internet of unsecure things
TRANSCRIPT
INTERNET OF (UN)SECURE THINGS
AGENDA
• Definition
• Växande Område
• Problem
• Sårbarheter och Hot
• Exempel
• Framtid
DEFINITION
“En föreslagen utveckling av Internet, där vardagsföremål har nätverksanslutning, så att de kan skicka och ta emot data.”
- Oxford Dictionary
”Gränssnittet mellan den fysiska och digitala världen som gör att man kan samla in information från- samt kontrollera vardagsföremål.”
- ”Någon som sa det bättre ”
INTERNET OF THINGS ?
1 + 1 = 5 • Nätverk
• Applikation
• Enhet
• Moln
• Internet of Things
Fler IoT enheter = Ökad attackvektor =
Ökad attackyta
Personlig information färdas genom alla
lager
VÄXANDE OMRÅDE
• Gartner tror att antalet enheter 2015 når:
• ~ 4,9 000 000 000 enheter
• År 2020 beräknar Gartner att det kan finnas så mycket som:
• ~ 25 000 000 000 enheter • http://www.gartner.com/newsroom/id/2905717
• Cisco tror på ~ 15 000 000 000 enheter 2015…
• …och ~ 50 000 000 000 enheter år 2020!!! • http://blogs.cisco.com/news/cisco-connections-counter
PROBLEMEN
• Gamla system • Bortglömda ingångar till systemet (MODEM)
• Gammal mjukvara (kända sårbarheter)
• Osäker konfiguration
• Kända användarnamn/lösenord
• Nya System • Time To Market
• Storlek och funktionalitet
• Ska vara billigt
• Väldigt komplext
UPPHANDLING
• Missar i kravställning rörande säkerhet • ”Ej IT system”
• IT endast en liten del
• Svårt att kravställa ”rätt” säkerhet • Inga krav = ingen säkerhet
• Fel krav = ingen eller låg säkerhet
• För höga krav = dyrt
• Många inblandade
• Komplext
• Kräver samarbete
OT - ”EJ IT SYSTEM”
• Har tidigare klassats som drift • IT säkerhetskraven gäller inte
• Security vs Safety
• Safety – övervakar tillstånd i system
• Security – övervakar förändringar i system
• Olika standarder ISO 27000 vs ISO13849
• Problem uppstår när.. • ..kopplas mot Kontorsnätverk
• ..kopplas mot Internet
Har inget med IT
att göra
Rör inte mitt
drift system
SÅRBARHETER I ICS-SYSTEM
• Post Stuxnet…
https://www.scadahacker.com/
ICS-ANGREPP
• Worldwide SCADA attacks increase: • 91,676 in January 2012
• 163,228 in January 2013
• 675,186 in January 2014
• Inget rapporteringskrav vid intrång.
https://software.dell.com/docs/2015-dell-security-
annual-threat-report-white-paper-15657.pdf
IOT-ANGREPP
• Dåligt med rapporter än så länge
• Attacker mot hushållsprodukter ökar
• Thingbots attackerar kylskåp, brödrostar mm
• Proofpoint rapporterade
• Thingbots skickade 750 000 phishing och Spam (2013)
• ~100 000 enheter deltog i botnätet
http://investors.proofpoint.com/releasedetail.cfm?releaseid=819799
MALWARE
• SCADA • Stuxnet – Mask
• Havex/Dragonfly – Remote Access Trojan för ICS
• Black energy – APT Malware riktat mot ICS
• Övriga Internet of Things • Thingbots
• Mayday – DDoS / Bakdörr
• SSHB – Enkel bakdörr
• DARLLOZ – Mask. Attackerar bl a säkerhetskameror
BIOGASPUMPAR
• Kopplade mot internet
• Admin gränssnittet tillgängligt
• S7comm gränssnittet tillgängligt
• Användarnamn och lösenord i HTML källkoden
/*the following code checkes whether the entered userid and password are matching*/
if(form.userid.value == "aga" && form.pswrd.value == "1234")
{ window.open('index2.html')/*opens the target page while Id & password matches*/ }
http://www.nixon-security.se/advisories
TRAFIKLJUS
• Inspirerad av filmer ville Cesar testa att hacka trafikljus
• “Regarding one of the vulnerabilities, the vendor said that the devices were designed that way on purpose”
• “Regarding another vulnerability, the vendor said that it's already fixed on newer versions. But, you need to get a new device and replace the old”
http://blog.ioactive.com/2014/04/hacking-us-and-uk-
australia-france-etc.html
BABY MONITOR
Rapid 7 rapport
• Barnövervakningsutrustning är det mest personliga man kan tänka sig
• Många jobbar hemifrån när de har småbarn
• “The web site ibabycloud.com has a vulnerability by which any authenticated user to the ibabycloud.com service is able to view camera details for any other user, including video recording details, due to a direct object reference vulnerability. ”
https://www.rapid7.com/resources/iot/index.jsp
LÖSNINGEN?!?
Det finns inte någon patentlösning som funkar för allt
• Förstå de olika attackytorna
• Undvik de vanligaste misstagen under utveckling
• Testa varje yta för de största svagheterna
• Använd teknologin på ett säkert sätt
• OWASP – IoT Top Ten Project
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=Main
FRAMTIDEN
• Område på uppgång
• Finns stora problemområden
• Säkerhetsinitiativ på gång
• Fokus på IT-säkerhet
• “Dela upp elefanten”
• IoT är inte ETT system