RVO.nl heeft een reeks bedrijven en consortia een opdracht gegund voor het verbeteren van cyberveiligheid. Met Bits&Chips werpen we een blik op deze projecten. Vandaag deel 2: honeypots en aftermarket-beveiliging van iot-devices.
RVO.nl schreef een jaar geleden een openbare aanbesteding uit in het kader van het Sbir Cybersecurity-programma. De opdracht: de digitale veiligheid van Nederland op de een of andere manier verbeteren. In eerste instantie wonnen twintig bedrijven of samenwerkingsverbanden een opdracht voor een verkennende studie. Nu hebben dertien van hen de opdracht in de wacht gesleept om daadwerkelijk een product te ontwikkelen. Daarvoor kunnen ze tot tweehonderdduizend euro krijgen.
In het eerste deel van deze serie keken we naar twee projecten die de omgang met gevoelige persoonsinformatie moeten verbeteren. Vandaag zoomen we in op twee projecten rond een ander actueel thema: beveiliging van het internet of things, of liever gezegd: het gebrek eraan. ‘Een hele hoop iot-devices zijn van buiten benaderbaar, en er worden al dagelijks aanvallen gemeld. Denk aan de grote hack van het Oekraïense stroomnetwerk, maar ook aan de slimme lampen van Philips en dat soort dingen’, vertelt Georgios Selimis van het Eindhovense Intrinsic ID.
Samen met Technolution uit Gouda werkt Intrinsic ID een beveiligingsoplossing voor het iot uit. Daarbij gaat de aandacht in eerste instantie uit naar de kritieke infrastructuur. Bedrijven die dergelijke infrastructuur onderhouden, willen maar wat graag alles op afstand beheersbaar maken – of hebben dat reeds gedaan – maar worstelen vaak met de vraag hoe ze dat op een veilige manier kunnen doen.
De projectpartners denken dat de oplossing zit in de bundeling van hun krachten. Intrinsic ID is gespecialiseerd in beveiliging van allerlei hardware via physically unclonable functions (pufs): eigenschappen die uniek zijn voor een exemplaar van een device en onmogelijk te kopiëren. In het Eindhovense geval gaat het om het opstartgedrag van sram-geheugencellen. Door kleine variaties tijdens het chipproductieproces wordt voor elke cel willekeurig bepaald of die als 0 of 1 zal opstarten. Van elk sram-geheugen kan dus een ‘vingerafdruk’ worden gemaakt. Die vingerafdruk kan vervolgens worden gebruikt om allerlei cryptografische sleutels op te stellen. Zo ook sets van publieke en private sleutels waarmee gebruikers en devices veilig kunnen communiceren en kunnen bewijzen dat ze zijn wie ze zeggen te zijn.
Device lifecycle management for fleets of IoT devices
Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .
Maar voor eindgebruikers is dat ingewikkeld, zeker als het om grote aantallen devices gaat. Ze moeten per apparaat bijhouden welke geheime sleutels er in omloop zijn. Bovendien moeten ze constant in de gaten houden of er niks verdachts gebeurt, en eventueel actie ondernemen.
Dat is waar de technologie van Technolution om de hoek komt kijken. Het bedrijf is als systeemintegrator gespecialiseerd in het grote plaatje. Professionele gebruikers zetten de Goudse cloudplatforms in om grote aantallen iot-devices in het veld uit te lezen, aan te sturen en te onderhouden.
Beveiligde tunnel
Door die twee dingen te combineren, moet het voor eindgebruikers veel eenvoudiger worden beveiliging in te bouwen. Het enige dat ze hoeven te doen, is de software van Intrinsic ID op de microcontrollers van hun devices te laden. Daarna worden ze verder beheerd door het cloudplatform. ‘We kunnen via de cloud als het ware een beveiligde tunnel maken tussen de devices en de eindgebruikers’, legt Selimis uit.
Dat is mogelijk doordat al het zware beveiligingswerk wordt ondergebracht in het cloudplatform, terwijl de software voor de devices heel licht blijft. De puf-technologie faciliteert dat; sleutels worden niet opgeslagen in het geheugen, dus devices hoeven geen ingewikkelde beschermingsmaatregelen te nemen tegen kwaadwillenden die ze openpeuteren. ‘Dat betekent ook dat je security kunt toevoegen zelfs al zijn de devices uitgerold in het veld’, verklaart Selimis.
In de eerste fase hebben de partners de technische haalbaarheid verkend en gepeild of er behoefte is in de markt. Die blijkt er te zijn: diverse energiebedrijven hebben al hun interesse uitgesproken of een intentieverklaring getekend. ‘We praten bijvoorbeeld ook met makers van slimme energiemeters’, zegt Selimis. ‘Maar met deze oplossing kunnen we ook kijken naar partijen die actief zijn in dataverbindingen zoals aanbieders van Lora-diensten. Die hebben al devices in het veld, en met deze oplossing kunnen we daar security aan toevoegen.’
Honeypots voor het iot
Het bouwen van muren is slechts één kant van de beveiliging. Een andere kant is begrijpen hoe hackers te werk gaan. Onderzoekers maken daarvoor normaal veelvuldig gebruik van honeypots: pc’s of servers die er compleet normaal uitzien, maar stiekem geïsoleerd zijn van de rest van het bedrijf en alles wat er gebeurt op het systeem vastleggen en analyseren. Soms wordt ook het beveiligingsniveau iets verlaagd, bijvoorbeeld door geen security-updates te installeren, om te zien wie er allemaal de aanval opent of hoe zo’n lek in de praktijk wordt misbruikt.
