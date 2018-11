Om veilig te blijven in een wereld vol internetverbonden sensoren, moeten we de telemetrie die daarvan afkomstig is kunnen vertrouwen. Wat als tussen de honderden terabytes aan data die je IoT-apparaten genereren aanvallers malafide gegevens injecteren om je bedrijfsvoering te saboteren, schade aan apparatuur te veroorzaken of zelfs fysieke veiligheid in gevaar te brengen?

Botnetten en manipulatie

Afhankelijk van welke analist je wilt geloven, hebben we in de komende jaren twintig miljard tot zelfs honderd miljard internetverbonden apparaten binnen enkele jaren. In de tussentijd is IoT-beveiliging achtergebleven, terwijl IoT-malware steeds geavanceerder wordt. Botnet Mirai was een eerste aanzet. Het bestond uit tienduizenden onbeveiligde printers, camera's, routers en babyfoons die samen een DDoS-aanval uitvoerden op DNS-servers van Dyn en daarmee was de botnetaanval voelbaar bij onder meer grote nieuwssites, Netflix en Spotify.

Voor een terugblik op de ellende bij Dyn hadden we eerder een interview met Dyn-chef Kyle York: Wat is er veranderd één jaar na de Dyn-aanval?

Inmiddels wordt dergelijke malware geavanceerder en richten varianten zich op van alles van het minen van cryptovaluta, het verzenden van malware of het uitvoeren van DDoS-aanvallen, en nieuwe varianten die zich op meer richten dan enkel apparaten met standaardwachtwoorden maar ook op zwakheden in software die worden benut met exploits duiken steeds vaker op en vormen een nog veel groter probleem dan Mirai al was.

Wat als in plaats van apparaten overnemen, aanvallers op iets geniepigers overstappen en gegevens die worden gegenereerd manipuleren? Gartner verwachtte eerder een zwarte markt ter waarde van zo'n 4,5 miljard euro in 2020 die gewijd is aan het verkopen van valse sensor- en videodata om criminele activiteiten te ontplooien. "Een zwarte markt voor gecompromitteerde data betekent dat gegevens kunnen worden vervangen met onnauwkeurige of bewust aangepaste data", zei Gartner-directeur en hoofdanalist Ted Friedman destijds. Zo'n markt is er nog niet en hoewel meerdere beveiligers die we spraken het eens zijn met Gartners voorspelling dat deze markt onvermijdelijk is, denken ze dat Gartner die hoek zo agressief instak om mensen tijdig te waarschuwen.

Effecten variëren

Dat er ondertussen nog geen criminele interesse is geweest op dit gebied, betekent niet dat het risico niet aanwezig is. Beveiligingsonderzoekers vinden geregeld nieuwe kwetsbaarheden, fouten en zwaktes in IoT-apparaten - inclusief aanvallen waar valse of gemanipuleerde data wordt gebruikt - en er is tenminste één aanval met nepdata in het wild opgemerkt.

De effecten van een Man-in-the-Middle-aanval of Fake Data Injection kunnen erg variëren afhankelijk van de grootte en het bereik van de sector die bediend worden door deze apparaten. In de gezondheidszorg kunnen bijvoorbeeld fitnesstrackers worden gemanipuleerd met een impact op de verzekeringskosten. Een extremer voorbeeld gaat over apparaten waarbij data wordt gemanipuleerd om patiënten verkeerde behandelingen of doses te geven. Vorig jaar werden 400.000 pacemakers teruggetrokken voor een firmware-update, omdat door diverse kwetsbaarheden aanvallers 'ongeschikte pacing' konden toepassen op hartpatiënten.

In de olie- en gasindustrie, waar voorspellend onderhoud een grote use case is voor IoT, kan het morrelen met sensoren ervoor zorgen dat kostbare apparatuur faalt. In een fabrieksomgeving zou de manipulatie van sensoren die gebruikt worden voor automatisering kunnen leiden tot desynchronisatie van de processen rond de lopende band, bottlenecks veroorzaken of chemische processen ontregelen, allemaal met defecte producten als gevolg.

Destabilisatie en paniek

Recent onderzoek van IBM naar smart city-infrastructuur ontdektte enkele zero day-kwetsbaarheden die gevaarlijke situaties kunnen opleveren. "Aanvallers kunnen waterniveausensoren manipuleren om een respons te geven op wateroverlast in een gebied waar alles normaal is - wat leidt tot onnodige evacuaties, paniek en destabilisatie", schreef IBM's hoofdonderzoeker Daniel Crowley in het rapport.

