De laatste paar maanden hebben hackers duidelijk laten zien dat het hun (wederom) weinig moeite kost om nieuwe technologieën binnen te dringen. Zelfs de problemen die we dachten onder controle te hebben worden eenvoudig blootgelegd.
We bekijken twee specifieke problemen die recent aan het licht zijn gekomen. Hackers plegen aanvallen op embedded devices zoals betaalautomaten in supermarkten. De computergestuurde kassasystemen die gebruikt worden bij het afrekenen van een boodschap met de creditcard zijn erg populair. En ook de recent gepubliceerde gevaren van USB-apparaten baren zorgen. De problemen zijn niet met elkaar te vergelijken, maar zijn wel symptomen van één probleem.
Aanvallen
Eind 2013 was de Amerikaanse winkelketen Target het slachtoffer van een grote aanval op de betaalautomaten van het bedrijf. Hackers slaagde erin firmware te plaatsen in de pinautomaten, die de accountgegevens van de creditcardeigenaar kon kopiëren. De malware had toegang tot het interne computergeheugen van de machine en de bruikbare informatie werd via de netwerkverbinding naar de hackers verstuurd. Het ergste is nog dat achteraf is gebleken dat de firmware helemaal geen ingewikkelde software bevatte en de aanval voorkomen had kunnen worden.
De aanvallen via USB-sticks hebben een heel andere manier van werken. Daar wordt niet het besturingssysteem aangevallen maar kunnen er van binnenuit verschillende devices bediend worden. De stick wordt omgebouwd naar een Bad-USB. In de stick wordt dan een SCSI (Small Computer System Interface) ingebouwd waarmee de harde schijf en hardware van een computer of laptop gekoppeld kan worden aan externe servers. Er is vooralsnog niemand betrapt op het gebruik van een Bad-USB, maar hun aanwezigheid is onvermijdelijk.
Ondanks dat de twee voorbeelden op technisch gebied weinig met elkaar te maken hebben, baart het me veel zorgen dat we in beide gevallen falen de veiligheidslessen die allang bekend zijn toe te passen.
Kennis delen
In het geval van de betaalautomaten is het onverteerbaar dat leveranciers van deze kritieke infra achterlopen. In het verleden hebben we kennis opgedaan hoe de desktops en besturingssystemen moeten worden beveiligd, daar moet iedereen mee bekend zijn. Op zijn minst moet de administratieve accounts op dergelijke betaalautomaten beter gecontroleerd en vergrendeld worden.
De BadUSB-kwetsbaarheid mag dan minder kritisch zijn, maar ook hier zijn basale securitylessen genegeerd. Wie heeft er in hemelsnaam gedacht dat het een goed idee zou zijn dat een I/O-bus in staat zou moeten zijn om zijn eigen type device te wijzigen? Zo wordt een opslagmedium plots een toetsenbord waarmee via commando's het hostsysteem kan worden overgenomen. Zo'n zwakte zou toch al jaren geleden moeten zijn ontdekt tijdens een review van de USB architectuur?
Kat-en-muisspel
We geven door de slechte beveiliging waar we zelf verantwoordelijk voor zijn de hackers de mogelijkheid zwakke plekken aan te vallen die we zelf weer moeten oplossen. Zonder goede softwarebeveiliging wordt het een kat-en-muisspel waarin wij continu moeten reageren.
Alleen als we van onze fouten leren kunnen we nieuwe technologieën ontwikkelen waarmee we de hackers één stap voor kunnen zijn. Want waar we nu mee bezig zijn, slaat helemaal nergens op. En dan verdrinkt telkens het kalf.
De presentatie van de BadUSB-zwakte door Karsten Nohl.
Reageer
Preview