Als miljoenen servers, routers, switchers en personal computers wijd open staan voor individuele hackers, hoeveel te meer voor schurkenstaten of inlichtingendiensten? ⁃ TN Editor
Lucas Lundgren zat aan zijn bureau terwijl hij toekeek hoe de deuren van gevangeniscellen honderden kilometers van hem open- en dichtgingen.
Hij zag de verschillende commando's in niet-versleutelde platte tekst over zijn scherm zweven. "Ik zou zelfs commando's kunnen geven als 'alle celblokken open'," zei hij vorige week in een telefoongesprek. Zonder daar te zijn, kon hij niet zeker weten of zijn acties echte gevolgen zouden hebben gehad.
"Ik zou het waarschijnlijk alleen weten door erover te lezen in de krant de volgende dag", zei Lundgren, een senior beveiligingsadviseur bij IOActive, voorafgaand aan zijn Black Hat-lezing vorige week in Las Vegas.
Het komt omdat die celdeuren worden bestuurd door een weinig bekend maar populair open-source berichtenprotocol bekend als MQTT, waarmee energiezuinige, met internet verbonden (IoT) -sensoren en slimme apparaten kunnen communiceren met een centrale server met een kleine bandbreedte - waardoor gevangenisbewakers de sloten van een celdeur op afstand kunnen bedienen. Het protocol wordt overal gebruikt - door hobbyisten thuis, maar ook in industriële systemen zoals meters en apparatuursensoren, elektronische reclameborden en zelfs medische apparaten.
Maar al te vaak zijn de servers die naar apparaten luisteren en commando's verzenden niet beveiligd met een gebruikersnaam of wachtwoord, waardoor iedereen met een internetverbinding in een van de 87,000 onbeveiligde servers kan kijken, volgens de poortscans van Lundgren.
"Het is een enge situatie", zei hij. "We kunnen niet alleen de gegevens lezen - dat is al erg genoeg - maar we kunnen ook naar de gegevens schrijven."
Lundgren heeft hartmonitoren en insulinepompen gezien die voortdurend gegevens bijwerken via het protocol, zodat een arts het op afstand op een webpagina kan lezen en wijzigingen kan aanbrengen, zei hij. "Als ik kwaadaardig wilde zijn, zou ik waarschijnlijk de insuline of zoiets kunnen veranderen, en kijken wat er gebeurt", zei hij.
Tijdens zijn scans vond hij servers van over de hele wereld, met alles van domotica en alarmsystemen tot kerncentrales, een deeltjesversneller - en zelfs een oliepijpleiding.
wpDiscuz