Kan domotica in- en om het huis ook gehackt worden?
Om de twee weken behandelen we een vraag met betrekking tot veiligheid, privacy en virussen op al je technische apparaten.
Vraag: Ik heb thuis een slimme thermostaat en een ip-camera. Kunnen dat soort domotica-dingen eigenlijk ook gehackt worden?
Eddy: Het korte antwoord is: ja. Vooral IP-camera’s zijn veelal slecht beveiligd en er zijn dan ook al meerdere succesvolle hacks geweest. Vorig jaar was er bijvoorbeeld een worm die zeer bedreven was in het infecteren van IP-camera’s (Darlozz-worm). Niet alleen de camera’s bij mensen thuis zijn gemakkelijk en interessant om te hacken, maar vooral ook de camera’s die in winkels gericht staan op de kassa’s (zo kunnen pincodes worden afgekeken. In combinatie met skim-apparatuur in de pinautomaat, kun je zo heel wat bankrekeningen leegroven). Tot dit doel is zelfs speciale malware ontwikkeld: Backoff. Maar feitelijk is elke locatie met een slecht beveiligde IP-camera te bekijken. Bijvoorbeeld kinderdagverblijven: Camera's kinderdagverblijf makkelijk te hacken. Na een incident brengen fabrikanten vaak wel een beveiligingsupdate uit (bijvoorbeeld de Chinese fabrikant Foscam. De betreffende update verhelpt een lek waardoor een aanvaller zonder inloggegevens toegang tot de beelden en stream van de camera kan krijgen. Het gaat in dit geval om de FI8910W Foscam IP-camera). Het is echter de gebruiker zelf die ervoor moet zorgen dat hij de beveiligingsupdate ook installeert. Een andere oplossingen is om geen gebruik te maken van standaardpoorten, maar om andere poorten in te stellen. De vraagsteller heeft dus zelf waarschijnlijk meer invloed dan hij denkt als het gaat om de veiligheid van zijn IP-camera.
Voor wat betreft slimme thermostaten: de eerste hack van Nest is een feit (lees hier het artikel). Voor de huidige bekende hacks is fysieke toegang tot het apparaat nodig, dus het gevaar is op dit moment nog niet zo groot, maar zoals met alles op het gebied van cybercrime is dit, naar mijn mening, een kwestie van tijd.
Persoonlijk ben ik momenteel nog bezorgder over de data die met een app worden gedeeld, zoals bijvoorbeeld bij Energy Vikings. Met deze app verzamel je allerlei vrij gedetailleerde gegevens over je energiegebruik in de cloud. Maar hoe goed is die cloud beveiligd? En hoe goed is het verkeer van en naar die cloud versleuteld? De leveranciers blijven hier over het algemeen heel vaag over. Ik denk dat ze daar ook reden toe hebben: dit soort apps worden in de regel niet ontwikkeld met veiligheid in het achterhoofd. Omdat de informatie zo gedetailleerd is, valt er gemakkelijk uit af te leiden of je thuis bent of niet. Dat is informatie die een inbreker graag zou willen hebben. Sommige smart-apps koppelen jouw meetresultaten ook nog een aan je Google- of Apple-account, bijvoorbeeld om toegang te krijgen tot je agenda. Dat dit niet zonder gevaar is, werd eerder dit jaar duidelijk bij een slimme koelkast. De koelkast was gelinkt aan de Google-agenda van de gebruiker (als de koelkast bijvoorbeeld constateert dat de melk op is, kan hij melk toevoegen aan de boodschappenlijst in de agenda). Door gebrekkige beveiliging werden wachtwoorden van Gmailadressen van gebruikers gelekt. Ook na dit incident werd een update van de firmware beschikbaar gesteld. Maar hoeveel eigenaren van smart-koelkasten deze ook echt hebben geïnstalleerd is de grote vraag.
Wie is Eddy Willems?
Wij leggen jullie vragen voor aan onze expert Eddy Willems. Hij is bestuurslid van brancheorganisaties AMTSO en EICAR en Security Evangelist bij G Data Software. Gespecialiseerd in IT-beveiliging. Presenteert, geeft workshops en seminars over dit onderwerp, wordt regelmatig geïnterviewd en is al in meer dan 5000 artikelen in de media (print
©CIDimport
, online, radio en televisie) wereldwijd verschenen. In oktober van 2013 publiceerde hij zijn eerste boek: Cybergevaar.
Leeftijd: 53 jaar
Functie: Malware-expert
Opleiding: Informatica aan IHB en VUB
Dit artikel is op initiatief van G Data tot stand gekomen.
