image

Hackers ontwikkelen ransomware voor slimme thermostaat

maandag 8 augustus 2016, 09:43 door Redactie, 19 reacties

Ransomware voor computers en smartphones bestaat al geruime tijd, en ook slimme televisies zijn kwetsbaar voor dergelijke malware. Tijdens de Def Con-conferentie in Las Vegas hebben hackers echter de eerste ransomware voor slimme thermostaten gedemonstreerd.

Andrew Tierney en Ken Munro ontdekten in een niet nader genoemde thermostaat een kwetsbaarheid. De thermostaat heeft een groot lcd-scherm en laat gebruikers via een sd-kaart wallpapers en aangepaste configuraties instellen. De thermostaat blijkt de bestanden echter niet te controleren. Hierdoor zou een aanvaller de ransomware in wat lijkt een afbeelding kunnen verbergen. Als de gebruiker vervolgens de afbeelding op zijn thermostaat wil instellen installeert hij eigenlijk de ransomware.

De ransomware van Tierney en Munro vergrendelt de thermostaat, maar de malware zou bijvoorbeeld ook de instellingen kunnen aanpassen en de temperatuur verlagen of verhogen. De onderzoekers erkennen dat de aanval vrij omslachtig is, aangezien mensen zelf de ransomware moeten downloaden en installeren. Aan de andere kant zijn er ook miljoenen Androidgebruikers die door het downloaden van kwaadaardige apps besmet raken.

Door hun demonstratie willen de hackers de risico's van het Internet of Things en slimme apparaten demonstreren. "Je koopt geen Internet of Things-apparatuur. Je nodigt mensen uit op je netwerk en je hebt geen idee wat deze apparaten doen", aldus Tierney. De onderzoekers hadden de thermostaatfabrikant in kwestie nog niet gewaarschuwd. Dat zullen ze vandaag doen, zo meldt Vice Magazine. Munro laat via Twitter weten dat er vandaag ook een blog over de thermostaat-ransomware online zal komen.

Image

Reacties (19)
08-08-2016, 10:27 door Anoniem
Ja, daar kon je op wachten natuurlijk.. Geef ze de mogelijkheid en het gaat gebeuren.
Gelukkig gaat het hier slechts om een slimme thermostaat (nou ja, slim?) en niet om gegijzelde bestanden op een computer die je echt weer nodig hebt. Dus is het niet nodig om aan criminelen geld te gaan betalen.
Gewoon even wat draadjes losknippen en hup, weer een oude vertrouwde draaischijf van Honeywell er in. Klaar.
08-08-2016, 10:40 door Anoniem
IoT, more like Internet of Thieves. Maar ze hebben wel gelijk, de gemiddelde gebruiker heeft geen enkel idee wat hij openzet en/of bloot geeft aan onbekenden.
Daarom is het de taak aan de fabrikant om beveiliging serieus te nemen en alles in het werk te stellen om dit te waarborgen.
08-08-2016, 11:21 door Anoniem
En waarom moet dit ontwikkeld worden, we willen dat niet hebben hoor. Hebben die hackers zich misschien vergist?
08-08-2016, 12:09 door Anoniem
En de slimme energie-meter die al is uitgerold over nederland.
08-08-2016, 12:23 door Rolfieo
Door Anoniem: En waarom moet dit ontwikkeld worden, we willen dat niet hebben hoor. Hebben die hackers zich misschien vergist?
JIJ wilt dit niet. Er zijn er vele die dit juist wel een slimme thermostaat willen hebben. Omdat dit gemakkelijk is.
Waarschijnlijk hangt deze gehackte slimme thermostaat direct aan het Internet, wat nooit slim is. Als het gewoon achter een NAT router zit, dan is er bijna nooit wat aan de hand.
08-08-2016, 12:37 door Anoniem
Door Rolfieo:
Door Anoniem: En waarom moet dit ontwikkeld worden, we willen dat niet hebben hoor. Hebben die hackers zich misschien vergist?
JIJ wilt dit niet. Er zijn er vele die dit juist wel een slimme thermostaat willen hebben. Omdat dit gemakkelijk is.
Waarschijnlijk hangt deze gehackte slimme thermostaat direct aan het Internet, wat nooit slim is. Als het gewoon achter een NAT router zit, dan is er bijna nooit wat aan de hand.
Sinds wanneer beschermd een NAT router tegen malware die je zelf installeerd ?
08-08-2016, 12:44 door SPlid
Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)
08-08-2016, 12:58 door Anoniem
Door SPlid: Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)


Eenvoudig :-)

Ik ga er van uit dat de gebruiker een actieve handeling moet verrichten, net als de hack in het artikel.

Hack: Plaats een brandende kaars onder de thermostaat.

