Steeds meer apparaten worden 'connected'. Handig, maar er kleven ook flinke veiligheidsrisico's aan het Internet of Things. PCM zoekt uit waar de pijnpunten precies zitten.

Lees ook:Intel: 'Gebruikers moeten meer verantwoordelijkheid nemen bij IoT-aankopen'

Gedurende de afgelopen jaren ontdekten steeds meer smart-home-gebruikers dat veel verbonden apparaten helemaal niet zo zaligmakend bleken. Dergelijke apparatuur verzamelt namelijk bakken aan persoonlijke data. Wie een slimme thermostaat in huis heeft, stuurt bijvoorbeeld veel meer data naar zijn energieleverancier dan je aanvankelijk zou willen. Het gaat dan niet alleen om hoeveel energie je verbruikt, maar ook wanneer je doorgaans niet thuis bent (handige informatie voor inbrekers). Een slimme koelkast weet wat je het liefst eet, en de tandenborstel weet of je wel goed poetst - informatie die voor een zorgverzekeraar wel erg interessant is.

Die privacygevoelige gegevens zijn bovendien nauw verbonden met de beveiligingsproblemen van het IoT. Dát je energiemaatschappij die gegevens verzamelt, is tot daar aan toe. Maar het is vrijwel onmogelijk te garanderen dat ze daar veilig zijn.

"De meeste bedrijven die nu slimme apparatuur aanbieden, zijn van oudsher geen techbedrijven", vertelt de man (“een Europese programmeur”) achter het bekende Twitter-account @InternetOfShit, een account dat dagelijks belachelijk maakt hoe vergezocht én onveilig veel IoT-apparaten zijn. "Databescherming is voor hen minder vanzelfsprekend, en dat leidt tot slechte beveiliging van servers waardoor privacygevoelige gegevens eerder op straat komen te liggen."

Encryptie

De fysieke grootte van IoT-apparaten wil daarnaast ook nog problemen opleveren. Dat zit bijvoorbeeld in de encryptiestandaarden die worden gebruikt om verkeer van en naar de server en binnen de groep te versleutelen. Omdat de meeste IoT-apparaten maar een beperkte rekenkracht hebben door goedkope cpu's wordt er vaak gebruik gemaakt van een zwakkere versleuteling. Die is niet persé makkelijker te breken, maar maakt het bij bruteforce-aanvallen wel makkelijker om default-wachtwoorden zoals '1234' te kraken.

Daar komt bovendien bij dat huishoudelijke apparaten worden gebruikt voor een lange periode van meerdere jaren, en dat simpele encryptiestandaarden doorgaans niet zo'n lange levensduur hebben. Vaak blijken die na korte tijd al ingehaald door het feit dat computers steeds krachtiger worden en de versleuteling sneller kunnen kraken. Encryptie waarbij dat niet het geval is (zoals AES-256) is te log voor een doorsnee IoT-apparaat.

Daar komt bij dat veel fabrikanten de wachtwoorden van een apparaat hardcoded in de firmware zetten, en dat dat juist vaak simpele default-wachtwoorden zijn. Als het al mogelijk is die wachtwoorden te veranderen, is dat voor veel gebruikers vaak te lastig of laten ze dat liggen.

IoT-apparaten zijn ook onveilig vanwege hun connectiviteit met elkaar en met je netwerk. Omdat alle apparaten aan hetzelfde netwerk hangen, wordt het veel makkelijker om een goed beveiligde computer te infecteren via een slecht beveiligde netwerkschijf.

Updates

Een ander groot probleem is de ondersteuning die apparaten ontvangen, en de API's waarop ze draaien. Fabrikanten bieden nu witgoedapparatuur aan met een levensduur van vaak wel 20 jaar (voor bijvoorbeeld een wasmachine), maar volgens @InternetOfShit is er bij voorbaat nog niet eens nagedacht over hoe lang zulke apparatuur wordt ondersteund. Hij doelt specifiek op zaken als de API's die de apparaten gebruiken, bijvoorbeeld om verbinding te maken met externe applicaties.

Zo biedt Samsung koelkasten aan met een display waarin je je Google Calendar kunt importeren - handig in een druk huishouden. Een jaar nadat één van die koelkasten op de markt was gebracht, ontdekten beveiligingsonderzoekers dat de koelkast het wachtwoord van het bijbehorende Google-account in plaintext naar de router stuurde omdat het SSL-certificaat niet juist gevalideerd werd.

