Het klinkt als een James Bond film: criminelen die een vergadering van regeringsleiders op hun smartphone volgen via de gehackte beveiligingscamera. Of stofzuigerrobots die via de webcam en audio de ruimte bespioneren, aangestuurd door een staatshacker. Dit is geen science fiction maar de dagelijkse realiteit van Ronald Heil, plenaire spreker tijdens het D&E event op 17 mei in het Evoluon Eindhoven. Ronald is Partner Cyber Security bij KPMG en zal u tijdens het event inwijden in de denkwijze van cybercriminelen die het gemunt hebben op uw bedrijf en producten.
“Veel bedrijven denken dat hun elektronica veilig is, maar niks is minder waar,” steekt Ronald van wal. “Ze focussen op een klein onderdeel van hun product, bijvoorbeeld de chip, maar vergeten dat die chip onderdeel uitmaakt van een embedded system dat weer onderdeel is van een groter systeem of apparaat. De chip kan dan wel goed beveiligd zijn maar als de omgeving dat niet is, kan een hacker toch binnenkomen. Chips maken via componenten contact met een communicatienetwerk en daar gaat het in de praktijk soms mis. Als het kanaal waarover gecommuniceerd wordt niet afdoende beveiligd is, kan een cybercrimineel het product overnemen. De beveiliging van de chip zelf houdt dit vaak niet tegen.”
Digitale deur open
“Veel producten bevatten software, maar bedrijven realiseren zich onvoldoende dat die software ook onderhouden moet worden. Ze denken: ik heb het product verkocht en daarmee eindigt mijn verantwoordelijkheid. Dit is een verkeerde denkwijze. Het is belangrijk om het product te onderhouden en nieuwe updates direct uit te voeren. Beveiligingsupdates bevatten namelijk belangrijke patches voor kwetsbaarheden in de software. Als je die patches niet installeert, open je de digitale deur voor ongewenste bezoekers. Embedded systems staan tegenwoordig vaak via meerdere punten in contact met een netwerk en al die punten zijn potentieel hackbaar. Onlangs onderzochten we bijvoorbeeld een digitale kast met smart locks om pakketjes op te halen. Die kast bleek op meer dan twintig plekken onveilig te zijn. Je kon de sloten op verschillende manieren digitaal openen, maar ook met een sleuteltje voor de bypass-slotjes. We ontdekten dat je dit sleuteltje, waarmee een medewerker een locker opent als de klant zijn pincode is vergeten, voor slechts één euro online kon bestellen. Dat was wel even schrikken voor de fabrikant die dacht dat hij de beveiliging prima op orde had.”
De meeste apparaten zijn hackbaar
“Voor fabrikanten is het vaak een lastige afweging. Ze willen een veilig product op de markt brengen maar de consument is niet altijd bereid om voor die veiligheid te betalen. De klant kiest toch voor die goedkopere waterkoker, ook al weet hij dat het risico op brand daarmee toeneemt. Als consument moet je je óók afvragen hoe de beveiliging van dat spotgoedkope elektronicaproduct uit China is geregeld. Hoe is het product afgeschermd tegen cyberaanvallen en wie zorgt voor de updates?”
“In principe is alles wat je open kan maken hackbaar. Ik durf te stellen dat 80% van de firmware makkelijk te onderzoeken is. Dit heeft deels te maken met consumentenrecht. Fabrikanten werken met standaard ontwikkelkits. Het moet wettelijk gezien mogelijk zijn om een kapot product te repareren en te onderhouden en daarvoor moet je het kunnen openen. Dit is begrijpelijk maar het brengt wel beveiligingsrisico’s met zich mee. Het is een kat-muis spel tussen de hacker en de fabrikant.”
Black and white hat hackers
“Ik ben zelf 21 jaar geleden begonnen bij KPMG als ethisch hacker (een hacker die zonder criminele bedoelingen beveiligingsfouten in een product opspoort, red.). Vanuit die technische achtergrond begrijp ik hoe een hacker denkt. Hackers proberen altijd via de ‘achterdeur’ binnen te komen, terwijl fabrikanten denken dat consumenten alleen de voordeur gebruiken. Met andere woorden: ze denken dat consumenten een product altijd precies zó gebruiken als zij het bedoelt hebben. Maar niks is minder waar.”
“Ethische hackers worden ook wel white hat hackers genoemd. Het zijn creatievelingen die van grote waarde zijn voor een bedrijf. Zij proberen een elektronicaproduct met embedded hardware voor productie te onderzoeken om kwetsbaarheden op te sporen. Zo voorkom je als fabrikant dat black hat hackers (cybercriminelen) jouw product overnemen als het al op de markt is.”
Elke ingang is prima
“Voor hackers is elke ingang prima. Neem bijvoorbeeld de badges waarmee werknemers de poortjes openen van hun bedrijf. Die poortjes zijn vaak kinderlijk eenvoudig te hacken. Je opent het apparaat, hangt er een kabeltje aan, injecteert een code en je bent binnen. Het hele securitysysteem dat er achter zit, maakt de hacker weinig uit. Dat kan miljoenen euro kosten en goed gecertificeerd zijn, maar de hacker omzeilt dat eenvoudig via de exposed verbindingen. Dat is de grap: de kwetsbaarheid zit hem niet in de peperdure software, maar in de plastic behuizing. Hier wordt vaak onvoldoende aandacht aan besteed. Als je er voor zorgt dat de hardware moeilijk te openen is door er bijvoorbeeld een goed slot of alarm op te zetten, wordt het al een stuk lastiger voor een cybercrimineel om binnen te komen. Opportunistische black hat hackers zijn wat dat betreft net ‘gewone’ inbrekers: als ze teveel moeite moeten doen, gaan ze liever naar de buurman.”
