image

Hardware-hacker verwacht weinig fraude met slimme meter

vrijdag 19 april 2013, 16:38 door Redactie, 15 reacties

Of het nu gaat om slimme meters en thermostaten of toetsenborden en muizen, de veiligheid van apparaten met ingebedde systemen laat vaak ernstig te wensen over. Dat liet beveiligingsonderzoeker Travis Goodspeed tijdens de Hack in the Box conferentie in het Amsterdamse Okura Hotel zien. Security.NL sprak met de onderzoeker.

Die legt uit dat de eerste stap voor het hacken van een apparaat begint met de aansluiting. Het kan dan gaan om een 'plug', zodat er een fysieke connectie mogelijk is, of een radioverbinding. Als voorbeeld geeft Goodspeed toetsenborden met en zonder draad.

Vervolgens zijn er twee manieren om het apparaat aan te vallen, namelijk het overnemen van de radio, zodat er met het apparaat te communiceren valt, of het injecteren van de eigen softwarecode, waardoor het gedrag van het apparaat wordt veranderd.

"Het is een beetje een kip en een ei probleem", merkt Goodspeed op. Om de eigen software op een apparaat te installeren moet de onderzoeker eerst een aanval schrijven zonder dat hij van tevoren weet hoe de software op het apparaat precies functioneert.

Updater
Veel van de apparaten die Goodspeed onderzoekt beschikken over Flash ROM, waarin de werking van het apparaat beschreven staat. Daarnaast is er een Mask ROM, waarmee de chip in de fabriek geprogrammeerd wordt. Dit is te vergelijken met een updater waardoor de chip nieuwe software kan ontvangen.

De chip beschikt dus al over een programma dat als functie heeft om de chip te updaten. Een hacker die toegang tot de Mask ROM kan krijgen, kan op die manier zijn software naar Flash ROM sturen. Soms beschikt de ‘updater’ over een wachtwoord, maar ook daar heeft Goodspeed een oplossing voor.

De andere aanvalsmethode bestaat uit het binnendringen van de code waarin de werking van het apparaat beschreven staat, om daar vandaan naar de updater te springen. Op zo'n manier wordt de wachtwoordbeveiliging omzeild en kan de hacker als nog zijn eigen software op het apparaat installeren.

Toetsenbord
In 2010 publiceerde Goodspeed code om Microsoft toetsenborden af te luisteren. Het lek waarvan de code gebruik maakte was al sinds 2007 of 2008 bekend. "Maar de toetsenborden worden nog steeds door Microsoft geleverd. Dat lek verdwijnt pas als de magazijnen leeg zijn."

En dat is een probleem met veel ingebedde systemen, dat ze lastig te updaten zijn, zeker als ze niet op het internet zijn aangesloten. "Als het hardwarematige fouten zijn zitten ze eraan vast." Fouten in bijvoorbeeld een thermostaat of keyboard zijn dan ook permanent laat de onderzoeker weten.

Goodspeed stelt dat het hacken van embedded systemen veel eenvoudiger is dan het hacken van een smartphone of desktop, met name door het gebrek aan beveiligingsmaatregelen. "De beveiliging die bewust aan computers is toegevoegd, hebben embedded systemen alleen per ongeluk."

Hotel
Sommige apparaten maken het daarbij wel heel eenvoudig om gehackt te worden. Goodspeed verbleef eens in een Amerikaans hotel waarbij de chip in de thermostaat het ID van de kamer bevatte. Het hotel begon pas met het verwarmen van de kamer als ze wisten dat die geboekt was. Anders zou het hotel lege kamers voor niets verwarmen.

Door de chip te verwisselen met die van een andere kamer werden ook de verwarmingsprofielen omgewisseld. Daardoor bleef een geboekte kamer onverwarmd, terwijl een lege kamer wel werd verwarmd. "En dat soort trucs vereisen weinig kennis, behalve dat je weet wat de chip doet." Bij dit hotel stond er letterlijk 'room ID' op de chip.

Slimme meters
Bij slimme meters ziet Goodspeed dat er meer aandacht aan de beveiliging is besteed, met name om fraude door klanten van het energiebedrijf te voorkomen. "Maar het is nog steeds elektronica en het zijn nog steeds computers, net als elke telefoon wordt gejailbreakt zul je ook hier als je lang genoeg zoekt fouten vinden."

Wat betreft de toekomst verwacht Goodspeed dat slimme meters zullen worden gehackt, maar dat de impact zal meevallen. "Ik hoop dat het dezelfde omvang zal hebben als de fraude met de Mifare-chips."

