaal berichten op nu, tweakers en rtl te lezen over hoe mensen zijn opgelicht dankzij malware op hun thermostaat device.
Idioten? Dankzij die white-hat "idioten" die vanalles reverse engenieeren (zoals virussen) hebben wij de antivirusprogramma's en bevijliginsorganisaties die zich bezig houden met de vijligheid van onze apparaten (online en offline). Dat zijn juist de mensen die we moeten belonen voor hun werk.
Sorry, misschien was mijn bericht niet helemaal duidelijk.

Met idioten refereerde ik naar mensen die misbruik maken van exploits en mensen daarmee oplichten/geld afhandig maken. Dus de criminelen.
Nee, ze zijn die idioten juist voor
In deze zin staat 'ze' voor de white hat hackers en 'die idioten' voor criminelen die ransomware verspreiden.
Hmm ik dacht ff "1 bitcoin of we zetten je huis op 37 graden", maar ze encrypten gewoon het device. Ik word wel een beetje moe van die security onderzoekers, het zal wel nodig zijn maar ik heb wel eens het idee dat ze alleen maar idioten op een idee aan het brengen zijn of van twee walletjes eten.
Als een onderzoeker op het idee kan komen, kan een malware schrijver dat ook.
Mijn nieuwe slimme Tado thermostaat kost 135 euro (incl internetbridge).
Ik koop nog liever een nieuwe dan dan ik een ransom van een paar tientjes betaal laat staan een bitcoin die 3-4 keer duurder is dan mijn thermostaat.
Veel apparaten zijn het gewoon niet waard om de eigenaren met ransomware te bedreigen.

De beveiliging van apparaten hoeft dus niet altijd gigantisch te zijn maar kan ook in verhouding zijn tot de waarde van het product.

[Reactie gewijzigd door TWyk op 8 augustus 2016 13:10]

En hoe vaak achter elkaar moet het gebeuren voordat je geen zin hebt alweer een nieuwe thermostaat te kopen, en een normale non-smart ding koopt?
Het dient gewoon niet te kunnen, zo simpel is het. Leuk als je een thermostaat via internet kan bedienen, maar dan mag je verwachten dat er ook aan beveiliging is gedacht, zeker voor de prijs die je betaalt.

Als dit zich gaat uitbreiden naar andere smart-applicaties moeten deze apparaten veilig gaan zijn. Het levert nu misschien enkel nog ongemak op, maar IoT is gedoemd te mislukken als elke jandoedel met een google-opdracht kan uitzoeken hoe hij je apparaten kraakt.
Het wordt wel een interessante kwestie, aangezien je geen persoonlijke belangen hebt met je thermostaat zoals je wel hebt bij een laptop(veel prive gegevens) is het niet ondenkbaar dat je het ding gewoon terugstuurt naar de fabrikant en garantie claimt. Immers je mag een redelijk product verwachten dat een redelijk termijn mee gaat.

En redelijk bij een thermostaat praten we niet in jaren, maar in decennia.

Nu is dit maar een proof of concept, maar toch een leuk gedachten experiment.
ik vind het wel een goed perspectief, dat een thermostaat er voor decennia mogelijk hangt. Net als dat techniek achterhaald wordt en er met weinig of geen onderhoud iedere periode weer nieuwe exploits worden gevonden zou een goede reden kunnen zijn om dan juist niet voor een slimmere thermostaat te kiezen. Ik juich IoT-achtige apparaten best toe, maar dit is wel 1 van de redenen dat ik vorig jaar gekozen heb voor een thermostaat welke alleen gebruik maakt van lokale gegevens, zoals buitentemperatuur of andere sensoren die aan te sluiten zijn. Koppelen van devices en er meer functionaliteit uit halen is wel mooi, maar niet tegen iedere prijs. Op deze manier weet ik behoorlijk zeker dat apparaat ook over 10 jaar alleen naar mensen luistert die zich in het huis bevinden.
Wat een heerlijk kortzichtige reactie weer. Het gaat de onderzoekers om het aantonen dat het kan om dit soort 'smart' apparaten te infecteren. Mensen die virussen ontwikkelen doen dat niet alleen om er rijk mee te worden, maar ook gewoon om te kloten. Het 1 btcoin-voorbeeld is precies dat: een voorbeeld.

Leuk, wasmachines infecteren zodat ze alle delicate wasprogramma's voortaan op 90 graden doen. Vrieskisten die net doen alsof ze aanstaan, maar ondertussen niet meer koelen.

Er zullen altijd debielen zijn die het leuk vinden om dat soort virussen te schrijven en er mensen schade mee toe te brengen.
De vraag is alleen, zijn dat soort IoT apparaten interessant genoeg om al die moeite in te steken om malware te schrijven?

Een computer is een heel duidelijk prooi. Het staat bomvol met onvervangbare bestanden (fotos/videos ect) en dat is de trigger voor mensen om te betalen.

