Hardware-hacker verwacht weinig fraude met slimme meter
Of het nu gaat om slimme meters en thermostaten of toetsenborden en muizen, de veiligheid van apparaten met ingebedde systemen laat vaak ernstig te wensen over. Dat liet beveiligingsonderzoeker Travis Goodspeed tijdens de Hack in the Box conferentie in het Amsterdamse Okura Hotel zien. Security.NL sprak met de onderzoeker.
Die legt uit dat de eerste stap voor het hacken van een apparaat begint met de aansluiting. Het kan dan gaan om een 'plug', zodat er een fysieke connectie mogelijk is, of een radioverbinding. Als voorbeeld geeft Goodspeed toetsenborden met en zonder draad.
Vervolgens zijn er twee manieren om het apparaat aan te vallen, namelijk het overnemen van de radio, zodat er met het apparaat te communiceren valt, of het injecteren van de eigen softwarecode, waardoor het gedrag van het apparaat wordt veranderd.
"Het is een beetje een kip en een ei probleem", merkt Goodspeed op. Om de eigen software op een apparaat te installeren moet de onderzoeker eerst een aanval schrijven zonder dat hij van tevoren weet hoe de software op het apparaat precies functioneert.
Updater
Veel van de apparaten die Goodspeed onderzoekt beschikken over Flash ROM, waarin de werking van het apparaat beschreven staat. Daarnaast is er een Mask ROM, waarmee de chip in de fabriek geprogrammeerd wordt. Dit is te vergelijken met een updater waardoor de chip nieuwe software kan ontvangen.
De chip beschikt dus al over een programma dat als functie heeft om de chip te updaten. Een hacker die toegang tot de Mask ROM kan krijgen, kan op die manier zijn software naar Flash ROM sturen. Soms beschikt de ‘updater’ over een wachtwoord, maar ook daar heeft Goodspeed een oplossing voor.
De andere aanvalsmethode bestaat uit het binnendringen van de code waarin de werking van het apparaat beschreven staat, om daar vandaan naar de updater te springen. Op zo'n manier wordt de wachtwoordbeveiliging omzeild en kan de hacker als nog zijn eigen software op het apparaat installeren.
Toetsenbord
In 2010 publiceerde Goodspeed code om Microsoft toetsenborden af te luisteren. Het lek waarvan de code gebruik maakte was al sinds 2007 of 2008 bekend. "Maar de toetsenborden worden nog steeds door Microsoft geleverd. Dat lek verdwijnt pas als de magazijnen leeg zijn."
En dat is een probleem met veel ingebedde systemen, dat ze lastig te updaten zijn, zeker als ze niet op het internet zijn aangesloten. "Als het hardwarematige fouten zijn zitten ze eraan vast." Fouten in bijvoorbeeld een thermostaat of keyboard zijn dan ook permanent laat de onderzoeker weten.
Goodspeed stelt dat het hacken van embedded systemen veel eenvoudiger is dan het hacken van een smartphone of desktop, met name door het gebrek aan beveiligingsmaatregelen. "De beveiliging die bewust aan computers is toegevoegd, hebben embedded systemen alleen per ongeluk."
Hotel
Sommige apparaten maken het daarbij wel heel eenvoudig om gehackt te worden. Goodspeed verbleef eens in een Amerikaans hotel waarbij de chip in de thermostaat het ID van de kamer bevatte. Het hotel begon pas met het verwarmen van de kamer als ze wisten dat die geboekt was. Anders zou het hotel lege kamers voor niets verwarmen.
Door de chip te verwisselen met die van een andere kamer werden ook de verwarmingsprofielen omgewisseld. Daardoor bleef een geboekte kamer onverwarmd, terwijl een lege kamer wel werd verwarmd. "En dat soort trucs vereisen weinig kennis, behalve dat je weet wat de chip doet." Bij dit hotel stond er letterlijk 'room ID' op de chip.
Slimme meters
Bij slimme meters ziet Goodspeed dat er meer aandacht aan de beveiliging is besteed, met name om fraude door klanten van het energiebedrijf te voorkomen. "Maar het is nog steeds elektronica en het zijn nog steeds computers, net als elke telefoon wordt gejailbreakt zul je ook hier als je lang genoeg zoekt fouten vinden."
