Buiten is het nat, guur en koud maar gelukkig heeft u iets waar u van binnen warm van wordt en uw hart sneller van gaat kloppen, een nieuwe Rootsec blog! Deze week behandelen we onder andere de gevaren en de toekomst van zelfsturende auto’s, ook wel autonome auto’s. Vervolgens gaan we een stukje vliegen met de welbekende maatschappijen Thai Lion en Malindo Air en landen we in ons eigen kikkerlandje om te kijken wat daar allemaal gebeurt is deze week.
Autonome auto’s, ook wel auto’s zonder de risicofactor “mens” zijn helemaal up-and-coming en, of we nu willen of niet, het gaat er komen. Er zijn inmiddels al meerdere studies verricht welke en masse concluderen dat autonome auto’s tot wel 94% minder ongelukken zullen veroorzaken dan u, de gefrustreerde en file-flirtende bestuurder. En dit kan in potentie dus miljoenen mensenlevens redden in de toekomst. Maar zoals altijd is het allemaal niet zo rooskleurig. Want was het niet in 2017 dat een case study van Charlie Miller en Chris Valasek aantoonden dat het kinderlijk eenvoudig was om de autonome auto te hacken? En dan hebben we het niet over één merk dat zijn zaken niet op orde had, dit betrof Jeep, Ford, Toyota en nog meer grote merken. De hackers waren in staat om de auto acuut te laten remmen op de snelweg. Daarnaast was het ook mogelijk om de besturing van veel autonome auto’s over te nemen. U kunt zelf de gevolgen indenken wanneer dit tijdens de spits zou gebeuren.
Een Jeep van afstand in de sloot gereden
Maar ondanks deze overduidelijke gevaren weten we allemaal dat deze auto’s er gaan komen. Waarom? Omdat er miljarden Dollars geïnvesteerd wordt in onder meer Uber en Tesla die beide dromen van een autonome vloot auto’s. Maar wat gaat zwaarder wegen? Het monetaire element of het security element? Want zoals elke nieuwe techniek is er veel geld aan te verdienen, maar dit op de markt brengen voordat dit door-en-door getest is zal enorme gevolgen hebben. Als wij iets hebben mogen leren van deze blogs dan is het wel dat werkelijk waar alles te hacken is, maar tot op heden bevond dit zich niet op de drukke snelweg. Deze techniek zal een hacker in staat stellen om, in de meest letterlijke zin, met een mensenleven te spelen. En natuurlijk wordt er momenteel veel onderzoek gedaan naar de beveiliging van deze auto’s en ook daar wordt meer geld in gestoken. Maar vraag uzelf eens eerlijk af, verwacht u een incidentloze lancering van de autonome auto’s? En op welke schaal moet dit gebeuren voordat er begrepen wordt hoe gevaarlijk het is waar we over dromen.
Ok toegegeven, de luchtvaartmaatschappijen Thai Lion en Malindo Air zijn nou niet de meest in het oog springende maatschappijen. Maar vanaf nu zult u hun naam toch gaan herkennen zeker als we u vertellen dat er maar liefst 30 miljoenen passagiers slachtoffer zijn geworden van dataverlies. De beide maatschappijen zijn onderdeel van de Air Lion Group en twee weken geleden werd nota bene via Twitter bekend dat de gestolen gegevens verkocht werden op het internet. Het ging om namen, adresgegevens, e-mailadressen, telefoonnummers, geboortedatum, paspoortnummers en paspoort verloopdata die in de cloud waren opgeslagen. Inmiddels is bekend geworden dat de data is gestolen door een voormalig werknemer van de e-commerce service providers waar het mee samenwerkt. Inmiddels zijn er experts, nee wij niet, ingeschakeld om de data-infrastructuur en processen onder de loep te nemen. De les die we hier uit leren? Aanvallen komen niet altijd van buitenaf. Nog sterker zelfs, de meest gevaarlijke en succesvolle aanvallen vinden vaak plaats aan de hand van voormalig werknemers. Laat daarom altijd uw systemen op meerdere manieren testen, bijvoorbeeld zowel black box als grey box.
Bent u een slim mens en heeft u daarom ook veel slimme apparatuur in uw huis hangen? Het blijkt dat u dan helemaal niet zo slim bent. Natuurlijk horen we al langer berichten over de kwetsbaarheid van veel van deze “smart” devices, maar het houdt ook gewoon echt niet op (niet vanzelf). Ook deze week kwam RTL met de berichtgeving over een lek in zo’n 14.000 beveiligingscamera’s en babyfoons. Deze apparaten van de Chinese merken Apexis en Sumpple waren niet bijzonder lastig om te hacken. De database waarin alle e-mailadressen en wachtwoorden waren opgeslagen was namelijk beveiligd met een wel heel simpel wachtwoord. Hierdoor konden kwaadwillende toegang krijgen en lekker meekijken bij zo’n veertienduizend huishoudens in Nederland. Er werden tevens ook locatiegegevens bewaard voor de camera’s (onversleuteld), dit maakt zo’n lek natuurlijk een natte droom voor elke inbreker. Je houdt gewoon een tijdje de camera in de gaten en als je zeker weet dat er niemand is dan wip je even naar binnen. Hackersgroep The Arcanum Group vond het lek en maakte er in augustus melding van bij Apexis en Sumpple. Toen er geen antwoord kwam, besloot het collectief de media op te zoeken.
Denkt u nu “Ha! ik heb geen beveiligingscamera’s of babyfoons”? Dan moet u toch nog vrezen, want zelfs kinderspeelgoed is niet meer veilig tegenwoordig. Twee speelgoedtanks (de YD-211 RC Tank en de I-Spy Tank) met een camera, die te koop zijn in Nederland, zijn relatief makkelijk te hacken, blijkt uit onderzoek van internetbeveiligingsbedrijf Strict in opdracht van het Agentschap Telecom. Door de slechte beveiliging kan een hacker “kinderlijk eenvoudig” toegang krijgen tot de camera en besturing van het speelgoed. Zo is het WiFi-signaal standaard niet beveiligd met een wachtwoord, waardoor iedereen in de buurt van het apparaat verbinding kan maken. Op die manier kan met de bijbehorende app de besturing over worden genomen en kan de camera worden aangezet. Inmiddels is gebleken dat, door een andere kwetsbaarheid, je hier niet eens de app voor nodig hebt. Kortom, dit weekend maar even een rondje door uw huis lopen op zoek naar spionerende slimme apparatuur.