Nathalie Van Raemdonck
Het IoT Zombieleger staat voor de deur. Wat gaan we daar aan doen?
Dit weekend werden we geconfronteerd met verschillende grote websites die onbereikbaar waren. Dit was grotendeels te wijten aan onbeveiligde Internet of Things-toestellen. ‘IoT producenten kregen er klamme handjes van, en iedereen kreeg een tipje van de sluier wat er gebeurt als security by design niet verplicht wordt. Hoe gaan we verder?’, vraagt Nathalie Van Raemdonck zich af.
Eerst de feiten; op 21 oktober veroorzaakte een Distributed Denial of Service (DDoS) aanval op de DNS provider Dyn storingen op het internet. Dyn is een beetje een gouden gids van het internet. Via hen kom je uiteindelijk bij de juiste site terecht wanneer je een url van een website intypt. Het is dus simpel, maar effectief om hen te DDoS’en, aangezien er hierdoor een aanzienlijke hoeveelheid Amerikaanse websites voor beperkte tijd onbereikbaar waren. Geen Netflix & chill, geen Reddit en ook geen Twitter. Kortom: je moest naar buiten want er viel niet veel te surfen.
‘Veel gebruikers weten niet dat hun televisie of bewakingscamera deelneemt aan DDoS-aanvallen.’
DDoS-aanvallen zijn zo oud als het internet zelf, men overstelpt een server met verzoeken, meestal door een hoop geïnfecteerde computers in te zetten, tot deze geen normale bezoekers meer kan ontvangen. Veel organisaties hebben tegen dit soort aanvallen al maatregelen getroffen, maar toch was dit incident opmerkelijk vanwege zijn omvang. Dyn rapporteerde dat meer dan 10 miljoen IP adressen betrokken waren. De grootste DDoS aanval ooit. Dit is mogelijk omdat we een bron aan kwetsbare toestellen ongecontroleerd hebben laten etteren: het internet of things.
Internet of Shit
In de security gemeenschap wordt al langer gevloekt over het internet of things (IoT), vaak smalend het #InternetofShit genoemd. Hiermee bedoelt men al de nieuwe toestellen en gadgets die zich met het internet kunnen verbinden. Je televisie, je beveiligingscamera, je koelkast, je auto, maar ook toestellen die echt geen wifi nodig hebben, zoals je broodrooster, je fles wijn of je deurslot. Er wordt geschat dat er in 2016 zo’n 6 miljard toestellen met het internet verbonden zijn. Een duizelingwekkend aantal.
‘In de security gemeenschap wordt al langer gevloekt over het Internet of Things, vaak smalend het #InternetofShit genoemd.’
Meer toestellen die aan het internet verbonden zijn, wil zeggen dat er meer deurtjes zijn om binnen te komen, en meer computing power die gebruikt kan worden bij aanvallen. Dat wisten de makers van het Mirai virus ook, dat doelbewust IoT toestellen infecteert. Miljoenen geïnfecteerde IoT toestellen werden zo toegevoegd aan een monsterleger van zombies die buiten het medeweten van hun eigenaars nu ingezet worden tijdens DDoS aanvallen.
Toen security journalist Brian Krebs enkele weken geleden de eerste aanval van zulke grootte op zijn site zag, wist iedereen dat het niet langer 5 voor 12 was.
Zombie schuilplaats
Een logische stap om hier iets aan te doen, is de toestellen op te kuisen. Veel gebruikers weten dat ze antivirus op hun computers moeten installeren, maar zijn niet bewust dat hun televisie of hun bewakingscamera geïnfecteerd kan worden en mogelijk deelneemt aan aanvallen. Er is weinig motivatie voor gebruikers om hier iets aan te doen, aangezien de impact op de werking van hun toestel bijna onbestaande is als het ingezet wordt in een botnet.
Hier kan elk land zijn verantwoordelijkheid in nemen door gebruikers die opduiken in IP logs op de hoogte te stellen. Ze kunnen bewustmaken, informeren en bepaalde incentives creëren om IoT toestellen te beveiligen. Zo kunnen zombies gedeactiveerd worden, en botnets hun kracht verliezen.
Een IoT dat ons vertrouwen verdient
Maar een gebruiker kan niet veel doen als hij niet zelf in staat is het toestel te beveiligen. Zo is er bijvoorbeeld gebleken dat Xiongmai, een Chinese producent wiens toestellen in grote mate opdoken in de aanval van vrijdag, standaard wachtwoorden op zijn toestellen had die zelfs niet te wijzigen zijn. Dit was het geval voor alle producten die voor 2015 verkocht waren. Dit soort kwetsbaarheden komt helaas voor in veel toestellen. Als je het wachtwoord niet kan wijzigen, mag je er zeker van zijn dat iemand anders binnen kan.
Producenten staat het momenteel vrij te kiezen hoeveel veiligheid ze standaard willen inbouwen. Omdat een superveilige broodrooster geen echt verkoopargument is, wordt deze stap vaak bewust overgeslagen om kosten te drukken. Het is daarom belangrijk om IoT-producenten op hun verantwoordelijkheid te wijzen, minimum veiligheidsstandaarden in te stellen, en hen op het matje te roepen als ze hier aan verzuimen.
‘Het is belangrijk om IoT-producenten op hun verantwoordelijkheid te wijzen.’
Organisaties als The Internet of Things Security Foundation en vrijwilligers in het security collectief I am The Cavalry nemen zelf al de touwtjes in handen door veiligheidskaders op te stellen. De laatste liet zelfs producenten van medische toestellen een hippocratische eed zweren om geen apparatuur te verkopen die geen ingebouwde veiligheid heeft. En er ligt blijkbaar ook een voorstel op tafel bij de EU om bedrijven te dwingen aan bepaalde security standaarden te voldoen, en zelf een labellingsysteem te vinden voor veilige IoT-toestellen.
Het is nuttig om Europese productie te beveiligen, alleen heeft dit weinig effect in een geglobaliseerde wereld. Wanneer producenten verboden worden goedkope Chinese componenten te gebruiken die niet aan die standaarden voldoen, kan het moeilijk competitief zijn. Weinig mensen zijn geneigd meer te betalen voor een veilig IoT toestel. Hier moeten vooral internationale regels over gemaakt worden, al is het niet mis te beginnen met een Europees label.
Nu al te laat
IoT toestellen die geen standaard veiligheidsnormen ingebouwd kregen, zijn moeilijk achteraf nog te beveiligen. Daarom moet security in het design worden toegevoegd. Inspanningen om dit af te dwingen zijn lovenswaardig en noodzakelijk, maar eigenlijk zijn we al te laat. Veel toestellen zijn al verkocht zonder ooit nog een patch automatisch te kunnen doen. Gebruikers moeten handmatig vaak een firmware update uitvoeren, of het toestel inruilen. Daarbij zijn de toestellen die verkocht zijn zonder ingebouwde veiligheid vaak huishoudtoestellen die een gemiddelde gebruiker maar om de 10 jaar zou vervangen. Het is dus best mogelijk dat we nog lang gaan moeten leven met de gevolgen van het IoT zombieleger.
We moeten het incident van afgelopen weekend niet dramatiseren – een DDoS blijft voornamelijk vervelend maar niet levensbedreigend – maar het geeft wel een voorproefje waar criminelen toe in staat zijn wanneer we security niet serieus nemen.
Fout opgemerkt of meer nieuws? Meld het hier