Een koelkast die het niet meer doet door malware stuur je gewoon terug naar de fabrikant. Het zal mij een zorg zijn dat het ding encrypt is of raar doet, dat is gewoon een garantie kwestie. Hoe succesvol gaat dan zo'n malware dan zijn? Ik schat niet dat mensen dat losgeld betalen, want welk belang heeft die gebruiker erbij? Bij dit soort apparaten zie ik dan geen verschil tussen malware en een regulier mechanisch defect.
De vraag is alleen, zijn dat soort IoT apparaten interessant genoeg om al die moeite in te steken om malware te schrijven?

[...]

Het zal mij een zorg zijn dat het ding encrypt is of raar doet, dat is gewoon een garantie kwestie. Hoe succesvol gaat dan zo'n malware dan zijn? Ik schat niet dat mensen dat losgeld betalen, want welk belang heeft die gebruiker erbij?
Het punt is dat er genoeg sociapatisch aangelegden zijn die dit puur voor de kick doen: om voor zichzelf te bevestigen dat zij de macht hebben om iemand aan de andere kant van de planeet een kloteweek te bezorgen.

[Reactie gewijzigd door R4gnax op 8 augustus 2016 20:23]

Exact, er zijn genoeg idioten die het 'for the lulz' doen.
De afbeelding is een voorbeeld.

Ik las laatst dat de malware/cryptolocker makers vaak goed rekening houden met wat ze kunnen vragen. Als bijvoorbeeld het op ťťn of andere manier unlocken van de data door een extern bedrijf 10.000 euro kost (ik noem maar een bedrag) dan zorgen de makers er voor dat het unlocken via hun net iets goedkoper is. Op die manier is de kans groter dat een slachtoffer betaald.
wel lachen 1BTC betalen voor een apparaat van 200 euro., als ze gelijk de termostaat knoppen ook infecteren dan is het hele andere koek, zie maar eens je gehele huis opniew alles in te stellen
Kort samengevat: Ze proberen dingen te ontdekken voordat de slechte mensen het doen zodat er aan een oplossing gewerkt kan worden.
hoezo op een idee brengen? Ze wijzen erop dat fabrikanten van slimme devices basic zaken nalaten te doen en dat dat issues oplevert. Ze tonen vervolgens zoals het een wetenschapper betaamt ook aan dat hun theorie klopt middels een proof of concept.

Waar je moe van moet worden zijn fabrikanten die nog altijd weigeren security serieus te nemen en met deze zaken vrij hard aantonen dat het ze weinig boeit / dat hun code gewoon slecht is / niet meer van deze tijd.
De 'idioten' zijn de makers van de IoT apparaten. Je moet je zaakjes gewoon op orde hebben als je een product maakt. Security goed doen is niet makkelijk maar zodra je features als kaartlezers gaat ondersteunen moet je je beseffen dat je daarmee een hele sloot aan mogelijke beveiligingsproblemen binnen haalt.
Ik vind het een goede zaak dat security onderzoekers zich hiermee bezig houden; houdt de boel een beetje scherp. Zie het als een consumenten waakhond.
Maar wat is het verdien model hier aan? Ransomware is alleen populair omdat het geld oplevert. Toch?
Ofwel betaal je het losgeld, ofwel zal je woning een sauna worden (en je op die manier geld kosten).
Dan schroef je je thermostaat even los, en haal je ff een goedkope thermostaat? Hoef je tenminste niet in een sauna te zitten tot je je slimme thermostaat een reset geeft. Een thermostaat resetten is ook een minder grote stap dan een PC resetten, waar nog belangrijke bestanden op staan.
Dat zeg jij inderdaad als tweaker. Mijn ouders vinden het al een eng idee dat hun verwarming aan het internet hangt en hebben niet echt een concreet beeld van wat hacken inhoudt. Die zullen wellicht wel betalen, hoewel de betaling in bitcoin (zoals hierboven) dan wel weer problematisch kan zijn.

Het punt is meer dat dit soort dingen niet 100% waterdicht zijn, maar een hacker kan relatief kosteloos die malware verspreiden over tal van gebruikers en als slechts een klein percentage van de gebruikers wel betaalt het wellicht al loont.
Maar als er op de consumentenbond site een tip staat heb je direct die doelgroep te pakken.
Het is vervelend, maar zoals Chester zegt: er staat verder weinig boeiends op een thermostaat. Het inwisselbaarheidsgehalte is erg hoog.
En daarom zou het mooi zijn als alle producenten een gezamelijk stukje open source software gebruiken.

