Steeds meer apparaten worden 'connected'. Handig, maar er kleven ook flinke veiligheidsrisico's aan het Internet of Things. PCM zoekt uit waar de pijnpunten precies zitten.

Lees ook:Intel: 'Gebruikers moeten meer verantwoordelijkheid nemen bij IoT-aankopen'

Gedurende de afgelopen jaren ontdekten steeds meer smart-home-gebruikers dat veel verbonden apparaten helemaal niet zo zaligmakend bleken. Dergelijke apparatuur verzamelt namelijk bakken aan persoonlijke data. Wie een slimme thermostaat in huis heeft, stuurt bijvoorbeeld veel meer data naar zijn energieleverancier dan je aanvankelijk zou willen. Het gaat dan niet alleen om hoeveel energie je verbruikt, maar ook wanneer je doorgaans niet thuis bent (handige informatie voor inbrekers). Een slimme koelkast weet wat je het liefst eet, en de tandenborstel weet of je wel goed poetst - informatie die voor een zorgverzekeraar wel erg interessant is.

Die privacygevoelige gegevens zijn bovendien nauw verbonden met de beveiligingsproblemen van het IoT. Dát je energiemaatschappij die gegevens verzamelt, is tot daar aan toe. Maar het is vrijwel onmogelijk te garanderen dat ze daar veilig zijn.

"De meeste bedrijven die nu slimme apparatuur aanbieden, zijn van oudsher geen techbedrijven", vertelt de man (“een Europese programmeur”) achter het bekende Twitter-account @InternetOfShit, een account dat dagelijks belachelijk maakt hoe vergezocht én onveilig veel IoT-apparaten zijn. "Databescherming is voor hen minder vanzelfsprekend, en dat leidt tot slechte beveiliging van servers waardoor privacygevoelige gegevens eerder op straat komen te liggen."

Encryptie

De fysieke grootte van IoT-apparaten wil daarnaast ook nog problemen opleveren. Dat zit bijvoorbeeld in de encryptiestandaarden die worden gebruikt om verkeer van en naar de server en binnen de groep te versleutelen. Omdat de meeste IoT-apparaten maar een beperkte rekenkracht hebben door goedkope cpu's wordt er vaak gebruik gemaakt van een zwakkere versleuteling. Die is niet persé makkelijker te breken, maar maakt het bij bruteforce-aanvallen wel makkelijker om default-wachtwoorden zoals '1234' te kraken.

Daar komt bovendien bij dat huishoudelijke apparaten worden gebruikt voor een lange periode van meerdere jaren, en dat simpele encryptiestandaarden doorgaans niet zo'n lange levensduur hebben. Vaak blijken die na korte tijd al ingehaald door het feit dat computers steeds krachtiger worden en de versleuteling sneller kunnen kraken. Encryptie waarbij dat niet het geval is (zoals AES-256) is te log voor een doorsnee IoT-apparaat.

Daar komt bij dat veel fabrikanten de wachtwoorden van een apparaat hardcoded in de firmware zetten, en dat dat juist vaak simpele default-wachtwoorden zijn. Als het al mogelijk is die wachtwoorden te veranderen, is dat voor veel gebruikers vaak te lastig of laten ze dat liggen.

IoT-apparaten zijn ook onveilig vanwege hun connectiviteit met elkaar en met je netwerk. Omdat alle apparaten aan hetzelfde netwerk hangen, wordt het veel makkelijker om een goed beveiligde computer te infecteren via een slecht beveiligde netwerkschijf.

Updates

Een ander groot probleem is de ondersteuning die apparaten ontvangen, en de API's waarop ze draaien. Fabrikanten bieden nu witgoedapparatuur aan met een levensduur van vaak wel 20 jaar (voor bijvoorbeeld een wasmachine), maar volgens @InternetOfShit is er bij voorbaat nog niet eens nagedacht over hoe lang zulke apparatuur wordt ondersteund. Hij doelt specifiek op zaken als de API's die de apparaten gebruiken, bijvoorbeeld om verbinding te maken met externe applicaties.

Zo biedt Samsung koelkasten aan met een display waarin je je Google Calendar kunt importeren - handig in een druk huishouden. Een jaar nadat één van die koelkasten op de markt was gebracht, ontdekten beveiligingsonderzoekers dat de koelkast het wachtwoord van het bijbehorende Google-account in plaintext naar de router stuurde omdat het SSL-certificaat niet juist gevalideerd werd.

