INTERNET OF (UN)SECURE THINGS

AGENDA

• Definition

• Växande Område

• Problem

• Sårbarheter och Hot

• Exempel

• Framtid

DEFINITION

“En föreslagen utveckling av Internet, där vardagsföremål har nätverksanslutning, så att de kan skicka och ta emot data.”

- Oxford Dictionary

”Gränssnittet mellan den fysiska och digitala världen som gör att man kan samla in information från- samt kontrollera vardagsföremål.”

- ”Någon som sa det bättre ”

INTERNET OF THINGS ?

1 + 1 = 5 • Nätverk

• Applikation

• Enhet

• Moln

• Internet of Things

Fler IoT enheter = Ökad attackvektor =

Ökad attackyta

Personlig information färdas genom alla

lager

VÄXANDE OMRÅDE

• Gartner tror att antalet enheter 2015 når:

• ~ 4,9 000 000 000 enheter

• År 2020 beräknar Gartner att det kan finnas så mycket som:

• ~ 25 000 000 000 enheter • http://www.gartner.com/newsroom/id/2905717

• Cisco tror på ~ 15 000 000 000 enheter 2015…

• …och ~ 50 000 000 000 enheter år 2020!!! • http://blogs.cisco.com/news/cisco-connections-counter

PROBLEMEN

• Gamla system • Bortglömda ingångar till systemet (MODEM)

• Gammal mjukvara (kända sårbarheter)

• Osäker konfiguration

• Kända användarnamn/lösenord

• Nya System • Time To Market

• Storlek och funktionalitet

• Ska vara billigt

• Väldigt komplext

UPPHANDLING

• Missar i kravställning rörande säkerhet • ”Ej IT system”

• IT endast en liten del

• Svårt att kravställa ”rätt” säkerhet • Inga krav = ingen säkerhet

• Fel krav = ingen eller låg säkerhet

• För höga krav = dyrt

• Många inblandade

• Komplext

• Kräver samarbete

OT - ”EJ IT SYSTEM”

• Har tidigare klassats som drift • IT säkerhetskraven gäller inte

• Security vs Safety

• Safety – övervakar tillstånd i system

• Security – övervakar förändringar i system

• Olika standarder ISO 27000 vs ISO13849

• Problem uppstår när.. • ..kopplas mot Kontorsnätverk

• ..kopplas mot Internet

Har inget med IT

att göra

Rör inte mitt

drift system

SÅRBARHETER I ICS-SYSTEM

• Post Stuxnet…

https://www.scadahacker.com/

ICS-ANGREPP

• Worldwide SCADA attacks increase: • 91,676 in January 2012

• 163,228 in January 2013

• 675,186 in January 2014

• Inget rapporteringskrav vid intrång.

https://software.dell.com/docs/2015-dell-security-

annual-threat-report-white-paper-15657.pdf

IOT-ANGREPP

• Dåligt med rapporter än så länge

• Attacker mot hushållsprodukter ökar

• Thingbots attackerar kylskåp, brödrostar mm

• Proofpoint rapporterade

• Thingbots skickade 750 000 phishing och Spam (2013)

• ~100 000 enheter deltog i botnätet

http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799

MALWARE

• SCADA • Stuxnet – Mask

• Havex/Dragonfly – Remote Access Trojan för ICS

• Black energy – APT Malware riktat mot ICS

• Övriga Internet of Things • Thingbots

• Mayday – DDoS / Bakdörr

• SSHB – Enkel bakdörr

• DARLLOZ – Mask. Attackerar bl a säkerhetskameror

BIOGASPUMPAR

• Kopplade mot internet

• Admin gränssnittet tillgängligt

• S7comm gränssnittet tillgängligt

• Användarnamn och lösenord i HTML källkoden

/*the following code checkes whether the entered userid and password are matching*/

if(form.userid.value == "aga" && form.pswrd.value == "1234")

{ window.open('index2.html')/*opens the target page while Id & password matches*/ }

http://www.nixon-security.se/advisories

TRAFIKLJUS

• Inspirerad av filmer ville Cesar testa att hacka trafikljus

• “Regarding one of the vulnerabilities, the vendor said that the devices were designed that way on purpose”

• “Regarding another vulnerability, the vendor said that it's already fixed on newer versions. But, you need to get a new device and replace the old”

http://blog.ioactive.com/2014/04/hacking-us-and-uk-

australia-france-etc.html

BABY MONITOR

Rapid 7 rapport

• Barnövervakningsutrustning är det mest personliga man kan tänka sig

• Många jobbar hemifrån när de har småbarn

• “The web site ibabycloud.com has a vulnerability by which any authenticated user to the ibabycloud.com service is able to view camera details for any other user, including video recording details, due to a direct object reference vulnerability. ”

https://www.rapid7.com/resources/iot/index.jsp

LÖSNINGEN?!?

Det finns inte någon patentlösning som funkar för allt

• Förstå de olika attackytorna

• Undvik de vanligaste misstagen under utveckling

• Testa varje yta för de största svagheterna

• Använd teknologin på ett säkert sätt

• OWASP – IoT Top Ten Project

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=Main

FRAMTIDEN

• Område på uppgång

• Finns stora problemområden

• Säkerhetsinitiativ på gång

• Fokus på IT-säkerhet

• “Dela upp elefanten”

• IoT är inte ETT system

PATRICK KALL

Kontaktuppgifter: @swewiz

Patrick.kall@telenor.se

Frågestund