Dan kan dat oneindig doorontwikkeld worden en kunnen gaten in die software worden opgelost, nu zie je veel te vaak dat na de verkoop er niks meer met die software gebeurd. Dat is een kwalijke zaak.
Tja. Of in ieder geval beleid hebben voor dat soort zaken. Zodat je vooraf weet wat je koopt.
Of dat er open source software op gezet mag worden als de ondersteuning stopt.
Mijn ouders vinden het al een eng idee dat hun verwarming aan het internet hangt
Dus zullen ze waarschijnlijk Łberhaupt geen slimme thermostaat in huis halen? En anders hebben ze wel een zoon (of iemand anders die wel wat meer weet) die ze even een belletje kunnen geven, en ze in ťťn zin kan uitleggen: "Geen paniek, het is maar een thermostaat, koppel em even los".
Dat resetten zou nog wel eens tegen kunnen vallen als ze het voor elkaar krijgen de firmware te encrypten. Het is niet alsof fabrikanten een manier hebben voor de thuisgebruiker om schone firmware te flashen.
Dat is maar een bijzaak. In het ergste geval ga je naar een servicepunt om het te laten herstellen, nog altijd beter dan betalen.

Mijn punt is dat het niet zo ernstig is als dat je je PC en backups kwijt bent. En als je het ff vervangt met een goedkope thermostaat, kun je het prima fixen. Of je het nu zelf kunt resetten of het terug moet sturen naar de fabrikant.
Dat alles hangt sterk af van de prijs. Als de ransom §50 is, en een nieuwe thermostaat minstens het dubbele, wat denk je dan dat de gemiddelde consument zal doen?
Aantal opties:
• Mocht er een servicepunt in de buurt zijn: loskoppelen, en je huis maar even koud laten zijn tot je naar een servicepunt/mediamarkt/wherever gaat om het te laten herstellen.
• Geen servicepunt: loskoppelen, en af en toe de draadjes maar aan elkaar tapen, en wanneer het warm genoeg is weer los koppelen. Ondertussen je thermostaat terug naar de fabrikant sturen.
• Je oude thermostaat bewaren voor precies zulke gevallen.

En als de ransom §50,- is, en een nieuwe minstens het dubbele, heb je tenminste wel de garantie dat het er niet meer opstaat. En is het meteen een mooi moment om terug te gaan naar een niet slimme thermostaat.

En als iedereen terug blijft gaan naar domme thermostaten, zullen de fabrikanten vast wel striktere security tests uitvoeren voordat ze IoT apparatuur op de markt gaan brengen.

[Reactie gewijzigd door Chester op 8 augustus 2016 13:07]

Allemaal heel leuk wat hierboven beschreven staat. Maar de serviceflat van mijn moeder hangt van boven tot onder vol met die dingen. En die doen nog wel iets meer dan alleen 'slimme thermostaat' spelen.

Ik weet niet hoe het daar opgebouwd is maar als je een infectie op zo'n flat los laat kan het nogal uit de hand lopen. Verwarming afschakelen, alarm disablen en er zouden zomaar slachtoffers kunnen vallen.

Het is echt meer dan kwalijk als ontwikkelaars van dit soort toepassingen en oplossingen denken dat dat hacken alleen op het 'gewone internet' gebeurt. Want dan vrees ik toch echt het ergste voor de toekomst van het IoT.
Ik weet niet hoe het daar opgebouwd is maar als je een infectie op zo'n flat los laat kan het nogal uit de hand lopen. Verwarming afschakelen, alarm disablen en er zouden zomaar slachtoffers kunnen vallen.
Dacht je dat dat al erg was? Ga dan maar even zitten voordat je verder leest.

Wat dacht je namelijk van real-time medische monitoring apparatuur voor babies, die onbeschermd aan het internet hangt en via een Windows remote desktop connectie te benaderen is?

Want dat gebeurt dus ook gewoon.

(Kijk trouwens dat filmpje vooral niet uit als je neurotisch aangelegd bent, want dan ga je slapeloze nachten tegemoet.)

[Reactie gewijzigd door R4gnax op 8 augustus 2016 19:55]

"what could possibly go wrong?"

Met een combinatie van pech en kwaadwilligheid met zo'n 'simpele' verwarmingsthermostaat hele erge dingen. Van een volwassene kan je wellicht de nachtrust verstoren. Maar neem bijvoorbeeld een pasgeboren baby die nog niet volledig in staat is om diens eigen lichaamstemperatuur te beheersen. Dan is het psychologische effect van "de virtuele indringer in mijn huis" nog het minste.

Sommige dingen zou je inderdaad niet op het internet moeten willen zetten. Of in elk geval niet zonder fysieke aan/uit knop (UIT als je op vakantie gaat, of de temperatuur van je huis om een of andere redden kritisch is) en afdoende beveiliging.

Zou eigenlijk verplicht moeten zijn: fysieke AAN/UIT knop op internetconnectie voor alles wat IOT is. Want de beste beveiliging is geen mogelijke verbinding.
Dit is nog maar het begin, wat als je hele huis overgenomen wordt wanneer alles aan het internet verbonden zit.
Niet alleen je thermostaat maar ook andere apparaten die geÔnfecteerd zijn. Dat na de sauna situaties je lampen willekeurig beginnen te knipperen midden in de nacht. De nacht erna ineens je geluidinstallatie gaat rickrollen. Is al direct heel veel ergernis en een slechte nachtrust van meerdere dagen en meerdere apparaten die je moet fixen/vervangen/terugbrengen. Of betalen om het te fixen wat helaas genoeg zullen doen.