Het was daarom met een man-in-the-middle-aanval kinderlijk eenvoudig het wachtwoord te onderscheppen. Het probleem zat in het feit dat Samsung een oude API voor Google Calendar gebruikte - maar de koelkasten hebben tot op heden geen update naar de nieuwe API ontvangen.

Samsungs slimme koelkast draaide altijd op 'Family Hub 1.0', maar de nieuwe lineup die dit jaar tijdens de CES werd gepresenteerd draait al op Family Hub 2.0. Het is een legitieme vraag hoe lang versie 1.0 nog ondersteund blijft...

IoT-protocollen

Te korte ondersteuning van apparaten en slecht geïmplementeerde beveiligingsmaatregelen zijn relatief makkelijk te voorkomen. Je ziet nu al dat steeds meer smart-applicaties gebruik maken van betere opsec (operations security), door penetration testing in te zetten bij hun apparaten of door speciale privacy-experts aan te nemen. Het IoT heeft echter een groter probleem dat niet zomaar is op te lossen met meer maatregelen.

Het inherente probleem van zo veel verschillende apparaten is het gebrek aan een vaste standaard, en de wirwar van verschillende protocollen waarmee de apparaten met elkaar praten. Dat levert problemen op omdat lampen van het ene merk bijvoorbeeld niet kunnen worden gekoppeld aan thermostaten van een ander, maar het is ook inherent onveilig.

Door het gebruik van zo veel verschillende standaarden is het voor fabrikanten vaak aantrekkelijker om een 'legacy' firmware aan te houden. Die kun je heel specifiek bouwen voor juist dat ene apparaat, in plaats van dat je moet voldoen aan bepaalde eisen. Die diversiteit maakt het echter ook een stuk lastiger om uniforme updates voor bijvoorbeeld de versleuteling of de connectiviteit uit te brengen.

Er zijn verschillende initiatieven om protocollen te standaardiseren. Zo is er de AllSeen Alliance, een samenwerkingsverband waar onder andere Qualcomm, Cisco, Microsoft, HTC en LG aan werken. Zij werken samen aan AllJoyn, een standaardmanier waarmee apparaten kunnen verbinden met externe diensten of cloud-applicaties. Dat gebeurt met universele manier om data over te brengen en een algemene encryptiestandaard.

Mirai-botnet

In oktober vorig jaar bleek echter dat het Internet of Things een veel groter probleem had dan enkel de slechte bescherming van persoonsgegevens, maar dat nalatige beveiliging ook grote schade aan anderen kon toebrengen.

Op 21 oktober lag een significant deel van het internet het grootste deel van de dag plat. Websites als Twitter en Reddit, én het veelgebruikte Amazon Web Services waren niet meer te bereiken door een grootschalige aanval op DynDNS, één van de grootste dns-providers van het internet. Het ging om een DDoS-aanval waarbij de servers door 650 Gb/s aan data werden bestookt.

Voor de aanval werden miljoenen IoT-apparaten van over de hele wereld gebruikt. Die werden door het botnet ingezet om de servers van DynDNS constant met data te bestoken. Mirai infecteert IoT-apparaten met malware die de data naar een centrale command & control-server sturen.

In een analyse van de broncode van Mirai komen twee belangrijke dingen naar voren. Eerst zoekt de malware naar IoT-apparaten op internet om die vervolgens over te nemen, en vervolgens worden de IP-adressen van die apparaten gebruikt om verzoeken naar een bepaalde server te sturen. Het zoeken naar apparaten gebeurt via een grootschalige scan naar IP-adressen die verbonden zijn aan apparaten die geen computers of smartphones zijn, maar bijvoorbeeld wel connected beveiligingscamera's.

Opvallend is dat Mirai niet alleen zoekt naar onbeveiligde apparaten, maar ook 'dictionary' brute-force-aanvallen inzet om simpele wachtwoorden zoals 'root', '1234', admin' of 'default' te kraken. Zoals we al eerder konden zijn veel wachtwoorden hardcoded in de firmware en worden ze door gebruikers amper vervangen. In dat geval krijg je dergelijke standaard-wachtwoorden.

Beveiligingsonderzoekers zijn dan ook van mening dat het veranderen en toepassen van default-wachtwoorden één van de beste manieren is om dergelijke botnets te stoppen.

©PXimport

Een belangrijke kanttekening is overigens wel dat het overgrote merendeel van de gebruikte apparaten in de Mirai-aanval een IP-camera was. In tegenstelling tot bijvoorbeeld slimme wasmachines zijn verbonden (beveiligings)camera's al jaren een bekend veiligheidsrisico.

