Steeds meer apparaten worden 'connected'. Handig, maar er kleven ook flinke veiligheidsrisico's aan het Internet of Things. PCM zoekt uit waar de pijnpunten precies zitten.

Lees ook:Intel: 'Gebruikers moeten meer verantwoordelijkheid nemen bij IoT-aankopen'

Gedurende de afgelopen jaren ontdekten steeds meer smart-home-gebruikers dat veel verbonden apparaten helemaal niet zo zaligmakend bleken. Dergelijke apparatuur verzamelt namelijk bakken aan persoonlijke data. Wie een slimme thermostaat in huis heeft, stuurt bijvoorbeeld veel meer data naar zijn energieleverancier dan je aanvankelijk zou willen. Het gaat dan niet alleen om hoeveel energie je verbruikt, maar ook wanneer je doorgaans niet thuis bent (handige informatie voor inbrekers). Een slimme koelkast weet wat je het liefst eet, en de tandenborstel weet of je wel goed poetst - informatie die voor een zorgverzekeraar wel erg interessant is.

Die privacygevoelige gegevens zijn bovendien nauw verbonden met de beveiligingsproblemen van het IoT. Dát je energiemaatschappij die gegevens verzamelt, is tot daar aan toe. Maar het is vrijwel onmogelijk te garanderen dat ze daar veilig zijn.

"De meeste bedrijven die nu slimme apparatuur aanbieden, zijn van oudsher geen techbedrijven", vertelt de man (“een Europese programmeur”) achter het bekende Twitter-account @InternetOfShit, een account dat dagelijks belachelijk maakt hoe vergezocht én onveilig veel IoT-apparaten zijn. "Databescherming is voor hen minder vanzelfsprekend, en dat leidt tot slechte beveiliging van servers waardoor privacygevoelige gegevens eerder op straat komen te liggen."

Encryptie

De fysieke grootte van IoT-apparaten wil daarnaast ook nog problemen opleveren. Dat zit bijvoorbeeld in de encryptiestandaarden die worden gebruikt om verkeer van en naar de server en binnen de groep te versleutelen. Omdat de meeste IoT-apparaten maar een beperkte rekenkracht hebben door goedkope cpu's wordt er vaak gebruik gemaakt van een zwakkere versleuteling. Die is niet persé makkelijker te breken, maar maakt het bij bruteforce-aanvallen wel makkelijker om default-wachtwoorden zoals '1234' te kraken.

Daar komt bovendien bij dat huishoudelijke apparaten worden gebruikt voor een lange periode van meerdere jaren, en dat simpele encryptiestandaarden doorgaans niet zo'n lange levensduur hebben. Vaak blijken die na korte tijd al ingehaald door het feit dat computers steeds krachtiger worden en de versleuteling sneller kunnen kraken. Encryptie waarbij dat niet het geval is (zoals AES-256) is te log voor een doorsnee IoT-apparaat.

Daar komt bij dat veel fabrikanten de wachtwoorden van een apparaat hardcoded in de firmware zetten, en dat dat juist vaak simpele default-wachtwoorden zijn. Als het al mogelijk is die wachtwoorden te veranderen, is dat voor veel gebruikers vaak te lastig of laten ze dat liggen.

IoT-apparaten zijn ook onveilig vanwege hun connectiviteit met elkaar en met je netwerk. Omdat alle apparaten aan hetzelfde netwerk hangen, wordt het veel makkelijker om een goed beveiligde computer te infecteren via een slecht beveiligde netwerkschijf.

Updates

Een ander groot probleem is de ondersteuning die apparaten ontvangen, en de API's waarop ze draaien. Fabrikanten bieden nu witgoedapparatuur aan met een levensduur van vaak wel 20 jaar (voor bijvoorbeeld een wasmachine), maar volgens @InternetOfShit is er bij voorbaat nog niet eens nagedacht over hoe lang zulke apparatuur wordt ondersteund. Hij doelt specifiek op zaken als de API's die de apparaten gebruiken, bijvoorbeeld om verbinding te maken met externe applicaties.

