Home Security De risico’s van IOT ontvouwen zich

De risico’s van IOT ontvouwen zich

38

Het is wel duidelijk dat IT-security experts extreem sceptisch staan tegenover de mateloze populariteit van ‘smart’ devices. De scepsis richt zich vooral op de fabrikanten die met enorme gretigheid op de trend inspringen. Ze denken daarbij niet na over de mogelijke zwakke plekken en gevaren. Een IOT apparaat met een veilige architectuur en een gebruiksvriendelijke wijze om standaardwachtwoorden te wijzigen en beveiligingsupdates en patches te installeren is echt een zeldzaamheid.

Privacy

Al vanaf het begin van deze trend, zo’n twee á drie jaar geleden, waarschuwen wij tegen de gevaren die slecht beveiligde slimme apparaten mogelijk met zich meebrengen. Ikzelf bijvoorbeeld hier, hier en hier. Meestal hebben wij daarbij gewaarschuwd voor privacy-problemen. Denk bijvoorbeeld aan IP-camera’s die niet met een wachtwoord beveiligd zijn. Die kunnen aan iedere geïnteresseerde live beelden van baby’s, kinderdagverblijven, voordeuren en bedrijfsterreinen laten zien.

Slimme koelkast

Een ander gevaar dat wij doorlopend voorspelden, is dat van de zwakke plek in het netwerk. Een goed voorbeeld is de slimme koelkast, die gelinkt is aan de Google Calendar, om daarin boodschappenlijstjes te maken van producten die niet meer in de koelkast staan en dus waarschijnlijk op zijn. Door deze koppeling kunnen door een aanval op de koelkast de inloggegevens van de Google Account van de eigenaar worden gestolen. Een Google Account beperkt zich, zoals bekend, allang niet meer tot e-mail. Het geeft ook toegang tot afspraken en plannen middels de Google Agenda, tot (huis)adressen en bezochte plaatsen middels Google Maps en – indien in gebruik – tot geld middels Google Wallet.

Botnets

Een gevaar dat wellicht wat onderbelicht is gebleven in onze waarschuwing is hetgeen zich nu voltrekt: botnets. Door de zwakke beveiliging van IOT-apparaten, zijn ze gemakkelijk te infecteren en op te nemen in een botnet. Deze botnets kunnen vervolgens worden gebruikt om spam en malware te verspreiden en om DDoS-aanvallen uit te voeren. Onlangs werd security blogger Brian Krebs slachtoffer van een DDoS-aanval door gekaapte IOT-apparaten. Nog recenter is de DDoS-aanval op DNS-bedrijf Dyn, waar naar verluidt ook honderdduizenden IOT-apparaten aan hebben bijgedragen.

Niet effectief

Wisten wij dan niet dat botnets tot de gevaren van slecht beveiligde IOT-apparaten behoorden? Jawel, dat wist iedereen die zich een klein beetje met IT-security bezig houdt. Maar waarschuwen voor botnets is tot nu toe niet erg effectief geweest. Botnets bestaan al vele jaren en al vele jaren proberen wij consumenten en bedrijven bewust te maken over de schade die hun geïnfecteerde computer aan een ander kan aandoen. Het lijkt mensen niet veel te interesseren. Ze ondervinden er zelf namelijk niet direct overlast van. Tot voor kort dan.

Mirai

Met het botnet Mirai zijn we in een nieuwe fase aangekomen. Nooit eerder werd een botnet met zó veel gekaapte apparaten en machines waargenomen. Mirai was verantwoordelijk voor de DDos-aanval op OVH, een hoster in Frankrijk. De aanval was de grootste ooit. Tot vrijdag 21 oktober. Dat was de dag dat Mirai met een DDoS-aanval de DNS-provider en internetreus Dyn op de knieën kreeg. Als DNS-provider van onder andere Twitter, Spotify, Tumbler, CNN, Paypal en andere grote namen, is Dyn normaal gezien goed beveiligd tegen DDoS-aanvallen. Maar het is Mirai, door zijn enorme omvang en brute kracht, toch gelukt. Hiermee was een flink deel van het internet compleet ontregeld. Het is duidelijk dat er door de geslaagde DDoS-aanvallen van de laatste weken, waaronder ook die op de Belgische kranten die is opgeëist door de Syrian Cyber Army, hernieuwde interesse is in het inzetten van dit wapen. Het Mirai-botnet is in ieder geval te huur voor geïnteresseerden met voldoende liquide middelen en ik verwacht dan ook dat er de komende tijd nog veel DDoS-aanvallen zullen volgen. En daarmee sluit de cirkel zich: iedereen – en dus ook de eigenaars van de geïnfecteerde devices – heeft vanaf nu last van botnets.

Wachtwoord

Maar maakt het iets uit? Misschien. Eén van de fabrikanten van IOT-apparaten die in het Mirai-botnet zijn opgenomen, het Chinese XiongMai Technologies, heeft toegegeven dat het een aandeel heeft in de aanvallen van Mirai. Ze geven aan dat het standaardwachtwoord niet is aangepast door de eigenaars van hun producten en dat zij zo slachtoffer zijn geworden. Volgens het bedrijf worden nieuwe klanten vanaf nu opgeroepen om het wachtwoord te wijzigen (voorheen dus kennelijk niet). Bovendien worden bepaalde onveilige producten teruggeroepen en worden de producten nu beter beveiligd. Dat is een goede zaak, al is het maar een druppel op de gloeiende plaat. De vraag is hoe (of beter gezegd: of) andere fabrikanten zich ook iets van dit geval aantrekken. En of gebruikers zich nu wel laten verleiden om sterke wachtwoorden in te stellen op hun slimme apparaten. Misschien als zij vaak genoeg niet hun favoriete websites kunnen bereiken door DDoS-aanvallen, wie weet?

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in