Internet der onveilige dingen

Internet der onveilige dingen
12 maart 2017 om 09:00
Laatste update: 26 april 2018 om 23:22

Het Internet of Things heeft een groot probleem: beveiliging.

Een universiteitsnetwerk dat werd aangevallen door gehackte slimme lantaarnpalen en snoepautomaten. Een high-tech teddybeer die miljoenen opnames van kinderen lekte. En een massale internetaanval door onbeveiligde bewakingscamera's. Er duiken steeds meer voorbeelden op van de risico's van het Internet of Things (IoT). En dat terwijl het aantal verbonden apparaten de komende jaren verviervoudigt, tot 20 miljard in 2020, zo voorspelt onderzoeksbureau Gartner.

IoT is de wereld van verbonden apparaten, die autonoom met elkaar communiceren en onderling informatie uitwisselen. De mogelijkheden zijn eindeloos. Zo kunnen IoT-apparaten inzicht geven in de efficiëntie en dienstverlening van overheden, de maakindustrie en transportsector. Bij je thuis zorgt IoT dat bijvoorbeeld je alarmsysteem, thermostaat en verlichting met elkaar kunnen praten. Inmiddels zijn er meer verbonden apparaten dan mensen. Dot komt doordat hardware steeds makkelijker en goedkoper is om te maken, zegt Martin Aarts van IoT-platform Yookr. "Ook zorgen nieuwe netwerkprotocollen dat je lokaal geen netwerkinfrastructuur meer hoeft te hebben. Apparaten kunnen overal verbinding maken, ongeacht waar je ze neerzet." 

Maar de beveiliging is een groot probleem. HP-onderzoekers schatten dat 70 procent van alle IoT-devices lek was, wat ze kwetsbaar maakt voor hacken. "Als je een apparaat op het internet wilt aanbieden, moet je je altijd afvragen of dat wel noodzakelijk is. Vaak worden ze out-of-the-box aangesloten en levert de fabrikant geen actieve ondersteuning, waardoor devices op een gegeven moment op het publieke internet verschijnen en een aantrekkelijk doelwit voor hackers worden", zegt security-onderzoeker Han Sahin van Securify.

Prioriteiten

Anno 2017 heeft praktisch elk nieuw elektronisch apparaat de mogelijkheid om met het internet te verbinden. Bij consumentenproducten is de toegevoegde waarde vaak ver te zoeken, getuige de vele hilarische voorbeelden op Twitter-account @InternetOfShit. Is het wenselijk dat speelgoed, kleding en je koffiemachine 'connected' zijn? Het is een vraag die Victor Gevers van GDI.Foundation zich regelmatig stelt. Hij ontdekte dat bijna 67.000 'slimme' babycamera’s zonder veel moeite toegankelijk waren: de inloggegevens voor zowel de camera als serviceprovider stonden gewoon online. 

"In de race om als eerste een innovatief IoT-device op de markt te brengen, zijn bedrijven meer gericht op functionaliteit en gebruiksgemak, dan op beveiliging en privacy", aldus security-expert Vincent Toms, eveneens van GDI.Foundation. "Bij de beveiliging gaat het op meerdere vlakken fout. Zo wordt gebruikgemaakt van onbeveiligde protocollen voor communicatie en zijn de apparaten zelf inherent onveilig." Sahin beaamt dat: "Security van verbonden apparaten heeft lang niet altijd prioriteit. Soms wordt pas aan het einde van de ontwikkeling gekeken of de veiligheid acceptabel is. Sommige beveiligingsrisico's worden zelfs op de koop toe genomen als bestrijding ervan het op de markt brengen van een product vertraagt."

Lek

Toch denkt Sahin dat IoT wel degelijk voordelen kan bieden. "Denk aan een voertuig, dat een signaal naar hulpdiensten stuurt als het betrokken raakt bij een ongeluk. Of systemen die simpele processen in de industriële sector automatiseren en altijd verbonden moeten zijn.” Veel IoT-apparaten draaien echter op energiezuinige, en relatief eenvoudige hardware die niet overweg kan met encryptie. Een IoT-device dat wordt toegevoegd aan een netwerk, brengt daardoor beveiligingsrisico's met zich mee. 

