Steeds meer apparaten worden 'connected'. Handig, maar er kleven ook flinke veiligheidsrisico's aan het Internet of Things. PCM zoekt uit waar de pijnpunten precies zitten.

Lees ook:Intel: 'Gebruikers moeten meer verantwoordelijkheid nemen bij IoT-aankopen'

Gedurende de afgelopen jaren ontdekten steeds meer smart-home-gebruikers dat veel verbonden apparaten helemaal niet zo zaligmakend bleken. Dergelijke apparatuur verzamelt namelijk bakken aan persoonlijke data. Wie een slimme thermostaat in huis heeft, stuurt bijvoorbeeld veel meer data naar zijn energieleverancier dan je aanvankelijk zou willen. Het gaat dan niet alleen om hoeveel energie je verbruikt, maar ook wanneer je doorgaans niet thuis bent (handige informatie voor inbrekers). Een slimme koelkast weet wat je het liefst eet, en de tandenborstel weet of je wel goed poetst - informatie die voor een zorgverzekeraar wel erg interessant is.

Die privacygevoelige gegevens zijn bovendien nauw verbonden met de beveiligingsproblemen van het IoT. Dát je energiemaatschappij die gegevens verzamelt, is tot daar aan toe. Maar het is vrijwel onmogelijk te garanderen dat ze daar veilig zijn.

"De meeste bedrijven die nu slimme apparatuur aanbieden, zijn van oudsher geen techbedrijven", vertelt de man (“een Europese programmeur”) achter het bekende Twitter-account @InternetOfShit, een account dat dagelijks belachelijk maakt hoe vergezocht én onveilig veel IoT-apparaten zijn. "Databescherming is voor hen minder vanzelfsprekend, en dat leidt tot slechte beveiliging van servers waardoor privacygevoelige gegevens eerder op straat komen te liggen."

Encryptie

De fysieke grootte van IoT-apparaten wil daarnaast ook nog problemen opleveren. Dat zit bijvoorbeeld in de encryptiestandaarden die worden gebruikt om verkeer van en naar de server en binnen de groep te versleutelen. Omdat de meeste IoT-apparaten maar een beperkte rekenkracht hebben door goedkope cpu's wordt er vaak gebruik gemaakt van een zwakkere versleuteling. Die is niet persé makkelijker te breken, maar maakt het bij bruteforce-aanvallen wel makkelijker om default-wachtwoorden zoals '1234' te kraken.

Daar komt bovendien bij dat huishoudelijke apparaten worden gebruikt voor een lange periode van meerdere jaren, en dat simpele encryptiestandaarden doorgaans niet zo'n lange levensduur hebben. Vaak blijken die na korte tijd al ingehaald door het feit dat computers steeds krachtiger worden en de versleuteling sneller kunnen kraken. Encryptie waarbij dat niet het geval is (zoals AES-256) is te log voor een doorsnee IoT-apparaat.

Daar komt bij dat veel fabrikanten de wachtwoorden van een apparaat hardcoded in de firmware zetten, en dat dat juist vaak simpele default-wachtwoorden zijn. Als het al mogelijk is die wachtwoorden te veranderen, is dat voor veel gebruikers vaak te lastig of laten ze dat liggen.

IoT-apparaten zijn ook onveilig vanwege hun connectiviteit met elkaar en met je netwerk. Omdat alle apparaten aan hetzelfde netwerk hangen, wordt het veel makkelijker om een goed beveiligde computer te infecteren via een slecht beveiligde netwerkschijf.

Updates

Een ander groot probleem is de ondersteuning die apparaten ontvangen, en de API's waarop ze draaien. Fabrikanten bieden nu witgoedapparatuur aan met een levensduur van vaak wel 20 jaar (voor bijvoorbeeld een wasmachine), maar volgens @InternetOfShit is er bij voorbaat nog niet eens nagedacht over hoe lang zulke apparatuur wordt ondersteund. Hij doelt specifiek op zaken als de API's die de apparaten gebruiken, bijvoorbeeld om verbinding te maken met externe applicaties.

