Start today, secure tomorrow.

Hack In The Box

Hack in the Box 2017 in Amsterdam zit erop, het paasweekend was nodig om bij te komen, maar het was toch weer een geslaagd event! Hard werken, rondrennen, veel nieuwe mensen, gezelligheid en natuurlijk heel belangrijk: heel erg veel hacks!

Op The S-Unit booth was er de mogelijkheid om diverse IoT (Internet of Things) systemen te hacken. We hadden een variatie van apparaten liggen, waaronder een alarmsysteem, een NAS, netwerk-camera, diverse smart-verlichting oplossingen (over het WiFi je verlichting aansturen) en een weerstation (wind-, luchtvochtigheids-, regen-, temperatuurmetingen).

Diverse conferentie- en CommSecgangers hebben pogingen gedaan om de IoT apparaten te hacken. We hebben meerdere inzendingen ontvangen van potentiele hacks die uit te voeren zijn met de apparaten. Onder de inzendingen hebben we een selectie gemaakt van de tofste hacks en op vrijdag rond 16:30 uur hebben de winnaars van de hacks hun gehackte apparaat in ontvangst mogen nemen. Gefeliciteerd! Hieronder enkele bevindingen die we hebben ontvangen.

Een van de bevindingen van het alarmsysteem geeft een aanvaller de mogelijkheid om een replay-aanval uit te voeren. De sleutel (vergelijkbaar met de sleutel van een garage of auto) communiceert met het alarmsysteem over een radiosignaal. Dit radiosignaal kan worden opgevangen en op een later moment nogmaals worden verstuurd om toegang te krijgen tot het apparaat (in dit geval het aan- en uitzetten van het alarm). Geeft toch een veilig gevoel, terwijl jij op werk of vakantie bent, kan een aanvaller gewoon je alarmsysteem bedienen.

De netwerkcamera heeft een kwetsbaarheid waardoor een aanvaller aanvallers de authenticatiegegevens (username en wachtwoord) van de camera kan afluisteren en vervolgens kan inloggen via de webinterface om de camerabeelden te bekijken. Als er een tweede netwerkcamera op het netwerk wordt toegevoegd, worden de authenticatiegegevens van deze camera zonder encryptie over het netwerk verstuurd.

Een van de smart-verlichting apparaten was een smart-plug, waarmee je over het WiFi je lamp kan aansturen. Deze plug heeft geen enkele vorm van authenticatie. Hierdoor is het mogelijk om commando's naar de plug te sturen, het aanpassen van scheduled events (om 08:00 moet de lamp aan) en ook toegang te krijgen tot de Cloud-dienst van dit betreffende merk. Via deze Cloud dienst kan je al je apparaten vanaf afstand beheren. Dus ook eventuele camera's die je hebt hangen. Superfijn al die cloud-diensten waarmee alles gekoppeld is, vooral als aanvaller!

De andere systemen bevatten zeer waarschijnlijk ook kwetsbaarheden, maar met de beperkte tijd gedurende Hack in the Box 2017 zijn deze nog niet naar boven gekomen. Tijdens een van onze Slack-Fridays zullen we hier ongetwijfeld nog verder naar kijken. Zoals beloofd, de leveranciers zijn netjes op de hoogte gebracht van de gevonden hacks en hopelijk fixen ze het snel.

Al met al dus weer een geslaagd event en we kijken weer uit naar Hack in the Box 2018!

By Stephanie Apr 19, 2017

Hack in the Box 2017 in Amsterdam zit erop, het paasweekend was nodig om bij te komen, maar het was toch weer een geslaagd event! Hard werken, rondrennen, veel nieuwe mensen, gezelligheid en natuurlijk heel belangrijk: heel erg veel hacks!


By Barry Oct 22, 2015

Vorige week was ik op de jaarlijkse Hack in the Box (GSEC) security-conferentie in Singapore. Tijdens dit driedaagse evenement met tientallen uiterst technische presentaties vond ik het opmerkelijk dat er bijzonder veel aandacht was voor de analoge kant van security. In een wereld waarin heel binair wordt gedacht, is dit volgens mij een duidelijk signaal dat er veel behoefte is aan een meer analoge benadering van beveiliging.
Lees verder op computable.nl


By Sjoerd Oct 23, 2014

Last week I attended the Hack In The Box Security Conference 2014 in Kuala Lumpur. Besides the fact that the conference ran smoothly there was one talk that caught my eye. Paul S. Ziegler, Founder of Reflare, gave a presentation about “Image Hoster Diving”.