"Het manipuleren van aanvullende systemen zou een aanvaller de mogelijkheid geven om gebouwalarmen af te laten gaan of audio-sensoren laten denken dat er een schietpartij plaatsvindt, waardoor paniek sneller om zich heen slaat. Dergelijke manipulatie van sensordata in een agricultuuromgeving kan leiden tot gewasverlies, een specifieke kweker op de korrel nemen of zelfs een gehele regio."

Een praktijkvoorbeeld komt van nepsensordata in de scheepvaart. In het afgelopen jaar zijn meer dan twintig schepen in de Zwarte Zee het slachtoffer geworden van GPS-spoofing. Normaal gesproken is GPS tot op enkele meters nauwkeurig, maar koersen werden gewijzigd tot 25 zeemijlen van de daadwerkelijke locatie.

Machine learning leert verkeerde lessen

In minder catastrofale voorbeelden zijn machine learning-modellen kwetsbaar voor nepdata omdat ze trainen op de data die ze ontvangen. Met legitieme datasets is het al lastig om bijvoorbeeld racisme of seksisme uit de algoritmes te weren, maar met gemanipuleerde datasets treden nog grotere problemen op. Onderzoekers kijken al naar manieren waarop aanvallers machine learning-modellen en neurale netwerken compromitteren en de data vervuilen voordat het systeem effectief kan worden.

In de toekomst wordt het alleen maar belangrijker om ervoor te zorgen dat data geverifieerd en betrouwbaar is, omdat netwerken groeien en IoT-gegevens delen met netwerken van partners, of als er publieke datastreams worden gebouwd. Die betrouwbaarheid is dan een eis omdat anders het vertrouwen in de organisatie als sneeuw voor de zon kan verdwijnen. "Met meer delen onderling groeit de kans dat nepdata via de operaties van een andere partij worden ingebracht", aldus Gartners Friedman. "Kwaliteitscontroles rond sensordata worden daarom veel belangrijker in de toekomst."

Twee uitersten

Omdat IoT-datastromen op veel verschillende manieren te vervuilen zijn, is er een groot aanvaloppervlak. Het direct aanvallen van sensoren is de minst schaalbare aanvalsmethode, maar het is ook het moeilijkst op te merken en op te reageren. Aan de andere kant is het aanvallen van gecentraliseerde dataopslag de meest schaalbare aanvalsmethode en ze zijn daarmee een waardevol doelwit, maar het is ook moeilijker om dat uit te voeren en relatief eenvoudig om er tegen te beveiligen. Tussen deze twee uitersten heb je methodes als groepen apparaten aanvallen om diens data te wijzigen, het toevoegen van eigen apparaten of spoofen van datastreams, of door edgesystemen die de gegevens verwerken aan te vallen.

Yasser Shoukry, assisterend professor aan de University of Maryland, heeft verschillende presentaties gegeven om te kijken naar manieren om IoT-netwerken aan te vallen. "Sensoren zijn een zwakke plek in het systeem en je kunt ofwel informatie corrumperen of sensoren toevoegen die niet bestaan op het daadwerkelijke netwerk", legt hij uit. "Het is een erg moeilijk probleem. We hebben niet genoeg redundantie en met te weinig redundantie wordt een aanval op een beperkt aantal sensoren effectief genoeg om alle informatie die uit deze sector van het netwerk komt onbetrouwbaar te maken."

Hij heeft een hele reeks aanvallen geanalyseerd, van het aanpassen van een automatisch remsysteem met een elektromagnetische acutator en het in de war brengen van de gyroscopen van drones, tot het aanvallen van vehicle-to-infrastructure systemen waarmee hij het aantal auto's op de weg kan spoofen en virtuele files kan creëren met niet bestaande weggebruikers. "Je kunt de autoweg van een smart city danig in de war brengen met gemanipuleerde sensortelemetrie." Verder keek hij naar manieren om het lichtnet te manipuleren. "Het net wordt gestabiliseerd met behulp van sensorinformatie en als die data niet klopt, kun je het hele net instabiel maken en een black-out veroorzaken", aldus Shoukry.

Kritieke infra

Industrial Control Systems (ICS) zijn vaak onvoldoende beveiligd. Een recent onderzoek van Tren Micro merkte duizenden systemen van energie- en watervoorzieningen die online waren te benaderen. Dit is een reëel probleem, omdat malware als TRITON zich specifiek richt op ICS en is ontworpen om beveiligingsinstellingen aan te passen.

Directe aanvallen op sensoren opmerken is erg lastig en ze laten weinig sporen na van sabotage. Zo ontdekten onderzoekers van de University of Michigan vorig jaar een manier om versnellingsmeters aan te vallen met geluidsgolven. Op grotere schaal bekeken merkte een onderzoek van Kaspersky op dat bijna de helft van industriële bedrijven een aanval op diens ICS-apparaten niet zou kunnen detecteren.