Zo biedt Samsung koelkasten aan met een display waarin je je Google Calendar kunt importeren - handig in een druk huishouden. Een jaar nadat één van die koelkasten op de markt was gebracht, ontdekten beveiligingsonderzoekers dat de koelkast het wachtwoord van het bijbehorende Google-account in plaintext naar de router stuurde omdat het SSL-certificaat niet juist gevalideerd werd.

Het was daarom met een man-in-the-middle-aanval kinderlijk eenvoudig het wachtwoord te onderscheppen. Het probleem zat in het feit dat Samsung een oude API voor Google Calendar gebruikte - maar de koelkasten hebben tot op heden geen update naar de nieuwe API ontvangen.

Samsungs slimme koelkast draaide altijd op 'Family Hub 1.0', maar de nieuwe lineup die dit jaar tijdens de CES werd gepresenteerd draait al op Family Hub 2.0. Het is een legitieme vraag hoe lang versie 1.0 nog ondersteund blijft...

IoT-protocollen

Te korte ondersteuning van apparaten en slecht geïmplementeerde beveiligingsmaatregelen zijn relatief makkelijk te voorkomen. Je ziet nu al dat steeds meer smart-applicaties gebruik maken van betere opsec (operations security), door penetration testing in te zetten bij hun apparaten of door speciale privacy-experts aan te nemen. Het IoT heeft echter een groter probleem dat niet zomaar is op te lossen met meer maatregelen.

Het inherente probleem van zo veel verschillende apparaten is het gebrek aan een vaste standaard, en de wirwar van verschillende protocollen waarmee de apparaten met elkaar praten. Dat levert problemen op omdat lampen van het ene merk bijvoorbeeld niet kunnen worden gekoppeld aan thermostaten van een ander, maar het is ook inherent onveilig.

Door het gebruik van zo veel verschillende standaarden is het voor fabrikanten vaak aantrekkelijker om een 'legacy' firmware aan te houden. Die kun je heel specifiek bouwen voor juist dat ene apparaat, in plaats van dat je moet voldoen aan bepaalde eisen. Die diversiteit maakt het echter ook een stuk lastiger om uniforme updates voor bijvoorbeeld de versleuteling of de connectiviteit uit te brengen.

Er zijn verschillende initiatieven om protocollen te standaardiseren. Zo is er de AllSeen Alliance, een samenwerkingsverband waar onder andere Qualcomm, Cisco, Microsoft, HTC en LG aan werken. Zij werken samen aan AllJoyn, een standaardmanier waarmee apparaten kunnen verbinden met externe diensten of cloud-applicaties. Dat gebeurt met universele manier om data over te brengen en een algemene encryptiestandaard.

Mirai-botnet

In oktober vorig jaar bleek echter dat het Internet of Things een veel groter probleem had dan enkel de slechte bescherming van persoonsgegevens, maar dat nalatige beveiliging ook grote schade aan anderen kon toebrengen.

Op 21 oktober lag een significant deel van het internet het grootste deel van de dag plat. Websites als Twitter en Reddit, én het veelgebruikte Amazon Web Services waren niet meer te bereiken door een grootschalige aanval op DynDNS, één van de grootste dns-providers van het internet. Het ging om een DDoS-aanval waarbij de servers door 650 Gb/s aan data werden bestookt.

Voor de aanval werden miljoenen IoT-apparaten van over de hele wereld gebruikt. Die werden door het botnet ingezet om de servers van DynDNS constant met data te bestoken. Mirai infecteert IoT-apparaten met malware die de data naar een centrale command & control-server sturen.

In een analyse van de broncode van Mirai komen twee belangrijke dingen naar voren. Eerst zoekt de malware naar IoT-apparaten op internet om die vervolgens over te nemen, en vervolgens worden de IP-adressen van die apparaten gebruikt om verzoeken naar een bepaalde server te sturen. Het zoeken naar apparaten gebeurt via een grootschalige scan naar IP-adressen die verbonden zijn aan apparaten die geen computers of smartphones zijn, maar bijvoorbeeld wel connected beveiligingscamera's.