Wakker schudden
“Wat ik hoop te bereiken met mijn presentatie tijdens D&E is dat bedrijven en organisaties meer naar hun omgeving kijken en niet alleen naar hun product of één klein onderdeel daarvan. Ik hoop dat ik mijn toehoorders kan wakker schudden. Onveilige apparatuur kan uiteindelijk tegen je gebruikt worden.”
“Het updaten van de software in elektronica is een uitdaging. De software moet updatable zijn zodat je toekomstige kwetsbaarheden kan mitigeren, maar tegelijk wil je voorkomen dat kwaadwillenden misbruik maken van deze functionaliteit. Dat is een dilemma voor de fabrikant. Als je geen maatregelen treft als bedrijf, kan IoT-malware zich snel van apparaat naar apparaat verspreiden. Een recent voorbeeld is Apache Log4j, een stukje software dat op miljoenen zo niet miljarden embedded devices is geïnstalleerd. Vorige jaar ontdekten we opeens dat deze software een kwetsbare versie kan bevatten. De praktijk moet nog uitwijzen wat de gevolgen zijn van deze kwetsbaarheid, maar het lijkt heel moeilijk om apparaten met Apache Log4j te patchen. Mogelijk zijn hierdoor veel IoT-apparaten hackbaar.”
Fun hackers, cybercriminelen en hacktivisten
“Niet alle hackers hebben criminele motieven. Je hebt mensen die voor de fun digitaal inbreken en zogenoemde hacktivisten. Dit zijn digitale activisten die hacken als daad van protest. Anonymous is daar een voorbeeld van. En dan heb je nog staatshackers die cyberaanvallen uitvoeren op een land. Tijdens de inval van Oekraïne maakten staatshackers bijvoorbeeld Oekraïense satellietontvangers onklaar. Dit deden ze via stukjes commerciële embedded software die zijn ingebouwd in militaire apparaten. Ook hier was het collectief onvoldoende gecheckt waardoor hackers hun slag konden slaan, met grote gevolgen voor het Oekraïense leger.”
Cyberwar
“Een ander voorbeeld is een marineschip dat per ongeluk in Iraanse wateren was gevaren. Niet met kwade intenties, maar doordat de sensorsystemen van drie satellietontvangers waren gehackt en geïnjecteerd met een code waardoor ze valse coördinaten afgaven. Een oorlogsschip dat zomaar de wateren van een ander land binnendringt, betekent in feite een oorlogsverklaring. Iran begon dan ook gelijk te schieten. Dat zijn hele gevaarlijke situaties waarbij de maatschappelijk gevolgen van hacken niet te overzien zijn.”
Uitvallen van kritieke infrastructuur
“Een voorbeeld uit het dagelijkse leven zijn laadpalen. Die zijn aangesloten op een netwerk. Als laadpalen kwetsbaarheden bevatten en collectief worden overgenomen door hackers, is het mogelijk om een grote hoeveelheid elektrische voertuigen in Nederland op precies hetzelfde moment te laten opladen, met één druk op de knop. En weer stoppen en weer starten. Hierdoor kan een deel van het elektriciteitsnet eruit knallen. Met alle gevolgen van dien. Ook cybercriminelen richten zich massaal op vitale infrastructuren, maar die hebben andere intenties. Zij hebben geen politieke motieven, maar zijn uit op financieel gewin.”
“Cybercriminelen gaan steeds georganiseerder en professioneler te werk. Een bekend Deens internationaal bedrijf leed een paar jaar geleden honderden miljoenen euro schade door agressieve ransomware die achteraf gezien niet eens voor hen bedoeld was. Het was een aanval van nation-state. Dit is een groep hackers die vaak gesponsord wordt door een vijandig land. Het maakt hen niet uit of er andere slachtoffers vallen en bedrijven in de problemen komen. ”
Denk als een hacker
“Je moet als bedrijf anders denken; omdenken. Probeer te denken als een hacker: hoe zou ik nog meer binnen kunnen komen? Hoe kan mijn product óók gebruikt worden? Omdat zoveel apparaten tegenwoordig op een netwerkzijn aangesloten, lopen organisaties steeds meer risico op cyberaanvallen. Hoe meer je als bedrijf je IoT-apparaten connect en gebruikt maakt van embedded systems, hoe hackbaarder je kan worden. De dreiging komt vaak uit onverwachte hoek en is niet zelden het gevolg van een menselijke fout: een medewerker die per ongeluk op een phishinglink klikt; een USB-stick die gebruikt wordt in meerdere omgevingen maar ook om de software van het ‘systeem’ te updaten. Daarom moet je als bedrijf overal rekening mee houden en de hele omgeving aanpakken. Ken jezelf en ken je vijand.”
Wilt u Ronald Heil live horen spreken? Meld u dan nu aan voor het D&E event op 17 mei in Evoluon Eindhoven.