Of nog erger, als je videodeurbel ineens live al het beeld en geluid over het internet deelt zonder dat je dat door hebt. Inbrekers zullen maar graag weten wat je dagelijkse routine is of wanneer je een keer de auto voor de deur goed inpakt om op vakantie te gaan. En als het slot systeem er ook nog mee verbonden is kunnen ze zelfs zo commando geven om de deur te openen.

Voor je het weet heb je al helemaal geen privacy meer, verlies je de controle over je apparaten en moet je voor ieder apparaat uitzoeken hoe je het moet fixen of terug sturen. Je besteed geld voor de luxe van IoT en vervolgens heb je nog gedoe (of nog erger) omdat de fabrikanten ervan te lui zijn om beveiliging te maken.

Men moet nu al bewust zijn dat er risicos zijn bij het kopen en fabrikanten moeten bij de eerste producten al direct een vorm van beveiliging in bouwen. Als men geen beveiliging toepast dan krijg je de soort situaties waarbij vele garages in enkele seconden al te openen zijn door een hacker.

[Reactie gewijzigd door Musical-Memoirs op 8 augustus 2016 14:38]

Als mij dit zou overkomen zou ik hem terugbrengen naar de winkel en een ander merk kopen. Een ezel stoot zich geen twee keer aan dezelfde steen.
En als je het ff vervangt met een goedkope thermostaat, kun je het prima fixen.

Niet iedereen kan een thermostaat vervangen, ik heb geen idee hoe dit moet.
'
Waarom zou de fabrikant gratis een reset voor je uitvoeren? Als je pc ransomware heeft gaat windows/msi dit ook niet fixen.
zou jij het accepteren dat je moet betalen voor het herstellen van een product wat geÔnfecteerd/onklaar is geraakt omdat de fabrikant zijn producten slecht beveiligd? ik niet i.i.g.
zou jij het accepteren dat je moet betalen voor het herstellen van een product wat geÔnfecteerd/onklaar is geraakt omdat de fabrikant zijn producten slecht beveiligd? ik niet i.i.g.
Microsoft zou zich ook kunnen beveiligen tegen ransomware, ga jij bij microsoft klagen als je ransomware krijgt?
bij Windows kan ik in zekere mate zelf een laag van beveiliging toevoegen in de vorm van virusscanners e.d.

Vertel mij even waar ik een virusscanner voor bv. een smart-thermostaat kan downloaden :>
Een zot intrusion detection systeem installeren ofcourse ;)
zou je het niet tegen kunnen gaan door de firmware vanaf fabriek te encrypten? lijkt me dat het dan niet nog eens encrypt kan worden... of wel??
als dat werkt zou het ook mooi op de pc kunnen...
Als je de thermostaat losschroeft en vervangt door een ander model los je het probleem maar tijdelijk op. Jouw dure slimme thermostaat blijft geÔnfecteer.Zo lang de waarde van de thermostaat en de ergernis die een lock veroorzaakt maar hoger is dan het bedrag wat mensen moeten betaling kan dit misbruik uit.

Let wel dat een ransomware slechts een van de toepassingen is. Zie het als een proof of concept. Er zijn ook andere zaken denkbaar als een rogue access point of een sniffer in het netwerk.
Daarom schreef ik ook:
Hoef je tenminste niet in een sauna te zitten tot je je slimme thermostaat een reset geeft.
En wat later:
Mijn punt is dat het niet zo ernstig is als dat je je PC en backups kwijt bent. En als je het ff vervangt met een goedkope thermostaat, kun je het prima fixen. Of je het nu zelf kunt resetten of het terug moet sturen naar de fabrikant.
Daar zit het probleem in, iedereen wil zo'n slim ding dat aan het internet hangt.

Voor mij onzin, ik zit zelden aan de thermostaat omdat deze hier toch vrij laag staat, simpel draai ding met digital schermpje, niks aan internet.

Maar meeste vinden internet of things handig, een thermostaat kan ik nog eigenzins begrijpen, maar dingen als wasmachine niet (aangezien je zelf alles in de wasmachine moet gooien en de deur moet sluiten en de waspoeder moet toevoegen, is eentje met timer even handig zonder dat het perce aan het internet moet hangen, of koffie zet apparaat, moet je ook zelf water in doen en koffie ook)

Overigens, mensen vinden mijn statement erover bizar want als je net als ik met technologie bezig bent dan MOET je dit soort dingen toch leuk vinden? Nee, juist omdat ik met technologie bezig ben bekijk ik helder de nadelen en onzin ervan, waar de normale consument juist met open armen het wil en niet aan de eventuele nadelen en risico's denkt.

