Er schort veel aan de beveiliging van apparatuur die wordt gerekend tot het ‘internet of things’ (IoT). Van zeven op de tien onderzochte apparaten kan een aanvaller de account-informatie stelen. Het kraken van wachtwoorden blijkt vaak een fluitje van een cent en er wordt zelden encryptie gebruikt. Dat blijkt uit een steekproef van beveiligingsleverancier en dochterbedrijf van HP, Fortify on Demand.
De onderzoekers selecteerden tien ‘slimme’ IoT-devices die momenteel op de markt zijn en die zich op een of andere manier via internettoepassingen laten bedienen: een tv, webcam, thermostaat, stopcontact, tuinsproeier, hub, deurslot, inbraakalarm, weegschaal en garagedeur. Bijna allemaal zijn ze op de een of andere manier verbonden met een cloud-omgeving of app waarmee persoonlijke informatie wordt vastgelegd, opgeslagen of doorgegeven.
Bij zeven op de tien devices kan een aanvaller die account-informatie bemachtigen, stelt de studie. Zeven op de tien onderzochte toestellen gebruiken daarnaast géén encryptie voor het doorsturen van data en bij acht op de tien toestellen kunnen moeiteloos onveilige (te korte, eenvoudig te raden) wachtwoorden gebruikt worden. Vaak konden wachtwoorden te gemakkelijk gereset worden, waardoor een hacker de controle over een toestel kan overnemen.
Heartbleed
Zes van de tien IoT-devices die in een user interface voorzien, zijn daarnaast ook nog eens kwetsbaar voor een reeks bekende, ernstige security-problemen. Zo zijn sommige devices kwetsbaar voor cross-site scripting (xss) en kan bij anderen zelfs nog de beruchte Heartbleed OpenSSL-bug misbruikt worden.
Het moge duidelijk zijn: als het Internet of Things ons leven in de toekomst moet vergemakkelijken dan zal er wel nog flink gesleuteld moeten worden aan de beveiliging, willen we vermijden dat ons leven overgenomen wordt door een hacker.
Volgens marktanalist Gartner zal tegen 2020 het ‘internet of things’ bestaan uit 26 miljard intergeconnecteerde ‘dingen’. Nu alsmaar meer ‘smart devices’ de weg naar de consument vinden, achtte Fortify on Demand de tijd rijp om de beveiliging van zulke slimme objecten na te gaan.
I.s.m Datanews
Ewout:
Keuring van een auto (je reactie hierboven) is gebaseerd op standaarden die we eerder afgesproken hebben. Volwassenheid waar JJ naar verwijst is naar mijn mening hetzelfde als een gestandaardiseerd product, dus ook hetzelfde punt. Misschien heb ik standaardisatie in mijn reactie hierboven verder moeten toelichten/ onder aandacht brengen
Binnen standaardisatie vallen verschillende onderwerpen die nog voor IoT geregeld moeten worden. Responsible disclosure zoals jij benoemd hebt zal ook in dit kader (standaardisatie) en (misschien) binnen de juridische laag van dit concept besproken, behandeld en verduidelijk worden.
IoT zal met veel uitdagingen te maken krijgen! Kijk wat Tesla een tijd geleden meegemaakt heeft met Chinese hackers. Dezelfde jongens zullen je huis met je IoT-spullen overnemen. Hierdoor zullen fabrikanten gedwongen iets gaan doen aan verschillende tekortkomingen en gevaren rondom hun IoT producten anders kunnen ze hun product niet afzetten.
Wat ik zelf interessant vind is:
– Wie is de eigenaar van data die door je apparaten geproduceerd is? Bijvoorbeeld ING wil de informatie rondom je koopgedrag doorverkopen en als je het niet wilt dan moet je de bank gaan verlaten. Dus ING beweert de eigenaar te zijn van je data!
– Kun je je data die je al geproduceerd hebt meenemen als je van merk/leverancier veranderd?
– Hoe zit het met vendor lock-in?
………en nog meer andere vragen maar een beetje te vroeg in deze fase van dit concept.
@Louis. Minder geinig als iemand, in opdracht van een glashandelaar, remote de digitale gaskraan sluit om de waakvlam te doven, vervolgens opendraait en je stopcontacten remote laat vonken. Heb je snel een stel ruiten nodig. De “passende” offerte kan dan natuurlijk al in je inbox liggen 😉
Of deze over de afstandsbestuurde Pacemaker http://venturebeat.com/2008/08/08/defcon-excuse-me-while-i-turn-off-your-pacemaker/
@Pieter Dat klinkt als oplichting, maar je kan je de meeste malle scenario’s voorstellen. Die van de pacemaker al eerder gehoord en deze week las ik deze:
http://www.ad.nl/ad/nl/1012/Nederland/article/detail/3711981/2014/08/04/Vliegtuig-gehackt-mogelijk-gevaar-voor-de-luchtvaart.dhtml
Meen me te herinneren dat de eerste virussen ook vrij spel hadden. Juist door die virussen en hackers wordt alles beter.
Zo gaat het ook met al die apparaatjes die aangesloten worden en communiceren via het internet. Het ontwikkelt zich.
Als het aan een aantal mensen hier ligt, wordt dit hele fenomeen maar de nek om gedraaid. O nee. Het moet eerst heel goed zijn voordat we het gaan gebruiken! Maar zo werkt dat natuurlijk niet.
Bij het verfijnen van vliegtuigen zijn ook mensen gesneuveld. Wapens zouden ook verboden moet worden, daar zijn ook slachtoffers bij gevallen.
Big deal… not.
@Henri
Ik heb niets tegen op IoT, wel verzet ik me tegen domheid.
Je stelt bijvoorbeeld dat wapens verboden moeten worden terwijl deze in het kader van verdediging tegen mensen of wilde dieren (al naar gelang de situatie) me een nuttige functies lijken te hebben. Gezien mijn verleden ben ik niet onbekend met het gebruik van wapens, lees dat bezuinigingen op defensie misschien toch niet zo slim waren nu blijkt dat de wereld niet een paradijs is. Kortweg gaat het dus om de inzet welke misschien niet altijd precies zo is als deze bedoeld is.
Als ik overweeg dat virussen en de tegenmaatregelen steeds meer beginnen te lijken op dezelfde wapenwedloop van de koude oorlog dan vraag ik me af hoe dom je bent;-)
Voordat je ín ‘in de dampen schiet’ moet je weten dat ik nooit interesse heb gehad in het wapen zelf maar vooral in welke handen deze zich bevond. Er zit namelijk nogal een verschil tussen een terrorist en een politieagent (of een militair) en als het over Internet gaat is de controle ervan dus wel degelijk van belang. Mijn eerste reactie is gebaseerd op een al langer lopende discussie over privacy welke je dus altijd bagatelliseert maar wel degelijk van belang is bij IoT.
IoT, DPI en Big Data zijn naar mijn opinie onlosmakelijk met elkaar verbonden zoals niet alleen Edward Snowden ons leerde maar ook Kim Dotcom en nog wat minder bekende figuren. Bedrijfsspionage is namelijk wel een Big Deal van vele miljarden als ik kijk naar de langzaam veranderende opstelling van onze oosterburen.
P.S.
De dood van één mens is een tragedie; de dood van miljoenen slechts statistiek. Als je het dan toch over wapens hebt laten we het dan eens hebben over massa vernietigingswapens wat één kogel versus één virus maakt nogal een verschil;-)
Ewout, “wapens zouden ook verboden moeten worden” is in de context van mijn reactie ironisch bedoeld. Er had ook “auto’s” kunnen staan.
Wat ik bedoel te zeggen in mijn reactie is dat alles wat nieuw is, vol met mankementen zit, en dat is OK.
Surveillance of the masses en zeker door overheid is evil en kan voor evil gebruikt worden. Ik ben voor privacy en tegen data graaien, alleen moet je wel pragmatisch zijn. Het schenden van privacy door overheid is een politieke discussie, maar als het volk hiertegen niet in opstand komt moet je wel als bedrijf pragmatisch zijn.
Waar ik me vooral tegen verzet is het koppelen van data door instanties en overheid. Het fenomeen wat zich in het VK voltrekt is de macht van de (zorg)verzekeraar. Zij bieden kastjes aan die zaken meten (IoT) en goed gedrag wordt beloond met een lagere premie. Dat moet **DOOD** want dit hellend vlak is het begin van het einde. Want dalijk krijg je dat gezond e mensen niet willen betalen voor mensen met een ongezonde levensstijl. Maar levensstijl is vaak ook gebonden aan budget. Dus krijg je dat de rijken gezonder kunnen leven en dus minder premie betalen. Verzekering moet gebaseerd zijn op onzekerheid.
Privacy is belangrijk om je te beschermen tegen criminelen.
Privacy is een recht om in je eigen omgeving jezelf te kunnen zijn.
