image

IBM: crimineel kan door versturen van Raspberry Pi bedrijf aanvallen

donderdag 8 augustus 2019, 09:46 door Redactie, 17 reacties
Laatst bijgewerkt: 08-08-2019, 13:56

Criminelen kunnen wifi-netwerken van bedrijven aanvallen door een Raspberry Pi of andere single board computer via de post naar hen toe te sturen, zo waarschuwt IBM in een blogposting. De aanvallen zouden zowel gericht tegen de netwerken als hun gebruikers kunnen zijn.

In het verleden hebben zich verschillende voorbeelden voorgedaan waarbij aanvallers het op het wifi-netwerk van een organisatie hadden voorzien. Vorig jaar werd bekend dat de MIVD een aanval had verstoord die tegen het draadloze netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag was gericht. In 2007 werden via een onbeveiligd wifi-netwerk 94 miljoen creditcardgegevens bij winkelketen TJX gestolen.

In beide gevallen waren de aanvallers in de buurt van hun doelwit. Door een minicomputer per post te versturen is dat niet meer nodig, aldus IBM. Een minicomputer met accu en 3G-verbinding maakt het mogelijk om op afstand dergelijke wifi-aanvallen uit te voeren. Zo kan er worden geprobeerd om het wachtwoord van het wifi-netwerk te kraken of een kwaadaardig wifi-netwerk op te zetten waarmee medewerkers van de betreffende organisatie verbinding maken. Op deze manier kunnen ook inloggegevens worden verkregen.

Zodra de aanvaller toegang tot het wifi-netwerk van de aangevallen organisatie heeft kan die proberen om andere systemen aan te vallen. Om dergelijke aanvallen te voorkomen adviseert IBM om medewerkers geen persoonlijke post naar het kantoor te laten sturen, pakketjes net zo te behandelen als bezoekers, inkomende pakketten te controleren en personeel te onderwijzen om alleen met vertrouwde wifi-netwerken verbinding te maken. Tevens raadt IBM aan om in bedrijfsomgevingen geen preshared keys te gebruiken en dat de signaalsterkte van het wifi-netwerk niet als beveiligingsmaatregel moet worden gezien.

Update

De aanval die IBM demonstreert is niet nieuw. Zes jaar geleden in 2013 demonstreerden onderzoekers David Maynor en Robert Graham al een soortgelijke aanval waarbij ze een telefoon gebruikten. Een jaar later in 2014 kwam onderzoeker Larry Pesce op het idee om een Raspberry Pi per post te versturen.

Image

Reacties (17)
08-08-2019, 09:57 door Anoniem
De aard van wifi zorgt ervoor dat de wereld bij je signaal kan. Als je dat probeert te voorkomen door pakketjes bij de voordeur te weigeren heb je al een serie fouten gemaakt en verkeerde aannames gedaan. Dat gaat je dan niet meer redden.
08-08-2019, 10:22 door Anoniem
Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.
08-08-2019, 10:29 door Anoniem
Mer een compacte smartphone met 4G kan je nog veel "leukere" dingen doen.
08-08-2019, 10:51 door Anoniem
Je moet toch wel een flinke accu mee sturen om een Raspberry Pi langer dan een paar uur te laten werken.
Echter inderdaad, WiFi toegang tot een LAN dat moet je gewoon niet doen. Maak gerust een WiFi netwerk maar
hang het aan internet, en laat je medewerkers er op inloggen alsof ze thuis zitten (met 2nd factor authenticatie en zo).
08-08-2019, 11:01 door Anoniem
Een minicomputer per post versturen? Dat gaat een dure grap worden. (Ja, ik word oud.)

https://nl.wikipedia.org/wiki/Minicomputer
08-08-2019, 11:23 door Anoniem
Door Anoniem: De aard van wifi zorgt ervoor dat de wereld bij je signaal kan. Als je dat probeert te voorkomen door pakketjes bij de voordeur te weigeren heb je al een serie fouten gemaakt en verkeerde aannames gedaan. Dat gaat je dan niet meer redden.
Het heeft een hoog Mr. Robot gehalte, maar het is wel degelijk een legitieme aanvalsvector, vooral bij sterk afgeschermde instellingen. Op deze manier kan je nl. geofencing teniet doen. Het nieuwsartikel is voor dat soort instellingen vooral behulpzaam in bewustwording, om aan te geven dat er andere manieren zijn dan mensen en drone's waarmee dit soort apparatuur naar binnen gesmokkeld kan worden.
08-08-2019, 12:05 door Anoniem
Door Anoniem: Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.