[Reactie gewijzigd door Mizgala28 op 8 augustus 2016 14:08]

Het wachten is op smart tv ransomware, iot-koelkast ransomware: loskoppelen en een nieuwe kopen! Nee, niks aan het internet wat geen beveiligingupdates krijgt....
Het wachten is op smart tv ransomware, iot-koelkast ransomware: loskoppelen en een nieuwe kopen! Nee, niks aan het internet wat geen beveiligingupdates krijgt....
De hele situatie met Android tablets en smartphones die een jaartje of 2 oud zijn is nu al rampzalig. Met Android smart TVs gaat dat alleen nog maar erger worden.

Omgekeerd; wie gaat er nou helemaal slikken dat je een § 1200 ŗ § 1800 TV na 2 jaar weg kunt doen omdat er geen updates meer voor uit komen? Daar gaat op de lange termijn ook gezeik van komen.

En heel eerlijk gezegd: ik vraag me af of je als consument zijnde op dat moment je geld terug kunt eisen omwille van het conformiteitsbeginsel. Kan nog wel eens interessante rechtszaken op gaan leveren...

[Reactie gewijzigd door R4gnax op 9 augustus 2016 09:22]

Correct, de hele meute hierboven [inclusief de 4x0 mod voor mijn post...] gaan volledig voorbij aan het feit dat je als je een off-line apparaat dat je "kunt loskoppelen en vervangen" al onbruikbaar kunt maken, dat een tv die permanent met een oude android versie aan het net hangt helemaal vragen om problemen is. Wellicht moet het eerst daadwerkelijk gebeuren voor het een issue wordt...
Wellicht moet het eerst daadwerkelijk gebeuren voor het een issue wordt...
Als ik me goed herinner was er ergens een rapport dat er over de periode 2014-12015 een gelijke orde van grootte aan (pogingen tot) malware-infecties op Windows consument-systemen als op Android consument-systemen heeft plaatsgevonden.

Met inachtneming van statistieken van voorgaande perioden was daarbij ook te zien dat het aantal Android infecties nog steeds snel aan het groeien was en daadwerkelijk de groei ook nog aan het versnellen was.

Als het gaat gebeuren; dan gaat het nu snel komen en meteen groot zijn.

[Reactie gewijzigd door R4gnax op 9 augustus 2016 09:28]

Het wachten is op smart tv ransomware, iot-koelkast ransomware: loskoppelen en een nieuwe kopen! Nee, niks aan het internet wat geen beveiligingupdates krijgt....
Ik was het met je eens tot dat laatste stukje. Gewoon niet alles aan internet hangen. Het dient geen doel, de wereld wordt er niet beter van, je leven wordt niet simpeler. Gewoon niet doen.
Of je zorgt er voor dat je al je domotica-stuf in een apart VLAN heb zitten wat gewoonweg geen verbinding met de buitenwereld kan maken!
Dan ben je al een hele bak ellende kwijt.
Zelfs al krijgen ze het op een of andere manier mijn Pi te grazen... sdcard er uit, backup image van de kaart terug en we zijn weer back in business.
En wat als het je koel/vries combi is? Die zet je dan ook maar even aan de kant voor een nieuwe?
En wat gaat er gebeuren als 1 of andere lolbroek dan toevallig een infected node in de wijk heeft geplaatst waardoor het met vers geflashte firmware direct weer geÔnfecteerd wordt?

Flashen van een thermostaat makkelijker dan een pc?
Lijkt me eerder van niet, want juist op dit soort dedicated hardware zit niet iets van een usb plug waarmee je even met je pc kan verbinden.
Als je mazzel hebt is er misschien een TTL header, maar ik vrees dat je eerder met JTAG aan de slag zal moeten... Daarnaast zijn die headers vaak niet meer aanwezig op de pcb en is het zoeken naar de soldeerpunten om nog maar te zwijgen over welk punt dan overeenstemt met de correcte punten van de header...

IoT is een leuk iets, maar beveiliging is ook daar een heikel punt en aangezien het meestal bedrijven zullen zijn die totaal geen kaas hebben gegeten van roms/firmwares en laat staan correcte beveiliging vrees ik dat het nog wel eens 1 grote bende gaat worden...

Hoeveel mensen updaten nu al hun telefoon? Laat staan als daar straks ook nog je thermostaat, koffiezetapparaat, koelkast, enz aan toegevoegd wordt? Allen apparaten die vele jaren mee gaan, maar waar je naar verwachting blij mag zijn als je uberhaubt ondersteuning krijgt...
Dan smijt je toch je thermostaat weg en zet je een nieuwe? Het is niet zoals bij een computer dat er data opstaat die je absoluut niet kwijt wilt. Een nieuwe thermostaat is natuurlijk wel ook geen goedkope 'grap', maar ik denk wel dat het minder zal kosten dan 1 bitcoin, afhankelijk van het model natuurlijk.
Het gaat natuurlijk niet alleen om het ransomware idee. Zodra ze in je thermostaat kunnen komen, kunnen ze er ook andere dingen mee. Ze kunnen je gebruik tracken en zien wanneer je wel en niet thuis bent, ze hebben toegang tot je netwerk, etc.
Het 1BC is als voorbeeld. Wat je kunt doen is in de zomer de verwarming op 28 graden zetten ...wordt ie niet binnen een dag terug gedraaid, dan grote kans dat mensen op vakantie zijn ...omgekeerd in de winter.