Wat betreft de toekomst verwacht Goodspeed dat slimme meters zullen worden gehackt, maar dat de impact zal meevallen. "Ik hoop dat het dezelfde omvang zal hebben als de fraude met de Mifare-chips."
Kwetsbare Mifare chips werden onder andere gehackt om te kunnen frauderen met de OV-chipkaart en dat zal zich met de slimme meter herhalen. "Het zal gebeuren, maar het is te kleinschalig om een groot probleem voor de maatschappij te zijn." Wat betreft hacks en misbruik van slimme meters verwacht Goodspeed dat die alleen op fraude gericht zullen zijn.
"Ik ben niet bang dat hackers de elektriciteit van hun buren zullen uitschakelen." En als er toch fouten worden gevonden zullen energiebedrijven de apparaten dankzij hun internetverbinding kunnen updaten, “net als Microsoft met Windows doet”, besluit de onderzoeker.
Met toegang tot een hoop 'slimme meters' kun je echter ook een hele hoop schade aanrichten.
Het is dan misschien iets minder ernstig dan de bedieningscomputer van waterkering hacken, maar bedenk eens wat er mis zal gaan als je complete woonwijken ineens aan/uit/aan/uit/aan/uit gaat schakelen.
Vermoedelijk heb je niet eens heel veel meters nodig om een groot deel van NL plat te leggen en misschien wel een veel groter deel.
Waarschijnlijk in de orde van 10'000 woningen.
Daarnaast is de administratie van energiemaatschappijen al decennia een ramp, dus je hebt niet eens een hack van de meter nodig om een hoop ellende te veroorzaken bij de klant. Een meteropnemer die je af komt sluiten kun je mogelijk nog wel overtuigen met een stapel correspondentie, maar hoe overtuig je een datapakketje door de ether?
Energiemaatschappijen kunnen dat ook prima zelf, maar hacks in de servers van de energiemaatschappij kunnen ook een hoop ellende veroorzaken door wat nummertjes om te draaien, zodat niet jij, maar je buurman afgesloten gaat worden.
Probeer dan maar eens je gelijk te halen, want "het staat zo in het systeem" is altijd al een meer dan uitstekende reden gebleken om vooral niet meer hoeven na te denken.
Het gevaar van slimme meters zit 'm niet alleen in de hackbaarheid van die apparaten zelf. Daarnaast gaan die dingen zo'n 30 jaar mee en hoeveel digitale techniek van 10 jaar geleden zou je nu nog zomaar aan het internet durven hangen? Bedenk dan eens dat je met techniek van tig jaar oud zit te werken, waarvan je met zekerheid kunt zeggen dat elk te besparen dubbeltje ook bespaard is.
Dus prima wanneer het te upgraden is, maar dat zal vast niet heel erg vaak gebeuren. Pas nadat het massaal mis zal zijn gegaan.
Ik neem een produkt af en eens per jaar neem ik of de meteropnemen de standen op.
Ik zie geen noodzaak om dit te veranderen behalve als de energiemaatschappijen van plan zijn om eens fiks te bezuinigen op de meteropnemers.
Stel ik hack mijn meter en voorzie deze van een "rootkit" die 10% van het verbruik niet registreert.
Los of ik die rootkit verborgen kan houden op het apparaat, hoe komt de de spanningsboer daar achter en wie komt dan met het "bewijs" dat ik dat gedaan zou hebben en wat zijn de sancties. Als ik mijn oude meter manipuleer is er toch iemand in mijn pand geweest en ben ik veel eenvoudiger aansprakelijk te stellen. Ik denk dat dat bij remote access toch een heel ander verhaal wordt.
Verder was ik deze zomer in Zweden en daar zijn die meters al gemeengoed. Maken de Zweden zich nou niet veel zorgen of doen wij dat juist wel?
Klinkt leuk, maar wat indien in de toekomst je ''domme'' meter kapot gaat en niet meer wordt ondersteund, waardoor je simpelweg geen keuze meer hebt ? Sta je dan een slimme meter toe, of ga je dan leven zonder stroom ?
