Hackers ontwikkelen ransomware voor slimme thermostaat
Ransomware voor computers en smartphones bestaat al geruime tijd, en ook slimme televisies zijn kwetsbaar voor dergelijke malware. Tijdens de Def Con-conferentie in Las Vegas hebben hackers echter de eerste ransomware voor slimme thermostaten gedemonstreerd.
Andrew Tierney en Ken Munro ontdekten in een niet nader genoemde thermostaat een kwetsbaarheid. De thermostaat heeft een groot lcd-scherm en laat gebruikers via een sd-kaart wallpapers en aangepaste configuraties instellen. De thermostaat blijkt de bestanden echter niet te controleren. Hierdoor zou een aanvaller de ransomware in wat lijkt een afbeelding kunnen verbergen. Als de gebruiker vervolgens de afbeelding op zijn thermostaat wil instellen installeert hij eigenlijk de ransomware.
De ransomware van Tierney en Munro vergrendelt de thermostaat, maar de malware zou bijvoorbeeld ook de instellingen kunnen aanpassen en de temperatuur verlagen of verhogen. De onderzoekers erkennen dat de aanval vrij omslachtig is, aangezien mensen zelf de ransomware moeten downloaden en installeren. Aan de andere kant zijn er ook miljoenen Androidgebruikers die door het downloaden van kwaadaardige apps besmet raken.
Door hun demonstratie willen de hackers de risico's van het Internet of Things en slimme apparaten demonstreren. "Je koopt geen Internet of Things-apparatuur. Je nodigt mensen uit op je netwerk en je hebt geen idee wat deze apparaten doen", aldus Tierney. De onderzoekers hadden de thermostaatfabrikant in kwestie nog niet gewaarschuwd. Dat zullen ze vandaag doen, zo meldt Vice Magazine. Munro laat via Twitter weten dat er vandaag ook een blog over de thermostaat-ransomware online zal komen.
Gelukkig gaat het hier slechts om een slimme thermostaat (nou ja, slim?) en niet om gegijzelde bestanden op een computer die je echt weer nodig hebt. Dus is het niet nodig om aan criminelen geld te gaan betalen.
Gewoon even wat draadjes losknippen en hup, weer een oude vertrouwde draaischijf van Honeywell er in. Klaar.
Daarom is het de taak aan de fabrikant om beveiliging serieus te nemen en alles in het werk te stellen om dit te waarborgen.
Waarschijnlijk hangt deze gehackte slimme thermostaat direct aan het Internet, wat nooit slim is. Als het gewoon achter een NAT router zit, dan is er bijna nooit wat aan de hand.
Waarschijnlijk hangt deze gehackte slimme thermostaat direct aan het Internet, wat nooit slim is. Als het gewoon achter een NAT router zit, dan is er bijna nooit wat aan de hand.
Eenvoudig :-)
Ik ga er van uit dat de gebruiker een actieve handeling moet verrichten, net als de hack in het artikel.
Hack: Plaats een brandende kaars onder de thermostaat.
Dit is dus een DoS aanval. Het verschil is dat de meeste mensen deze hack snel herkennen en die hack van die 'slimme' thermostaat niet.
Kom Maar op, hack mijn honeywell thermostaat met kwikschakelaar maar eens ;-)
Als je ooit een keer moet klussen, kijk dan wel goed uit dat je die kwikschakelaar niet per ongeluk breekt, er zit namelijk een flinke kledder kwik in, flink wat meer kwik dan in een kwikthermometer .
Waarom een kwikschakelaar beslist niet breken? Zie:
http://www.rivm.nl/Onderwerpen/K/Kwik
Toch een ongeluk met kwik?
http://www.rivm.nl/Onderwerpen/K/Kwik/Opruiminstructies
http://www.rivm.nl/Onderwerpen/K/Kwik/Na_het_opruimen
Gelukkig biedt Honeywell tegenwoordig ook kwikvrije no-nonsense thermostaten, zoals de Honeywell Round On/Off, en de Honeywell Round Modulation. Die laatste bevalt mij uitstekend.
wil dat graag ens weten..
http://thehackernews.com/2014/10/hacking-smart-electricity-meters-to-cut.html
En dan is niet de vraag of de code zwakheden heeft, maar ook zoiets als: zit er we; een soft- of hardware firewall op?
Simpel: Ik bied een update om de thermostaat nog energiebesparender te maken. De update bestaat uit het met een spijker doorboren van de thermostaat. Je moet die hack zelf installeren, maar dat moet met bovenstaande hack ook.
Dit niet doen, in wat voor software of firmware dan ook, is echt ontzettend ouderwets. Always asume exploitability.
Daarom bouwen we de Smart Devices Cujo te beschermen tegen internet bedreigingen.
Daarom bouwen we de Smart Devices Cujo te beschermen tegen internet bedreigingen.
Eenvoudig :-)
Ik ga er van uit dat de gebruiker een actieve handeling moet verrichten, net als de hack in het artikel.
Hack: Plaats een brandende kaars onder de thermostaat.
Dit is dus een DoS aanval. Het verschil is dat de meeste mensen deze hack snel herkennen en die hack van die 'slimme' thermostaat niet.
Je loopt naar de thermostaat kapje er af en je geeft een flinke draai aan het stel schroefje voor je het weet heb je 5 graden meer of minder dan je denkt. Daar kom je in de winter pas achter als het best warm is in huis of de ijspegels aan het plafond hangen. Bij de eerste (te heet) heb je waarschijnlijk de hele zomer door gestookt maar dat merk je niet omdat het toch al warm in huis was.
Of een stukje kauwgum achter de kwik schakelaar gaat je kachel nooit meer uit of aan. Je kan ook een knik in het veertje maken natuurlijk etc.
Daarom heb ik een slot gracht om mijn huis 4 meter hoog hek met bewegingssensors camera's 10 bloed honden geen internet alleen een laptop met een Tail live CD om af en toe op security.nl te kijken via een open wifi of een prepay G4 op een wegwerp mifi router.
Simpel: Ik bied een update om de thermostaat nog energiebesparender te maken. De update bestaat uit het met een spijker doorboren van de thermostaat. Je moet die hack zelf installeren, maar dat moet met bovenstaande hack ook.
Dat heet een thermostaat vernielen.
Daar komt geen update, hack of install aan te pas.
Totaal niet vergelijkbaar met de extra risico's die het Internet of Things met zich mee brengt.
In de echte (niet virtuele) wereld heeft ook niemand er wat aan om de thermostaat van iemand anders te slopen, en zal dus ook niet of nauwelijks voor komen. Als je dit anoniem via internet kunt doen en losgeld kunt eisen dan wordt het voor bepaalde lieden interessant, en dat is dus het probleem van alles maar aan het internet willen hangen.
Je introduceert extra (en onnodige) kwetsbaarheden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
