Als een bedrijf zijn veiligheid wil laten doorlichten, ligt een pentest het meest voor de hand. Dan komt er een beveiliger langs met Nessus en Wireshark op z'n laptop die het netwerkverkeer analyseert, en dat levert vaak interessante resultaten op. Maar wat nu als het bedrijf ook smart-tv's, camera-apparatuur of andere hardware in het pand heeft hangen? Dan onderzoekt Jilles Groenendijk - die hardware openschroeft en analyseert - de veiligheid. Hoe hij dat doet, vertelt hij op de Hybride Meet-up Security & Privacy.
Jilles Groenendijk is een pentester, al noemt hij zichzelf liever hardware-hacker. Bedrijven schakelen hem in als ze hardware willen laten testen. Soms gaat het om hardware die ze naar klanten sturen, andere keren om hardware die ze zelf in huis halen en waarvan ze beter willen weten hoe hij werkt voordat hij in gebruik wordt genomen. Denk bijvoorbeeld aan televisieschermen waarop berichten van intranet worden getoond. "Bedrijven willen weten hoe veilig die smart-tv’s zijn en of er geen aanvallen mogelijk zijn via zo’n tv", zegt Groenendijk. Normaliter probeert een pentester met software uit te vinden wat zo'n apparaat het internet op slingert of welke verbindingen er worden gelegd, maar ook aan de hardwarekant is er voor een beveiligingsonderzoeker genoeg te ontdekken. Groenendijk gaat niet alleen met een laptop aan de slag, maar ook met een schroevendraaier en een soldeerbout. "Mensen denken vaak dat een apparaat veilig is omdat het met speciale schroefjes dicht zit. Maar dat is lang niet altijd zo", zegt hij.
Openschroeven
Als Groenendijk voor een klant zo’n tv onderzoekt, maakt hij hem open. "We kijken eerst welke componenten erin zitten. Is er een speciale chip die wordt gebruikt om de tv slim te maken of werkt hij op basis van een standaard Android-systeem?" Groenendijk kijkt naar zaken zoals de printplaat en welke chips erop zitten, en of die chips belangrijke of geheime informatie bevatten. Met de inhoud ervan kunnen potentiële aanvallers wellicht toegang krijgen tot de rest van het netwerk en soms zelfs tot alle met internet verbonden tv’s. Daarbij hoeft het niet eens om een directe aanval te gaan; ze kunnen er ook informatie mee verzamelen die erg nuttig kan zijn voor een latere aanval. Er zijn wat dat betreft veel verschillen tussen iot-apparaten zoals slimme lampen. "Sommige zijn goed beveiligd, maar er zijn genoeg goedkopere modellen op de markt waarbij de kans groot is dat het wachtwoord in plain text wordt opgeslagen. Als je zo’n kapotte lamp in de vuilnisbak gooit, kan een aanvaller hem uitlezen en zo toegang krijgen tot je netwerk."
Zeker bij iot-apparatuur zitten er veel risico's aan hoe ze worden gebruikt. Door bijvoorbeeld naar de gebruikte hardware te kijken, kan Groenendijk onderzoeken of een router op afstand kan worden benaderd door een verborgen serviceaccount. "Met zoekmachines als Shodan kun je uitzoeken wie nog meer zo'n apparaat heeft." Aanvallers hebben in het verleden al misbruik gemaakt van die methode.
Eerste apparaat slopen
Inmiddels gaat Groenendijk uit van een heel proces wanneer hij apparaten van een klant onderzoekt. "Het eerste apparaat slopen we meteen", zegt hij. "We willen bekijken hoe het in elkaar zit. We sluiten er draadjes op aan om informatie uit te lezen en halen desnoods de chips eraf. Daarna gaan we voorzichtiger te werk en halen we ze uit elkaar zonder dat iemand dat kan opmerken. We proberen een aanval uit te voeren met de kennis die we in het eerste traject hebben opgedaan." Tegelijkertijd werkt ook iemand aan de softwarekant, die kwetsbaarheden kan testen met bijvoorbeeld de broncode die uit de chips zijn gehaald. Groenendijk: "Op die manier kun je een apparaat makkelijker hacken dan met alleen software. Criminelen weten dit ook. Wij helpen onze klanten om zich daartegen te wapenen, bijvoorbeeld door het anders inrichten van hun netwerk."
Jilles Groenendijk geeft ook trainingen over hoe hij hardware openmaakt en hackt. Tijdens de Meet-up Security & Privacy geeft hij daar een voorproefje van. Hij vertelt over zijn proces en hoe je zelf kunt beginnen met het openbreken van je iot-apparatuur. Bij deze sessie doe je genoeg inspiratie op om zelf eens langs de kringloop te gaan en thuis met wat hardware te gaan spelen!
Registreer je nu!
Als je enthousiast bent geworden, kun je jezelf hieronder registreren. Als je de meet-up alleen online wil volgen, is dat helemaal gratis. Voor het fysieke evenement betaal je vijftien euro. We maken voor deze meet-up opnieuw gebruik van onze tool EventInsight. Hopelijk tot 6 november!
Kans maken op een gratis ticket?
Wil jij kans maken op een gratis ticket voor de fysieke Meet-up Privacy & Security in het Gooiland-theater in Hilversum? Meld je dan aan via onderstaande poll. We hebben tien gratis tickets beschikbaar.
Kans maken op een gratis ticket voor de fysieke Meet-up?
Algemene voorwaarden acties
- Je Tweakers-account moet voor 27 oktober 2021 zijn geactiveerd.
- Meedoen kan tot en met 1 november, alleen via de poll. Je kunt één keer aan de poll deelnemen.
- Winnaars krijgen uiterlijk 2 november 2021 bericht via e-mail. Niet-winnaars ontvangen geen bericht.
- Winnaars worden at random geselecteerd. Over de uitslag wordt niet gecorrespondeerd.
- Minderjarigen mogen pas meedoen na voorafgaande toestemming van hun ouders of verzorgers.
- Prijzen zijn niet inwisselbaar voor geld of andere goederen.
- Medewerkers van Tweakers zijn uitgesloten van deelname.
- Deelnemers die niet voldoen aan bovengenoemde voorwaarden kunnen worden uitgesloten van deelname.
- Klachten kunnen via klachten@tweakers.net ingediend worden.