"We hebben op dit moment nog geen standaard omarmd van hoe sensoren data opvangen", zegt beveiligingsdeskundige Bharat Mistry van Trend Micro. "Sommige leveranciers gebruiken versleuteling tussen de sensor en server, maar de data zelf wordt niet digitaal getekend, waardoor het makkelijk is om data van een set senoren op te pikken en vervolgens door te geven alsof het van een andere set sensoren afkomstig is."

Hoe detecteer je manipulatie?

Gezien het enorme volume data is het niet waarschijnlijk dat een mens de manipulatie van gegevens opmerkt, tenzij het een grote en onverwachte piek in de statistieken oplevert en een machine zal simpelweg verwerken wat er aan gegevens doorgegeven wordt. De ongestructureerde data is een ander element waardoor manipulatie lastiger op te merken is. Door meerdere sensoren aan te vallen en deze soortgelijke informatie door te laten geven, lijkt het geloofwaardiger, zelfs als de set niet overeenkomt met de data van andere sensoren. "Dit is een erg lastig probleem, vooral als de aangevallen data samen wordt verwerkt", weet Shoukry. "Tenzij je gegevens van verschillende combinaties met elkaar kunt kruisen ter controle, is zo'n aanval wellicht niet op te merken."

Een aanval vanuit een vijandige overheid - zoals we in de praktijk al zagen in 2015 met de aanval op de energievoorziening van Oekraïne of eerder met de Stuxnet-aanval op een Iraanse kernfabriek - ligt het meest voor de hand, maar Mistry zegt dat je ook afpersing kunt verwachten. "Criminelen kunnen FUD introduceren en zeggen: 'Je data is corrupt, maar we vertellen je niet welke. Betaal ons en we laten je zien wat en hoe er is gewijzigd.'"

"Als criminelen data beginnen te wijzigen maar organisaties niet vertellen wat er is veranderd, moet je jezelf afvragen wat je nog kunt doen", zegt Mistry. "Je weet niet hoe lang de gegevens al onbetrouwbaar zijn, welke data is gesaboteerd of hoeveel van je product je wilt terugroepen. Ik zie voor me dat er heel veel organisaties bereid zullen zijn om te achterhalen welke sensoren precies wanneer onbetrouwbaar waren om te zien of ze kunnen herstellen."

IoT-security verbetert

Er zijn maar weinig IoT-aanvallen met nepdata bekend, maar er is bepaald geen tekort geweest aan aanvallen op normale onbeveiligde apparaten. Zowel fabrikanten als de bedrijven die ze uitrollen zouden moeten kijken naar het verleden om hun IoT-beveiliging te verbeteren.

Aan de consumentenkant blijft security van IoT beneden de maat, maar het lijkt erop dat bedrijven de issues serieuzer nemen. Onderzoek van 451 Research wees uit dat meer dan de helft van bedrijven die IoT-projecten uitrollen beveiliging de allerhoogste prioriteit geven en het jaarlijkse Ponemon Global Encryption Trends Study gaf dit jaar aan dat 49 procent van bedrijven gedeeltelijk of zelfs uitgebreide encryptie toepassen op IoT-data van IoT-apparaten.

"Veel bedrijven maken zich zorgen over da apparaten, maar zien de dataverplaatsende diensten eromheen en de repositories waar het wordt verwerkt over het hoofd", weet Trend Micro's Mistry. "Je hebt controlemechanismen nodig om ervoor te zorgen dat de data die je gebruikt gevalideerd is en dat je een auditspoor hebt van de sensor tot aan de plaats van opslag."

Concrete adviezen

Preventieve stappen die je kunt nemen om de IoT-data zo goed mogelijk te beveiligen is het versleutelen van data, zowel opgeslagen als verkeersdata, hashen en timestampen van gegevens, en het aanmaken van een digitale handtekenening bij elke record die wordt aangemaakt. Volgens Mistry moeten we IoT-data op dezelfde manier behandelen als hoe we omgaan met betaalgegevens of zorgdata.

Qua detectie om aanvallen op te merken adviseert hij dat je een duidelijke baseline vaststelt waardoor afwijkingen sneller kunnen worden opgemerkt. Als het enigszins mogelijk is, zou het het beste zijn om een voorspellend model te hebben die je kunt vergelijken met daadwerkelijke resultaten om discrepanties te melden. "Vanwege de hoeveelheid gegevens die worden verwerkt, heb je overzicht nodig. Je hebt dus een set algoritmes nodig die een oogje in het zeil houden bij de machine learning-algoritmes."