Het was daarom met een man-in-the-middle-aanval kinderlijk eenvoudig het wachtwoord te onderscheppen. Het probleem zat in het feit dat Samsung een oude API voor Google Calendar gebruikte - maar de koelkasten hebben tot op heden geen update naar de nieuwe API ontvangen.

Samsungs slimme koelkast draaide altijd op 'Family Hub 1.0', maar de nieuwe lineup die dit jaar tijdens de CES werd gepresenteerd draait al op Family Hub 2.0. Het is een legitieme vraag hoe lang versie 1.0 nog ondersteund blijft...

IoT-protocollen

Te korte ondersteuning van apparaten en slecht geïmplementeerde beveiligingsmaatregelen zijn relatief makkelijk te voorkomen. Je ziet nu al dat steeds meer smart-applicaties gebruik maken van betere opsec (operations security), door penetration testing in te zetten bij hun apparaten of door speciale privacy-experts aan te nemen. Het IoT heeft echter een groter probleem dat niet zomaar is op te lossen met meer maatregelen.

Het inherente probleem van zo veel verschillende apparaten is het gebrek aan een vaste standaard, en de wirwar van verschillende protocollen waarmee de apparaten met elkaar praten. Dat levert problemen op omdat lampen van het ene merk bijvoorbeeld niet kunnen worden gekoppeld aan thermostaten van een ander, maar het is ook inherent onveilig.

Door het gebruik van zo veel verschillende standaarden is het voor fabrikanten vaak aantrekkelijker om een 'legacy' firmware aan te houden. Die kun je heel specifiek bouwen voor juist dat ene apparaat, in plaats van dat je moet voldoen aan bepaalde eisen. Die diversiteit maakt het echter ook een stuk lastiger om uniforme updates voor bijvoorbeeld de versleuteling of de connectiviteit uit te brengen.

Er zijn verschillende initiatieven om protocollen te standaardiseren. Zo is er de AllSeen Alliance, een samenwerkingsverband waar onder andere Qualcomm, Cisco, Microsoft, HTC en LG aan werken. Zij werken samen aan AllJoyn, een standaardmanier waarmee apparaten kunnen verbinden met externe diensten of cloud-applicaties. Dat gebeurt met universele manier om data over te brengen en een algemene encryptiestandaard.

Mirai-botnet

In oktober vorig jaar bleek echter dat het Internet of Things een veel groter probleem had dan enkel de slechte bescherming van persoonsgegevens, maar dat nalatige beveiliging ook grote schade aan anderen kon toebrengen.

Op 21 oktober lag een significant deel van het internet het grootste deel van de dag plat. Websites als Twitter en Reddit, én het veelgebruikte Amazon Web Services waren niet meer te bereiken door een grootschalige aanval op DynDNS, één van de grootste dns-providers van het internet. Het ging om een DDoS-aanval waarbij de servers door 650 Gb/s aan data werden bestookt.

Voor de aanval werden miljoenen IoT-apparaten van over de hele wereld gebruikt. Die werden door het botnet ingezet om de servers van DynDNS constant met data te bestoken. Mirai infecteert IoT-apparaten met malware die de data naar een centrale command & control-server sturen.

In een analyse van de broncode van Mirai komen twee belangrijke dingen naar voren. Eerst zoekt de malware naar IoT-apparaten op internet om die vervolgens over te nemen, en vervolgens worden de IP-adressen van die apparaten gebruikt om verzoeken naar een bepaalde server te sturen. Het zoeken naar apparaten gebeurt via een grootschalige scan naar IP-adressen die verbonden zijn aan apparaten die geen computers of smartphones zijn, maar bijvoorbeeld wel connected beveiligingscamera's.

Opvallend is dat Mirai niet alleen zoekt naar onbeveiligde apparaten, maar ook 'dictionary' brute-force-aanvallen inzet om simpele wachtwoorden zoals 'root', '1234', admin' of 'default' te kraken. Zoals we al eerder konden zijn veel wachtwoorden hardcoded in de firmware en worden ze door gebruikers amper vervangen. In dat geval krijg je dergelijke standaard-wachtwoorden.

Beveiligingsonderzoekers zijn dan ook van mening dat het veranderen en toepassen van default-wachtwoorden één van de beste manieren is om dergelijke botnets te stoppen.

©PXimport

Een belangrijke kanttekening is overigens wel dat het overgrote merendeel van de gebruikte apparaten in de Mirai-aanval een IP-camera was. In tegenstelling tot bijvoorbeeld slimme wasmachines zijn verbonden (beveiligings)camera's al jaren een bekend veiligheidsrisico.