Opvallend is dat Mirai niet alleen zoekt naar onbeveiligde apparaten, maar ook 'dictionary' brute-force-aanvallen inzet om simpele wachtwoorden zoals 'root', '1234', admin' of 'default' te kraken. Zoals we al eerder konden zijn veel wachtwoorden hardcoded in de firmware en worden ze door gebruikers amper vervangen. In dat geval krijg je dergelijke standaard-wachtwoorden.

Beveiligingsonderzoekers zijn dan ook van mening dat het veranderen en toepassen van default-wachtwoorden één van de beste manieren is om dergelijke botnets te stoppen.

©PXimport

Een belangrijke kanttekening is overigens wel dat het overgrote merendeel van de gebruikte apparaten in de Mirai-aanval een IP-camera was. In tegenstelling tot bijvoorbeeld slimme wasmachines zijn verbonden (beveiligings)camera's al jaren een bekend veiligheidsrisico.

Waarschuwingen over het beveiligen van zulke apparatuur gaan al terug sinds de eerste consumentenmodellen op de markt kwamen, en sinds die tijd is er maar weinig veranderd. Open videostreams van bijvoorbeeld kinder- of huiskamers zijn nog steeds eenvoudig te vinden met een paar simpele Google-zoekopdrachten.

Goede hoop

Dat wil niet zeggen dat de opkomst van nog meer slimme apparatuur geen extra risico's met zich meebrengt. Integendeel, hoe meer apparaten op internet worden aangesloten, hoe meer mogelijkheden hackers hebben om botnets te starten, computers te infecteren of persoonsgegevens te stelen.

Toch gloort er een beetje hoop aan de horizon. Steeds meer fabrikanten zien het belang van veiligheid in bij het maken van IoT-applicaties. De industrie werkt actief aan het bouwen van (open) standaarden voor domotica, en ook consumenten raken meer bewust van het nut van beveiliging.

Er zijn nog een aantal belangrijke veranderingen die in de werkwijze van fabrikanten moet komen. Die zijn grotendeels hetzelfde als bij het maken van cloudtoepassingen, websites met databases, en hardware zoals computers en smartphones. Dat draait allemaal om aandacht voor beveiliging, en om dat probleem serieus te nemen.

Wist je dat er dagelijks tussen de 200 en 300 e-bikes gestolen worden? Als jij een elektrische fiets hebt, doe je er natuurlijk alles aan om dat te voorkomen. Maar zelfs wanneer je hem met meerdere sloten vastzet, is dat geen garantie dat dieven hem laten staan. Wordt je fiets toch gestolen, dan kan een tracker helpen om hem terug te vinden. Alleen: waar verstop je zo'n tracker het best, en welke systemen werken echt goed?

Bluetooth-trackers (zoals de Apple AirTag of goedkopere varianten) zijn inmiddels overal verkrijgbaar. De werking is heel simpel: de tracker zendt een bluetooth-signaal uit dat wordt opgepikt door smartphones van toevallige voorbijgangers. Die telefoons sturen vervolgens anoniem de locatie door via hun eigen internetverbinding. In drukke stadscentra werkt dit vaak prima, omdat er altijd wel iemand in de buurt is.

AirTag in je fiets? Dit zijn de nadelen en risico's

Rene Bolt is Chief Technology Officer bij Conneqtech, een bedrijf dat trackingsystemen voor e-bikes ontwikkelt. Volgens de expert is er op zich weinig mis met voordelige trackers, al laten de prestaties vaak te wensen over: bij budgetmodellen is de batterij vaak al na een maand leeg of blijkt de locatiebepaling onnauwkeurig, zegt hij.

Het grootste probleem zit hem volgens Bolt echter in het ontwerp. Een AirTag is bedoeld voor zoekgeraakte sleutels of tassen, niet voor gestolen fietsen. Dat brengt een onbedoeld risico met zich mee: om stalking te voorkomen, waarschuwt Apple automatisch mensen die ongewild gevolgd worden. "Een fietsendief wordt dus ook genotificeerd als er een onbekende AirTag meereist", waarschuwt Bolt. "Als hij een iPhone heeft, geeft die een alarm af en kan hij de tracker zelf opsporen."

