Spionage. Vorige eeuw waren het telefoontaps in de Koude Oorlog. Vandaag, in een tijdperk vol cyberspionage, hebben cybercriminelen een nieuw speeltje gevonden. Game of Drones is coming.
Recent bracht het onderzoeksteam van Check Point aan het licht hoe bedrijfsspionage eenvoudig kon door accounts over te nemen van DJI-drones,’s werelds toonaangevende drone-fabrikant.
Wie gebruikt drones?
Drones zijn het gadget-stadium voorbij: de volledige drone-sector wordt nu al geschat op 127 miljard USD! Naar verluidt is DJI goed voor 70% van de wereldwijde commerciële en consumenten drone-markt. Drones worden steeds vaker ingezet door bedrijven met kritieke infrastructuur, productie, landbouw, overheidsinstanties, militaire en andere sectoren.
Telecombedrijven gebruiken bijvoorbeeld drones om tijdelijke internetdekking te bieden in rampgebieden. Luchtvaartmaatschappijen gebruiken drones om inspecties uit te voeren. Energiecentrales zetten drones in voor de inspectie van zeer gevaarlijke (radioactieve) zones. Daarnaast zien we bij logistieke bedrijven in toenemende mate gebruik van drones, om met behulp van voorgeprogrammeerde vliegroutes, hun taken uit te voeren.
Welke data lagen te grabbel?
Tot voor kort was men enkel bezorgd over de beveiliging van drones, over ‘dronejacking’ of over drones die over gevoelige locaties vliegen. Dit onderzoek onthult een eenvoudigere en misschien ernstigere bedreiging: de overname van een DJI-klanten account. Een hacker met volledige toegang tot een DJI-gebruikersaccount kan diverse data stelen, zonder dat de gebruiker zich bewust is van een dergelijke inbreuk:
- De vluchtrecords en foto’s van een vlucht, als ze met de DJI-servers gesynchroniseerd waren.
- Informatie die is gekoppeld aan het account van een DJI-gebruiker (zoals creditcardgegevens).
- De real-time camera, microfoon en kaartweergave van de drone.
- Een live-weergave van de camera en de locatie van de dronepiloot, als de gebruiker de DJI FlightHub-software voor vluchtbeheer gebruikte.
Wat was de potentiële schade?
Wat drone-gebruikers filmen, sturen ze onbewust door naar de cloud. Die informatie zoals vliegroutes, foto’s, luchtvideo’s en kaarten, is in eerste fase belangrijk als verkenning voor cyber bedreigingen of fysieke aanvallen.
Denk maar aan de crimineel die kritieke infrastructuren zoals energiecentrales of waterdammen, wil treffen. Hij kan alle details analyseren via de afbeeldingen. Hij zou kunnen achterhalen welke bewakingscamera’s of elektronische deurvergrendelingen een onderneming gebruikt, om vervolgens de juiste tools te zoeken om die te omzeilen. Een gedetailleerd drone-beeld zou ook de veiligheidslacunes in kaart kunnen brengen.
De crimineel zou kunnen achterhalen welke bewakingscamera’s of elektronische deurvergrendelingen een onderneming gebruikt.
In het geval van een pakjesdienst kan een hacker de voorgeprogrammeerde vliegroutes bekijken om te weten welke pakketten waar en aan wie worden afgeleverd om ze dan te onderscheppen.
Over het algemeen zijn die gehackte drones en hun gekoppelde accounts een rijke bron aan informatie voor hackers. En als ze deze data niet direct kunnen gebruiken, is er nog altijd het Dark Web om deze te verkopen.
Een dergelijk datalek brengt de organisatie ook ernstige reputatieschade toe. Om nog maar te zwijgen over de financiële kosten van straffen als gevolg van de recente GDPR regelgeving.
De mechaniek achter de aanslag
DJI drone-klanten kunnen zich aanmelden via drie DJI cloud-platforms. Ons onderzoeksteam vond een lacune in het aanmeldingsproces en was zo in staat om een gebruikersaccount te kapen en volledige controle te krijgen.
Door het identificatieproces te onderzoeken, werd snel duidelijk dat alle DJI-platforms elke gebruiker met hetzelfde ID-token identificeerden. Het was vervolgens vrij eenvoudig om een XSS-aanval op te zetten, die te posten op het DJI-forum – heel populair bij DJI-klanten – het ID-token te onderscheppen en dit te gebruiken om in te loggen als klant.
Op deze manier kan de aanvaller het account kapen, inloggen en toegang krijgen tot de vluchten en persoonlijke data die zijn geregistreerd voor de drone. Alle platforms van DJI delen dezelfde authenticatie-infrastructuur, dus eenmaal de ID-token is verkregen, kan deze worden gebruikt om zich tot elk van deze DJI-platforms toegang te verschaffen.
Een veel voorkomend probleem binnen product design: de aandacht voor beveiliging die over het hoofd werd gezien door de focus op productverbetering.
Een veel voorkomend probleem binnen product design: de aandacht voor beveiliging die over het hoofd werd gezien door de focus op productverbetering. Want hoewel het handig kan zijn voor de web- of app-ontwikkelaar om één enkele ID te gebruiken om gebruikers te herkennen, maakt het het ook voor een cybercrimineel mogelijk om lateraal over elk systeem/platform te gaan en toegang te krijgen tot de gegevens die daar zijn opgeslagen. Wat bij DJI gebeurde.
Wat hebben we geleerd?
Clouddiensten zijn van nature overal toegankelijk. Dit biedt voordelen, maar maakt ze ook vatbaarder voor hacking. Daarom is het essentieel dat cloud service providers hun gebruikers beschermen door een twee-factor-authenticatie aan te bieden.
Een andere afweging van dit onderzoek is de behoefte aan segmentatie, niet alleen op het niveau van de netwerkinfrastructuur, maar ook in het proces voor gebruikersidentificatie, waarbij toegang tot één dienst niet onmiddellijk betekent dat je toegang krijgt tot alle diensten. En voor cloud-based service providers is segmentatie van het grootste belang om een potentiële aanval tot een minimum te beperken. Door dit proces niet correct te implementeren was ons team in staat om via het identificatieproces van één systeem toegang te krijgen tot alle andere elementen ervan.
Dit onderzoek naar DJI-drones illustreert hoe cybercriminelen naast phishing en social engineering andere methoden ter beschikking hebben.
Hoewel de evenwichtsoefening tussen bruikbaarheid en beveiliging een uitdaging is, is dit een gebied dat een innovatieve benadering en slimme ontwerpkeuzes vereist. Fabrikanten kunnen het zich niet veroorloven de beveiliging te negeren ten gunste van bruikbaarheid.
Conclusie
Na eerder onderzoek van Check Point Research naar infiltratie via camera’s in slimme stofzuigers en via de vele draadloze IP-camera’s, zijn de drones het nieuwste voorbeeld van cyberspionage. Dit onderzoek naar DJI-drones illustreert hoe cybercriminelen naast phishing en social engineering andere methoden ter beschikking hebben.
Het herinnert ons er ook aan hoe zowel consumenten- als bedrijfsdata steeds vaker in de cloud worden bewaard, waar ze buiten de perimeter van de klant vallen en meer risico lopen op ongewenste blootstelling. Daarom moeten klanten voorzichtig zijn en kiezen voor een clouddienst die voldoende beveiliging biedt. Organisaties moeten dit onthouden bij het uittekenen van een structuur voor de opslag van hun eigen data. En bij de selectie van een clouddienst moeten ze de juiste vragen stellen over hoe die de veiligheid van hun data bewaakt.
Check Point Research bracht DJI in maart 2018 op de hoogte gebracht en ondertussen is het beveiligingslek gepatcht.
Dit is een ingezonden bijdrage van Christof Jacques, Senior Security Engineer bij Check Point. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.