Kwetsbare Mifare chips werden onder andere gehackt om te kunnen frauderen met de OV-chipkaart en dat zal zich met de slimme meter herhalen. "Het zal gebeuren, maar het is te kleinschalig om een groot probleem voor de maatschappij te zijn." Wat betreft hacks en misbruik van slimme meters verwacht Goodspeed dat die alleen op fraude gericht zullen zijn.

"Ik ben niet bang dat hackers de elektriciteit van hun buren zullen uitschakelen." En als er toch fouten worden gevonden zullen energiebedrijven de apparaten dankzij hun internetverbinding kunnen updaten, “net als Microsoft met Windows doet”, besluit de onderzoeker.

Reacties (15)
19-04-2013, 20:35 door TD-er
Wat betreft de toekomst verwacht Goodspeed dat slimme meters zullen worden gehackt, maar dat de impact zal meevallen. "Ik hoop dat het dezelfde omvang zal hebben als de fraude met de Mifare-chips."
Bij OV-chipkaart kan je als enkele reiziger goedkoper reizen en met een beetje meer moeite misschien ook op naam van een ander reizen. Soort van minimale identiteitsfraude.

Met toegang tot een hoop 'slimme meters' kun je echter ook een hele hoop schade aanrichten.
Het is dan misschien iets minder ernstig dan de bedieningscomputer van waterkering hacken, maar bedenk eens wat er mis zal gaan als je complete woonwijken ineens aan/uit/aan/uit/aan/uit gaat schakelen.

Vermoedelijk heb je niet eens heel veel meters nodig om een groot deel van NL plat te leggen en misschien wel een veel groter deel.
Waarschijnlijk in de orde van 10'000 woningen.

Daarnaast is de administratie van energiemaatschappijen al decennia een ramp, dus je hebt niet eens een hack van de meter nodig om een hoop ellende te veroorzaken bij de klant. Een meteropnemer die je af komt sluiten kun je mogelijk nog wel overtuigen met een stapel correspondentie, maar hoe overtuig je een datapakketje door de ether?
Energiemaatschappijen kunnen dat ook prima zelf, maar hacks in de servers van de energiemaatschappij kunnen ook een hoop ellende veroorzaken door wat nummertjes om te draaien, zodat niet jij, maar je buurman afgesloten gaat worden.
Probeer dan maar eens je gelijk te halen, want "het staat zo in het systeem" is altijd al een meer dan uitstekende reden gebleken om vooral niet meer hoeven na te denken.

Het gevaar van slimme meters zit 'm niet alleen in de hackbaarheid van die apparaten zelf. Daarnaast gaan die dingen zo'n 30 jaar mee en hoeveel digitale techniek van 10 jaar geleden zou je nu nog zomaar aan het internet durven hangen? Bedenk dan eens dat je met techniek van tig jaar oud zit te werken, waarvan je met zekerheid kunt zeggen dat elk te besparen dubbeltje ook bespaard is.
Dus prima wanneer het te upgraden is, maar dat zal vast niet heel erg vaak gebeuren. Pas nadat het massaal mis zal zijn gegaan.
20-04-2013, 14:16 door SPlid
Je hoeft de meter niet te updaten om misbrijk te kunnen maken van de functionaliteit. Je kan continue het energie gebriuik monitoren en verdachte wijzigingen gebruiken om eens op je dooie gemak in de woning in te breken. überhaupt vind ik het een slecht idee dat de energie maatschappijen precies weten wat en wanneer ik energie verbruik.

Ik neem een produkt af en eens per jaar neem ik of de meteropnemen de standen op.
Ik zie geen noodzaak om dit te veranderen behalve als de energiemaatschappijen van plan zijn om eens fiks te bezuinigen op de meteropnemers.
20-04-2013, 16:48 door freediver
1x jaar bezoek van een meteropnemer is ok. Er komt geen iota aan digitale meters bij mij in huis. Gaat ze zak aan wanneer, hoelaat en hoe frequent ik energie afneem. Er gaat niet nog meer gesnuffel bijkomen.
22-04-2013, 10:19 door BaseMent
Ik ben benieuwd in hoeverre de energiebedrijven zich zelf zorgen maken over de gebruikte hard en software. Als klant maak ik mij natuurlijk zorgen over mijn privacy maar denk toch dat de spanningsboer ook zijn overwegingen maakt.
Stel ik hack mijn meter en voorzie deze van een "rootkit" die 10% van het verbruik niet registreert.
Los of ik die rootkit verborgen kan houden op het apparaat, hoe komt de de spanningsboer daar achter en wie komt dan met het "bewijs" dat ik dat gedaan zou hebben en wat zijn de sancties. Als ik mijn oude meter manipuleer is er toch iemand in mijn pand geweest en ben ik veel eenvoudiger aansprakelijk te stellen. Ik denk dat dat bij remote access toch een heel ander verhaal wordt.