Andere verdienmodellen zijn, zijn foutmeldingen weergeven die 'duur' door een echte monteur hersteld worden. Toevallig rond een flyer actie.

Of een security contract verkopen om hacken te voorkomen / te herstellen.

En voor de professionals op dit gebied, die zullen nog wel meer leuke dingen kunnen verzinnen.
'als je niet 10 euro betaalt kun je nooit meer je temperatuur bepalen' of 'maak ik het klimaat in je huis afschuwelijk'. Prima te ver-ransomen.
Of je trekt gewoon de kabel eruit en koopt een goedkope 'simpele' thermostaat gedurende de tijd dat je de slimme opschoont (of laat opschonen..)..
Jij en ik hebben dat zo voor elkaar. Rest van nederland moet de installateur erbij halen die je vervolgens ook een factuur gaat presenteren.
Dezelfde installateur die het apparaat heeft geleverd? Dan mag hij hem kosteloos vervangen omdat het apparaat niet deugt. Bij voorkeur met nieuwe gepatchde firmware.
ik heb de oude thermostaat hier nog liggen, monteur klikte alleen de nieuwe erop en regelde wat andere zaken, maar die oude klik je zo weer terug. Moet je hem niet weggegooid hebben trouwens :P

Maar ik wou dat ik zelf foto's op dat schermpje kon zetten,die van mij (toon) heeft dat volgens mij niet.
Dat hangt gewoon van je thermostaat af hoor. Ja, dit kun je met een (digitale) Honeywell Round (heb hem zelf ook vervangen). Maar bij de meesten moet je toch nog even boren, nieuwe grondplaat bevestigen, 2 draadjes aansluiten en het apparaat er op klikken. Niet dat dat moeilijk is voor iemand die weet hoe een schroevendraaier en boormachine werken...
uh dan trek je toch de stekker eruit.
Het hoeft natuurlijk geen ransomware te zijn, je kunt ook malware hebben die doodleuk alles op je netwerk naar een server stuurt. Malware die toegankelijke bestanden infecteert. Botnets zijn ook geweldig om te verstoppen in dit soort devices.

Dit soort onderzoeken geven hopelijk een wake-up call aan de grote ontwikkelaars van IoT, waarbij ze nu weldegelijk wat meer doen aan security. Alhoewel ik bang ben dat dat nog wel even kan duren.
Precies dit. Ransomware is een bekend fenomeen en lekker zichtbaar, maar als die firmware zonder enige controle te vervangen is kun je ook 'evil' software er op zetten en het apparaat er verder uit laten zien en werken zoals het normaal zou doen. Maar ondertussen snift het je netwerk of draait je thermostaat mee in een botnet (om maar eens wat zaken te noemen) zonder dat je het ooit door zult hebben.
Daar heb je een goed punt! Het gaat in eerste instantie niet zo om die thermostaat, dat is een ding dat je makkelijk vervangt or je retourneert het ding onder garantie. Ransomware ect zal dus ook echt niet interessant zijn voor die zaken.

Maar zo'n thermostaat als 'zwakste schakel' in je netwerk is dan weer een heel ander gevaar. Vaak draaien dit soort machientjes op iets gebaseerd op linux, dus een beetje hacker kan er zo op de achtergrond andere dingen mee uithalen. Wellicht een man in the middle attack om zo je bank gegevens te stelen? Phising sites die geserveerd worden op je thermostaat? al je dataverkeer doorsluizen naar een 3rd party? Je NAS leegzuigen?

Of dit soort gevaar realistisch is, daar heb ik geen kijk op. Maar het zou me niets verbazen.

Dan wordt het weer een heel ander verhaal. Wellicht is het voorbeeld van deze onderzoekers niet goed genoeg om dit gevaar te demonstreren.
Maar wat is het verdien model hier aan? Ransomware is alleen populair omdat het geld oplevert. Toch?
Het dievengilde wil wel een lijstje met huizen waar de verwarming midden in de winter uit staat, die mensen zijn op wintersport en daar kun je mooi inbreken.
Hetzelfde geldt voor huizen waar in de zomer drie weken lang de douche niet wordt gebruikt.

Hoe slimmer de meter hoe meer er mogelijk is. Sommige meters herkennen de verschillende apparaten in huis. Als je meter herkent dat er een Tesla aan de laadpaal hangt is dat ook interessant voor dieven. Het schijnt dat veel televisies een heel typerende electrisch verbruik hebben. Zo kun je uitzoeken we er een 60" TV heeft die gestolen kan worden.

Wat creatiever wordt het als zonnepanelen op het dak hebt staan. Misschien dat een slimme dief een percentage van jouw opbrengst kan verbergen en verplaatsen naar zijn eigen energierekening.
Kijk dat is een mooi inzicht dankje! Zo had ik het dus niet bekeken maar dan zou het een soort trojan zijn (meekijken) en geen ransomware(losgeld)
Opvallend hoe hoog het aantal reacties is onder Tweakers in de trant van Dan trek je toch gewoon de stekker eruit?