Vaak is het nog maar de vraag of een beveiligingslek wordt gedicht, omdat de prioriteit van fabrikanten elders ligt. Geen van de leveranciers van de babycamera's die Victor Gevers informeerde, nam de moeite om klanten te informeren om hun wachtwoord aan te passen. Er zijn enorm veel IoT-platforms waaruit je kunt kiezen en het is lastig te bepalen hoe die omgaan met de verzamelde data en of ze gebruikmaken van veilige communicatieprotocollen.

Yookr neemt volgens Martin Aarts veel van die zorgen weg door security als speerpunt te nemen. "We bieden een parapluplatform dat alle andere platformen veilig aan elkaar knoopt. Gebruikers loggen in op een versleutelde cloudomgeving waar ze inzicht krijgen in de data van hun IoT-apparatuur. Alle gegevens blijven eigendom van de gebruiker, behalve als die expliciet aangeeft dat ze mogen worden gedeeld met derden." Yookr adviseert gebruikers over het beveiligen van hun hardware, maar houdt zich niet bezig met devicemanagement.

Oplossingen

Voor bedrijven blijft security het belangrijkste punt van zorg. Han Sahin ziet de blockchain, de technologie achter crypto-valute als Bitcoin en Ethereum, als mogelijke uitkomst. Nu wordt voor de identificatie en authenticatie van IoT-apparaten nog gebruikgemaakt van centrale cloudservers. Omdat het aantal apparaten zo explosief groeit, worden die servers steeds zwaarder belast. Dat maakt ze kwetsbaar voor DDoS-aanvallen en ransomware, waarmee in potentie productielijnen in een fabriek lamgelegd kunnen worden. 

Met behulp van blockchain-technologie worden veilige, decentrale netwerken gecreëerd waarbinnen doorlopend gegevensuitwisseling en verificatie tussen nodes (in dit geval IoT-devices) plaatsvindt. En niet geheel onbelangrijk: alle data die in de blockchaindatabase wordt opgeslagen, is door niemand te manipuleren of vervalsen. Iedere node houdt een eigen database bij om DDoS-aanvallen te voorkomen. Bedrijven als Filament (actief in de agrarische sector) en de Australische telecomgigant Telstra gebruiken de technologie om misbruik en identiteitsfraude te voorkomen.

Bewuste keuze

Voor consumenten blijkt het lastig in te schatten hoe het zit met de veiligheid van een verbonden apparaat. "Bij de aanschaf van apparaten van onbekende merken uit China zou ik op m'n hoede zijn, maar apparatuur uit de EU kun je zonder meer kopen", betoogt Martin Aarts. "Wel adviseren we om een goede firewall in te stellen en die niet open te zetten om van buitenaf verbonden apparaten te bedienen. Doe dat liever met een cloudoplossing die van https gebruikmaakt."

Han Sahin is sceptischer. "Vaak staat een IoT-apparaat standaard open naar de buitenwereld en is weinig configuratie mogelijk. Het is raadzaam om vóór aanschaf de handleiding op te zoeken om te zien welke beveiligingsopties er zijn. Is het bijvoorbeeld mogelijk om de verbinding in zijn geheel uit te schakelen?" Daarnaast wekt het weinig vertrouwen als een apparaat afkomstig is van een start-up. "Bij dat soort bedrijven wordt vrijwel uitsluitend naar functionaliteit gekeken en is nauwelijks budget om kwetsbaarheden te testen en patchen."

Vincent Toms sluit zich daarbij aan. "Ik ben groot voorstander van devices die standaard niet aangesloten op internet zijn. Eindgebruikers kunnen dan bewust zelf de keuze maken om te verbinden. Het zal nog even duren voordat zoiets wettelijk geregeld wordt, maar door preventieve maatregelen te nemen, voorkom je veel ellende." 

Lees meer verdieping over technologie in ons webmagazine Bright Ideas

Lees meer over:

Deel via