Waarschuwingen over het beveiligen van zulke apparatuur gaan al terug sinds de eerste consumentenmodellen op de markt kwamen, en sinds die tijd is er maar weinig veranderd. Open videostreams van bijvoorbeeld kinder- of huiskamers zijn nog steeds eenvoudig te vinden met een paar simpele Google-zoekopdrachten.

Goede hoop

Dat wil niet zeggen dat de opkomst van nog meer slimme apparatuur geen extra risico's met zich meebrengt. Integendeel, hoe meer apparaten op internet worden aangesloten, hoe meer mogelijkheden hackers hebben om botnets te starten, computers te infecteren of persoonsgegevens te stelen.

Toch gloort er een beetje hoop aan de horizon. Steeds meer fabrikanten zien het belang van veiligheid in bij het maken van IoT-applicaties. De industrie werkt actief aan het bouwen van (open) standaarden voor domotica, en ook consumenten raken meer bewust van het nut van beveiliging.

Er zijn nog een aantal belangrijke veranderingen die in de werkwijze van fabrikanten moet komen. Die zijn grotendeels hetzelfde als bij het maken van cloudtoepassingen, websites met databases, en hardware zoals computers en smartphones. Dat draait allemaal om aandacht voor beveiliging, en om dat probleem serieus te nemen.

Met de Dyson V16 Piston Animal kun je draadloos stofzuigen én dweilen, mits je het dweilopzetstuk er ook bij koopt. Dyson mikt met deze steelstofzuiger op huishoudens met dieren, maar de antiklitborstels blijken ook handig om lange menselijke haren op te zuigen. Een review van deze twee-in-één-gadget.

Dyson staat bekend om zijn premium apparatuur met stevige prijzen, en dat is bij de V16 Piston Animal niet anders. De stofzuiger heeft een adviesprijs van 849 euro. Wil je daar ook de Submarine-dweilborstel bij, dan ben je in totaal bijna 1000 euro kwijt. Dyson kennende zullen deze prijzen binnen een jaar wel enigszins dalen, waardoor de V16 Piston Animal een betere prijs-kwaliteitverhouding krijgt.

Verbeterd ontwerp

Het ontwerp van de stofzuiger steekt goed in elkaar. De kunststof behuizing voelt degelijk aan en heeft een matzwarte afwerking, wat wij persoonlijk mooier vinden dan het grijs van voorgaande Dyson-stofzuigers. De verwijderbare batterij aan de onderkant blijft een goede zet, net als het lcd-schermpje in je gezichtsveld. Op dit scherm zie je hoelang je nog kunt stofzuigen (of dweilen) en via grafieken welk soort vuil je opzuigt.

©Rens Blom

Het is fijn dat je het HEPA-filter aan de achterzijde van de stofzuiger kunt losdraaien om hem te wassen. Zo blijft de stofzuiger op de lange termijn zelf zo schoon mogelijk.

©Rens Blom

Een prettige verbetering in de V16 Piston Animal ten opzichte van vorige geteste Dyson-modellen is het stofreservoir. De draadloze steelstofzuiger heeft een opvangbak van 1,3 liter. Door een hendeltje te gebruiken, pers je het opgezogen vuil samen en raakt het stofreservoir minder snel vol. Wanneer je het stofreservoir boven je vuilnisbak leegt, valt de inhoud netjes naar beneden. Bij andere geteste Dyson-stofzuigers wil het vuil door de kracht van het geopende stofreservoir nog weleens in een cirkel omlaag dwarrelen, waardoor een deel buiten je vuilnisbak belandt. Het is goed om te zien dat Dyson hiervan heeft geleerd.

©Rens Blom

Haren opzuigen

Effectieve stofzuigers bouwen doet Dyson al jaren, en daar vormt de V16 Piston Animal geen uitzondering op. De ster van de show is een nieuwe brede zuigmond met een speciale structuur om lange haren op te zuigen zonder dat ze vastklitten in de bewegende onderdelen van het mondstuk. Dat mondstuk werkt als een trein, hebben we de afgelopen vier weken gemerkt in een huishouden met twee verharende katten, een nog erger verharende oppashond én een vriendin met lang haar. De V16 Piston Animal zuigt de complete vloer schoon, waarbij delen van kattenbakkorrels, broodkruimels, ander vuil en dus al die haren soepel de stofzuiger in verdwijnen. Dat is best een prettig aanzicht, zeker dankzij het ingebouwde laserlicht dat een deel van je vloer groen laat oplichten om beter te zien wat je opzuigt.

©Rens Blom

Slim aan die vernieuwde brede zuigmond is dat hij werkt op harde vloeren én tapijt of een kleed. De stofzuiger past zijn manier van zuigen aan als hij een andere ondergrond detecteert. Je kunt in één moeite dus je hele kamer stofzuigen, wat een fijne manier van werken is die past bij de hoge prijs van de stofzuiger.

Dyson levert de V16 Piston Animal met drie extra opzetstukken. Een langere, smallere zuigmond tovert de stofzuiger om tot een flinke kruimeldief, terwijl de twee-in-één-zuigmond bedoeld is voor tafels, traptreden en andere kleine oppervlakken. Het meest interessant vinden we een kleine zuigmond met dezelfde antiklitconstructie als de grote zuigmond. Deze kleine zuigmond leent zich goed om de bank, stoelen en je matras te stofzuigen.

©Rens Blom

De Dyson V16 Piston Animal heeft drie zuigmodi: de zuinige ecostand, de automatische stand en de boost-modus voor maximale zuigkracht. De automatische stand is het nuttigst, want die schakelt automatisch naar boost zodra hij veel vuil tegenkomt. Wij konden de stofzuiger zo'n 60 minuten gebruiken op de automatische stand. De accu opladen duurt grofweg vierenhalf uur.

Dweilen vraagt om versie 3

Voor 149 euro extra koop je de V16 Piston Animal met een dweilmond, door Dyson de Submarine 2.0 genoemd. Dat komt omdat er al een dweil met Submarine 1.0-techniek is, die overigens niet werkt met de V16 Piston Animal. Andersom kun je de 2.0-dweil niet gebruiken met vorige Dyson-apparaten. Makkelijk upgraden of uitwisselen zit er dus niet in.

©Rens Blom

Over de 1.0-dweil waren we niet heel enthousiast, en hoewel de 2.0-versie beter is, blijft het dweilen wat wiebelig en krijgen we snel strepen. De waterbak legen is wel eenvoudiger. Al met al een prima gadget om de vloer even op te frissen, maar een serieuze dweil biedt nog steeds beter resultaat.

©Rens Blom

Conclusie: Dyson V16 Piston Animal kopen?

De Dyson V16 Piston Animal is een krachtige en complete steelstofzuiger voor mensen met huisdieren en/of lange haren. De stevige prijs is begrijpelijk, maar niet mals. Dat kan wachten op een aanbieding de moeite waard kan maken. De optionele dweilmond à 149 euro weet ons niet helemaal te overtuigen.

JBL breidt zijn Junior-serie uit met de JBL Junior FREE, de eerste open-ear koptelefoon van het merk die speciaal is ontworpen voor kinderen. Het model combineert een open ontwerp met ouderlijk toezicht via een app en een maximale geluidssterkte van 85 decibel, zodat kinderen veilig kunnen luisteren zonder volledig afgesloten te zijn van hun omgeving.

De Junior FREE maakt gebruik van JBL's OpenSound-technologie, waarbij geluid via luchttrillingen naar het oor wordt geleid zonder de gehoorgang af te sluiten. Daardoor horen kinderen nog wat er om hen heen gebeurt, wat handig is tijdens huiswerk of onderweg. Tegelijkertijd beperkt de ingebouwde JBL Safe Sound-functie het volume tot 85 decibel, een niveau dat als veilig wordt beschouwd voor jonge oren. Ouders kunnen via de JBL Headphones-app het volume en de luistertijd in real-time volgen, en krijgen dagelijkse of wekelijkse rapporten over gebruik en geluidsblootstelling.

Het ontwerp is afgestemd op kinderen: lichtgewicht, flexibel en gemaakt van zacht siliconenmateriaal. De open-ear constructie rust op het oor in plaats van erin, wat volgens JBL extra comfort biedt bij langdurig gebruik. De grotere knoppen maken de bediening eenvoudig, en de spatwaterdichte behuizing (IPX4) moet de koptelefoon bestand maken tegen dagelijkse ongelukjes. De batterij houdt het tot tien uur vol, en met tien minuten opladen komt daar nog eens drie uur bij.

JBL heeft ook gedacht aan speelse details. De verpakking kan worden omgevormd tot een telefoonstandaard en in de doos zitten stickers waarmee kinderen hun koptelefoon kunnen versieren.

©JBL

De JBL Junior FREE is vanaf november verkrijgbaar in paars, turquoise en perzik. De adviesprijs is 69,99 euro.