Zo biedt Samsung koelkasten aan met een display waarin je je Google Calendar kunt importeren - handig in een druk huishouden. Een jaar nadat één van die koelkasten op de markt was gebracht, ontdekten beveiligingsonderzoekers dat de koelkast het wachtwoord van het bijbehorende Google-account in plaintext naar de router stuurde omdat het SSL-certificaat niet juist gevalideerd werd.

Het was daarom met een man-in-the-middle-aanval kinderlijk eenvoudig het wachtwoord te onderscheppen. Het probleem zat in het feit dat Samsung een oude API voor Google Calendar gebruikte - maar de koelkasten hebben tot op heden geen update naar de nieuwe API ontvangen.

Samsungs slimme koelkast draaide altijd op 'Family Hub 1.0', maar de nieuwe lineup die dit jaar tijdens de CES werd gepresenteerd draait al op Family Hub 2.0. Het is een legitieme vraag hoe lang versie 1.0 nog ondersteund blijft...

IoT-protocollen

Te korte ondersteuning van apparaten en slecht geïmplementeerde beveiligingsmaatregelen zijn relatief makkelijk te voorkomen. Je ziet nu al dat steeds meer smart-applicaties gebruik maken van betere opsec (operations security), door penetration testing in te zetten bij hun apparaten of door speciale privacy-experts aan te nemen. Het IoT heeft echter een groter probleem dat niet zomaar is op te lossen met meer maatregelen.

Het inherente probleem van zo veel verschillende apparaten is het gebrek aan een vaste standaard, en de wirwar van verschillende protocollen waarmee de apparaten met elkaar praten. Dat levert problemen op omdat lampen van het ene merk bijvoorbeeld niet kunnen worden gekoppeld aan thermostaten van een ander, maar het is ook inherent onveilig.

Door het gebruik van zo veel verschillende standaarden is het voor fabrikanten vaak aantrekkelijker om een 'legacy' firmware aan te houden. Die kun je heel specifiek bouwen voor juist dat ene apparaat, in plaats van dat je moet voldoen aan bepaalde eisen. Die diversiteit maakt het echter ook een stuk lastiger om uniforme updates voor bijvoorbeeld de versleuteling of de connectiviteit uit te brengen.

Er zijn verschillende initiatieven om protocollen te standaardiseren. Zo is er de AllSeen Alliance, een samenwerkingsverband waar onder andere Qualcomm, Cisco, Microsoft, HTC en LG aan werken. Zij werken samen aan AllJoyn, een standaardmanier waarmee apparaten kunnen verbinden met externe diensten of cloud-applicaties. Dat gebeurt met universele manier om data over te brengen en een algemene encryptiestandaard.

Mirai-botnet

In oktober vorig jaar bleek echter dat het Internet of Things een veel groter probleem had dan enkel de slechte bescherming van persoonsgegevens, maar dat nalatige beveiliging ook grote schade aan anderen kon toebrengen.

Op 21 oktober lag een significant deel van het internet het grootste deel van de dag plat. Websites als Twitter en Reddit, én het veelgebruikte Amazon Web Services waren niet meer te bereiken door een grootschalige aanval op DynDNS, één van de grootste dns-providers van het internet. Het ging om een DDoS-aanval waarbij de servers door 650 Gb/s aan data werden bestookt.

Voor de aanval werden miljoenen IoT-apparaten van over de hele wereld gebruikt. Die werden door het botnet ingezet om de servers van DynDNS constant met data te bestoken. Mirai infecteert IoT-apparaten met malware die de data naar een centrale command & control-server sturen.

In een analyse van de broncode van Mirai komen twee belangrijke dingen naar voren. Eerst zoekt de malware naar IoT-apparaten op internet om die vervolgens over te nemen, en vervolgens worden de IP-adressen van die apparaten gebruikt om verzoeken naar een bepaalde server te sturen. Het zoeken naar apparaten gebeurt via een grootschalige scan naar IP-adressen die verbonden zijn aan apparaten die geen computers of smartphones zijn, maar bijvoorbeeld wel connected beveiligingscamera's.