Dit is dus een DoS aanval. Het verschil is dat de meeste mensen deze hack snel herkennen en die hack van die 'slimme' thermostaat niet.
08-08-2016, 13:08 door Spiff has left the building
Door SPlid, 12:44 uur:
Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)
N.B.
Als je ooit een keer moet klussen, kijk dan wel goed uit dat je die kwikschakelaar niet per ongeluk breekt, er zit namelijk een flinke kledder kwik in, flink wat meer kwik dan in een kwikthermometer .
Waarom een kwikschakelaar beslist niet breken? Zie:
http://www.rivm.nl/Onderwerpen/K/Kwik
Toch een ongeluk met kwik?
http://www.rivm.nl/Onderwerpen/K/Kwik/Opruiminstructies
http://www.rivm.nl/Onderwerpen/K/Kwik/Na_het_opruimen
Gelukkig biedt Honeywell tegenwoordig ook kwikvrije no-nonsense thermostaten, zoals de Honeywell Round On/Off, en de Honeywell Round Modulation. Die laatste bevalt mij uitstekend.
08-08-2016, 13:10 door Anoniem
Door Anoniem: En de slimme energie-meter die al is uitgerold over nederland.
Over Nederland uitgerold ja, maar niet bij mij, en de meter komt hier ook niet binnen.
08-08-2016, 13:12 door [Account Verwijderd]
[Verwijderd]
08-08-2016, 13:23 door Anoniem
Door Taxus: weet iemand misschien of ook de slimme energiemeters zijn gehackt?
wil dat graag ens weten..
Eh..ja, dat kan. In 2014 was een mooi artikel hierover geschreven:
http://thehackernews.com/2014/10/hacking-smart-electricity-meters-to-cut.html

En dan is niet de vraag of de code zwakheden heeft, maar ook zoiets als: zit er we; een soft- of hardware firewall op?
08-08-2016, 14:12 door Briolet
Door SPlid: Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)

Simpel: Ik bied een update om de thermostaat nog energiebesparender te maken. De update bestaat uit het met een spijker doorboren van de thermostaat. Je moet die hack zelf installeren, maar dat moet met bovenstaande hack ook.
08-08-2016, 14:47 door [Account Verwijderd]
Input validatie, input validatie, input validatie, input validatie en nog eens input validatie.....

Dit niet doen, in wat voor software of firmware dan ook, is echt ontzettend ouderwets. Always asume exploitability.
08-08-2016, 15:14 door Anoniem
Groot artikel maakt je denkt, hoe je jezelf te garanderen. Dat is de reden waarom wij Cujo bouwen
Daarom bouwen we de Smart Devices Cujo te beschermen tegen internet bedreigingen.
08-08-2016, 15:16 door Eve_Mas
Groot artikel! maakt je denkt, hoe je jezelf te garanderen. Dat is de reden waarom wij Cujo bouwen
Daarom bouwen we de Smart Devices Cujo te beschermen tegen internet bedreigingen.
08-08-2016, 15:46 door Anoniem
1 bitcoin is veel te duur, er gaan immers geen persoonlijke bestanden weg, nieuwe firmware of kastje en het is goedkoper opgelost.
08-08-2016, 22:44 door Anoniem
Door Anoniem:
Door SPlid: Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)


Eenvoudig :-)

Ik ga er van uit dat de gebruiker een actieve handeling moet verrichten, net als de hack in het artikel.

Hack: Plaats een brandende kaars onder de thermostaat.

Dit is dus een DoS aanval. Het verschil is dat de meeste mensen deze hack snel herkennen en die hack van die 'slimme' thermostaat niet.
Beetje omslachtig.
Je loopt naar de thermostaat kapje er af en je geeft een flinke draai aan het stel schroefje voor je het weet heb je 5 graden meer of minder dan je denkt. Daar kom je in de winter pas achter als het best warm is in huis of de ijspegels aan het plafond hangen. Bij de eerste (te heet) heb je waarschijnlijk de hele zomer door gestookt maar dat merk je niet omdat het toch al warm in huis was.
Of een stukje kauwgum achter de kwik schakelaar gaat je kachel nooit meer uit of aan. Je kan ook een knik in het veertje maken natuurlijk etc.

Daarom heb ik een slot gracht om mijn huis 4 meter hoog hek met bewegingssensors camera's 10 bloed honden geen internet alleen een laptop met een Tail live CD om af en toe op security.nl te kijken via een open wifi of een prepay G4 op een wegwerp mifi router.
10-08-2016, 13:35 door Anoniem
Door Briolet:
Door SPlid: Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)

Simpel: Ik bied een update om de thermostaat nog energiebesparender te maken. De update bestaat uit het met een spijker doorboren van de thermostaat. Je moet die hack zelf installeren, maar dat moet met bovenstaande hack ook.

Dat heet een thermostaat vernielen.
Daar komt geen update, hack of install aan te pas.
Totaal niet vergelijkbaar met de extra risico's die het Internet of Things met zich mee brengt.

In de echte (niet virtuele) wereld heeft ook niemand er wat aan om de thermostaat van iemand anders te slopen, en zal dus ook niet of nauwelijks voor komen. Als je dit anoniem via internet kunt doen en losgeld kunt eisen dan wordt het voor bepaalde lieden interessant, en dat is dus het probleem van alles maar aan het internet willen hangen.
Je introduceert extra (en onnodige) kwetsbaarheden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.