BHS XIV: Alles van waarde is draadloos

Lees hieronder het verslag over de presentatie van Ralph Moonen tijdens de 14e editie van de Black Hat Sessions door Peter Güldenpfennig (vaste redacteur van WINMAG Pro). Het artikel is gepubliceerd op 23 juni 2016 op Winmagpro.nl.

Zenders en ontvangers van draadloze netwerken zijn universeel. Dit maakt de beveiliging eigenlijk lastig, het is bekende technologie, maar ook erg gevoelig en moeilijk te beveiligen.

​Het wordt echter wel gebruikt voor toepassingen waar het niet geschikt voor is. Neem IP-camera’s met een WiFi-connectie, waarbij het signaal relatief makkelijk te onderscheppen of te jammen is. Reden voor Ralph Moonen van ITSX om draadloze technologie een bijzondere status te geven.

Zijn lezing tijdens de Black Hat Sessions handelt over nieuwe draadloze technologieën die opkomen samen met het Internet of Things. Neem Zigbee bijvoorbeeld, maar ook het nieuwe LoRaWAN, een draadloos netwerk over grote afstanden. Nieuwe technologieën waar Ralph veel van verwacht, maar ook kanttekeningen bij plaatst.

Hack one, hack ‘em all

Want de draadloze protocollen waar Ralph het over heeft, worden veelal geïmplementeerd in hardware als chips, die eenzelfde (cryptografische) beveiliging gebruiken die over de hele range aan zelfde hardware eenzelfde key gebruiken. Kortom: hack er één en je bent binnen in alle devices. 

‘Het is in feite een slimme tactiek’, aldus Ralph. ‘Hardware is lastiger te upgraden dan software om logische redenen, en dus wordt de hardware universeel gehouden op het gebied van beveiliging, en kiest men er voor om software dicht te kitten.’ Dit leidt natuurlijk tot issues die al langer spelen. Interoperabiliteit bijvoorbeeld, waarbij hardware security noodgedwongen gedowngrade moet worden om compatible te zijn met oudere hardware. Of verkeerde keuzes die gemaakt worden met betrekking tot de gebruikte technologie, zoals verminderd stroomverbruik wat de voorkeur geniet boven een gedegen security-oplossing.

Best practices

Directe oplossingen zijn er helaas niet, maar best practices zijn een goed begin. Ralph geeft er enkele. Omdat hardware updaten niet praktisch en erg kostbaar is, liggen de implementaties van best practices toch vooral aan de softwarekant. Zo stelt Ralph diversificatie van beveiligingssleutels voor, flashgeheugen dat altijd versleuteld moet worden en het uitschakelen van onnodige of niet-gebruikte interfaces. 

Angst 

De lezing van Ralph lijkt wellicht een zoveelste angst-voor-de-digitale-wereld-praatje, maar dat doet te kort aan de toon die werd gebezigd. Hij ziet vooral veel potentie in de nieuwe netwerktechnologieën. Bovendien zijn deze er al. Ralph geeft dan ook vooral advies waar fabrikanten van hardware en ontwikkelaars van software die gebruik maken van deze technologieën, hun voordeel mee kunnen doen. Wij hopen dat ze luisteren.

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa