CyberFUD sells – maar tegen welke prijs?

CyberFUD sells – maar tegen welke prijs? cover

“Vermijd gratis oplaadstations op luchthavens, hotels en winkelcentra. Kwaadwillenden hebben ontdekt hoe zij via deze weg malware kunnen verspreiden.” Zo luidde het advies van de FBI op X in april 2023.

Bron: FBI Denver via X

“Juice Jacking”, zoals dit type aanval genoemd wordt binnen security, was voorafgaand aan deze post al een bekend fenomeen. Op het hacker congres DEF CON staat jaarlijks al sinds 2011[1] de “Wall of Sheep” waarop je kunt zien welke (nietsvermoedende?) bezoekers hun apparaat hebben getracht op te laden met een gehackte USB lader.

Meerdere onderzoekers hebben gedemonstreerd wat de mogelijkheden zijn met dit type aanval (soms ook wel BadUSB genoemd). Denk aan het stelen van data, het besmetten met malware en het maken van screenshots van aangesloten telefoons.

Juice Jacking: een overdreven dreiging?

Ondanks de vele proof of concepts en de verkoop van USB condooms (ja, zo noem je dat echt) zijn er geen aanvallen in de praktijk te vinden waarbij deze techniek daadwerkelijk is toegepast op willekeurige voorbijgangers. Het lijkt dus in de echte wereld niet voor te komen. Daarnaast vragen de meeste smartphones bij aansluiten van een USB kabel tegenwoordig of je ook data wilt delen via USB, of alleen wilt laden. Dit beschermt in de mij bekende gevallen tegen dit soort aanvallen.

Is dit dan een aanval waar je actief het grote publiek voor zou moeten waarschuwen als security gemeenschap? Als het in de praktijk zelden tot nooit voor komt?

Openbare WIFI: de risico’s en de mythes

Naast Juice Jacking lees ik ook nog vaak waarschuwingen over zaken als openbare WIFI. Dit zou zodanig onveilig zijn, dat je maar beter een VPN kunt aanschaffen of helemaal geen openbare WIFI zou moeten gebruiken. Via openbare WIFI zou een aanvaller inloggegevens kunnen stelen door je naar een valse inlogpagina te sturen, of de SSIDs kunnen zien van de WIFI waar je normaal gebruik van maakt. Dan zou diegene kunnen zien waar je woont of het SSID nabootsen en jouw met diens “Evil Twin” kunnen laten verbinden. Ook hier zijn meerdere proof of concepts van bekend. In de tijd van voor TLS en HSTS preloading was het ook zeker een valide aanval.

Echter, in de praktijk kan ik slechts één recent geval vinden van iemand die voor een dergelijke aanval is gearresteerd (niet veroordeeld). [2] Waarbij het overigens nog altijd om een ietwat vreemde aanval gaat. Iemand die in vliegtuigen nep-WIFI punten maakt. Een plek waar je bij uitstek makkelijk kan worden gezien met een dergelijk apparaat (er steken antennes uit) en waar het ook nogal opvalt als er ineens WIFI is. Mind you, een VPN helpt niet tegen dit type aanval. Je wordt nog steeds net zo goed omgeleid en krijgt dezelfde valse inlogpagina te zien. Het helpt voornamelijk tegen het inzien van jouw data door een beheerder van de hotspot. In plaats daarvan geef je dezelfde data aan een VPN provider.

In de praktijk is ook deze aanval zeldzaam op willekeurige voorbijgangers. Wat moet je immers doen met een willekeurige voorbijganger zijn of haar Google of Facebook inloggegevens? Het type aanval wat daarmee populair is, is dat pas als je het op grote schaal kunt toepassen. Denk aan crypto-scams/spam verspreiden. Het is een aanval die slecht schaalt, relatief aan alternatieve methoden grote pakkans heeft en daarnaast een lage opbrengst zal hebben. Hoeveel inloggegevens van random voorbijgangers kan je op deze manier buit maken met een dagje nep-wifi punten maken ten opzichte van dingen als reguliere phishing of watering hole aanvallen?

De impact van waarschuwingen op veiligheid

Daarnaast zit je nog met het feit dat partijen als Google alle alarmbellen af laten gaan als iemand inlogt op jouw account vanaf een ander apparaat dan gebruikelijk. Ik heb wel eens gezegd: “ze bellen nog net niet de politie voor je.”

Waarom blijven we mensen waarschuwen voor dit soort aanvallen? Omdat het theoretisch mogelijk is? Is het theoretisch mogelijk om in jouw huis in te breken? Zou je dan niet meer maatregelen moeten treffen dan alleen dat slot op jouw voordeur? Als het gaat om onze woningen, dan kijken we ook naar de buurt waar we in wonen. En de waarde van de spullen die wij in ons huis hebben. We maken daarbij een afweging van de kosten ten opzichte van de (gepercipieerde) risico’s. Waarom vinden we dat zo moeilijk als het gaat om consumenten en security?

Ik denk dat het blijven waarschuwen voor dit soort niche aanvallen schadelijk is voor ons vakgebied. Daar heb je weer die moord en brand schreeuwers, terwijl er eigenlijk nooit echt wat aan de hand is. En als er dan een keer echt iets aan de hand is, dan luistert niemand meer naar ons.

Fear, Uncertainty en Doubt (FUD) is schadelijk voor ons vakgebied. En hoewel het vast lekker verkoopt voor de VPN boeren, is het op de langere termijn de prijs wat mij betreft niet waard. Wij als security experts kunnen dit beter. We moeten dit beter doen. Jaag consumenten niet op de kast voor onzin aanvallen. Maar waarschuw ze voor aanvallen waar ze daadwerkelijk mee te maken krijgen. En bedenk daar nu eens slimme oplossingen voor. Dat is waar ik over na ga denken, wanneer ik deze week in het vliegtuig stap en nog even de openbare WIFI pak om wat Netflix te kijken. Zonder VPN.

[1] https://en.wikipedia.org/wiki/Juice_jacking

[2] https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/#:~:text=Bill%20Toulas&text=An%20Australian%20man%20was%20charged,email%20or%20social%20media%20credentials.

Over Fleur

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten