Eddy Willems
IoT: Het Internet of T(hings/rouble)
‘Het is 20 jaar geleden toen ik voor het eerst een slide in mijn presentatie stak over spam versturen via een koelkast’, schrijft beveiligingsexpert Eddy Willems. ‘De meesten vonden het belachelijk toen. Verleden jaar was het echter een feit. Die koelkasten zijn ondertussen ‘smart’ geworden en kunnen heel wat meer dan gewoon koelen.’
The Internet Of Things (IoT) geeft alles een IP-adres en laat alles met zo ongeveer alles en iedereen communiceren. De voordelen en mogelijkheden zijn bijna ontelbaar. Maar gaat het niet erg hard met de technologische ontwikkelingen? SmartTV’s, gameconsoles, tablets, smartphones en auto’s kunnen ons afluisteren. Camera’s in de laptop, smartphone en smartTV kunnen ons bekijken op ongewenste tijdstippen. Samsung past zijn gebruikersovereenkomsten aan om mensen gerust te stellen over de stembesturing van zijn slimme TV’s. BMW rolt naar 2,2 miljoen wagens een software-update voor het Connected Drive-systeem uit om te verhinderen dat hackers de deuren van de wagens op een makkelijke manier zouden kunnen openen. De eerste tekenen dat er wellicht te veel is begonnen aleer er is bezonnen.
Uit onderzoek aangestuurd door Amerikaans Senator Edward Markey bij 16 verschillende autofabrikanten “blijkt duidelijk dat er onvoldoende veiligheidsmaatregelen zijn om bestuurders te beschermen tegen hackers die de controle over het voertuig willen overnemen of persoonlijke informatie willen stelen”. De inmiddels overleden security expert Jack Barnaby toonde enkele jaren geleden al aan dat hartkleppen en insulinepompen niet veilig zijn voor doordeweekse hackers.
Is the Internet of Things wel veilig? Voordat deze vraag goed is beantwoord, sluipen de prachtigste technologieën stap voor stap ons dagelijkse leven in. Denk alleen al aan de opmars van de smartwatches. Buiten je onnodig wakker te trillen tijdens het geven van je zakelijke presentatie, kan je er ook mail op lezen, contacten mee opzoeken, je agenda raadplegen en binnenkort je kopje koffie mee betalen. Maar belangrijker nog: het kleinood telt je stappen, meet je hartslag en bepaalt zelfs je slaapritme. Alle gegevens worden doorgestuurd naar servers ‘in-the-cloud’.
En zo verzamelt de meeste smartApparatuur op een bepaalde manier zeer veel persoonlijke informatie over de gebruiker. Wat wordt er met die gegevens gedaan? Het gevaar dat een stuk van je leefpatroon gebruikt wordt om je achteraf te bestoken met specifieke advertenties is heel groot, daarvoor heb je namelijk zelf uitdrukkelijk toestemming gegeven toen je akkoord ging met de gebruikersvoorwaarden, die niemand leest. Hier zitten de raakvlakken met Big Data en de juiste verwerking ervan. Hoe is het gesteld met je privacy? En wie garandeert dat die gegevens niet gedeeld worden met de zorgverzekeraar die je op het oog hebt?
Een andere zorg is de beveiliging van de gegevens: Een sterk paswoord wordt helemaal niet afgedwongen in de hedendaagse IoT-wereld. Geen enkele van de apparaten die ikzelf onderzocht heb, biedt een mogelijkheid tot 2-factor authenticatie, maar je kan ze wel allemaal van op afstand via internet bedienen of gegevens ervan uitlezen.
Misschien mag ik het de leveranciers van dit soort apparaten niet te veel aanrekenen dat zij vooral bezig zijn met features en gebruiksgemak en dat zij niet zo security-minded zijn als ikzelf. Maar het is ondertussen duidelijk dat er iets moet veranderen aan de situatie. Een onderzoek van HP uit februari toonde enkele grove securitygebreken bij veel smartApparatuur aan. Nader onderzoek door mijzelf maakte duidelijk dat het update-systeem van de software van sommige van dit soort systemen ernstig rammelt. De authenticatie naar de downloadserver toe is zeer zwak en het blijkt in sommige gevallen zelfs mogelijk om de software op de downloadserver te wijzigen. Een ware droom voor de cybercrimineel, die bij het lezen van dit rapport precies weet hoe hij gebruikers kan afpersen door op afstand, met software, brand te stichten in iemands Smarthome, bijvoorbeeld door de slimme energiemeter de temperatuur in huis te laten opvoeren tot het kookpunt.
Het blijkt ook gemakkelijk om met een brute force attack binnen te raken op de cloud interface van de meeste systemen. Zo kan een crimineel zich voordoen als de rechtmatige gebruiker. Daardoor is het heel makkelijk na te gaan of je thuis bent of niet. De bediening van je beveiligingscamera is dan een leuke extra voor de crimineel.
Een ander probleem is de slechte versleuteling van de gegevens die verstuurd worden tussen de smartdevices. Paswoorden en persoonlijke gegevens liggen voor het grijpen voor iemand met de juiste kennis en tools. Dit betekent ook dat bedrijfsgegevens gemakkelijk kunnen worden onderschept: Een bedrijfsmailtje lezen op je smartwatch is voldoende.
Fabrikanten van smarttoestellen raad ik aan om samenwerking te zoeken met de security-industrie. Het zal niet heel ingewikkeld zijn om bepaalde van de hierboven genoemde aspecten beter vorm te geven. De security-industrie heeft hier al ervaring mee, dus er hoeven geen wielen opnieuw te worden uitgevonden. De consument, aan de andere kant, zal zorgvuldiger moeten bekijken wat de mogelijke veiligheidsrisico’s zijn bij de aankoop van dit soort toestellen. Het gebruiken van sterke paswoorden voor de toepassingen is hierbij een basisvoorwaarde. Voor bedrijven lijkt een filtertechniek tussen IoT toestellen en de rest van het netwerk een verstandige stap.
Gelukkig is er nog geen standaard qua besturingssysteem die slimme toestellen, wat een remmend effect heeft op malwareschrijvers (voor welk besturingssysteem moeten ze nou kiezen?). Nadeel hiervan is ook dat er nog geen beveiligingssoftware is voor de meeste smart devices.
Het Internet of Things zal ons veel goeds brengen daar ben ik van overtuigd. Ik kan al niet meer zonder. Het vergemakkelijkt ons leven nu al. Maar er zullen absoluut nog belangrijke stappen moeten worden gemaakt op het gebied van security voordat ik het gebruik van de smartApparaten aan iedereen zal aanbevelen.
Fout opgemerkt of meer nieuws? Meld het hier