Opvallend is dat Mirai niet alleen zoekt naar onbeveiligde apparaten, maar ook 'dictionary' brute-force-aanvallen inzet om simpele wachtwoorden zoals 'root', '1234', admin' of 'default' te kraken. Zoals we al eerder konden zijn veel wachtwoorden hardcoded in de firmware en worden ze door gebruikers amper vervangen. In dat geval krijg je dergelijke standaard-wachtwoorden.

Beveiligingsonderzoekers zijn dan ook van mening dat het veranderen en toepassen van default-wachtwoorden één van de beste manieren is om dergelijke botnets te stoppen.

©PXimport

Een belangrijke kanttekening is overigens wel dat het overgrote merendeel van de gebruikte apparaten in de Mirai-aanval een IP-camera was. In tegenstelling tot bijvoorbeeld slimme wasmachines zijn verbonden (beveiligings)camera's al jaren een bekend veiligheidsrisico.

Waarschuwingen over het beveiligen van zulke apparatuur gaan al terug sinds de eerste consumentenmodellen op de markt kwamen, en sinds die tijd is er maar weinig veranderd. Open videostreams van bijvoorbeeld kinder- of huiskamers zijn nog steeds eenvoudig te vinden met een paar simpele Google-zoekopdrachten.

Goede hoop

Dat wil niet zeggen dat de opkomst van nog meer slimme apparatuur geen extra risico's met zich meebrengt. Integendeel, hoe meer apparaten op internet worden aangesloten, hoe meer mogelijkheden hackers hebben om botnets te starten, computers te infecteren of persoonsgegevens te stelen.

Toch gloort er een beetje hoop aan de horizon. Steeds meer fabrikanten zien het belang van veiligheid in bij het maken van IoT-applicaties. De industrie werkt actief aan het bouwen van (open) standaarden voor domotica, en ook consumenten raken meer bewust van het nut van beveiliging.

Er zijn nog een aantal belangrijke veranderingen die in de werkwijze van fabrikanten moet komen. Die zijn grotendeels hetzelfde als bij het maken van cloudtoepassingen, websites met databases, en hardware zoals computers en smartphones. Dat draait allemaal om aandacht voor beveiliging, en om dat probleem serieus te nemen.

De volgende Nintendo Direct wordt waarschijnlijk een... Partner Showcase. Cody en Jacco bespreken wat dit betekent voor de line-up van Nintendo dit jaar, en welke games we dan verwachten.

Ook: censuur in Dispatch, Rayman-klassiekers, NSO-strategie, Beast of Reincarnation.

Kom bij onze Discord. Via ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠deze link⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠kan je met ons en andere luisteraars kletsen over games, deals, nieuws en meer.

Wil je zelf ook een vraag insturen of heb je iets leuks om te melden? Dat kan! Stuur een mailtje naar bonuslevelcast@gmail.com (of bonuslevelkast@gmail.com of bonuslevelqast@gmail.com) en wellicht hoor je jezelf terug in de volgende aflevering!

YouTube staat vol met uitstekende cursussen, maar zonder plan van aanpak raak je al snel verdwaald in het woud aan losse video's, autoplay en aanbevelingen. De oplossing is leren aanpakken als project. Maakt eigen afspeellijsten, plan kijktijd alsof het lesuren zijn en combineer video's met slimme notities. Met onze tips wordt YouTube je ideale onlinedocent.

Gestructureerd leren betekent dat je YouTube gebruikt als lesomgeving met duidelijke doelen en vaste leerroutes, in plaats van willekeurig te klikken van video naar video. Je bouwt aan één doorlopend cursustraject per onderwerp, zodat je elke sessie precies weet wat je gaat kijken, waarom dat relevant is en hoe je de informatie onthoudt.