Waarschuwingen over het beveiligen van zulke apparatuur gaan al terug sinds de eerste consumentenmodellen op de markt kwamen, en sinds die tijd is er maar weinig veranderd. Open videostreams van bijvoorbeeld kinder- of huiskamers zijn nog steeds eenvoudig te vinden met een paar simpele Google-zoekopdrachten.

Goede hoop

Dat wil niet zeggen dat de opkomst van nog meer slimme apparatuur geen extra risico's met zich meebrengt. Integendeel, hoe meer apparaten op internet worden aangesloten, hoe meer mogelijkheden hackers hebben om botnets te starten, computers te infecteren of persoonsgegevens te stelen.

Toch gloort er een beetje hoop aan de horizon. Steeds meer fabrikanten zien het belang van veiligheid in bij het maken van IoT-applicaties. De industrie werkt actief aan het bouwen van (open) standaarden voor domotica, en ook consumenten raken meer bewust van het nut van beveiliging.

Er zijn nog een aantal belangrijke veranderingen die in de werkwijze van fabrikanten moet komen. Die zijn grotendeels hetzelfde als bij het maken van cloudtoepassingen, websites met databases, en hardware zoals computers en smartphones. Dat draait allemaal om aandacht voor beveiliging, en om dat probleem serieus te nemen.

Een link die nét echt lijkt, een download met verborgen rommel, een datalek bij een webshop waar je jaren geleden iets kocht… het gebeurt dagelijks en vaak zonder dat je het meteen doorhebt. Goede beveiliging voorkomt een hoop gedoe, maar hoeft gelukkig geen grote uitgave te zijn. Via CashbackXL kun je nu tot 30% geld terug krijgen op alle producten van AVG!

De beveiligingspakketten van AVG richten zich op wat je dagelijks online tegenkomt: verdachte downloads, slimme phishingtrucs, datalekken en trackers die ongemerkt informatie verzamelen. AVG Internet Security scant continu op ransomware, spyware en andere digitale dreigingen. De AI-technologie herkent nieuwe risico's vroegtijdig, terwijl links, downloads en bijlagen automatisch worden gecontroleerd. De firewall houdt indringers buiten, je webcam blijft afgesloten voor onbekende apps en bij online betalen voorkomt een extra controlelaag dat je op een nepsite belandt.

Wie meer wil doen met privacy en prestaties, vindt in AVG Ultimate een complete oplossing. De versleutelde VPN-verbinding beschermt je netwerkverkeer op zowel thuis- als openbare wifi. TuneUp houdt laptops en telefoons soepel door achtergebleven bestanden op te ruimen en software bij te werken. AntiTrack verkleint je digitale voetafdruk door minder gegevens prijs te geven aan adverteerders en websites.

Daarbuiten zijn er losse tools voor wie gericht één risico wil aanpakken. AVG Secure VPN richt zich op anonimiteit en veilige verbindingen. AVG AntiTrack helpt je identiteit te verbergen voor trackers. BreachGuard controleert of je gegevens in datalekken opduiken en ondersteunt bij het verwijderen van die informatie. AVG TuneUp zorgt dat laptops en telefoons soepel blijven draaien door achtergebleven bestanden op te ruimen, software bij te werken en opstartprocessen te stroomlijnen

🚨 Denk je nu: dat wil ik? Dan is dit hét moment. Want met de AVG-actie op CashbackXL krijg je een maar liefst 30% van je aankoopbedrag teruggestort op je rekening!

💡 Tip!

De vergoedingen van AVG willen nog wel eens veranderen en zijn erg specifiek. 
Wil je zeker weten of je op jouw bestelling cashback ontvangt? Stuur dan even een email naar info@cashbackxl.nl. 

Waarom je CashbackXL kunt vertrouwen

CashbackXL is de grootste cashback-site van Nederland. De site registreert 97 procent van alle aankopen succesvol en scoort op Kiyoh een klantwaardering van een 9,0. Je ontvangt je uitbetaling maandelijks, krijgt de hoogste cashback-percentages en kunt terecht bij een toegankelijke klantenservice.

Het is Black Friday Week bij Expert. In de winkels én online vind je hoge kortingen op televisies, laptops, wasmachines, drogers, e-readers en slimme apparaten. Dit is dus hét moment om toe te slaan. Hieronder zetten we zeven producten in de spotlight – en je ziet meteen welke korting je krijgt!

