We halen steeds meer slimme apparaten in huis. Handig, maar de smart home en het internet of things hebben ook een schaduwzijde. De beveiliging van het internet als geheel gaat er niet op vooruit.
Vorige week waren veel grote websites ineens niet bereikbaar aan de oostkust van de VS. De oorzaak: een grote cyberaanval op een het Amerikaanse Dyn. Dat bedrijf beheert de servers die websiteadressen als Twitter.com omzetten in ip-adressen waarmee verbinding kan worden gemaakt.
Het is niet voor het eerst dat zulke DNS-servers worden aangevallen, en het is zeker niet voor het eerst dat een zogenoemde DDoS-aanval zorgt voor onbereikbare websites. Nieuw was wel de bron van de aanval: duizenden gehackte 'dingen' uit het internet of things (IoT), waaronder veel routers, slimme beveiligingscamera's en harddiskrecorders.
Onder het internet of things worden allerlei apparaten verstaan die verbinding kunnen maken met het internet. Het gaat onder meer om veel huishoudelijke apparaten als thermostaten, koelkasten en lampen. Maar er bestaan bijvoorbeeld ook slimme Barbies die een internetverbinding kunnen maken (en eerder al zo lek als een mandje bleken te zijn).
Volgens een analyse van beveiligingsbedrijf Level 3 zitten er zo'n 500.000 apparaten in het Mirai-botnet dat Dyn aanviel. Met name in de VS en Brazilië zijn veel gehackte apparaten onderdeel gemaakt van het kwaadaardige netwerk. Dyn denkt dat 100.000 van de apparaten betrokken waren bij de aanval op zijn servers.
Kwetsbaar
Dat IoT-apparaten kwetsbaar kunnen zijn voor hacks is al langer duidelijk, zeggen experts. Maar pas vorige maand bleek dat criminelen ook in de praktijk de mogelijkheid hebben om grote hoeveelheden gehackte apparaten in te zetten voor cyberaanvallen, toen de website van journalist Brian Krebs offline werd geforceerd.
Beveiligingsbedrijf Symantec ziet dat cybercriminelen steeds vaker op zoek gaan naar onbeveiligde IoT-gadgets. Die zijn vaak makkelijker te kraken dan pc's en smartphones, zegt directeur Robert den Drijver van Symantec Benelux.
"Het zijn vaak apparaten met een minimale bescherming, maar die wel een bepaalde bandbreedte met zich meebrengen." Die bandbreedte is belangrijk om grote hoeveelheden dataverkeer te kunnen versturen bij een DDoS-aanval. "Als je kijkt naar de beveiliging op pc's en zelfs op smartphones tegenwoordig, zie je dat het moeilijker is om daar een botnet van te maken dan van een slimme deurbel."
Prioriteit
De beveiliging van smart home-apparaten lijkt vaak geen prioriteit te hebben bij hun ontwerp. Je kunt je ook afvragen wat een hacker nou met jouw slimme lampen zou moeten. Waardevolle gegevens - het doel van de gemiddelde criminele hacker - zijn daar immers niet te vinden.
Die instelling is echter zeer kortzichtig, zeggen beveiligingsexperts. Zoals de aanval op Dyn heeft aangetoond, kunnen slecht beveiligde gadgets alsnog worden ingezet om een stroom internetverkeer op willekeurige servers af te vuren. Mogelijk kunnen criminelen ze in sommige gevallen ook inzetten om dieper in een netwerk te infiltreren en alsnog gegevens te bemachtigen.
En dan is er nog de mogelijkheid dat ransomware, schadelijke software die een apparaat 'gijzelt' en om betaling vraagt, zijn entrée maakt in het internet of things. Daar is tot nu toe in de praktijk geen sprake van, maar zou een voor de hand liggende manier kunnen zijn voor cybercriminelen om geld af te troggelen.
"Wat als jouw Tesla midden op de snelweg geïnfecteerd wordt door ransomware?", vraagt Dave Maasland, directeur Nederland van beveiligingsbedrijf ESET, zich af. "Maak even honderd euro over, dan heffen we de blokkering van je remmen op."
Er zijn maatregelen die consumenten zelf kunnen nemen om zich te beschermen: verander standaardwachtwoorden van routers en andere apparatuur. Kan een apparaat op afstand worden benaderd via internet, maar gebruik je die functie helemaal niet? Schakel dat dan uit.
Nog beter is om een speciaal wifi-netwerk voor gasten te maken, waar alle slimme gadgets mee worden verbonden, zegt Den Drijver. Zo'n netwerk kan volledig worden afgesloten van het hoofdnetwerk, waar veel gevoelige gegevens overheen stromen.
Desondanks zijn er veel lekken waar consumenten zelf niets aan kunnen doen. En veel slimme gadgets, met name de goedkopere spullen die door kleinere bedrijven worden gemaakt, worden in de steek gelaten als ze eenmaal in de winkel liggen. Beveiligingsupdates voor zulke apparaten blijven vaak uit.
Standaarden
Maasland vindt daarom dat er industriestandaarden voor de beveiliging van slimme gadgets zouden moeten komen: minimale beveiligingseisen waar aan voldaan moet worden, voordat een product op de markt komt.
"Er mag ook geen auto meer worden gemaakt zonder ABS of gordels. Waarom mogen er wel internet of things-apparaten worden gemaakt waarbij je het wachtwoord niet kan veranderen?"
Voor zulke regulering zou een internationale aanpak vereist zijn. Het heeft geen zin als Nederland strenge regels heeft voor de beveiliging van gadgets, terwijl ze over de grens allemaal lek zijn. Cybercriminelen kennen - net als het internet zelf - geen landsgrenzen.
De Europese Commissie zei eerder dit jaar onderzoek te doen naar standaardisering van het internet of things, ook op het gebied van beveiliging. Er wordt onder meer gekeken of er een "betrouwbaarheidsetiket" voor slimme apparaten kan worden ingevoerd. De Nederlandse overheid zegt zich hier actief voor in te zetten en de ontwikkelingen op internationaal niveau met interesse te volgen.
Kritieke infrastructuur
De potentiële schaal van het probleem is niet gering. Onderzoeksbureau Gartner denkt dat er aan het eind van dit jaar ruim 6 miljard aan het internet verbonden 'dingen' in gebruik zullen zijn; in 2020 zal dat aantal zijn verdrievoudigd.
Zelfs als slechts een klein percentage van die apparaten slecht beveiligd is, hebben cybercriminelen meer dan genoeg vuurkracht om (delen van) het internet compleet lam te leggen.
De aanval op Dyn heeft zwaktes in de infrastructuur van het internet blootgelegd, vindt Maasland. "Het internet is kwetsbaarder dan iedereen dacht, en we komen er nu eigenlijk achter dat we nog niet direct een oplossing hebben. Op korte termijn, in ieder geval."
Hij vergelijkt kwetsbare apparaten met bommen die bij ons thuis liggen. Samen kunnen die één allesverwoestende atoombom vormen, die kan zorgen voor veel grotere problemen dan een paar onbereikbare websites. "Wat nou als deze atoombom straks gericht is op onze kritieke infrastructuur?"
Bron: Nu.nl