Als mensen dit na proberen te doen met een Raspberry Pi, blijkt dat het niet werkt, omdat de accu leeg is voordat het pakketje bij de ontvanger is. ;-)

Peter
08-08-2019, 12:05 door Anoniem
Dan maar hopen dat je doelwit geen PostNL gebruikt. Dan is de accu leeg voordat het pakketje is aangekomen :-)

Om iets minder in de gaten te lopen zou ik het wel inbouwen in een leuke gift set. Liefst iets wat men op kantoor bewaart en niet mee naar huis wil nemen.
08-08-2019, 12:31 door Anoniem
Het geheel onderbrengen in de behuizing van een flinke powerbank waar je 4 van de 10 parallelle accucellen hebt verwijderd zodat er genoeg ruimte is voor de Raspberry Pi en de 3G module, maakt het een perfect trojaans paard. De powerbank blijft gewoon werken, zij het met een iets mindere capaciteit dan aangegeven en de kans is groot dat iemand 'm zelfs netjes aan de (bijgeleverde) lader zal hangen wanneer deze leeg is. Voeg voor optimale kans op werkelijk gebruik in de verpakking ook nog laadkabeltjes toe voor iPhone en Android smartphones.
08-08-2019, 13:20 door SPer
Door Anoniem: Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.
precies wat ik dacht, bij opervlakkig lezen zou je kunnen denken dat dit komt door de Raspberry Pi, dit lukt natuurlijk ook prima met andere SOC's of non-SOC's .
08-08-2019, 13:36 door Anoniem
Door Anoniem: Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.
IBM noemt geen specifieke modellen. Op de foto staat een Raspberry Pi Zero. De redactie van security.nl heeft het over "een Raspberry Pi of andere single board computer". Ze vullen zelf de RPi in, wie weet omdat ze hem ook op de foto herkend hebben, wie weet omdat het domweg de bekendste en makkelijkst te verkrijgen serie SBC's is. Hoe dan ook, ze claimen niet dat het alleen maar met een RPi kan.
08-08-2019, 17:44 door Anoniem
Een magnetron doet wonderen.
08-08-2019, 18:41 door SPer
Door Anoniem:
Door Anoniem: Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.
IBM noemt geen specifieke modellen. Op de foto staat een Raspberry Pi Zero. De redactie van security.nl heeft het over "een Raspberry Pi of andere single board computer". Ze vullen zelf de RPi in, wie weet omdat ze hem ook op de foto herkend hebben, wie weet omdat het domweg de bekendste en makkelijkst te verkrijgen serie SBC's is. Hoe dan ook, ze claimen niet dat het alleen maar met een RPi kan.

alleen dan beetje jammer van de kop toch?:
IBM: crimineel kan door versturen van Raspberry Pi bedrijf aanvallen
08-08-2019, 19:00 door Anoniem
Een Raspberry Pi... dat is voor watjes.
Je bent pas een baas als je dit met een ESP8266 doet.
08-08-2019, 21:44 door Anoniem
crimineel kan door versturen van handgranaat een bedrijf aanvallen
09-08-2019, 08:42 door Anoniem
Door SPer:
Door Anoniem:
Door Anoniem: Wat is de achterliggende gedachte om specifiek een Raspberry Pi te noemen? Dit kan ook met een gemodificeerde telefoon of een ander energiezuinig processorbordje.
IBM noemt geen specifieke modellen. Op de foto staat een Raspberry Pi Zero. De redactie van security.nl heeft het over "een Raspberry Pi of andere single board computer". Ze vullen zelf de RPi in, wie weet omdat ze hem ook op de foto herkend hebben, wie weet omdat het domweg de bekendste en makkelijkst te verkrijgen serie SBC's is. Hoe dan ook, ze claimen niet dat het alleen maar met een RPi kan.

alleen dan beetje jammer van de kop toch?:
IBM: crimineel kan door versturen van Raspberry Pi bedrijf aanvallen

Dat noemen ze dan clickbait.
09-08-2019, 10:30 door Anoniem
Door Anoniem: crimineel kan door versturen van handgranaat een bedrijf aanvallen
Precies. Dat is een beetje wat er mankeert in veel discussies over "veiligheid van IT systemen".
Er wordt te vaak gedacht dat je tegen alles bestand moet zijn en daardoor wordt de wereld op een hoop kosten en
ellende gejaagd. Echter 100% goed tegen saboteurs en vandalen krijg je het toch niet.

Waarom moet mijn systeem voortdurend met de handrem erop rijden om te wapenen tegen een of ander puur theoretisch
lek zoals die de laatste tijd populair zijn bij de academici (van de categorie Spectre)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.