🚲Lees ook: In 7 stappen de juiste e-bike-verzekering

©wachiwit - stock.adobe.com

Populaire verstopplekken

Juist omdát een dief vroeg of laat een melding op zijn telefoon kan krijgen, is de verstopplek cruciaal. Je wilt immers voorkomen dat hij het zendertje binnen tien seconden van je fiets plukt en weggooit. Wil je ondanks de risico's toch een bluetooth-tracker gebruiken? Zorg dan dat hij extreem moeilijk te vinden is. Populaire verstopplekken zijn onder meer een opbergvakje onder het zadel, de bidonhouder, een fietsbel, een fietstas, een fietsmand of bak, of - bij modellen met brede banden - tussen band en velg.

De meeste trackers geven een prima signaal af wanneer je ze verstopt achter de kunststof onderdelen van je fiets. "Wat je vooral niet moet doen, is de tracker inkapselen in metaal", legt Rene uit. "Het klinkt slim om een tracker binnenin het fietsframe te stoppen, maar waarschijnlijk kun je hem dan helemaal niet traceren."

Meer weten? Check dan: Zo vind je de beste GPS-tracker voor je e-bike

Netwerk en dekking

Ook de dekking van standaard winkeltrackers is niet altijd optimaal. Bolt noemt de techniek van Apple slim: doordat de locatie wordt bepaald via iPhones in de buurt, werkt het systeem perfect in de bebouwde kom of op drukke plekken. Zodra je de stad verlaat, is het een ander verhaal. In rustigere gebieden zijn er immers minder telefoons om verbinding mee te maken. "Zodra ik buiten de stedelijke omgeving kom," ziet hij in de praktijk, "loopt het signaal direct achter."

©Sebastian Rothe

Gespecialiseerd e-bike-trackers

Voor wie zekerheid wil, raadt Rene Bolt een gespecialiseerde e-bike-tracker aan. Deze systemen vertrouwen niet alleen op bluetooth, maar hebben ook een eigen internetverbinding én GPS. Een drievoudig systeem voor locatietracking dus.

Bekende voorbeelden zijn de Tracefy Bike Tracker of de AXA-IN Smart Guard (ontwikkeld door Conneqtech). Doordat ze meerdere technieken combineren, leveren ze bijna constant een sterk signaal, ongeacht waar de fiets staat. Via een app kunnen eigenaren hun fiets daardoor altijd volgen..

Keurmerk

Deze professionele trackers zijn wel een investering: gemiddeld ben je zo’n 200 euro kwijt aan installatie, plus een jaarlijks abonnement van een paar tientjes. “Toch biedt het wel een hoop waar voor je geld”, verdedigt Bolt de prijs. "We hebben een keurmerk elektronische e-bikebeveiliging van Kiwa en werken ook met verzekeraars samen die bij de duurdere e-bikes een tracker van deze kwaliteit verplichten."

Aangifte en opsporing

Mocht je fiets onverhoopt toch gestolen worden, dan is aangifte doen altijd de eerste stap. Dit is verplicht voordat je bij de verzekeraar kunt aankloppen. Verzekeringsmaatschappijen werken vaak samen met particuliere beveiligingsorganisaties die gespecialiseerd zijn in het terugvinden van fietsen. "Je hebt dan een goede kans dat ze je e-bike terugvinden, maakt niet uit waar hij naartoe is vervoerd", aldus Rene.

Deze professionele opsporingsteams werken overigens liever niet met trackers zoals de AirTag, omdat het delen van locatiegegevens daarbij veel omslachtiger is dan bij een gespecialiseerde tracker. Omdat e-bikes met professionele systemen zo goed gemonitord worden, krijgen ze vaak een waarschuwingssticker op het frame. Zo weten dieven direct dat er ergens een zender verstopt zit. Dit kan al een afschrikwekkend effect hebben.

©Rostislav Ageev

Budgetoptie

Wil je niet de hoofdprijs betalen voor beveiliging? Dan kun je voor minder dan tien euro al online een eenvoudige bluetooth-tracker kopen, soms zelfs inclusief slimme opbergaccessoires. Bedenk wel dat hier een risico aan zit: als de fietsendief zelf een iPhone heeft, krijgt hij mogelijk automatisch een melding dat jouw tracker met hem meereist.

