<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;"><div>So after stirring up some shit on Twitter about this, I thought I&#8217;d post some thoughts about it here too.</div><div><br></div><div>While I agree that &#8220;junk hacking&#8221; is in a lot of cases fairly pointless from a security standpoint, it can still serve an educational (not to mention entertaining) purpose. The problem starts when threat models are exaggerated, as is often the case. I&#8217;m guessing this has to do with hackers assume that real world attackers are like them, when in fact they in most cases are not. The most obvious difference being the objective; whereas a hacker largely does things because it&#8217;s fun, real attackers have monetary or other reasons for what they do. This also means, as Dan Guido has pointed out several times, that attackers are unlikely to work harder than they have to, so while pwning a toaster to gain access to a dishwasher to gain access to a tv to gain access to a home alarm may be technically doable, it is far more likely that the attacker (or burglar in this case) will just go somewhere that doesn&#8217;t have an alarm.</div><div><br></div><div>Of course, we should not completely disregard &#8220;junk hacking&#8221; either, a refrigerator botnet is still a botnet etc., and there will very likely be a number of extremely critical issues with the internet of crap. But let&#8217;s at least try to keep it on a somewhat realistic level.</div><div><br></div><div>Andreas</div><div><br></div><div><br></div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> Dave Aitel &lt;<a href="mailto:dave@immunityinc.com">dave@immunityinc.com</a>&gt;<br><span style="font-weight:bold">Date: </span> måndag 22 september 2014 20:53<br><span style="font-weight:bold">To: </span> "<a href="mailto:dailydave@lists.immunityinc.com">dailydave@lists.immunityinc.com</a>" &lt;<a href="mailto:dailydave@lists.immunityinc.com">dailydave@lists.immunityinc.com</a>&gt;<br><span style="font-weight:bold">Subject: </span> [Dailydave] Junk Hacking Must Stop!<br></div><div><br></div><div><meta http-equiv="Content-Type" content="text/html; charset=utf-8"><div bgcolor="#FFFFFF" text="#000000">
Look, I get how we all love free trips to various locales other than Seattle or Boston or whatever (which are not, technically "locales" so much as just "places people happen to live"). But one more hacking talk about breaking into some random piece of electronics
 that people might use somewhere like a Internet-connected bed-warmer, or a MRI machine, or a machine people use to make MRI machines, and the whole hacking community is going to be wearing the cone of shame for a week!<br><br><img alt="your blackhat talk was not accepted!" src="cid:part1.04080901.08070900@immunityinc.com" height="390" width="500"><br><br>
Yes, we get it. Cars, boats, buses, and those singing fish plaques are all hackable and have no security. Most conferences these days have a whole track called "Junk I found around my house and how I am going to scare you by hacking it". That stuff is always
 going to be hackable whetherornotyouarethecalvalry.org. <br><br>
I get that Barnaby hacked an ATM. I thought it was stupid then, and it's even stupider now when your basic ATM runs XP so it can display ads to you while you take money out of it. But it's not stunt hacking unless it can
<b>wow</b> you. If you are wowed by someone owning XP these days, then you are out of it and need to be re-reading Carolyn Meniel's HappyHacker website. Yes, there is Junk in your garage, and you can hack it, and if you find someone else who happens to have
 that exact same Junk, you can probably hack that too, but maybe not, because testing is hard.
<br><br>
Cars are the pinnacle of junk hacking, because they are meant to be in your garage. Obviously there is no security on car computers. Nor (and I hate to break the suspense)
<b>will there ever be</b>. Yes, you can connect a device to my midlife crisis car and update the CPU of the battery itself with malware, which can in theory explode my whole car on the way to BJJ. I personally hope you don't. But I know it's possible the same
 way I know it's possible to secretly rewire my toaster oven to overcook my toast every time even when I put it on the lowest setting, driving me slowly but surely insane.<br><br>
So in any case, enough with the Junk Hacking, and enough with being amazed when people hack their junk.<br><br>
-dave :&gt;<br><br></div></div></span></body></html>