Black Hat Sessions XIV: Mobile (In)security

BHS XIV: Alles van waarde is draadloos

Achtergrond
Redactie WINMAG Pro

Zenders en ontvangers van draadloze netwerken zijn universeel. Dit maakt de beveiliging eigenlijk lastig, het is bekende technologie, maar ook erg gevoelig en moeilijk te beveiligen.

​Het wordt echter wel gebruikt voor toepassingen waar het niet geschikt voor is. Neem IP-camera’s met een WiFi-connectie, waarbij het signaal relatief makkelijk te onderscheppen of te jammen is. Reden voor Ralph Moonen van ITSX om draadloze technologie een bijzondere status te geven.

Zijn lezing tijdens de Black Hat Sessions handelt over nieuwe draadloze technologieën die opkomen samen met het Internet of Things. Neem Zigbee bijvoorbeeld, maar ook het nieuwe LoRaWAN, een draadloos netwerk over grote afstanden. Nieuwe technologieën waar Ralph veel van verwacht, maar ook kanttekeningen bij plaatst.

Hack one, hack ‘em all

Want de draadloze protocollen waar Ralph het over heeft, worden veelal geïmplementeerd in hardware als chips, die eenzelfde (cryptografische) beveiliging gebruiken die over de hele range aan zelfde hardware eenzelfde key gebruiken. Kortom: hack er één en je bent binnen in alle devices. 

BHS


‘Het is in feite een slimme tactiek’, aldus Ralph. ‘Hardware is lastiger te upgraden dan software om logische redenen, en dus wordt de hardware universeel gehouden op het gebied van beveiliging, en kiest men er voor om software dicht te kitten.’ Dit leidt natuurlijk tot issues die al langer spelen. Interoperabiliteit bijvoorbeeld, waarbij hardware security noodgedwongen gedowngrade moet worden om compatible te zijn met oudere hardware. Of verkeerde keuzes die gemaakt worden met betrekking tot de gebruikte technologie, zoals verminderd stroomverbruik wat de voorkeur geniet boven een gedegen security-oplossing.

Best practices

Directe oplossingen zijn er helaas niet, maar best practices zijn een goed begin. Ralph geeft er enkele. Omdat hardware updaten niet praktisch en erg kostbaar is, liggen de implementaties van best practices toch vooral aan de softwarekant. Zo stelt Ralph diversificatie van beveiligingssleutels voor, flashgeheugen dat altijd versleuteld moet worden en het uitschakelen van onnodige of niet-gebruikte interfaces. 

Angst 

De lezing van Ralph lijkt wellicht een zoveelste angst-voor-de-digitale-wereld-praatje, maar dat doet te kort aan de toon die werd gebezigd. Hij ziet vooral veel potentie in de nieuwe netwerktechnologieën. Bovendien zijn deze er al. Ralph geeft dan ook vooral advies waar fabrikanten van hardware en ontwikkelaars van software die gebruik maken van deze technologieën, hun voordeel mee kunnen doen. Wij hopen dat ze luisteren.
 

Lees meer

Proofpoint: Sterke wachtwoorden essentieel bij hybride werken
Proofpoint: Sterke wachtwoorden essentieel bij hybride werken
AWS organiseert eerste AWS GameDay Wereldkampioenschap voor developers van alle niveaus
AWS organiseert eerste AWS GameDay Wereldkampioenschap voor developers van alle niveaus
Inschrijving eAwards geopend: NTT DATA zoekt meest impactvolle en innovatieve techproject van Nederland
Inschrijving eAwards geopend: NTT DATA zoekt meest impactvolle en innovatieve techproject van Nederland
Cisco Live 2022: Cisco kondigt nieuwe innovaties aan voor het netwerk, beveiliging, collaboration en applicatie portfolio
Cisco Live 2022: Cisco kondigt nieuwe innovaties aan voor het netwerk, beveiliging, collaboration en applicatie portfolio
First8 organiseert nieuwe editie van event Security4Teens
First8 organiseert nieuwe editie van event Security4Teens
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie