Er schort veel aan de beveiliging van apparatuur die wordt gerekend tot het ‘internet of things’ (IoT). Van zeven op de tien onderzochte apparaten kan een aanvaller de account-informatie stelen. Het kraken van wachtwoorden blijkt vaak een fluitje van een cent en er wordt zelden encryptie gebruikt. Dat blijkt uit een steekproef van beveiligingsleverancier en dochterbedrijf van HP, Fortify on Demand.
De onderzoekers selecteerden tien ‘slimme’ IoT-devices die momenteel op de markt zijn en die zich op een of andere manier via internettoepassingen laten bedienen: een tv, webcam, thermostaat, stopcontact, tuinsproeier, hub, deurslot, inbraakalarm, weegschaal en garagedeur. Bijna allemaal zijn ze op de een of andere manier verbonden met een cloud-omgeving of app waarmee persoonlijke informatie wordt vastgelegd, opgeslagen of doorgegeven.
Bij zeven op de tien devices kan een aanvaller die account-informatie bemachtigen, stelt de studie. Zeven op de tien onderzochte toestellen gebruiken daarnaast géén encryptie voor het doorsturen van data en bij acht op de tien toestellen kunnen moeiteloos onveilige (te korte, eenvoudig te raden) wachtwoorden gebruikt worden. Vaak konden wachtwoorden te gemakkelijk gereset worden, waardoor een hacker de controle over een toestel kan overnemen.
Heartbleed
Zes van de tien IoT-devices die in een user interface voorzien, zijn daarnaast ook nog eens kwetsbaar voor een reeks bekende, ernstige security-problemen. Zo zijn sommige devices kwetsbaar voor cross-site scripting (xss) en kan bij anderen zelfs nog de beruchte Heartbleed OpenSSL-bug misbruikt worden.
Het moge duidelijk zijn: als het Internet of Things ons leven in de toekomst moet vergemakkelijken dan zal er wel nog flink gesleuteld moeten worden aan de beveiliging, willen we vermijden dat ons leven overgenomen wordt door een hacker.
Volgens marktanalist Gartner zal tegen 2020 het ‘internet of things’ bestaan uit 26 miljard intergeconnecteerde ‘dingen’. Nu alsmaar meer ‘smart devices’ de weg naar de consument vinden, achtte Fortify on Demand de tijd rijp om de beveiliging van zulke slimme objecten na te gaan.
I.s.m Datanews
De oplossing is heel eenvoudig. Boycot IoT.
Communicatieprotocollen, datamodellen, informatie-uitwisseling, sensoren, opslag en nog meer andere zaken moeten nog in IoT-concept een vorm krijgen terwijl dit artikel me een indruk geeft dat we al deze zaken achter de rug hebben!
Uiteraard kommen nog meer zaken zoals beveiliging en standaardisatie in deze rij staan waardoor IoT nog erger wordt dan BYOD!
Als we hele Internet zouden encrypten dan wordt het twintig keer zo duur en maakt niemand er meer gebruik van. Smart devices en domme gebruikers is dan ook een rendabele combinatie waar niet alleen cyber criminelen gebruik van maken. Misschien cynisch maar Internet is nooit ontworpen met veiligheid in het achterhoofd, alles is later toegevoegd en dus lijkt de evolutie zich weer te herhalen.
Boycotten? Ik zou liever zeggen, wachten tot de industrie op dit punt volwassen is geworden. Lees: gebruikersvriendelijk
En wat Ewout Dekkinga betreft… Dit zijn kretologieën die t.a.v. de informatica als jaren gebezigd worden. Een baard hebben dus. Ik hoef me toch ook geen onveilige auto aan te schaffen omdat ze anders te duur zouden zijn?
@Peter: IoT is veel te leuk en handig om te boycotten!
Dat hou je echt niet tegen…
Waarom die beveiliging en encryptie de zaken nou zoveel duurder zou gaan maken is mij even niet helemaal duidelijk.
Men heeft mij wijsgemaakt dat met IPv6 iedere zandkorrel op aarde een eigen IP-adres zou kunnen krijgen. Dat opent de weg om lampen, koelkast, weegschaal, televisie, Senseo etc. etc. eenvoudig op afstand te kunnen aanspreken. Door die massaliteit zal er ongetwijfeld een beveiligingsstandaard ontwikkeld worden die door de enorme productieaantallen niet of nauwelijks prijsverhogend zal werken. En gehackt en gekraakt wordt er toch. Dat houd je gewoon niet tegen.
Ik denk dat er verschil moet zijn tussen de apparaten: het beveiligingsniveau van een garagedeur zal hoger moeten zijn dan die van een TV (bv. inbraak in je garage).
Wel is het goed dat deze zaken tegen het licht gehouden worden. IoT draagt duidelijk nog luiers. De eerste concept modellen waren niet beveiligd en daarna heeft men er niet over nagedacht, met het idee van ‘wie hackt er nou een stopcontact?’.
Toch snap ik niet dat de fabrikanten met simpele protocollen werken en korte, simpele wachtwoorden. Bijna iedereen weet het simpele wachtwoord van zijn router, meestal ‘admin’ of ‘1234’. Als je dat niet wijzigt kan elke kwaadwillende er bij.
IoT apparatuur zal dus van 1) sterke wachtwoorden EN inlognamen voorzien moeten worden en 2) versleutelde communicatie en data.
Als dat te veel moeite is voor een fabrikant, dan zou ik die meteen links laten liggen.
Volgens mij doen heel veel fabrikanten dat al!
Als nou gewoon geen verbinding met internet maakt, dan kan je lampje toch ook licht geven, je weegschaal wegen etc.?
Ik krijg er hier een visioen van dat de apparaten in je huishouden een eigen leven gaan leiden en door iemand van buiten af bestuurd worden. Maar ook dat je met een geinig appie de apparaten in huis kan aansturen. Zo raak je aardig vergroeid met dat ding.
@J.J. Boomsma
Je vergelijk met auto’s lijkt me enigzins scheef te gaan omdat elke auto die op de weg toegelaten wordt gekeurd is. Kan er natuurlijk naast zitten maar bij IoT is dat niet het geval. Baard waarover je het hebt zit dan ook meer in ‘responsible disclosure’ als we het dan toch over kretologie gaan hebben.
Ook niet onbelangrijk is het onderhoud, als je geen profiel meer op je banden hebt dan glij je bij de eerste de beste regenbui van de weg af. En ook de flexibele slang van je gasinstallatie in caravan/boot moet regelmatig vervangen worden, lees ieder jaar weer over gasexplosies. Veiligheid is namelijk toch nog opmerkelijk vaak de sluitpost.
Voor wie het zich nog kan herinneren, Microsoft werd jaren geleden opgeschrikt door de uitbraak van een virus welke zich razendsnel verpreide via Internet. Als gevolg hiervan hebben ze het Trustworthy Computing Initiatief (TwC) opgestart omdat er een verlies aan vertrouwen was in hun software. Nu lijken ze weer een ander probleem te hebben doordat ze iedereen dwingen om over te gaan op laatste versies.
Als ik straks ook gedwongen wordt om mijn goed functionerende koelkast te vervangen omdat deze een embedded besturingssysteem heeft dat niet meer ondersteund wordt dan vraag ik me af welke voordelen er zitten aan IoT. En dan heb ik het nog hierbij niet eens over privacy discussie want nu klokkenluiders tipje van sluier oplichten zien we enige bewustwording.
Dat was geen ‘responsible disclosure’ maar denk dat ik er niet ver naast zit door te stellen dat als verdienmodellen veranderen de kosten voor Internet behoorlijk zullen stijgen. Het idee dat industrie vanzelf die bezwaren op gaat lossen lijkt me ook nogal naïef, niemand slacht de kip met de gouden eieren.