Wie nog altijd met de muis door elk menu klikt of herhaaldelijk dezelfde tekst typt, verspilt ongemerkt uren per maand. Gelukkig heeft Windows een grote voorraad verborgen sneltoetsen, verfijnde muisinstellingen en gratis automatiseringstools. Daarmee voer je voortaan elke taak in een handomdraai uit.

De basis van sneller werken is leren navigeren zonder de muis te gebruiken. Begin bij de verkenner: druk op Windows-toets+E en de bestandsbeheerder springt open, ongeacht het programma waarin je zit. Wil je direct naar de adresbalk om een pad te typen, tik dan Ctrl+L. Zodra je de gewenste map hebt gekozen, open je het contextmenu met Shift+F10; dat bespaart de omweg via de rechtermuisknop.

Wisselen tussen geopende vensters gaat bliksemsnel met Alt+Tab. Houd de toetsen ingedrukt, schuif met de pijltoetsen naar het doelvenster en laat los. Werk je met veel identieke vensters, bijvoorbeeld meerdere Word-documenten? Roep deze numeriek op. Met Windows-toets+1 open of activeer je het eerste pictogram op de taakbalk. Met Windows-toets+2 doe je dat met het tweede enzovoort.

Wanneer je een bestand een andere naam wilt geven, selecteer dat dan en druk op F2 in plaats van langzaam te dubbelklikken. Herhaal je een opdracht, zoals het hernoemen van een reeks foto's, gebruik dan de functietoets telkens opnieuw als je door de lijst bladert.

Supersnelle tekst

Wie veel typt, verspilt vaak seconden aan muisgeklungel bij het selecteren van tekst. Laat dat verleden tijd worden door je selectiepaden met het toetsenbord aan te leren. Plaats de cursor aan het begin van een woord, houd Shift ingedrukt en druk op Ctrl+PijltjeRechts om in één keer het woord te selecteren. Je voegt extra woorden toe door de pijltjestoets opnieuw te gebruiken, of je kiest Ctrl+Shift+PijltjeOmlaag voor een complete alinea.

Wil je alles in een document markeren, dan blijft de toetscombinatie Ctrl+A onovertroffen. Na het selecteren is het knippen, kopiëren of plakken met respectievelijk Ctrl+X, Ctrl+C en Ctrl+V sneller dan welke contextmenu-optie dan ook. De toetscombinatie Ctrl+Shift+V wordt vaak vergeten. Hiermee plak je de tekst zonder opmaak in allerlei apps, zoals Edge, Teams en de nieuwe Notepad.

Heb je een fout gemaakt? Bekijk je aanpassingen met Ctrl+Z en herhaal een ongedaanmaking met Ctrl+Y.

Nog een kleine tijdwinst bij het tikken: gebruik Ctrl+Backspace om direct het vorige woord te wissen in plaats van letters. Door deze commando's in je spiergeheugen op te slaan, hoef je nooit naar de muis te grijpen.

Snelle muisinstellingen

Traag cursorgedrag kost meer tijd dan je denkt, maar Windows laat je de muis tot op de millimeter finetunen. Open Start, typ Muisinstellingen en klik op Muisinstellingen bovenaan de resultaten. Gebruik vervolgens Aanvullende muisinstellingen om in het klassieke venster terecht te komen.

Onder het tabblad Aanwijzeropties verplaats je de schuif Selecteer een snelheid voor de aanwijzer naar rechts. Doe dit tot de cursor de volledige breedte van het scherm kan afleggen met een ontspannen polsbeweging van vijf centimeter. Schakel Precisie van de aanwijzer verbeteren uit. Deze versnelling remt of versnelt de cursor afhankelijk van je beweging en maakt precieze kliks minder voorspelbaar.

Ga daarna terug naar het hoofdvenster en activeer Inactieve vensters schuiven. Dankzij deze functie hoef je niet langer op een venster te klikken om het eerst te activeren. Je scrolt simpelweg met het wiel boven het gewenste venster en de inhoud schuift meteen.

Vensters ordenen

Zoek je constant naar het juiste venster, dan is Snap Assist je geheime wapen. Druk op Windows-toets+PijltjeLinks of Windows-toets+PijltjeRechts om het huidige venster op de helft van het scherm te plaatsen. Windows toont als je je muis beweegt miniaturen van de resterende apps. Kies met de pijltjestoets of klik een keer om de andere helft op te vullen.