Verder was ik deze zomer in Zweden en daar zijn die meters al gemeengoed. Maken de Zweden zich nou niet veel zorgen of doen wij dat juist wel?
22-04-2013, 10:38 door Anoniem
"1x jaar bezoek van een meteropnemer is ok. Er komt geen iota aan digitale meters bij mij in huis. Gaat ze zak aan wanneer, hoelaat en hoe frequent ik energie afneem. Er gaat niet nog meer gesnuffel bijkomen. "

Klinkt leuk, maar wat indien in de toekomst je ''domme'' meter kapot gaat en niet meer wordt ondersteund, waardoor je simpelweg geen keuze meer hebt ? Sta je dan een slimme meter toe, of ga je dan leven zonder stroom ?
22-04-2013, 10:44 door Anoniem
"1x jaar bezoek van een meteropnemer is ok. Er komt geen iota aan digitale meters bij mij in huis. Gaat ze zak aan wanneer, hoelaat en hoe frequent ik energie afneem. Er gaat niet nog meer gesnuffel bijkomen. "

Er zijn al lang wettelijke regels opgesteld om te voorkomen dat energie bedrijven non-stop je meterstand uitlezen.

---
Welke gegevens ziet uw netbeheerder wel?

Uw netbeheerder ziet alleen uw meterstanden op de volgende momenten:

- één keer per jaar voor uw jaarafrekening,
- zes keer per jaar (om de twee maanden) voor het verbruik- en kostenoverzicht,
- als u overstapt naar een ander energiebedrijf of als u verhuist,
- incidenteel wanneer dat nodig is voor het beheer of onderhoud van het energienet.

Vaker wordt de slimme meter dus niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven. Wordt uw slimme meter uitgelezen voor noodzakelijk beheer van het energienet? Dan zal uw netbeheerder u hierover informeren volgens de Wet Bescherming Persoonsgegevens.

http://www.consuwijzer.nl/energie/energiemeter/privacy-slimme-meter
---
23-04-2013, 09:44 door Hans_US
Waarom worden de slimme meters niet gewoon met Bluetooth uitgerust ipv GRPS?

Dan kun je op een korte afstand (thuis - bewoner) via een laptop of smartphone de live data ophalen voor eigen analyse.

De netbeheerders kunnen dan x keer per jaar een stand opvragen bij de bewoner - geen verandering tov de domme meters.

Het voordeel is wel dat het huidig verbruik minder gemakkelijk is op te picken uit de ether, tenzij je dichtbij (<10 mter) de zender zit, de pin (8 bytes) moet hacken per meter. Bluetooth is niet 100% veilig maar minder gemakkelijk en-mass te hacken.

Het nadeel is wel dat netbeheerders niet continue gedetaileerde gegevens voor handen hebben.
23-04-2013, 10:45 door Orion84
Door Hans@US: Waarom worden de slimme meters niet gewoon met Bluetooth uitgerust ipv GRPS?
...