Er zijn al lang wettelijke regels opgesteld om te voorkomen dat energie bedrijven non-stop je meterstand uitlezen.
---
Welke gegevens ziet uw netbeheerder wel?
Uw netbeheerder ziet alleen uw meterstanden op de volgende momenten:
- één keer per jaar voor uw jaarafrekening,
- zes keer per jaar (om de twee maanden) voor het verbruik- en kostenoverzicht,
- als u overstapt naar een ander energiebedrijf of als u verhuist,
- incidenteel wanneer dat nodig is voor het beheer of onderhoud van het energienet.
Vaker wordt de slimme meter dus niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven. Wordt uw slimme meter uitgelezen voor noodzakelijk beheer van het energienet? Dan zal uw netbeheerder u hierover informeren volgens de Wet Bescherming Persoonsgegevens.
http://www.consuwijzer.nl/energie/energiemeter/privacy-slimme-meter
---
Dan kun je op een korte afstand (thuis - bewoner) via een laptop of smartphone de live data ophalen voor eigen analyse.
De netbeheerders kunnen dan x keer per jaar een stand opvragen bij de bewoner - geen verandering tov de domme meters.
Het voordeel is wel dat het huidig verbruik minder gemakkelijk is op te picken uit de ether, tenzij je dichtbij (<10 mter) de zender zit, de pin (8 bytes) moet hacken per meter. Bluetooth is niet 100% veilig maar minder gemakkelijk en-mass te hacken.
Het nadeel is wel dat netbeheerders niet continue gedetaileerde gegevens voor handen hebben.
...
Het nadeel is wel dat netbeheerders niet continue gedetaileerde gegevens voor handen hebben.
Zoals dat nu is met slimme TV's en routers...
of: "Inbrekers sluiten stroom af"
Dat is makkelijker dan graven en een kabel doorknippen.
Misbruik hoeft niet altijd IT-gerelateerd te zijn.
Er zijn al lang wettelijke regels opgesteld om te voorkomen dat energie bedrijven non-stop je meterstand uitlezen.
Door zo'n voorbeeld te geven heeft ze moreel geen poot meer om op te staan om anderen te wijzen op de regels. De roep om de regels dan maar te versoepelen want lastig en duur en ziedaar de overheid heeft er zelf ook al lak aan is in dat licht prima te begrijpen. En uiterst schadelijk voor onze zogenaamd vrije en open samenleving.
De enige manier is om gegevens die je niet nodig hebt niet binnen te harken. In casu de meter, die haalt informatie uit jouw huis en stuurt die naar de netwerkbeheerder en stroomleverancier. Dat moet al niet in meerdere mate dan strikt noodzakelijk gebeuren, en dat gebeurt hier wel. Het moet niet eens kunnen, en dat kan, en gebeurt dus, hier wel.
Dan zijn we nog niet begonnen over de breed als "voordeel" aangestipte mogelijkheden van de grote stroombedrijven om die meter commandos te geven om, bijvoorbeeld, de leverantie in te perken of af te sluiten als het elders in het stroomnetwerk even wat minder gaat.
Wat mij betreft blijven we dan ook bij het aloude systeem van één keer per jaar iemand langs laten komen, of als de stroommaatschappij dat liever heeft, de nummertjes zelf invullen op een kaartje of een website. Geeft gelijk een stuk menselijker gezicht aan je grote gezichtsloze bedrijf. Je kan roepen dat mankracht duur is, maar eens per jaar gelijk ook de meter inspecteren vangt een hoop fraude in de dop, die dan niet nog eens apart bestreden hoeft te worden. En dat betaalt de klant uiteindelijk ook.
Bedrijfje spelen is uiteindelijk mensenwerk, en klantrelaties zijn dat ook. Dat alles wegautomatiseren doe je op eigen risico.
Ik heb nog geen contract voor een slimme meter gezien, maar ik kan me voorstellen dat er een standaard clausule in het meest gangbare contract staat waarmee je impliciet toestemming geeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