Combineer daarna Windows-toets+PijltjeOmhoog om het venster in een kwadrant te krijgen, ideaal voor drie of vier documenten naast elkaar. In Windows 11 verschijnt bij Windows-toets+Z een rastermenu. Druk direct het bijbehorende cijfer in om de positie te kiezen en je handen blijven op het toetsenbord.

Wil je alles opzij schuiven? Ga dan met de muis boven de taakbalk hangen en gebruik Windows-toets+D om het bureaublad te tonen. Herhaal de toetscombinatie om de vorige indeling terug te halen.

Voor grote projecten creëer je aparte werkomgevingen met Windows-toets+Ctrl+D. Wissel daarna via Windows-toets+Ctrl+PijltjeRechts of Windows-toets+Ctrl+PijltjeLinks. Sluit een desktop met Windows-toets+Ctrl+F4 zonder dat je programma's verliest. Met deze vensterdiscipline bespaar je tijd en voorkom je ruis.

Snel starten en zoeken

Als je elke handeling via het startmenu opzoekt, verspil je kostbare seconden. Oefen daarom met het dialoogvenster Windows-toets+R. Typ bijvoorbeeld cmd en druk op Ctrl+Shift+Enter om de opdrachtprompt direct als administrator te openen.

Wil je even snel een systeemtool opstarten? De tools msinfo32, dxdiag en powercfg.cpl liggen allemaal binnen handbereik via hetzelfde venster. Voor gewone bestanden is de toetscombinatie Windows-toets+S je ideale zoekfunctie. Nadat je een term hebt ingevoerd, gebruik je Tab om naar het filtergebied te springen en kies je met de pijltjestoetsen tussen Documenten, Mappen, Instellingen en Web. Door vervolgens op Enter te drukken, open je direct het bovenste resultaat zonder de muis te gebruiken.

Vind je niet wat je zoekt? Open dan Instellingen, navigeer met Alt+PijltjeRechts naar Privacy & Beveiliging en selecteer Zoeken in Windows. Daar kun je kiezen voor Uitgebreid zoeken. Daarmee zoek je niet alleen in de standaardmappen maar je hele pc. Door deze combinatie van snelle opdrachtregelaars en gefilterde zoekacties verschijnt elk bestand precies wanneer jij het nodig hebt, zonder vertraging of extra muisbeweging.

Sneller zonder spierpijn

Productiviteit verdampt zodra polsen of schouders protesteren, dus ergonomie is geen luxe maar voorwaarde. Begin met het toetsenbord: leg je duimen op de spatiebalk en laat je wijsvingers zweven boven F en J, zodat de afstand naar iedere sneltoets wordt verkleind. Precies, daarom zitten die voelbare streepjes op die knoppen.

Houd je pols recht en verplaats je arm vanuit je elleboog. Windows helpt mee. Werk je lang met kleine letters op hoge resolutie, roep dan met de Windows-toets+Plustoets het Vergrootglas. Met Ctrl+Alt+I kies je voor omgekeerde kleuren, waarmee je je ogen ontlast. Door comfort prioriteit te geven blijven snelheidstrucs niet alleen langer hangen, ze worden ook deel van een houdbare routine voor dagelijks computerwerk.

Werk slimmer

Je bespaart geen uren door harder te werken, maar door slimmer te klikken en bewuster te typen. De basis is simpel: houd je handen op het toetsenbord, laat Windows het zware werk doen en pas de muis aan jouw manier van bewegen aan. Met slimme sneltoetsen navigeer je razendsnel door bestanden en vensters. Met geoptimaliseerde muisinstellingen raak je nooit meer de cursor kwijt en dankzij pauzeherinneringen blijven je spieren ontspannen. Alle functies zitten al in Windows, dus je hoeft niets te installeren of beheren. Begin vandaag met één reeks toetsen, voeg er morgen een tweede aan toe enzovoort. Zo bespaar je tijd en ontzie je je spieren.

 Lees ook: Onmisbare sneltoetsen op je MacBook en iMac