Privacy betekent dat overheden maar beperkte data over jouw mogen opvragen.
Privacy is helaas onmogelijk. Alles laat sporen na, zowel je geld, je telefoon als, maar ook fysiek bewegen over straat. Dat kun je niet tegenhouden, wat wel tegengehouden moet worden is het *delen* van die data en het mogen gebruiken van die koppeling. Maar om zomaar privacy te eisen houd geen stand, dus moet je wel de details in duiken en is het een spanningsveld die je niet zwart-wit kunt stellen.
@Henri
Het certificaat dat ik behaalde om ‘blindgangers’ onschadelijk te maken door me twee weken alles te laten opblazen was ook een truc. Kwam er pas achter welke cursus ik gedaan had toen me verteld werd dat ik dus de persoon was die naar voren werd gestuurd om niet werkende handgranaten op te ruimen. Foutje, bedankt!
Discussie over solidariteit in de zorg lijkt me echter off-topic hoewel het inderdaad twijfelachtig is of zorgverzekeraars zoveel macht moeten hebben. Meen me echter te herinneren dat ik over onderwerp van IoT al eens wat geschreven heb in opinie ‘Zelfhulp en kameradenhulp’ waar ik stelde dat een veilige infrastructuur een voorwaarde is. Voor je het weet bedient niet de dokter de medicijnpomp maar boekhouder of erfgenamen, al naar gelang wie er het meeste voordeel hebben. Betreffende je opmerking over mankementen hoop ik dus echt dat bepaalde apparaten beter getest en beveiligd zijn dan mijn smartphone. En dat sommige informatie beter geverifieerd is dan de aantijging dat Saddam Hoessein massavernietingswapens had, voortschrijdend inzicht leert dat niet alles is zoals het soms voorgesteld wordt.
Even terug naar mijn eerste alinea, als ze me rechtstreeks gevraagd hadden of ik de cursus ongesprongen projectielen wou doen met uitleg dat ik daarmee dus direct mijn leven in de waagschaal legde bij elke oefening handgranaat werpen dan was mijn antwoord nee. Hetzelfde geldt voor jouw betoog, je overziet de consequenties niet altijd van iets waarvan je maar de helft verteld wordt. Het één komt niet zonder het ander zoals ik al stelde in mijn voorgaande reactie over DPI en Big Data, tussen jouw zwart-wit zitten namelijk nog 150 tinten grijs. En IoT is mede door de mogelijkheden van profiling dus nog een ontzettend grijs gebied.
Internet of Things (IOT) is of wordt de hype de komende jaren. Weegschalen, lampen, de koelkast, alles wordt geconcenteerd met Internet en met name vanuit gemak (schakelen op afstand of voor meetdoeleinden, bijvoorbeeld energieverbruik.
Ik heb een aantal van die apparaten getest en de basic beveiliging is meestal wel op orde. Gebruikersnamen, wachtwoorden, https, etc zit er meestal allemaal wel op, maar met een next-klik-ok installatie worden de fabrieksinstellingen gebruikt. Nets als dat de meeste simkaarten zijn beveiliging met 000 of 1111 zijn de fabrieksinstellingen met accounts als admin, root en wachtwoorden als admin, system, 1234 in gebruik. Als je weet welk apparaat wordt gebruikt kan je via de gebruiksaanwijzing de inloggegevens achterhalen.
De leveranciers zouden moeten inspelen op beveiliging door de koper cq installateur van de apparatuur dwingend de gegevens te veranderen, je hebt dan wel gelijk wat administratie, maar je bent vwb beveiliging direct op een medium level beland en dus meestal niet meer zo interessant voor de gemiddelde hacker. Ook in het bedrijfsleven wordt nog volop gebruik gemaakt van root en admin accounts die standaard zijn of in de gebruiksaanwijzing voorkomen. Je ziet altijd dat daar als eerste op wordt getest, dus wijzigen levert veel op.
Alle ontwikkelde machtsblokken zijn Cyberwar strategieen aan het ontwikkelen en bedenk dat de `Things` van het Internet-of-Things betrokken kunnen worden bij een Cyberwar. Dit wordt op een aantal Universiteiten op de wereld (waaronder Princeton) reeds aan studenten onderwezen.
@Willem Gravesande, 26-08-2014 11:53: zie bijvoorbeeld https://wuala.com/FreemoveQuantumExchange/Aspects/Security/Theory/Cybersecurity_and_Cyberwar.pdf