Anderen zagen het ook al: het is een proof of concept. Er komt een tijd dat dingen niet meer zo gemakkelijk te wisselen zijn, of dat het om ernstigere dingen gaat dan een CV.

Er blijkt niets geleerd van vroeger, zoals met de eerste series ADSL-routertjes met een admin/admin login. Je kunt in 2016 gewoon geen internet-device meer op de markt brengen zonder beveiliging. Basta.
Mee eens. Ondeugdelijke beveiliging zou strafbaar moeten worden.
De vraag is hoe ver ze moeten gaan in die beveiliging. Ik ben volledig akkoord met het feit dat user input validatie moet worden gedaan, maar zolang er fysieke toegang tot het apparaat is zal men in zo goed als alle gevallen een manier vinden om code uit te voeren.
Het risico dat een gebruiker een besmet plaatje als achtergrond op zijn thermostaat wil gaan zetten is aan de lage kant.
Als het update via internet (geen fysieke toegang) is het ook niet veilig.
Ze melden wel dat het downloaden van een plaatje mogelijk is via de sd-card maar mijn Toon thermosstaat haalt dit ook op via internet van buienradar. Dus geen fysieke toegang nodig.
Dat ophalen van plaatjes via internet (vb. buienradar) is goed mogelijk, maar misschien is daar dan weer wel input validatie waardoor je geen code kan meesturen. Dat weten we op basis van de informatie die terug te vinden is gerelateerd aan deze PoC niet.
Anderzijds spreken we dan niet over een simpele exploit met een plaatje maar een heuse Man in the Middle attack, waarbij de aanvaller je thermostaat probeert wijs te maken dat hij een plaatje van buienradar krijgt terwijl dat helemaal niet zo is. Veel minder eenvoudig dan een plaatje als achtergrond zetten vanop een SD kaart.
Inderdaad. Ze hebben het hier nu over een thermostaat. Maar het zou in de toekomst net zo goed je koelkast kunnen zijn. Of je alarm systeem. Of je verlichting.

(hmm, ik moet ineens denken aan een Apeldoorn reclame...)
Gebaseerd op de afbeeldingen zijn dit thermostaten van Venstar die ook worden gebruikt door FirstAlert.

Bron:
http://www.firstalertthermostats.com/features/
http://venstar.com/thermostats/colortouch/
Misschien dat ze inwendig gelijk zijn aan elkaar maar die FirstAlert is qua uiterlijk toch echt niet hetzelfde hoor. Zo zit er een 'plooi' in de rand en heeft de FirstAlert rechtsonder drie inkepingen zitten.

Je zal maar geen bitcoins hebben trouwens als je voor het echie zo'n melding zou krijgen.
Goed dus dat men onderzoek doet en aantoont dat je met geen enkele stuk electronica wat aan het netwerk cq internet hangt veilig bent. Eigenlijk geldt het zelfs voor alle electronica die al dan niet bedraad en/of draadloos benaderbaar is.
Zoiets heet rebranding... Ik had gehoopt dat dat eigenlijk wel wat duidelijk is of was dat die vormgeving uiteraard een beetje anders kan zijn maar dat het binnenwerk knek hetzelfde is, blijkbaar niet :/ . Uiteraard zien ze er wat verschillend uit, First Alert wil ook een eigen identiteit met beveiliging en automatisatieproducten in en rondom het huis behouden maar niet het R&D er in steken, en dat krijg je dit...
Tja dit is natuurlijk wel inherent aan goedkope IoT apparaten. Het mag niets kosten, want dat is de functie van het ding gewoonweg niet waard. En om het op het prijspunt te krijgen dat mensen het kopen wordt er dus her en der de hoekjes afgesneden.

Veel bedrijven en kickstarters staren zich blind op de goedkope chips die er nu zijn om een IoT apparaat op te zetten. Helaas wordt er maar al te vaak vergeten dat de hardware hierin niet meer de kosten zijn, maar het opzetten van een fatsoenlijke dienst met adequate software en updates is vele malen duurder dan wat electronica en plastic omhulsels in een doos doen.

Ook moet men zich maar eens gaan afvragen wat het nut is van al die IoT apparaten. Een beetje logisch nadenken, zelfreflectie en een programmeerbare thermostaat (die er al sinds jaar en dag zijn) kom je net zo ver als een fancy wifi thermostaat met touchscreen. Kost alleen even wat meer moeite om goed te kijken naar je eigen schema.
Bij de dure apparaten is het niet beter...

Ik heb deursloten van honderden euro's gezien die met §14,- elektronica in een paar seconden te hacken zijn.
Ik betaal met alle liefde liever 200 euro meer aan een nieuwe thermostaat dan dat ik 1 bitcoin zou betalen aan hackers die mijn apparatuur gijzelen
Nu maar hopen dat je ketel niet te veel logische circuits bevat (die ook gecyberlocked worden), moederbord van een ketel vervangen kost ook snel enkele honderden euro's.

