Over een paar weken zijn alle ogen weer gericht op Black Hat, met Defcon een van de twee grote beveiligingscongressen die elke zomer de securitywereld wakker schudden. Eerder deze week schreven we over onheilspellende hacks om onder meer Active Directory te pwnen, digitale kassa's te beroven en Google Glass te gebruiken om het intoetsen van pincodes te analyseren.
Maar wacht, er is meer. Wat dacht je van een hack om Mobile Device Management zo in te zetten dat MDM een risico is in plaats van een risicobeperking? Of een manier om service-instellingen via mobiele netwerken uit te voeren op smartphones - met alle gevolgen van dien? Nog eens 5 hacks waardoor bij informatiebeveiligers het koud zweet uitbreekt.
1. Zelf OTA-updates pushen naar smartphones
Telecomproviders verbergen een beheercode op mobiele apparaten om services uit te kunnen voeren, maar die code is uit te buiten door kwaadwillenden, melden Accuvant Labs-onderzoekers Mathew Solnik en Marc Blanchou. Ze hebben de code gebruikt om hun eigen over-the-air-communicatie uit te voeren en laten zien hoe dit van invloed is op eindgebruikers.
Alle platforms en veel M2M-communicatie zijn op deze manier kwetsbaar. Ze zijn van plan om tools uit te brengen die in kaart brengen wat de risico's zijn in de beheerprotocollen van GSM/CDMA/LTE-netwerken die gebruikt worden door Android-, iOS- en BlackBerry-apparaten.
2. Botnets via gratis clouds
De cloud kan door ons worden gebruikt, maar natuurlijk ook door cybercriminelen. Rob Ragan en Oscar Salazaris laten zien hoeveel rekenkracht ze optrommelden met de gratis probeerversies van clouddiensten. Ze gebruiken de trail-versies om zo een hoop rekenkracht, opslag en hackomgevingen te bouwen. Daarmee hebben ze een botnet in de cloud gebouwd die niet wordt geblokkeerd door webfilters of wordt overgenomen. Inderdaad verontrustend.
3. Mobile Device Mismanagement
MDM-software is er om mobiele apparaten te beheren en hebben daarmee toegang tot een hoop data. Ironie-alert: Als het MDM-product zelf vatbaar is voor hackers, is het middel om data te beveiligen juist de manier om data te ontvreemden. Onderzoeker Stephen Breen van NTT COM Security laat zien hoe hij MDM-software heeft misbruikt om binnen te komen. Hij deelt de resultaten van een aantal penetratietests op deze software en het verontrustendste: een aantal gaten komen voor in verschillende MDM-producten.
4. Cryptografen hebben liever niet dat je dit weet
Gebaseerd op hun Crypto Challenge-onderzoek, waarbij meer dan 10.000 deelnemers opdrachten uitvoerden om crypto-aanvallen uit te voeren, komen Thomas Ptacek en Alex Balducci van Marasano Security met 48 cryptografische aanvallen die kunnen leiden tot echte kwetsbaarheden in software die daadwerkelijk wordt gebruikt.
Ze hebben tientallen exploits verzameld in talen van X86 assembly tot aan Haskell en met deze informatie hebben ze een website opgetuigd waarin de exploits worden uitgelegd. De 'Rosetta Code' site publiceert crypto-exploits in verschillende programmeertalen, zodat beveiligingsspecialisten in beeld krijgen wat de aanvalsvectoren zijn.
5. Hosts van usb-sticks overnemen
USB-sticks hebben een controller-chip die aangepast kan worden zodat de verbonden host-machines kunnen worden overgenomen. De bekende GSM-hacker Karsten Nohl stelt samen met Jakob Lell, beiden van SRLabs, dat op deze manier data ontvreemd kan worden en er op gebruikers kan worden gespioneerd. Bovendien kunnen deze sticks andere devices spoofen.
Hun presentatie bevat een demonstratie van een splinternieuwe vorm van malware die gebruikmaakt van deze geherprogrammeerde chips. Ze laten zien hoe een systeem volledig gepwnd kan worden met een virus dat niet herkend wordt door huidige defensieve maatregelen. Ook komen ze met betere manieren om USB-sticks te beschermen.
Reageer
Preview