YouTube kent naast losse instructiefilmpjes ook complete series met hoofdstukken, tijdcodes en zelfs volwaardige cursussen. Via YouTube Studio kunnen mensen hele cursussen publiceren. Als kijker is dat fijn, want ze bestaan uit overzichtelijke reeksen met duidelijke titels en een logische volgorde. Zoek je bijvoorbeeld naar 'Python course' of 'Excel cursus', dan kun je selectief kiezen voor kanalen die een complete serie aanbieden. Als een video verdeeld is in losse hoofdstukken, zie je die als markeringen in de voortgangsbalk en kun je gericht naar andere onderdelen springen. Dat maakt een lange les behapbaar en navigeerbaar.

Wat wil je leren?

Log in op YouTube en begin met een concreet leerdoel. Denk aan iets als formules in Excel toepassen of websites leren maken. Noteer het resultaat dat je wilt bereiken en de tijd die je per week eraan kunt besteden. Open daarna YouTube en zoek op het onderwerp in combinatie met woorden als cursus, beginner of playlist. Klik bij een veelbelovend resultaat op de pagina en controleer of er afspeellijsten zijn die logisch geordend zijn. Kijk of er recente uploads zijn, of de beschrijving bronnen bevat en of er ondertiteling of transcripts (uitgeschreven teksten) beschikbaar zijn.

Zet eventueel ondertiteling aan door linksboven te klikken op de drie streepjes, en klik dan op Instellingen / Afspelen en prestaties / Altijd ondertiteling tonen; zo kun je meelezen en lastige termen terugzoeken. Je opent de beschrijving van de video door in de grijze balk eronder te klikken op Meer. Klik op Transcript tonen in de beschrijving om de volledige tekst met tijdcodes te zien; met de zoekbalk boven het transcript spoor je trefwoorden snel op en spring je naar het juiste moment in de video. Deze functie werkt overigens bij lang niet alle video's.

Tot slot controleer je of de video hoofdstukken heeft; zie je horizontale streepjes in de voortgangsbalk onder de video, dan kun je per onderdeel navigeren.

Maak lijsten

Je hebt nu je cursus gekozen; tijd om je leeromgeving te bouwen. Open de eerste les en klik onder de video op de drie puntjes, dan op Opslaan/Nieuwe playlist. Geef je playlist een duidelijke naam, en kies de zichtbaarheid. Open de playlist via een klik op het rondje rechtsboven (waar je foto wellicht in staat) en Je kanaal bekijken. Dan klik je op Playlists en de betreffende aangemaakt afspeellijst om nieuwe video's toe te voegen en de volgorde aan te passen door video's te verslepen; zo bewaak je de opbouw.

Alles wat je wel interessant lijkt, maar nog niet op de hoofdlijn past, parkeer je in Later bekijken. Dat is de plek met materiaal om later te sorteren. Je voegt nieuwe video's eraan toe tijdens het kijken door te klikken op Opslaan / Later bekijken.

Werk dit onderdeel wekelijks bij: wat echt bij de cursus hoort, verplaats je naar je leerplaylist, de rest gaat weg. Zo blijft je cursus schoon en maak je het jezelf eenvoudig om snel te bekijken video's te scheiden van video's die misschien voor later interessant zijn.

Je kunt ook video's markeren om achter elkaar te worden afgespeeld. Dat doe je door in het overzicht van video's te klikken op de drie puntjes rechts van de video. Kies dan voor je Toevoegen aan wachtrij.

Lees ook: Van kijken tot streamen: zo gebruik je YouTube voor jouw wensen

Van kijktijd naar studieblokken

Nu je playlist er staat, maak je een realistisch studierooster. Behandel de totale kijktijd als lesuren en plan daarnaast verwerkingstijd voor pauzes, aantekeningen en oefeningen. Open je playlist en bekijk hoelang de video's duren. Bepaal per sessie een doel, zoals de eerste twee video's bekijken en samenvatten. Streef naar blokken van 25 tot 45 minuten, gevolgd door een korte pauze.