Maar dat is voor iot-devices een stuk lastiger dan bij it-netwerken. Embedded systemen zijn vaak gesloten omgevingen met beperkte hardware, waar geen monitoringsoftware op te installeren is. En heel praktisch: om de beveiliging van allerlei verschillende apparaten in een organisatie te monitoren, moet je ze ook fysiek in huis hebben. ‘Het is best wel lastig om aanvalspatronen te herkennen zonder dat je al die hardware zelf hebt staan’, stelt Pieter Jansen, directeur van de Haagse startup Cybersprint.
Cybersprint is gespecialiseerd in het in kaart brengen van cyberdreigingen in de online omgevingen van grote ondernemingen. Dat betreft bedrijfsnetwerken, maar ook websites, mobiele apps en zelfs social media-accounts. Iot-apparaten waren echter nog een beetje een blinde vlek, terwijl er steeds meer aanvallen komen via bijvoorbeeld een gehackte router of een ander embedded device dat binnen de organisatie wordt gebruikt.
‘Toen begonnen we te denken: stel dat je de firmware hebt van zo’n apparaat, en die kun je opstarten en aan het internet hangen, wat kun je er dan allemaal mee?’, aldus Jansen. De Delftenaren gingen aan de slag met de firmware van een Fritzbox-router, die op de website van de fabrikant te downloaden is. ‘Het is ons toen gelukt om die in een proefomgeving op te starten, en vervolgens zagen we dat mensen er allerlei aanvallen op probeerden uit te voeren.’
Uiteenlopende toepassingen
Om dit idee uit te werken tot een volledige securityoplossing zocht Cybersprint contact met Jurriaan Bremer, directeur van Bremer Computer Security en hoofdontwikkelaar van Cuckoo Sandboxes, een opensource oplossing voor geautomatiseerde malware-analyse. Met het Cuckoo-raamwerk kan verdachte software in een virtuele machine worden gedraaid en worden onderworpen aan allerlei soorten anomaliedetecties. ‘Wordt er ineens verbinding gemaakt met een onbekend ip-adres in China? Maakt het ineens veel meer bestanden aan? Worden bestanden ineens in hoog tempo versleuteld door een cryptolocker? Dat soort signatures zitten al in Cuckoo’, weet Jansen.
Cybersprint en Bremer Computer Security voerden samen de haalbaarheidsstudie binnen het Sbir-programma uit. Een belangrijke vraag was of een ‘vreemde’ processorarchitectuur zoals Arm gedraaid kon worden in een virtuele machine van een X86-server. Dat lukte dankzij de opensource Qemu-cpu-emulator.
Op die manier zijn naar believen virtuele iot-devices in de cloud aan te maken. Dat biedt niet alleen mogelijkheden voor honeypots, vertelt Jansen. ‘Je kunt het ook gebruiken om beveiligingsonderzoek te doen naar apparaten. We kunnen de software opstarten en een penetratietest uitvoeren zonder dat we de hardware hebben.’
Een veelgebruikte methode hiervoor is fuzzing: systematisch variaties in input naar de software sturen om te zien of er iets omvalt. Met de virtuele oplossing kan dat op grote schaal worden gedaan. Jansen: ‘En als je dat dan weer automatisch elke keer doet dat er nieuwe firmware wordt uitgebracht, kun je op hoge snelheid kwetsbaarheden ontdekken in veelgebruikte apparatuur.’
Jansen ziet dan ook meer dan genoeg mogelijkheden om een goede boterham te verdienen aan de ontwikkeling, ook al is het de bedoeling om de software zelf als opensource beschikbaar te maken. Ten eerste kan Cybersprint het zelf inzetten voor zijn normale dienstverlening. Maar ook wanneer andere partijen de software willen gebruiken, is daar geld aan te verdienen, denkt Jansen: ‘Je kunt bijvoorbeeld maatwerk leveren aan een partij die graag een honeypot wil gebruiken, maar zijn exotische architecturen er nog niet in heeft zitten. Daarnaast staan er commerciële modules op het tekenbord zoals managementtooling voor grootschalige inzet. En je kunt denken aan het aanbieden van hosted honeypots’, somt hij op.
Daarnaast is de aanpak ook geschikt voor de ontwikkelaars van iot-devices. ‘We zouden elke release van hun firmware even automatisch door de scanner kunnen halen. We zien dat grote bedrijven wel bezig zijn met dat soort automatische securitytests, maar de partijen die regulier aan mkb- en thuisgebruikers leveren, doen daar nog niet veel mee. Wij zouden in de toekomst security testing as-a-service aan hen kunnen leveren.’
Voor de tweede fase heeft Cybersprint dan ook partijen uit beide doelgroepen aan boord gekregen, dus zowel instellingen met mogelijk onveilige iot-apparatuur binnen de muren als makers van embedded devices. ‘De grootste verrassing uit de haalbaarheidsstudie was dat toch wel tachtig procent van de huis-, tuin- en keukenapparatuur op dezelfde architectuur draait. Heel vaak is het gewoon een combinatie van Linux en Busybox op de Arm-architectuur. Dat had ik niet verwacht, maar het betekent wel dat we goed kunnen schalen met deze oplossing.’
Bovendien zijn er een paar grote ontwikkelaars van scada-apparatuur aangeschoven. ‘Je kunt dezelfde oplossing gebruiken voor industriële apparatuur’, legt Jansen uit. ‘Dat was in eerste instantie wel wat lastiger, want dergelijke partijen staan niet te springen om toegang te geven tot hun firmware en apparatuur. Maar we hebben er toch een paar bereid gevonden om hun firmware met ons te delen zodat we onze oplossing daarmee kunnen uitbreiden.’