En als ze ook de slimme thermostaat knoppen op je verwarmingen er bij hacken. Heb je al snel erm schade boven de §1000,- als je alle moet vervangen.

[Reactie gewijzigd door djwice op 8 augustus 2016 22:09]

Veel succes bij m'n pellet kachel. Sommige dingen moet je gewoon niet digitaal willen doen.
Als iedereen een pellet kachel zou hebben zou het hier erger meuren dan enkele honderden jaren geleden, gezien de bevolkingsgroei.
Mag een niet digitale zonneboiler ook?
Mooi dat Venstar niet binnen 2500 mile van Nederland te koop is, en dat alle websites waar ze te koop zouden zijn, ze niet verkopen (soms 403 zelfs, wellicht regio verbod ;-))
Stel je voor, betaal 10 euro of we stoken alles zo op dat je energierekening hoger gaat worden.
Bijzonder. Ik moet zeggen dat mijn Nefit Easy wel veilig lijkt (dankzij verschillende security keys e.d.), dus ik ben zeer benieuwd of het om de Nest gaat of de Easy, of iets anders.

Kan me wel voorstellen dat een MITM attack mogelijk is d.m.v. een externe APK/IPA o.i.d.
De Nest heeft volgens mij geen SD kaart lezer en de Easy ook niet. Bij deze merken gaat de communicatie ook altijd via de server van de leverancier. Storing op Nefit.nl zorgt ook voor storing met communicatie met de thermostaat.

Ik heb ff gezocht op internet maar een thermostaat zoals deze voldoet aan de specificaties.

http://www.firstalertthermostats.com/features/

Auto radio's hebben mogelijk hetzelfde potentiŽle lek. Deze worden vaak ook via USB sticks geupdate.
De nest heeft wel een USB aansluiting. Ik vermoed dat je hiermee er altijd nog een nieuwe firmware op kunt zetten.

Daarnaast wat staat er nu op zo'n thermostaat. Randsomware levert alleen geld op als er persoonlijke data geencrypteerd wordt. Maar op een thermostaat staat bij iedereen dezelfde firmware. En de afwijkende data zoals WiFi gegevens en account kun je altijd opnieuw invoeren.
En als je er met USB geen firmware meer op kunt zetten dan is er intern misschien nog wel een seriŽle aansluiting waarmee het alsnog kan.

Ook lijkt me het een probleem voor de maker van de thermostaat. Ik kan er niets aan doen als dat ding gegijzeld wordt door een bug in hun software.

[Reactie gewijzigd door Sepio op 8 augustus 2016 14:09]

Ik roep het al een tijdje, maar al die home-automation system (verwarming, verlichting, enz.) die je op afstand kunt bedienen zijn een groot veiligheidsrisico. Om ze eenvoudig in installatie te houden hebben deze geen eigen server ingebouwd (want dan moet je als consument of CV-monteur aan de slag met portforwardings e.d.). maar maken ze allemaal verbinding met een systeem van de fabrikant. Als dat systeem hackt wordt, kan de hacker in half Nederland de verwarming hoger of lager zetten of de verlichting aan- of uitzetten. Hiermee kun je het gas- en elektriciteitsnetwerk behoorlijk frustreren (te veel vraag tegelijk of teveel overschot tegelijk) en daarmee zelfs laten uitvallen.
Jaja, mooie doemscenario's allemaal. Ware het niet dat nooit half Nederland een slimme thermostaat van hetzelfde merk zal hebben. Dat is dusdanig divers dat uitval van gas en elektra niet zal voorkomen. Grootste verbruikers van gas en elektra zijn toch de industrie, die echt geen gebruik maken van een thermostaatje van Nest. Dus die paar gehackte thermostaten zetten geen zoden aan de dijk als je als terrorist heel Nederland plat wil leggen. Dan kun je veel beter gewoon wat hoogspanningsmasten onderuit halen, veel efficienter.
Da's toch handig voor Earth Hour? Heel Nederland even een uurtje in het donker en in de kou door 1 ijverige hacker die het goed bedoelt.. Of heb je geen vertrouwen meer in sociaal betrokken hackers? /sarcasme
Bijzonder, maar viel op zich wel ergens te verwachten natuurlijk.
Ze willen natuurlijk op de meest mogelijke manieren geld "verdienen".

Wel een reden voor mij om nog niet over te gaan op een slimme thermostaat.
Zie zelf ook niet helemaal de toegevoegde waarde hiervan, voor mij is het meer een gadget.

Dit bericht laat wel zien hoe "kwetsbaar" zoiets (nog) is.
Is het niet makkelijk te achterhalen welke thermostaat hier bedoeld wordt. Zijn er zoveel die een SD kaart lezer hebben waarmee je achtergronden kunt veranderen?
Nu is het wachten op ransomware voor de slimme meters, die zometeen verplicht worden.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True