Op de computer kunt je met de eerdergenoemde optie Toevoegen aan wachtrij een reeks video's klaarzetten. Je slaat deze tijdelijke playlist op via een klik op de drie puntjes naast de video in het overzicht en dan op Opslaan in playlist. Zo heb je voor elk moment een 'pakket' klaarstaan.

Slaat YouTube je rij niet op, dan gebruik je Opslaan in Later bekijken als wachtkamer en sleep je de selectie daarna in je leerplaylist. Houd rekening met herhaling: plan per twee of drie kijkblokken één blok om terug te spoelen, lastige stukken in lagere snelheid te herbekijken en je notities bij te werken.

Slimmer kijken

Tijdens het kijken wil je ook echt begrijpen wat je ziet en hoort. Klik rechtsonder in de speler op afbeelding van een tandwiel en dan op Ondertiteling om ondertitels in te schakelen; kies eventueel een andere stijl of grotere letters in de ondertitelingsopties. Past het tempo niet, kies dan Instellingen / Afspeelsnelheid en schakel bijvoorbeeld naar 1.25x voor bekende stof of 0.75x bij complexe uitleg.

Heeft de video hoofdstukken, dan zie je streepjes in de voortgangsbalk; beweeg de muis over de balk om titels te lezen en spring gericht naar het juiste onderdeel. Op een mobiel apparaat kun je met 'precies zoeken' nauwkeurige miniatuurbeelden oproepen door vanaf de voortgangsbalk iets omhoog te vegen; dat helpt bij het exact terugvinden van een stuk.

Verwerken van de lesstof

Wat je onthoudt, hangt af van wat je met de informatie doet. Gebruik tijdstempels in je notities, zodat je altijd terug kunt naar het juiste moment. Pauzeer op een belangrijk moment, klik met de rechtermuisknop in de speler en kies Video-URL kopiëren vanaf huidig tijdstip en plak die link in je notities; veel apps maken er automatisch een klikbare link van. Zet boven elk kopje je leerdoel van dat fragment in één zin en noteer daarna in je eigen woorden wat je ervan begrepen hebt.

Tijdens het terugkijken helpt het toetsenbord: pauzeer met de spatiebalk of een druk op K, spoel 10 seconden terug met J of vooruit met I, ga sneller met / en langzamer met <, ga naar de volgende hoofdstukken met Ctrl+PijltjeRechts (Windows) of Option+PijltjeRechts (Mac) en open de sneltoetsenlijst met Shift+?. Zo wissel je razendsnel tussen kijken en noteren zonder je muis te hoeven gebruiken.

Blijf het algoritme de baas

YouTube geeft bij video's aanbevelingen voor andere filmpjes. Voer daarom gerichte zoekopdrachten uit en voeg alleen video's toe die je doel ondersteunen. Als je op de resultaatpagina staat, gebruik je de beschikbare filters en klik je pas daarna een video open; zo voorkom je dat je impulsief iets anders bekijkt.

Omdat YouTube regelmatig functies test en verplaatst, kan de exacte plek van knoppen of filters variëren; laat je daardoor niet uit het veld slaan en controleer de helpteksten wanneer iets ineens anders werkt.

Houd je startpagina schoon door doelbewust te kijken, ongepaste suggesties te markeren en vooral je Later bekijken-inbox te blijven opschonen. Blijkt een rij video's toch waardevol, sla die op als nieuwe afspeellijst via de drie puntjes en Opslaan in playlist. En als je echt de rust in je overzicht wilt bewaren, overweeg dan om een apart Google-account te gebruiken om in te loggen, zodat je 'studie-algoritme' niet wordt beïnvloed door de andere video's die je bekijkt.

Kennis onderhouden

Als je alle tips toepast, ontwikkel je een routine om optimaal te profiteren van de kennis die je opdoet tijdens het bekijken van de video, de stof samenvatten en herhalen en jezelf toetsen. Een logische vervolgstap is om één nieuw onderwerp te kiezen en de aanpak van dit artikel precies één maand vol te houden; evalueer daarna en schaaf je format bij. Zo groeit YouTube mee met jouw vaardigheden, in plaats van andersom.