Partnerbijdrage - in samenwerking met Expert

LG 55QNED86A6A 55-inch: 4K QNED EVO-televisie

De LG 55QNED86A6A combineert QNED EVO-technologie met een 55-inch 4K-scherm voor helder beeld en nauwkeurige kleuren. De α8 AI Processor 4K optimaliseert beeld en geluid automatisch, terwijl HDR10 en HLG zorgen voor een breed dynamisch bereik. Dankzij WebOS 25 schakel je snel tussen apps, en met vier HDMI 2.1-poorten sluit je moeiteloos consoles of streamingapparaten aan. Een complete smart-tv voor films, series en gaming.

💡LG 55QNED86A6A: van 849 euro voor 675 euro

Samsung WW11DG6B25LB: grote en zuinige wasmachine

De Samsung WW11DG6B25LB heeft een ruime trommel van 11 kilo en centrifugeert met 1400 toeren. EcoBubble wast grondig op lage temperatuur en Hygiënisch Stomen verwijdert bacteriën en allergenen. Met SuperSpeed is een volle trommel in 39 minuten schoon. Het AI Display leert welke programma's je het meest gebruikt en zet die vooraan. Bovendien is het met een energieklasse van A -10% ook nog eens een zuinige wasmachine.

💡Samsung WW11DG6B25LB: van 819 euro voor 566 euro

Beko BM3T3823W: energiezuinige warmtepompdroger

De Beko BM3T3823W is een energiezuinige warmtepompdroger met een capaciteit van 8 kilo. Dankzij EcoGentle blijven kleuren mooi, terwijl het AquaWave-systeem zorgt voor een zachte trommelbeweging die slijtage beperkt. De vijftien programma's bieden opties voor uiteenlopende stoffen, van katoen tot fijne was. Het overzichtelijke LED-display toont de resterende tijd en maakt elke instelling eenvoudig.

💡Beko BM3T3823W: van 519 euro voor 433 euro

Inventum VVW6008AB: vrijstaande vaatwasser

De Inventum VVW6008AB is een praktische vrijstaande vaatwasser met ruimte voor twaalf couverts. Met een hoogte van 85 centimeter past hij onder de meeste aanrechtbladen. De indeling is overzichtelijk en de bestekmand houdt messen, vorken en lepels bij elkaar zodat alles goed schoon wordt. Een nuchtere, stille vaatwasser die ontworpen is voor dagelijks gebruik.

💡Inventum VVW6008AB: van 379 euro voor 299 euro

Acer Aspire Go 15 (AG15-42P-R6QL): allround laptop

De Acer Aspire Go 15 combineert een slank ontwerp met sterke prestaties. De AMD Ryzen 7 5825U-processor en 16 GB RAM zorgen voor soepele multitasking, terwijl de 512 GB SSD voor snelle opstarttijden zorgt. Het 15,6-inch Full HD IPS-scherm levert scherpe beelden en AMD Radeon Graphics zorgt voor verbeterde grafische prestaties. Een lichte, veelzijdige laptop voor thuis, studie en onderweg.

💡Acer Aspire Go 15 (AG15-42P-R6QL): van 599 euro voor 499 euro

Eufy Video Doorbell E340 + Chime: slimme deurbel

De Eufy Video Doorbell E340 toont wie er voor je deur staat in scherpe 1080p- of 1536p-modus. Dankzij de draadloze installatie heb je geen bedrading nodig. Via de Eufy-app bekijk je livebeelden en meldingen op je smartphone. De meegeleverde Chime zorgt dat je het signaal ook zonder telefoon hoort. Een eenvoudige manier om je huis slimmer en veiliger te maken.

💡Eufy Video Doorbell E340 + Chime: van 199 euro voor 119 euro

Kobo Libra Colour (zwart): e-reader met kleurenscherm

De Kobo Libra Colour heeft een 7-inch E Ink Kaleido 3-scherm dat omslagen, illustraties en notities in kleur weergeeft. De e-reader is waterbestendig (IPX8) en biedt 32 GB opslag voor duizenden boeken. ComfortLight PRO vermindert automatisch blauw licht voor prettig lezen. Wie met de Kobo Stylus 2 werkt (optioneel), kan notities en markeringen in kleur maken. Ideaal voor lezen thuis en onderweg.

💡Kobo Libra Colour (zwart): van 239 euro voor 209 euro