Het nadeel is wel dat netbeheerders niet continue gedetaileerde gegevens voor handen hebben.
Dat is nu juist net de hele bedoeling van het gebruik van die slimme meters: real time inzicht in verbruik, zodat de productie daarop kan worden aangepast om verliezen terug te dringen en het net stabieler te maken (zeker met het zicht op meer 2 richtingsverkeer op het net en meer variabele stroombronnen als zon en wind). Dus een voorstel dat nu juist exact die specifieke eigenschap om zeep helpt gaat niet werken natuurlijk.
23-04-2013, 12:48 door Mozes.Kriebel
"Ik ben niet bang dat hackers de elektriciteit van hun buren zullen uitschakelen." En als er toch fouten worden gevonden zullen energiebedrijven de apparaten dankzij hun internetverbinding kunnen updaten, “net als Microsoft met Windows doet”, besluit de onderzoeker.
Bijzondere aanname van deze "beveiligingsonderzoeker". En die laatste zin doet de deur dicht om deze "beveiligingsonderzoeker" nog serieus te nemen. Ik ben geen MS-basher, maar om nou het update mechanisme van Windows als geruststellend voorbeeld te nemen...
25-04-2013, 13:15 door Anoniem
Door Mozes.Kriebel:
"Ik ben niet bang dat hackers de elektriciteit van hun buren zullen uitschakelen." En als er toch fouten worden gevonden zullen energiebedrijven de apparaten dankzij hun internetverbinding kunnen updaten, “net als Microsoft met Windows doet”, besluit de onderzoeker.
Bijzondere aanname van deze "beveiligingsonderzoeker". En die laatste zin doet de deur dicht om deze "beveiligingsonderzoeker" nog serieus te nemen. Ik ben geen MS-basher, maar om nou het update mechanisme van Windows als geruststellend voorbeeld te nemen...
Het update mechanisme van Microsoft is een goed update mechanisme beter dan dat van de meeste andere produkten
02-05-2013, 18:14 door Whoops
Door Mozes.Kriebel: Ik ben geen MS-basher, maar om nou het update mechanisme van Windows als geruststellend voorbeeld te nemen...
Wat is er mis met Windows Update? Qua security weinig mis mee toch?
08-05-2013, 16:42 door Chasalin
Headline over een jaar of 10: "slimme energiemeter massaal misbruikt voor DDoS"
Zoals dat nu is met slimme TV's en routers...
of: "Inbrekers sluiten stroom af"
Dat is makkelijker dan graven en een kabel doorknippen.

Misbruik hoeft niet altijd IT-gerelateerd te zijn.
14-05-2013, 11:53 door Anoniem
Door Anoniem: "1x jaar bezoek van een meteropnemer is ok. Er komt geen iota aan digitale meters bij mij in huis. Gaat ze zak aan wanneer, hoelaat en hoe frequent ik energie afneem. Er gaat niet nog meer gesnuffel bijkomen. "

Er zijn al lang wettelijke regels opgesteld om te voorkomen dat energie bedrijven non-stop je meterstand uitlezen.
We weten al een tijdje dat "de regels" als enige verdediging gewoon niet voldoende is. De overheid is daar een multipluraal voorbeeld van, tot het zich per wet niet aan de eigen regels houden aan toe.

Door zo'n voorbeeld te geven heeft ze moreel geen poot meer om op te staan om anderen te wijzen op de regels. De roep om de regels dan maar te versoepelen want lastig en duur en ziedaar de overheid heeft er zelf ook al lak aan is in dat licht prima te begrijpen. En uiterst schadelijk voor onze zogenaamd vrije en open samenleving.

De enige manier is om gegevens die je niet nodig hebt niet binnen te harken. In casu de meter, die haalt informatie uit jouw huis en stuurt die naar de netwerkbeheerder en stroomleverancier. Dat moet al niet in meerdere mate dan strikt noodzakelijk gebeuren, en dat gebeurt hier wel. Het moet niet eens kunnen, en dat kan, en gebeurt dus, hier wel.

Dan zijn we nog niet begonnen over de breed als "voordeel" aangestipte mogelijkheden van de grote stroombedrijven om die meter commandos te geven om, bijvoorbeeld, de leverantie in te perken of af te sluiten als het elders in het stroomnetwerk even wat minder gaat.

Wat mij betreft blijven we dan ook bij het aloude systeem van één keer per jaar iemand langs laten komen, of als de stroommaatschappij dat liever heeft, de nummertjes zelf invullen op een kaartje of een website. Geeft gelijk een stuk menselijker gezicht aan je grote gezichtsloze bedrijf. Je kan roepen dat mankracht duur is, maar eens per jaar gelijk ook de meter inspecteren vangt een hoop fraude in de dop, die dan niet nog eens apart bestreden hoeft te worden. En dat betaalt de klant uiteindelijk ook.

Bedrijfje spelen is uiteindelijk mensenwerk, en klantrelaties zijn dat ook. Dat alles wegautomatiseren doe je op eigen risico.
30-05-2013, 02:17 door Anoniem
Vaker wordt de slimme meter dus niet uitgelezen. Tenzij u daar zelf uitdrukkelijk toestemming voor hebt gegeven.

Ik heb nog geen contract voor een slimme meter gezien, maar ik kan me voorstellen dat er een standaard clausule in het meest gangbare contract staat waarmee je impliciet toestemming geeft.
11-06-2013, 09:01 door Anoniem
"Ik ben niet bang dat hackers de elektriciteit van hun buren zullen uitschakelen."

De eerste de beste hacker misschien niet, maar in het geval van een georganiseerde misdaad? Bijv. een ontvoering of een overval.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.