Tijdens de IoT Academy meetup op 22 juni 2017 stond het thema IoT beveiliging centraal. Nu steeds meer apparaten verbonden zijn met het internet en met de komst van 'smart cities' zelfs hele steden afhankelijk zijn geworden van het internet zijn we als samenleving kwetsbaarder dan ooit. De behoefte aan Cyber Security neemt toe, nu de eerste DDos aanvallen van IoT-apparaten hebben plaatsgevonden en verschillende IoT-apparaten zijn gehackt.
De recente en grootste ramsomware-uitbraak ooit op 12 mei jl: WannaCry toont goed aan hoe kwetsbaar we als samenleving zijn geworden. In zeer korte tijd wist de ransomware door te dringen tot overheidsinstellingen, ziekenhuizen, treinstations en meer dan 50.000 organisaties in 100 landen.
Tijdens de meetup van juni speelden we in op thema's die spelen rondom Cyber Security van IoT devices en wat je kunt doen als organisatie om IoT hacking te voorkomen. Daarnaast liet onze spreker Mark de Groot zien hoe een hack tot stand komt.
2. KPN REDTEAM
What is a Smart City?
Using modern ICT and IoT technology in a secure way to manage a
city’s asset and improve urban space with interaction with citizens
to increase quality of life
3. KPN REDTEAM
Implementations:
• Lanterns
• Industrial Cooling
• Smart waste
• Legionella detector
• Street cover
• Sea pumps
• Bike
• Luxury asset
• Solar Panel
• Smart office space
• Parking
• Transport management
• Health sector
• City information
9. KPN REDTEAM
Some of the challenges
Contracts
What about cyber security and privacy?
Development
With all of the technology and standards how can
we make this secure?
Monitor
How can we monitor attacks and unusual
behavior?
Architecture
Can we scale the architecture for the long term?
And what about multiple layers of defense?
Maintain
How can we update and manage so many
devices?
11. KPN REDTEAM
Development challenges
Extensive—but not exhaustive—list of
Internet of Things (IoT) protocols:
Bluetooth
BLE
ZigBee
Z-Wave
6LoWPAN
Thread
WiFi-ah (HaLow)
2G (GSM)
3G & 4G
LTE Cat 0, 1, & 3
LTE-M1
NB-IoT
5G
NFC
RFID
SigFox
LoRaWAN
Ingenu
Weightless-W
ANT & ANT+
DigiMesh
MiWi
EnOcean
Dash7
The application shall
communicate with mobiles,
cloud, data hub and sensors
from all of our suppliers. Oh
yeah, it must be secure and we
need it next week
12. KPN REDTEAM
Architecture challenges
How flexible is our architecture with the
amount of growing devices and
standards?
How to deal with segmentation to
reduce risks in case of a compromise?
14. KPN REDTEAM
REDteaming model
Level 3
Level 2
Level 1
Cyber
Zero
knowledge
Physical
Zero
knowledge
Human
Zero
knowledge
Cyber
Limited
insider
Physical
Limited
insider
Human
Limited
insider
Cyber
Trusted
insider
Physical
Trusted
insider
Human
Trusted
insider
Target
15. KPN REDTEAM
Elements of REDteaming
A red team exercise simulates criminal activity to challenge a company on their social, technical, and physical
defenses:
Physical
Finding weaknesses in your physical
defenses
• Gaining unauthorized access to
buildings and area’s
• Tailgating,
• Badge ID’s
• Drones
• Lock picking doors
Cyber
Finding weaknesses in your technical
defenses
• Gaining unauthorized access to your
infrastructure and your data
• Malware attack
• Password brute force on all systems
Human
Finding weaknesses in your social
defenses
• Gaining unauthorized access
through your employees
• Social engineering
• Infected USB sticks
• Excuses to gain access
• Gain trust from employees
17. KPN REDTEAM
Take away
• Embed security into the DNA of smart city development
• Hug the hackers and promote responsible disclosure
• Perform regular REDteam/simulation exercises
18. KPN REDTEAM
• Twee losse arduino’s
• De rechter heeft een temp sensor
• De linker heeft een LCD scherm
• Middels 433 mhz verbinding wordt de temperatuur
verzonden.
19. KPN REDTEAM
GQRX
• De signaal kunnen we
capturen met een SDR
software defined Radio
• Het signaal recorden en
vervolgens analyseren
20. KPN REDTEAM
Audacity
• Het signaal heeft een
binary structuur
• De temperatuur is
22 graden
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 01 1 0
21. KPN REDTEAM
Thank you
Mark de Groot
TeamLead KPN REDteam
markdegroot@kpn.com
IoT is all about the application and infrastructure
and it must be secure from the start and into the future